Datenschutz: Ignoranz kann teuer werden

12.09.2006
Von Heinrich Straub 
Die Missachtung der gesetzlichen Bestimmungen kostet unter Umständen einen fünf- oder sechsstelligen Euro-Betrag.

Viele Firmen ignorieren es einfach, manchen ist es schlichtweg nicht bekannt: Das Bundesdatenschutzgesetz (BDSG) fordert seit 2002, dass alle öffentlichen und nicht öffentlichen Stellen, bei denen mehr als vier Mitarbeiter "personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen", einen Datenschutzbeauftragten benennen, also eine Person, die sich um den ordnungsgemäßen Umgang mit sensiblen, personenbezogenen Daten kümmert. Nachzulesen in Paragraf 4f, Absatz 1.

Hier lesen Sie …

Mehr zum Thema

www.computerwoche.de/

580792: Neue Richtlinien für den Datenschutz;

577232: Datenschutz: Passwort genügt nicht;

572840: Firmen ohne Datenschutzbeauftragten droht Strafe;

577200: Die Bedrohung kommt von innen.

Der Begriff der personenbezogenen Daten ist dabei weit gefasst: Er bezeichnet alle persönlichen und sachlichen Angaben über "natürliche Personen" - seien es nun Angestellte, Kunden oder Partner. Es kann sich um persönliche Angaben wie Name, Adresse, Beruf, Familienstand oder Bankverbindung handeln, aber auch um sachliche Informationen, zum Beispiel über Einkommen und Vermögen, Umsätze oder beruflichen Werdegang.

Kaum jemand interessiert sich

Wer kontrolliert denn schon, ob die Unternehmen mit ihren personenbezogenen Daten sachgemäß umgehen? So möchte man fragen. Wen interessiert es, ob sie die Daten nicht zu Werbe- oder Angebotszwecken an Banken oder Versicherungen weitergeben? Wer prüft wirklich, ob zur Verhinderung von Datenmissbrauch ein Datenschutzbeauftragter bestellt wurde? Die Haltung "Wo kein Kläger, da kein Richter" kann lange Zeit gutgehen.

Kontrollbesuche drohen

Doch beim Datenschutz ist es so wie bei der Einkommenssteuer: Irgendwann stattet eine Überwachungsbehörde wie die "Bayerische Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereich" dem Unternehmen einen Kontrollbesuch ab. Und dann gibt es für den Geschäftsführer keine Ausreden. Er ist es, der in diesem Fall haftet. Kann das Unternehmen keinen Datenschutzbeauftragten vorweisen, droht eine Bußgeldzahlung von bis zu 25000 Euro. Wird bei der Kontrolle ein Datenmissbrauch aufgedeckt, sind sogar Strafen in Höhe von 250000 Euro vorgesehen.

Wer auf der sicheren Seite sein will, sollte sich zunächst über das Aufgabenspektrum eines Datenschutzbeauftragten klar werden. Seine Arbeitsschwerpunkte liegen im Beraten, Überwachen und Dokumentieren.

• Beratung: Der Datenschutzbeauftragte berät sowohl die Geschäftsleitung als auch die Mitarbeiter, den Betriebsrat und selbstverständlich die IT-Abteilung in allen Datenschutzfragen. Er hilft ihnen auch bei der Ausgestaltung von Verträgen, beispielsweise Vertriebsvereinbarungen in puncto Internet-, Mail- und Telefonnutzung oder Geheimhaltungserklärungen. Darüber hinaus ist er Anlaufstelle Nummer eins für alle Anfragen und Beschwerden, die den Datenschutz betreffen.

• Überwachung: Gleichzeitig ist er dafür verantwortlich, dass der Persönlichkeitsschutz gewährleistet ist. Entspricht die IT den Datenschutzrichtlinien? Werden die Vorschriften in allen Phasen der Datenverarbeitung eingehalten? Erfüllen neue oder geplante Systeme die geforderten Standards? Sind die vorhandenen Systeme dokumentiert? Diese Fragen muss der Datenschutzbeauftragte klären.

• Dokumentation: Last, but not least wirkt der Datenschutzbeauftragte bei der Dokumentation der eingesetzten Verfahren zur Verarbeitung personenbezogener Daten mit, beispielsweise bei Vorabkontrollen oder Verfahrensbeschreibungen.

In einem zweiten Schritt gilt es dann, zu überlegen, welcher Mitarbeiter als Datenschutzbeauftragter in Betracht kommt. Dabei fragt sich nicht nur, wer aufgrund seiner Ausbildung, Fähigkeiten und Erfahrungen diese Aufgaben übernehmen beziehungsweise dafür geschult werden kann. Es ist vor allem darauf zu achten, dass diese Person ihre Unabhängigkeit bewahrt. Deshalb darf diese Tätigkeit nicht von jemandem ausgeübt werden, der eine leitende Funktion im Unternehmen innehat. Gesucht ist also ein Mitarbeiter, der über ausreichend juristischen und technischen Sachverstand verfügt und damit ein gewisses Basis-Know-how für Fortbildung und Qualifizierung hat, der aber nicht der Führungsriege angehört.

In der Belegschaft größerer Unternehmen lassen sich sehr wahrscheinlich gleich mehrere Mitarbeiter mit diesen Voraussetzungen identifizieren. Für die kleinen und mittleren Unternehmen dürfte es hingegen schwierig sein, eine geeignete Person zu finden. Das Argument "zu dünne Personaldecke" wird die Überwachungsbehörde jedoch nicht gelten lassen.

Sollten also die internen Ressourcen für diese Aufgabe nicht ausreichen, so besteht die Möglichkeit, auf das Know-how externer Consultants zuzugreifen. Vielleicht ist es gerade bei "unliebsamen" Maßnahmen - wenn beispielsweise Zugriffsberechtigungen eingeschränkt, der Einsatz unsicherer Software unterbunden oder Logfiles kontrolliert werden müssen - für den internen Datenschutzbeauftragten einfacher, sich auf den "gestrengen" Experten von außen zu berufen. Allerdings sollte es einen designierten internen Mitarbeiter für dieses Amt geben, dem die Kollegen und die Geschäftsführung gleichermaßen vertrauen.

Sicherheit beginnt im Kopf

Der beste Datenschutzbeauftragte steht jedoch auf verlorenem Posten, wenn IT-Sicherheit und Datenschutz nicht zur Chefsache erklärt werden. Die Geschäftsführung muss es sich zur Aufgabe machen, die Belegschaft für dieses Thema zu sensibilisieren, damit die Mitarbeiter die Sicherheitsanstrengungen nicht dadurch unterlaufen, dass sie zum Beispiel die Passwörter an den Bildschirm kleben oder .exe-Dateien in E-Mails öffnen.

Um herauszufinden, wie es im Unternehmen in puncto Sicherheit und Datenschutz aussieht, empfiehlt es sich, ein Security-Audit vornehmen zu lassen. Dabei werden die wichtigsten IT-Systeme und deren Konfiguration auf mögliche Sicherheits- und Datenschutzlücken überprüft, notwendige organisatorische und technische Maßnahmen eingeleitet sowie umfangreiche Sicherheitsrichtlinien erstellt - und selbstverständlich auch die Bestimmungen zum Bundesdatenschutzgesetz ins Visier genommen. (qua)