Nicht nur sorglose Urlauber oder deutsche Steuerfahnder kaufen CDs aus dubiosen Quellen im Ausland. Auch kriminelle Banden verschaffen sich Zugang zu Speichermedien mit umfangreichen Adress- und Kontodaten. Oftmals resultieren Datenverluste auch aus reiner Nachlässigkeit. Nun sollen neue Compliance-Vorschriften den Datenschwund eindämmen und die Bürger schützen. Für zahlreiche Unternehmen heißt das: Sie müssen neue Strukturen schaffen!
Am 10. Dezember 2008 hat die Bundesregierung den "Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits" beschlossen. Der Entwurf wurde am 13. Februar 2009 im Bundesrat beraten und soll nach aktueller Planung bereits im Juli 2009 in Kraft treten.
Die wichtigsten Änderungen
In diesen Punkten unterscheidet sich die BDSG-Novelle vom bislang gültigen Datenschutzrecht:
Informationspflicht bei Datensicherheitsverletzungen: Sollte ein Unternehmen personenbezogene Daten verlieren, sprich: sollten unbefugte Dritte Kenntnis davon erlangen, so muss die betreffende Organisation die zuständige Aufsichtsbehörde sowie ihre Kunden unaufgefordert informieren. Wenn die individuelle Information aller potenziell Betroffenen aufgrund der Vielzahl von Personen nicht möglich ist, ist es unabdingbar, dass die Allgemeinheit von der Datenschutzverletzung erfährt.
Abschaffung des Listenprivilegs zur Werbenutzung von Daten: Personenbezogene Daten dürfen künftig nur noch dann zu Werbezwecken an Dritte weitergegeben werden, wenn der Betroffene ausdrücklich zustimmt. Eine allgemeine Zustimmung in den AGB genügt nicht. Es gilt eine Übergangsfrist von drei Jahren. (Siehe auch: "Datenschutz: Der BVDW wird aktiv".)
Allgemeines Koppelungsverbot: Der Abschluss eines Vertrags darf nicht von einer Einwilligung des Kunden in eine Verwendung seiner Daten zu Werbezwecken abhängig gemacht werden. Diese Verpflichtung gilt allerdings nur für Monopolanbieter.
Erweiterung der Bußgeldtatbestände samt Gewinnabschöpfung: Der Bußgeldrahmen bei Datenschutzverstößen wird angehoben. Bei Verletzungen von Verfahrensvorschriften steigt er auf 50.000 Euro (derzeit 25.000 Euro), für Verstöße gegen materielle Datenschutzbestimmungen auf 300.000 Euro (derzeit 250.000 Euro). Liegt der wirtschaftliche Vorteil, den das Unternehmen durch die Verstöße erlangt, über diesen Beträgen, so können die Bußgelder entsprechend steigen.
Einführung eines freiwilligen Datenschutzaudits: Das eigenständige Datenschutzauditgesetz (DSAG-E) soll es den Unternehmen ermöglichen, unter bestimmten Voraussetzungen ein behördliches Qualitätssiegel für ein Datenschutzkonzept oder eine technische Einrichtung zu erwerben.
Informationspflicht kann Image kosten
Kernpunkt der Gesetzesänderung ist eine Regelung, der zufolge sowohl die von Datenschutzverletzungen Betroffenen als auch die Datenschutzbehörden nach eventuellen Datenverlusten möglichst rasch benachrichtigt werden müssen. Diese Informationspflicht ist eine Reaktion auf die Skandale des Sommers 2008. Damals wurde publik, dass seriöse Unternehmen wie die Deutsche Telekom nicht ausreichend sorgfältig für die Sicherheit ihrer Kundendaten gesorgt hatten. Also konnten beispielsweise Call-Center-Betreiber diese Daten für zweifelhafte Geschäftspraktiken nutzen. Zu den abhanden gekommenen Informationen zählten neben persönlichen Merkmalen wie Name, Alter, Wohnort oder Geschlecht teilweise auch die Kontodaten.
Diese Fälle zeigten: Bei einer Datenschutzverletzung ist - ähnlich wie beim Verlust einer EC- oder Kreditkarte - Eile geboten: Je eher die Betroffenen ihre Bank informieren können, desto eher lassen sich Gegenmaßnahmen einleiten und mögliche Schäden verhindern.
Deshalb hat der Gesetzgeber in der Novelle des Bundesdatenschutzgesetzes (BDSG) eine Meldepflicht im Falle von Datensicherheitsverletzungen vorgesehen (Paragraf 42a des Entwurfs). Diese Regelung orientiert sich zum einen an den in den USA bereits seit Jahren gesetzlich verankerten Vorschriften zur "Security Breach Notification", zum anderen an einem Richtlinienvorschlag der Europäischen Kommission (KOM (2007) 698 endg.).
Die Meldepflicht gilt unter anderem dann, wenn folgende Informationen in Umlauf gelangt sind:
-
Daten zu Bank- und Kreditkartenkonten;
-
Bestands-, Nutzungs- und Verkehrsdaten nach dem TMG und TKG (Telemedien- und Telekommunikationsgesetz), also alle von TK- oder Internet-Serviceanbietern gespeicherten Daten;
-
Daten, die einem Berufsgeheimnis unterliegen, etwa von Ärzten oder Anwälten.
Betroffen sind also praktisch alle Unternehmen, die mit Kundendaten zu tun haben. Die Neufassung des BDSG fordert nun, dass die Unternehmen die jeweils zuständige Aufsichtsbehörde sowie ihre Kunden unaufgefordert informieren, wenn unbefugte Dritte Kenntnis von den vorgenannten Daten erlangt haben.
Bußgelder in empfindlicher Höhe drohen
Das ist ganz offensichtlich der Fall, wenn Daten kopiert und weiterverbreitet werden. Denkbar ist aber auch, dass ein im Zug reisender Außendienstmitarbeiter während einer kurzen Abwesenheit seinen ungesicherten Laptop am Platz stehen lässt oder wenn ein Datenträger (etwa ein USB-Stick oder ein PDA) abhanden kommt. Schon in diesem Fall ist eine meldepflichtige Datensicherheitsverletzung denkbar.
Dieser Fall kann zudem besonders pikante Folgen haben: Ist es organisatorisch nicht möglich, alle potenziell von dem Datenverlust Betroffenen zu informieren, so muss die Allgemeinheit von der Verletzung der Datensicherheit erfahren. Das soll nach dem Willen des Gesetzgebers durch Anzeigen in bundesweit erscheinenden Tageszeitungen geschehen. Abgesehen vom finanziellen Schaden wäre der Imageverlust für das Unternehmen, as eine solche Anzeige schaltet, enorm. Sollte es den Informationspflichten nicht nachkommen, so drohen ihm Bußgelder bis 300.000 Euro. (Siehe auch: "Wehe, wenn der Prüfer kommt".)
Der Schaden wird oft zu spät bemerkt
Ein typisches Problem des digitalen Zeitalters: Datenverluste sind nicht auf den ersten Blick erkennbar, denn die ursprünglichen Daten bleiben unangetastet - eine Kopie genügt ja. Im schlimmsten Fall bemerkt ein Unternehmen erst viel zu spät, dass es Opfer einer Datenschutzverletzung geworden ist. Unternehmen, die sensible Daten ihrer Kunden bereithalten, müssen also Sicherheitsvorkehrungen ergreifen. Dazu gehören die folgenden:
-
Empfehlenswert ist es, zunächst durch Risikoanalysen die Gefahr eines Datenverlustes einzuschätzen. Der erste Schritt sollte ein Blick auf die internen Prozesse zusammen mit der hauseigenen IT oder einem auf dieses Thema spezialisierten IT-Dienstleister sein.
-
Sind die potenziellen Datenlecks identifiziert, so müssen in einem zweiten Schritt interne Verfahren zur Aufdeckung von Sicherheitsverstößen festgelegt und eingeführt werden. Welche Möglichkeiten sich hier jeweils eignen, hängt von der Organisationsstruktur des Unternehmens ab. Sicher spielen Zugangsbeschränkungen und Verschlüsselungstechniken eine entscheidende Rolle, aber auch organisatorische Fragen wie beispielsweise. "Wer darf welche Daten wohin mitnehmen?" (Siehe auch: "So setzt die IT den Basisschutz durch".)
-
In einem dritten Schritt empfiehlt es sich, eine "Security Breach Notification Management Policy" auszuarbeiten. Sie soll regeln, welche Schritte im Falle eines Sicherheitsverstoßes zu unternehmen sind, wie die Meldepflichten erfüllt werden können und welche Verantwortlichkeiten gelten. (Siehe auch: "Verbinden Sie Compliance- und Risiko-Management".) Börsennotierte Unternehmen müssen zudem die allgemeinen Publizitätsrichtlinien beachten. Damit die Verantwortlichkeiten im Falle eines Falles klar geregelt sind, empfiehlt sich die Einrichtung eines speziellen Gremiums, dem unter anderem ein IT-Verantwortlicher und der betriebliche Datenschutzbeauftragte angehören sollten.
-
Schließlich folgt die Feinarbeit: Musterdokumente helfen, den Umgang mit Datenverlusten im Unternehmen transparent und gesetzeskonform abzuwickeln. Welche Vorfälle werden wie an wen gemeldet? - Diese Antworten auf diese Fragen müssen sich auch im Nachhinein noch nachvollziehen lassen. Hier müssen Rechtsabteilung, IT-Abteilung und Unternehmenskommunikation eng zusammenarbeiten. Auch To-do- und Checklisten sowie Dienstanweisungen zum Umgang mit Datenverlusten unterstützen die Verantwortlichen dabei, möglichst reibungslos und auf einer rechtlich abgesicherten Basis alle notwendigen Informationen an Betroffene und Aufsichtsbehörden zu übermitteln.
Qualitätssiegel für Datenschutz geplant
Um die Datenschutz-Compliance im Unternehmen zu verbessern, soll es bald noch ein weiteres Instrument geben - das schon im derzeit gültigen BDSG (genauer gesagt: in Paragraf 9a) vorgesehene Datenschutzaudit. Hinsichtlich der Details eines Auditverfahrens verweist das BDSG auf ein eigenständiges Gesetz, das allerdings bislang noch nicht existiert. Aber auch dieses Datenschutzauditgesetz (DSAG-E) ist nun in der parlamentarischen Beratung.
In der derzeitigen Fassung soll das Gesetz den Unternehmen ermöglichen, auf freiwilliger Basis ein behördliches Qualitätssiegel für ein Datenschutzkonzept oder eine technische Einrichtung zu erwerben. Voraussetzung dafür ist, dass zum einen die gesetzlichen Datenschutzvorschriften eingehalten und zum anderen die gesonderten Datenschutzaudit-Richtlinien berücksichtigt werden, die von einem noch zu schaffenden Datenschutzaudit-Ausschuss zu erarbeiten sind. Die Einhaltung der Gesetze und Richtlinien muss zudem durch besondere Kontrollstellen bestätigt werden. (qua)
Fazit
Das neu gefasste Datenschutzgesetz erfordert von den Unternehmen einen deutlich aufmerksameren Umgang mit sensiblen Kundendaten, als es in der Vergangenheit der Fall war. Die Anforderung des Gesetzes an die Unternehmen, dass sie im Fall einer Datensicherheitsverletzung eventuell von sich aus die Öffentlichkeit informieren müssen, dürfte erhebliche Abschreckungswirkung entfalten. In jedem Fall tun die Organsiationen gut daran, zügig praktikable und rechtssichere Strukturen zu schaffen, um Imageverluste und Schadenersatzforderungen zu vermeiden.