(openPR) Die Verstöße gegen das Bundesdatenschutzgesetz, die öffentlich bekannt wurden, nehmen auf dramatischer Art und Weise zu. Schwere Vorkommnisse in der Finanzwelt, Politik und Kommunikation machten in den letzten Monaten Schlagzeile. Doch das ist nur die Spitze des Eisberges, denn die meisten Verstöße gegen den Datenschutz geschehen in Unwissenheit. Erst wenn es einen Kläger gibt, stellt man sich der Problematik.
Während sich kleine und mittlere Hotels zunehmend den Anforderungen an Datenschutz und Datensicherheit in ihrem Unternehmen stellen, vernachlässigen fast alle Hotelketten ihre gesetzlichen Pflichten. Der Grund dafür ist in der Konzernstruktur zu suchen. Von der Konzernzentrale der Hotelketten wird üblicherweise ein Konzerndatenschutzbeauftragter bestellt. Dieser ist in der Firma, welche ihn als Arbeitnehmer beschäftigt, interner und in den anderen Unternehmen des Konzerns externer Datenschutzbeauftragter. Von jedem einzelnen Hotel muss der Konzerndatenschutzbeauftragte schriftlich als externer Datenschutzbeauftragter ernannt werden. Als Datenschutzbeauftragter, der sich auch um die Belange der Tochtergesellschaften kümmert, erscheint das auf den ersten Blick sinnvoll - sofern der Beauftragte nicht zu stark belastet wird und nicht in Interessenskonflikte gerät, ist es auch zulässig.
Allerdings bestehen durchaus auch berechtigte Bedenken gegen einen Gesamtbeauftragten für den Konzern. Der betriebliche Datenschutzbeauftragte soll vor allem aus Sicht des jeweiligen Hotels den internen Umgang mit personenbezogenen Daten sowie die Informationsflüsse zwischen den Konzerngesellschaften überprüfen, während ein Konzerndatenschutzbeauftragter notwendigerweise Interessen der gesamten Unternehmensgruppe berücksichtigt. Die Belange des Kunden-, Lieferanten- und Arbeitnehmerdatenschutzes sowie die Datensicherheit vor Ort dürfen nicht vernachlässigt werden. Zudem ist es Fragwürdig, ob der Konzerndatenschutzbeauftragte insbesondere seinen Pflichten zur Sensibilisierung und Schulung der Mitarbeiter sowie dem internen Datenschutzaudit in den Tochterunternehmen nachkommen kann.
Bei einer Befragung ausgewählter Hotels wussten die Mitarbeiter aus dem Front-Office nicht, was überhaupt Datenschutz ist. Die Direktionen verwiesen lediglich auf die Konzernzentrale - Ansprechpartner zum Datenschutz waren gänzlich unbekannt. Speziell die Hotelgesellschaften, deren Hauptsitz nicht in Deutschland liegt, verstoßen gegen die Vorgaben des Bundesdatenschutzgesetzes.
Das Bundesdatenschutzgesetz grenzt Gesellschaften in einem Konzern klar von einander ab. Jedes einzelne Unternehmen eines Konzerns ist zur Bestellung eines Datenschutzbeauftragten verpflichtet, sofern die Anforderungen des § 4f BDSG erfüllt sind. Mit dem "Ersten Gesetzes zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft", das am 26. August 2006 in Kraft getreten ist, erfolgte die Änderung des Schwellenwertes zur Ernennung eines Datenschutzbeauftragten. Diese Pflicht ist nun auf Unternehmen reduziert, die mindestens 10 (bisher 5) Mitarbeiter mit der datentechnischen Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten beschäftigen.
Andreas Thurmann von DataSolution Thurmann empfiehlt eine Mischform mit Elementen einer zentralisierten und dezentralisierten Organisation zu wählen. Der Konzerndatenschutzbeauftrage nimmt die übergeordneten Interessen wahr. Er hat die Richtlinienkompetenz und wird von den dezentralen Datenschutzbeauftragten in den jeweiligen Regionen und Gesellschaften unterstützt. In den Tochtergesellschaften hingegen nimmt ein betrieblicher Datenschutzbeauftragter die speziellen Interessen des Hotels wahr. Kann der Konzerndatenschutzbeauftragte seinen Verpflichtungen als externer Datenschutzbeauftragter nachkommen, so wird zumindest ein Datenschutzbevollmächtigter als Ansprechpartner in den einzelnen Hotels benötigt.
DataSolution Thurmann
Isarstr. 13
14974 Ludwigsfelde
