Datenschutzbeauftragter oder Datenschutzberater?

Mit Inkrafttreten des aktuellen Entwurfes einer EU-Datenschutz-Grundverordnung könnte für viele Unternehmen die Verpflichtung der Bestellung eines Datenschutzbeauftragten entfallen. Der Datenschutz als Thema wird jedoch zukünfitg nicht in den Hintergrund rücken, sondern, angesichts der vielfältigen Bedrohungen, eher noch stärker gewichtet. Wie sollten die Unternehmen damit umgehen?
Autor: Dr. Haiko Timm

Die Einführung des Bundesdatenschutzgesetztes (BDSG) im Jahr 1978 verpflichtete viele Unternehmen, einen betrieblichen Datenschutzbeauftragten zu bestellen. Diese Pflicht besteht nach § 4f BDSG, wenn mehr als neun Personen mit der elektronischen Verarbeitung oder mehr als 20 Personen mit der manuellen Verarbeitung personenbezogener Daten beschäftigt sind. Damit gibt es bei den meisten Verbundbanken einen Datenschutzbeauftragten. Bei der Mehrzahl der Banken wird die Rolle dieses Beauftragten von einem Mitarbeiter wahrgenommen. Es ist aber gegenwärtig ein Trend zu erkennen, die Aufgaben an einen externen Dienstleister auszulagern.

Im Jahr 2012 wurde ein Entwurf einer EU-Datenschutz-Grundverordnung (DS GVO) vorgelegt, die im Artikel 35 vorsieht, einen Datenschutzbeauftragten zu bestellen, wenn mindestens 250 Personen im Unternehmen personenbezogene Daten verarbeiten. Damit dürfte für viele Genossenschaftsbanken die Pflicht zur Bestellung eines Datenschutzbeauftragten entfallen. Der ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Peter Scharr hat in diesem Zusammenhang darauf hingewiesen, dass danach nur 0,3 % der deutschen Unternehmen einen Datenschutzbeauftragten bestellen müssten.

Auf den ersten Blick wird eine entsprechende Änderung durchaus positiv gewertet werden: Für viele Entscheider entfällt die Pflicht einen Beauftragten im Bereich Datenschutz zu benennen und für die als Datenschutzbeauftragte tätigen Mitarbeiter entfallen die nicht immer beliebten Aufgaben, die das BDSG in § 4f vorschreibt.

Doch wird dadurch das Thema Schutz von personenbezogenen Daten abgeschwächt bzw. in den Hintergrund treten? Betrachtet man die gegenwärtige Situation wird schnell klar, dass der Schutz personenbezogener Daten gerade für Banken einen unvermeidlichen Anspruch stellt. Internetkriminelle dringen in Netzwerke ein, verschaffen sich Zugang zu Daten bis hin zu Zahlungsverkehrdaten und nutzen sie für betrügerische Zwecke. CDs mit Anlegerdaten werden verkauft und Schadprogramme infizieren Rechner und greifen auf sensible Information der Nutzer zu. Das alles zeigt, dass Bankgeschäfte nur durchgeführt werden können, wenn die Daten der Kunden geschützt werden. Es ist zwar in der Regel kein explizit genanntes Kriterium, dennoch: Ein Kunde wird eine Bankverbindung nur aufbauen, wenn er einen seriösen Umgang mit seinen Daten annimmt bzw. er erwartet von der Bank ein entsprechendes Vorgehen.

Damit ist klar, der Anspruch an den Datenschutz in Banken wird keinesfalls zurückgehen, er wird möglicherweise durch immer ausgereiftere kriminelle Aktivitäten eher steigen. Damit entfällt auch nicht das Aufgabenpotential des Datenschutzbeauftragten. Wer wird dann in den Häusern, die keinen Datenschutzbeauftragten bestellen müssen, aktiv werden? An wen wendet sich ein Kunde, der eine Auskunft über die über ihn gespeicherten Informationen wünscht? Wer berät Mitarbeiter in Fragen zur Verwendung oder Speicherung ihrer Daten? An wen wenden sich Entscheider bei datenschutzrelevanten Fragen?

Gibt es keinen Beauftragten in der Bank, wird sich trotzdem jemand um entsprechende Themen in der Funktion eines Datenschutzberaters kümmern müssen. Die notwendigen Tätigkeiten können weiterhin vom ehemaligen Beauftragten wahrgenommen werden, gerade vor dem Hintergrund der erworbenen Qualifikation und der gemachten Erfahrungen. Es sind aber auch andere Konstellationen denkbar, da bei der Betrachtung des gesamten Beauftragtenwesens mehrfach Überlappungen zu Datenschutzthemen deutlich werden.

Da die Datenschutzthematik im Zusammenhang mit der Verarbeitung von elektronisch vorgehaltenen Daten relevant wird und Banken einen Großteil ihrer Geschäftsprozesse durch IT-Technik unterstützen, ergibt sich automatisch eine starke Nähe zum IT-Bereich. Dieser Sachverhalt wird durch die MaRisk in Punkt 7.2 gestützt: „Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.“ Natürlich zielen die MaRisk auf den gesamten Datenbestand von Banken ab. Ein Großteil dieser Daten sind Kunden- und Mitarbeiterdaten. Damit sind sie nach dem Bundesdatenschutzgesetz zu schützen. Es ergibt sich ein hoher Überdeckungsgrad in den Aktivitäten des IT-Sicherheitsbeauftragten oder des IT-Sicherheitsteams mit dem Datenschutzbeauftragten.

Eine mögliche Konstellation ist daher die Übernahme der Datenschutzberatung durch den IT-Sicherheitsbeauftragten oder ein Teammitglied. Das passende Bindeglied können die im § 9 BDSG und zugehöriger Anlage genannten technisch-organisatorischen Maßnahmen sein. Eine Umsetzung der acht  Kontrollmaßnahmen deckt gleich beide Bereiche ab: Sie sind Voraussetzung zur Einhaltung des BDSG und die dienen gleichzeitig die o.g. Anforderungen nach AT 7.2 MaRisk zu erfüllen. Ein Argument für diese Konstellation ist sicher der hohe Verwandschaftsgrad, der bei der Umsetzung identische Aktivitäten verlangt.

Der Entwurf der Datenschutz-Grundverordnung wird derzeit von Europäischen Kommission geprüft und könnte daher bezüglich des in diesem Artikel diskutierten Aspekts noch geändert werden. Ein Inkrafttreten und damit eine Ablösung der Datenschutzschutzgesetze sind nach heutiger Einschätzung keineswegs gesichert und wenn frühestens 2016 zu erwarten.

Dr. Haiko Timm, Geschäftsführer der Forum Gesellschaft für Informationssicherheit mbH, ist als IT-Berater, IT-Prüfer und externer Datenschutzbeauftragter sowie externer IT-Sicherheitsbeauftragter für Verbundbanken tätig. Er gibt gerne Auskunft zum Thema unter Telefon 0228 / 377 894 81 oder per E-Mail haiko.timm@forum-is.de.

Dr. Timm leitet das 9. Forum Datenschutz und Datensicherheit vom 12. –13. März 2015 bei der Akademie Deutscher Genossenschaften auf Schloss Montabaur. Das Forum steht unter dem Motto „Banken im Spannungsfeld zwischen Informationsfreiheit und Datenschutz“.

ADG PDF 9. Forum Datenschutz und Datensicherheit