Zu den Kernpflichten eines Unternehmens zählt die Bestellung eines betrieblichen Datenschutzbeauftragten, sobald mehr als vier Mitarbeiter in die elektronische Verarbeitung personenbezogener Daten involviert sind. "Das ist schnell der Fall, denn gemeint ist die Anzahl der Personen, nicht der Stellen", warnt der externe Datenschutzbeauftragte und -berater Karl-Uwe Lüllemann. Aufgabe des jeweils Zuständigen ist es im Grundsatz, auf die Einhaltung des Datenschutzgesetzes im Unternehmen "hinzuwirken". Er ist in dieser Funktion allerdings nicht weisungsbefugt und daher auf die Rückendeckung der Firmenleitung angewiesen, die für Gesetzesverstöße persönlich haftet. Konkret hat der Datenschutzbeauftragte die firmenspezifische Verfahrensübersicht zu führen, die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen zu überwachen sowie die Zulässigkeit neuer Verfahren im Rahmen einer Vorabkontrolle zu prüfen. "Von der Idee her handelt es sich um eine Stabsstelle, die der Firmenleitung zuarbeitet und ihr Know-how zur Verfügung stellt", so Lüllemann.

Der IT-Chef scheidet aus

Der Datenschutzbeauftragte sollte nach Empfehlung der Experten im Bereich Sicherheit, Qualitäts-Management oder in der Revisionsabteilung angesiedelt sein. Da keine Interessenskonflikte bestehen dürfen, scheiden Personen wie Geschäftsführer, Personalleiter und vor allem IT-Chefs aus. Die laut Lüllemann dennoch verbreitete Praxis, den CIO auch in dieses Amt zu heben, ist riskant: Bei einer Falschbestellung droht ein Bußgeld von bis zu 25 000 Euro. "Man darf den Bock nicht zum Gärtner machen - schließlich hat der Datenschutzverantwortliche auch den IT-Leiter in der Umsetzung seiner Vorgaben zu kontrollieren", mahnt der Consultant.