IT-Compliance: Datenschutz...vom Randthema zum Chefthema.
Fast im Wochenrythmus erreichen uns Nachrichten mit erheblichen, peinlichen Datenpannen aus der Wirtschaft die mit empfindlichen Bußgeldern oder Freiheitsstrafen geahndet werden können. Missstände im Bereich der Datenschutzorganisation bergen nicht unerhebliche Risiken. Aber wer muss ggf. "seinen Kopf hinhalten"? Die Grundsatzverantwortung im Unternehmen für den Datenschutz trägt die "Verantwortliche Stelle", die Geschäftsführung oder der Vorstand.

Der Schutz personenbezogener Daten von Kunden und Mitarbeitern, sowie der Schutz von Geschäfts- und Betriebsgeheimnissen, wird für Unternehmen aufgrund der fortschreitenden Digitalisierung und Vernetzung von Geschäftsprozessen und der damit einhergehenden Risiken zu einem immer wichtigeren Bestandteil des Risiko- und Qualitätsmanagements. Auch der Gesetzgeber hat den Datenschutz und die IT-Sicherheit als Aufgabe und Pflicht der Unternehmensleitung inzwischen in einer Vielzahl von Rechtsvorschriften verankert, bspw. im Bundesdatenschutzgesetz (BDSG),Telekommunikationsgesetz, bereichsspezifischen Datenschutzvorschriften, Sarbanes Oxley Act, KonTraG, Basel II.

Wann ist ein Unternehmen verpflichtet einen 
Datenschutzbeauftragten zu bestellen:
Unternehmen, die personenbezogene Daten automatisiert Verarbeiten und in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Soweit Unternehmen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl, der mit der automatisierten Verarbeitung beschäftigten Personen, einen Beauftragten für den Datenschutz zu bestellen.

Die Meldepflicht (§4d Abs.5) besagt u.a. soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn:

• besondere Arten personenbezogener Daten (§3 Abs. 9 BDSG) verarbeitet werden oder
• die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten (z.B. Personalbeurteilungsbogen), seiner Leistung (z.B. Erfassen von Stückzahlen, Abschlüssen, u.s.w.) oder seines Verhaltens (z.B. Kameraüberwachung, Zeiterfassung, Türöffner, u.s.w.)

Wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht:
Unabhängig davon ob ein Unternehmen nach dem Bundesdatenschutzgesetz dazu verpflichtet ist einen betrieblichen oder externen Datenschutzbeauftragten zu bestellen, muss die Unternehmensleitung dafür Sorge tragen, dass die Rechtsvorschriften zum Datenschutz und zur IT-Sicherheit eingehalten werden.
Für Unternehmen die der Bestellpflicht eines Datenschutzbeauftragten nicht, oder noch nicht unterliegen sowie in allen Zweifelsfällen ist es anzuraten externe kompetente Beratung und Unterstützung hinzuzuziehen, ohne gleich einen Datenschutzbeauftragten zu bestellen. Die Rechtsquellen des Datenschutzes sind vielfältig und das Thema komplex.