Wedde: Ich plädiere deshalb grundsätzlich für das Vier-Augen-Prinzip, wenn es um Zugriffe auf sensible Personendaten geht. So sollten technische Verfahren in diesen Bereichen so ausgestaltet sein, dass etwa das Kopieren von solchen Daten auf externe Datenträger wie USB-Sticks oder Mini-Festplatten, egal ob sie von Mitarbeitern oder Administratoren kommen, nur erfolgen kann, wenn mindestens ein weiterer ITler diesen Vorgang autorisiert hat und kontrolliert. Diese Vorgaben existieren ja häufig, sie werden nur aus Zeit- und Kostengründen nicht umgesetzt.
Neue Wege einschlagen
CW: Was, wenn der Prüfer kommt?
Wedde: Prüfung durch staatliche Aufsichtsbehörden ist schon wegen deren schlechter Personalausstattung selten.
CW: Welche Möglichkeiten zur Erhöhung des Datenschutzstandards sehen Sie?
Wedde: Abgesehen von grundlegenden gesetzgeberischen Maßnahmen, an die ich derzeit nicht glaube, könnte die breite Verankerung von Datenschutz-Auditverfahren, die in die Vergabe von Gütesiegeln münden, eine Lösung sein. Leider sind entsprechende Verfahren derzeit nicht vorgeschrieben. Bisher gibt es nur in Schleswig-Holstein wirksame gesetzliche Regelungen zu diesem Thema. Dort zeigt sich auch, dass Unternehmen ein großes Interesse an der Verleihung von Datenschutz-Gütesiegeln haben, mit denen sie werben können. Vielleicht sollten wir auch über eine "Datensteuer" nachdenken - etwa einen Euro pro Jahr pro erhobenen Datensatz, einen weiteren Euro pro übermittelten. Das würde der wahnsinnigen Sammelwut die Basis entziehen, weil jeder zu überlegen begönne, welche Daten überhaupt notwendig sind. Auch der Handel mit Daten würde so reduziert werden, weil der Verkauf von zwei Millionen Daten nicht mehr für unter tausend Euro möglich wäre.
Checkliste: Datenschutz im Unternehmen
Wer feststellen möchte, ob im eigenen Unternehmen die Gefahr eines Datenmissbrauchs vorliegt, kann sich an diesem kurzen Fragenkatalog von Christoph Rittweger (Fachanwalt für IT- und Datenschutzrecht bei Baker & McKenzie in München) orientieren. Wichtig: Alle Fragen sind abteilungsweise und nicht für das gesamte Unternehmen zu beantworten!
Welche Art von Daten sammelt, verarbeitet und nutzt das Unternehmen?
Wozu werden diese Daten gesammelt, verarbeitet und genutzt?
Werden sensible personenbezogene Daten erhoben (dazu zählen zum Beispiel der ethnische Hintergrund einer Person, religiöse Überzeugungen, Parteizugehörigkeit, Informationen über Gesundheit oder Sexualität)?
Sind alle Angestellten, Kunden, Partner etc. nach dem schriftlichen Einverständnis mit der Verarbeitung ihrer Daten gefragt worden (zum Beispiel über den Arbeitsvertrag)? Und wenn ja, unter welchen Bedingungen (war es für sie "zwingend", diese Erklärung zu unterzeichnen)?