Computerwoche: Immer wieder hört man, dass IT-Mitarbeiter ihre Administrator-Rechte missbrauchen, um beispielsweise auf vertrauliche Informationen zuzugreifen. Und sogar drei Viertel der Befragten in einer Studie bestätigten, dass sie Zugriffsbeschränkungen umgehen können. Provokant gefragt: Hat der Datenschutz ausgedient?

Daniela Duda: Nein, aber er hat es manchmal schwer im Alltag. Das beginnt schon damit, dass Datenschutz oft mit IT-Security verwechselt wird. In vielen Fällen werden Datenschutzbeauftragte in ein Unternehmen gerufen, in dem es noch gar keine IT-Security gibt. Sicher gibt es gewisse Parallelen zwischen dem Arbeitsalltag von IT-Sicherheitsbeauftragten, die sich ja auch mit Datenschutzgesetzen auskennen sollten, und dem von Datenschutzbeauftragten. um den elektronischen Datenfluss des Unternehmens zu schützen.

Aber es gibt eben auch große Unterschiede: IT-Sicherheitsbeauftragte versuchen sich in präventiven Maßnahmen, während Datenschutzbeauftragte das Ergebnis der Sicherheitsvorkehrungen in die Beurteilung der Gesamtabläufe, auch der "nicht-elektronischen", mit einbeziehen.

Computerwoche: Was bedeutet das für Ihre tägliche Arbeit?

Duda: Wenn ich die Büroräume eines kleineren Unternehmens betrete, frage ich recht früh auch nach den Servern. Wenn man Glück hat, stehen sie in einem eigenen Serverraum, gern zusammen mit den Putzutensilien. Doch weil Hardware immer kleiner wird, passen auch zentrale Geräte heutzutage unter jeden Schreibtisch - wo sie dann leider oft auch zu finden sind. Ist ja auch praktisch: man muss nicht mehr weit laufen und keine Türen mehr aufschließen, um beispielsweise Backups durchzuführen. Was das aber aus Sicht der Datensicherheit bedeutet, kann man sich ausmalen…

Computerwoche: Gibt es viele solcher Beispiele aus dem Alltag?

Duda: Bisweilen werde ich in Unternehmen mit der Frage konfrontiert, ob Unternehmen auf die Mailbox ihrer Mitarbeiter zugreifen und E-Mails lesen dürfen. Sinngemäß lautete zuletzt das Argument: Dies ist bei ruhenden, also zugestellten oder archivierten E-Mails erlaubt, weil dann das Fernmeldegeheimnis nicht greift (Zustellvorgang abgeschlossen).

Eltern haften für Kinder, Unternehmen für Tochterfirmen

Computerwoche: Wie kommt es zur Zusammenarbeit, wann treten Untenehmen an Sie heran?

Duda: Es kommt vor, dass Firmen dann Datenschutzbeauftragte zu Rate ziehen, wenn sie nach einer Übernahme die Richtlinien der Muttergesellschaft übernehmen müssen. Das ist wie mit dem bekannten Prinzip "Eltern haften für ihre Kinder".

Manchmal ist es auch einfach so, dass der Geschäftsführer eines Unternehmens etwas über das Thema gehört hat, und am nächsten Morgen handelt. Wenn jemand beispielsweise liest, dass er im Schadensfall gegebenenfalls mit seinem Privatvermögen haftet, geht das oft sehr schnell.

Computerwoche: Welche Schritte folgen dann?

Duda: Wie gesagt, in der Regel berufen Unternehmen Datenschutzbeauftragte, ob intern oder extern, weil sie es müssen - und selten aus eigenem Verständnis. Und dementsprechend sieht dann leider anfangs die Unterstützung aus. Gerne verteile ich in ersten Besprechungen kleine Kärtchen mit der Frage, was sich die Verantwortlichen im Unternehmen unter Datenschutz vorstellen. Die Antworten sind höchst unterschiedlich. Manche sind eher lustig, manche aber auch eher traurig, mit dem Tenor "Datenschutz, das kostet viel Geld und bringt nichts".

Wenn man dann aber die verschiedenen Argumente zusammenträgt und zeigt, dass Abläufe in Unternehmen ihren Grund haben und Gesetze verstanden werden müssen, um sie anwenden zu können, kann man die meisten Teilnehmer doch auf seine Seite ziehen - und im Dialog Empfehlungen zu den notwendigen Prozessänderungen geben.

Warum Datenschutzbeauftragte in der Kantine alleine sitzen…

Computerwoche: Macht es denn Sinn, interne Mitarbeiter zu Datenschutzbeauftragten zu ernennen?

Duda: Mein Ausbilder sagte oft: "Datenschutzbeauftragte erkennt man daran, dass sie in der Kantine alleine sitzen." Nicht, weil ich keinen Humor hätte, der ist mir in meiner Arbeit schon wichtig. Obwohl ich zum Lachen auch mal in den Keller gehe - aber nur, weil ich mir da auch gleich noch die Server ansehen kann…

Aber jeder, der den Beruf ergreifen möchte, sollte darauf gefasst sein, dass der Wind bisweilen kalt ist. Das ist im Übrigen eines der Argumente dafür, warum man nicht unbedingt einen internen Mitarbeiter mit dieser Aufgabe betrauen - oder besser "belasten" - sollte.

Leider ist es in der Realität aber oft so: Datenschutzbeauftragter ist derjenige, der zufälligerweise gerade am Kopierer stand und nicht rechtzeitig wegkam, als die Firma einen suchte. Und dieser Mitarbeiter muss seinem Vorgesetzten dann beispielsweise sagen, dass mit seiner Personalabteilung etwas nicht stimmt…

Computerwoche: Oft ist zu hören, dass der Datenschutzbeauftragte eines Unternehmens gleichzeitig der IT-Leiter ist. Wird da nicht der Bock zum Gärtner gemacht?

Duda: Na, eher zum Chef der Bundesgartenschau (lacht). Dagegen sprechen viele Gründe. IT-Verantwortliche sind doch genug mit eigenen Aufgaben ausgelastet und müssen sich nicht auch noch mit allen Bereichen des Unternehmensdatenschutzes beschäftigen. Zumal sie klassischer Weise zu dokumentieren hassen und die Lektüre der Gesetzestexte sich selten gegen die IT-Fachzeitschrift durchsetzen kann.

…warum externe DS-Beauftragte nötig sind…

Computerwoche: Wo ist der Einsatz von Datenschutzbeauftragten besonders wichtig?

Duda: Im Grunde überall. Doch ein Beispiel: Viele Unternehmen, die heutzutage Online-Shops betreiben, wissen nicht genau, was sie beachten müssen. Dabei ist gerade die Erhebung und Nutzung sowie Weitergabe von Online-Kundendaten aus datenschutzrechtlicher Sicht ein sehr sensibles Thema, da meist auch Bankkontodaten erhoben werden.

Vertrauensbildend wirkt, wenn Kunden beim Einkaufen im Internet zwei Häkchen setzen müssen, eines für die Allgemeinen Geschäftsbedingungen und eines für die Datenschutzerklärung. Das zeigt: "Hier hat sich ein Shop mit den Gesetzen auseinander gesetzt."

Computerwoche: Wie sieht es generell aus mit Online-Shopping?

Duda: Aus meiner Sicht wird hier aus Unwissenheit viel Missbrauch betrieben, Beispiel Scoring. Dabei handelt es sich um ein mathematisch-statistisches Verfahren, das für einen Anwender anhand verfügbarer Daten beispielsweise das wahrscheinliche Zahlungsverhalten prognostiziert, daneben auch andere Aspekte.

Firmen nutzen das bisweilen gern zur Einschätzung ihrer Kunden, und sie geben auch Daten an Scoring-Agenturen weiter, die sie nicht ohne Einwilligung weiter geben dürften. Auch hierzu wurden vor kurzem Neuregelungen im Bundesdatenschutzgesetz (BDSG) eingeführt, das in Teilen mehr Rechtssicherheit schaffen und für mehr Transparenz sorgen soll.

… und warum man vor lauter Paragraphen die Praxis nicht vergessen sollte

Computerwoche: Wie geraten Datenschutzverstöße eigentlich ans Tageslicht?

Duda: Oft geraten solche Fälle an die Öffentlichkeit, wenn Bürger Verstöße melden. In diesem Jahr fand beispielsweise ein Passant in einem Altpapiercontainer neben dem Gericht vertrauliche Unterlagen - unter anderem Akten über Gerichtsurteile, die erst einige Tage später verkündet werden sollten.

Computerwoche: Dabei betrifft das doch eine Berufsgruppe, die besonders sorgsam sein sollte?

Duda: Richtig, ähnlich wie Ärzte oder Anwälte. Diese Berufsgruppen müssten im Grunde besonders sensibilisiert sein, da sie tagtäglich mit so genannten "besonderen personenbezogenen Daten" zu tun haben. Allein schon um mögliche Schäden abzuwenden, sollten diese immer einen Datenschutzbeauftragten bestellen.

Und auch hier gibt es immer wieder Fälle, wo zum Beispiel die Anwältin "mal eben schnell" von unterwegs E-Mails der Mandanten abruft - im Internetcafé, über ein privates Konto und ohne richtigen Logout. "Shoulder Surfing" inklusive…

Was es natürlich anderen leicht macht, an geheime Daten zu kommen.

Computerwoche: Vielen Dank für das Gespräch.