Datenschutz in der IT-Abteilung

Wehe, wenn der Prüfer kommt?

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Denn sie wissen selten, was sie tun: Viele IT-Verantwortliche verstoßen täglich gegen die Gesetze, sagt Peter Wedde, Professor für Arbeitsrecht und Datenschutz an der Fachhochschule Frankfurt am Main.

CW: Herr Professor Wedde, der Handel mit illegal erworbenen personenbezogenen Daten im Web floriert. Was sollen IT-Profis/CIOs tun, wenn sie das Gefühl haben, in ihrem Unternehmen werden Datenschutzbestimmungen missachtet?

Peter Wedde warnt IT-Verantwortliche davor, den Datenschutz auf die leichte Schulter zu nehmen.
Peter Wedde warnt IT-Verantwortliche davor, den Datenschutz auf die leichte Schulter zu nehmen.

Wedde: In diesen Fällen müssen sie die ihnen qua Gesetz beziehungsweise aufgrund ihrer fachlichen Funktion obliegende Verantwortung wahrnehmen und alles tun, um den gesetzeswidrigen Zustand unverzüglich abzustellen. Neben einer Einschaltung der eigenen Geschäftsführung ist es denkbar, den betrieblichen Datenschutzbeauftragten oder auch die staatlichen Aufsichtsbehörden zu informieren.

CW: Wie können IT-Profis/CIOs gegenüber ihren Vorgesetzten die Einhaltung von Datenschutzbestimmungen durchsetzen, obwohl sie indirekte Anweisung haben, es damit nicht so genau zu nehmen?

Wedde:In der Praxis liegt hier das zentrale Problem: Auf die Einhaltung datenschutzrechtlicher Vorgaben zu pochen, ist mitunter nicht gerade karrierefördernd. Letztlich muss aber jeder IT-Verantwortliche oder CIO für sich entscheiden, ob er persönlich das Risiko auf sich nehmen will, für seine Karriere im Zweifelsfall wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften straf- oder zivilrechtlich belangt zu werden und gegebenenfalls als vorbestraft dazustehen. Ich kann allen Betroffenen nur raten, ihre Bedenken der Geschäftsführung schriftlich mitzuteilen und sich fragwürdige Anweisungen immer in einer dokumentensicheren Form und nicht etwa nur mündlich erteilen zu lassen. Wer diese Vorsichtsmaßnahmen nicht trifft, muss sich darüber im Klaren sein, dass er in einem spektakulären Prozess möglicherweise Rechtsgeschichte schreibt.

CW: Inwieweit sind IT-Abteilungen denn generell von gesetzlichen Datenschutzbestimmungen betroffen?

Wedde: Jede Form von personenbezogener Datenerhebung ist betroffen. IT-Abteilungen dürfen hier nur so viel speichern, wie gerade nötig ist. Wenn Daten nicht mehr benötigt werden, sind sie zu löschen. Bei ihrer Erhebung sollte also im besten Fall gleich ein Löschdatum festgeschrieben werden. Meine Empfehlung an CIOs: Wer personenbezogene Daten verarbeiten will, muss ganz genau wissen, ob er das auch darf. Es braucht entweder eine klar geregelte gesetzliche Erlaubnisnorm oder eine freiwillige Einwilligung, mit der unter anderem Arbeitnehmer sich mit der Verarbeitung ihrer Daten einverstanden erklären müssen.

Nicht ernst genommen

CW: Aber genau daran fehlt es.

Wedde: Leider wird eine notwendige Erlaubnis oft nicht eingeholt, oder der Erlaubnisrahmen wird nicht exakt eingehalten. Der gesetzliche Datenschutz wird nicht ernst genommen.

CW: Erlauben die derzeitigen Gesetze es IT-Abteilungen respektive Unternehmen, erhobene Daten auch ohne Einverständnis der Betroffenen zu verarbeiten?

Wedde: So prinzipiell gilt das nicht. Grenzen wie etwa die Zweckbindung sind gesetzlich schon festgelegt. Was Unternehmen aber in jedem Fall erheben und verarbeiten dürfen, sind listenmäßig zusammengefasste Daten bestimmter Personengruppen (§ 28 Abs. 3 Nr. 3 Bundesdatenschutzgesetz BDSG) zum Zweck der Markt- und Meinungsforschung. Dazu zählen Name, Anschrift, Geburtsjahr, akademische Titel und Grade sowie die Berufs- oder Branchenbezeichnung. Es ist nicht verboten, mit diesen Daten zu handeln, wenn die schutzwürdigen Interessen der Betroffenen nicht dagegenstehen. Insbesondere Marketing-Unternehmen machen von diesen interpretierbaren Rechten regen Gebrauch. Sie schießen dabei jedoch manchmal über das Ziel hinaus, wenn sie auch explizit schützenswerte Daten wie genaue Geburtsdaten oder Kontoverbindungen an- und verkaufen.

CW: Weil die Interpretationsspielräume zu groß sind?