Bundesamt für Sicherheit in der Informationstechnik

G 2.174 Fehlende oder unzureichende Datenschutzkontrolle

Die Kontrolle der Einhaltung der geltenden Datenschutz-Bestimmungen, vor allem die Kontrolle der technischen und organisatorischen Maßnahmen wird oft unzureichend bleiben, wenn in ihr zu Unrecht nur ein unproduktiver Kostenfaktor gesehen wird. Die datenschutzrechtliche Kontrolle kann auch dadurch sehr erschwert werden, wenn versäumt wird, ihre Anforderungen schon bei der Entwicklung und Erprobung von Verfahren einzubeziehen.

Eine effektive Arbeit für eine Datenschutzkontrolle ist in aller Regel nicht gesichert, wenn in einem Unternehmen oder einer Behörde kein Datenschutzbeauftragter bestellt ist oder wenn der vorhandene Datenschutzbeauftragte nicht ausreichend qualifiziert oder geschult ist, oder wenn er nicht ausreichend unterstützt und nicht rechtzeitig informiert wird (unzureichende Personal- und Sachmittel).

Beispiele:

  • Der Leiter des Rechenzentrums wird zum internen Datenschutzbeauftragten bestellt, da dieser für das Amt die besten Fachkenntnisse mitbringt. Dabei wird die entstehende Interessenkollision übersehen. Dazu gehört beispielsweise, dass er Sicherheitsvorgaben, die er für den Betrieb von IT-Verfahren gemacht hat oder Protokolldaten, die zur Missbraucherkennung gespeichert wurden, als Datenschutzbeauftragter kontrollieren müsste.
  • Es wird eine interne Datenschutzrichtlinie erlassen, nach der jährlich ein Bericht des Datenschutzbeauftragten vorzulegen ist. Der bestellte Datenschutzbeauftragte ist aber schon seit 2 Jahren dauerhaft krank und ein Vertreter wurde nicht ernannt, so dass kein Bericht erstellt wird.

Stand: 11. EL Stand 2009