CW: Herr Professor Wedde, der Handel mit illegal erworbenen personenbezogenen Daten im Web floriert. Was sollen IT-Profis/CIOs tun, wenn sie das Gefühl haben, in ihrem Unternehmen werden Datenschutzbestimmungen missachtet?
Wedde: In diesen Fällen müssen sie die ihnen qua Gesetz beziehungsweise aufgrund ihrer fachlichen Funktion obliegende Verantwortung wahrnehmen und alles tun, um den gesetzeswidrigen Zustand unverzüglich abzustellen. Neben einer Einschaltung der eigenen Geschäftsführung ist es denkbar, den betrieblichen Datenschutzbeauftragten oder auch die staatlichen Aufsichtsbehörden zu informieren.
CW: Wie können IT-Profis/CIOs gegenüber ihren Vorgesetzten die Einhaltung von Datenschutzbestimmungen durchsetzen, obwohl sie indirekte Anweisung haben, es damit nicht so genau zu nehmen?
Wedde:In der Praxis liegt hier das zentrale Problem: Auf die Einhaltung datenschutzrechtlicher Vorgaben zu pochen, ist mitunter nicht gerade karrierefördernd. Letztlich muss aber jeder IT-Verantwortliche oder CIO für sich entscheiden, ob er persönlich das Risiko auf sich nehmen will, für seine Karriere im Zweifelsfall wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften straf- oder zivilrechtlich belangt zu werden und gegebenenfalls als vorbestraft dazustehen. Ich kann allen Betroffenen nur raten, ihre Bedenken der Geschäftsführung schriftlich mitzuteilen und sich fragwürdige Anweisungen immer in einer dokumentensicheren Form und nicht etwa nur mündlich erteilen zu lassen. Wer diese Vorsichtsmaßnahmen nicht trifft, muss sich darüber im Klaren sein, dass er in einem spektakulären Prozess möglicherweise Rechtsgeschichte schreibt.
CW: Inwieweit sind IT-Abteilungen denn generell von gesetzlichen Datenschutzbestimmungen betroffen?
Wedde: Jede Form von personenbezogener Datenerhebung ist betroffen. IT-Abteilungen dürfen hier nur so viel speichern, wie gerade nötig ist. Wenn Daten nicht mehr benötigt werden, sind sie zu löschen. Bei ihrer Erhebung sollte also im besten Fall gleich ein Löschdatum festgeschrieben werden. Meine Empfehlung an CIOs: Wer personenbezogene Daten verarbeiten will, muss ganz genau wissen, ob er das auch darf. Es braucht entweder eine klar geregelte gesetzliche Erlaubnisnorm oder eine freiwillige Einwilligung, mit der unter anderem Arbeitnehmer sich mit der Verarbeitung ihrer Daten einverstanden erklären müssen.
Nicht ernst genommen
CW: Aber genau daran fehlt es.
Wedde: Leider wird eine notwendige Erlaubnis oft nicht eingeholt, oder der Erlaubnisrahmen wird nicht exakt eingehalten. Der gesetzliche Datenschutz wird nicht ernst genommen.
CW: Erlauben die derzeitigen Gesetze es IT-Abteilungen respektive Unternehmen, erhobene Daten auch ohne Einverständnis der Betroffenen zu verarbeiten?
Wedde: So prinzipiell gilt das nicht. Grenzen wie etwa die Zweckbindung sind gesetzlich schon festgelegt. Was Unternehmen aber in jedem Fall erheben und verarbeiten dürfen, sind listenmäßig zusammengefasste Daten bestimmter Personengruppen (§ 28 Abs. 3 Nr. 3 Bundesdatenschutzgesetz BDSG) zum Zweck der Markt- und Meinungsforschung. Dazu zählen Name, Anschrift, Geburtsjahr, akademische Titel und Grade sowie die Berufs- oder Branchenbezeichnung. Es ist nicht verboten, mit diesen Daten zu handeln, wenn die schutzwürdigen Interessen der Betroffenen nicht dagegenstehen. Insbesondere Marketing-Unternehmen machen von diesen interpretierbaren Rechten regen Gebrauch. Sie schießen dabei jedoch manchmal über das Ziel hinaus, wenn sie auch explizit schützenswerte Daten wie genaue Geburtsdaten oder Kontoverbindungen an- und verkaufen.
CW: Weil die Interpretationsspielräume zu groß sind?
Wedde: Leider führt das BDSG keine klaren Verbote auf. Und selbst wenn sie existieren würden, gäbe es keine staatliche Instanz, die die Einhaltung der Bestimmungen flächendeckend und effektiv kontrolliert. Außerdem sind die angedrohten Strafen viel zu gering.
CW: Um auf IT-Abteilungen zurückzukommen: Wo liegen hier die größten Fallen?
Wedde: Im Missbrauch privater Daten der Arbeitnehmer. Das klassische Beispiel ist der Eingriff in Inhaltsdaten - Stichwort E-Mail-Verkehr. Dass ein Administrator auf bestimmte Daten zur Systempflege zugreifen muss, steht außer Frage. Die Grenze zwischen Systemdaten und Inhaltsdaten ist indes fließend. In Unternehmen, die die private Internet- und E-Mail-Nutzung nicht explizit verbieten, laufen IT-Verantwortliche daher schnell Gefahr, gegen das Telekommunikationsgeheimnis zu verstoßen - das kann eine Straftat sein. Selbst das reine Abgreifen von Verkehrsdaten kann bereits strafbar sein - Stichwort "Unzulässiges Ausspähen von Daten".
Internetverbot hilft nichts
CW: Sollten Unternehmen die private Internet- und E-Mail-Nutzung am Arbeitsplatz untersagen?
Wedde: Nein, in meinen Augen hilft das nicht weiter. Auch im dienstlichen Bereich gibt es vertrauliche Informationen. Stellen Sie sich vor, Sie schreiben eine E-Mail an den Betriebsarzt, weil Sie schlecht sehen und nach Bildschirmbrillen fragen. Oder Sie führen eine vertrauliche Konversation mit dem Betriebsrat oder informieren sich im Internet über Hilfe für Mobbing-Opfer, weil sie selbst betroffen sind. Das sind datenschutzrechtlich relevante Informationen, die außerhalb der Privatnutzung im arbeitsrechtlich erlaubten Bereich anfallen. Mit Blick hierauf rate ich keinem Unternehmen, nach einem etwaigen Verbot der Privatnutzung die uneingeschränkte Kontrolle von E-Mails und Web-Nutzung freizugeben.
CW: Wie schützen sich CIOs und IT-Leiter davor, wegen eines nicht persönlich und nicht wissentlich begangenen Verstoßes gegen die Datenschutzgesetze belangt zu werden?
Wedde: Sie müssen sich durch entsprechende Vorgaben und Anweisungen absichern. Die Organisation innerhalb der Abteilung muss so geregelt sein, dass Verstöße gegen gesetzliche Vorgaben nicht vorkommen können. Erfolgen sie dennoch, muss durch entsprechende Dokumentationen eindeutig nachgewiesen werden können, wer was verschuldet hat. Gibt es eine solche Organisation, ist der CIO nur noch im Falle eines eigenen Verschuldens haftbar. Um klare Strukturen zu schaffen, dürfen IT-Verantwortliche auch keinen Zugriff auf die Zugänge der Mitarbeiter haben, Stichwort Passwörter. In vielen Unternehmen ist es leider Usus, dass die Mitarbeiter ihre Passwörter an Kollegen weitergeben, damit bei Urlaub und Krankheit kein Engpass entsteht. Oft verlangen Vorgesetzte diese Weitergabe. Ein solcher Umgang mit Passwörtern ist erstens datenschutzrechtlich nicht erlaubt und bringt CIOs und IT-Leiter zweitens möglicherweise selbst in Bedrängnis, wenn etwas passiert. Kommt es zu Missbräuchen, ist der Verursacher zwar möglicherweise bekannt, da aber mehrere Personen Zugriff auf dessen Zugang hatten, kann es letztlich doch jeder gewesen sein. In diesem Fall können verantwortliche CIOs oder Leiter der IT-Abteilung für Schäden haftbar gemacht werden, weil sie diese Praxis der Passwort-Weitergabe geduldet oder gar aktiv gefördert haben. Und auch für Geschäftsführer gibt es ein individuelles Haftungsrisiko, wenn sie ihr Personal - besonders die verantwortlichen IT-Mitarbeiter - nicht sorgfältig ausgesucht und vor allem regelmäßig kontrolliert respektive diese Prüfung zu sorglos delegiert haben.
CW: Sie sprachen die geringen Strafen an - lohnt es überhaupt, viel Zeit und Geld in einen sorgfältigen Datenschutz zu stecken?
Wedde: Aus strafrechtlicher Sicht könnte ein CIO im Bereich des Datenschutzes verleitet sein, einmal ein Auge zuzudrücken - hier stehen die ausgesprochen lächerlichen Strafen des Bundesdatenschutzgesetzes in keinem Verhältnis zur Schwere der Vergehen. Anders sieht es da schon mit einschlägigen Straftatbeständen im Strafgesetzbuch aus, die unzulässige Zugriffe auf bestimmte Daten und Informationen mit teilweise hohen Gefängnisstrafen sanktionieren. Im Bereich des Zivilrechts sollten CIOs ebenfalls Sorge haben - da können schnell große Summen an Schadensersatzforderungen zusammenkommen, wenn sie im Falle des Falles von Betroffenen oder von den eigenen Arbeitgebern belangt werden.
Gleiches Recht für alle
CW: Mehr Vorsicht ist also angebracht.
Wedde: Die gibt es schon, nur nicht in allen Bereichen. Viele IT-Leiter achten sehr genau auf Datensicherheit - darauf, dass regelmäßig gesichert wird, damit keine Daten verloren gehen. Die "Kleinigkeiten", etwa wie mit den Daten im Alltagsgeschäft umgegangen wird und wer Zugriffs- oder Zugangsrechte zu sensiblen Bereichen hat, interessieren indes oft weniger. Wozu braucht beispielsweise ein CIO oder IT-Leiter, der für das Tagesgeschäft gar nicht mehr zuständig ist, noch ein eigenes Admin-Passwort mit umfassenden Rechten oder einen eigenen Zugangsschlüssel zu allen Bereichen eines Rechenzentrums? Viele leitende Mitarbeiter bekommen solche weitgehenden Rechte qua Position automatisch zugesprochen, ohne dass sie sie wirklich brauchen und ohne dass sich jemand Gedanken darüber macht, dass mit jeder Person, die einen nur wenig kontrollierten Zugang zu schützenswerten Informationen besitzt, auch das Risiko steigt.
CW: IT-Leiter müssen sich grundsätzlich überlegen, wie Zugriffsberechtigungen auf personenbezogene Daten ausgestaltet werden sollen?
Welche Strafen drohen
Bei Verstößen gegen das BDSG droht ein Bußgeld bis 250.000 Euro für besonders schwerwiegende, vorsätzliche Vergehen. Verstöße gegen das Telekommunikationsgesetz (TKG), beispielsweise das unerlaubte Mitlesen von Mitarbeiter-E-Mails werden mit bis zu 300 000 Euro Bußgeld belangt. Die gezielte Verletzung des Post- und Fernmeldegeheimnisses ist zudem ein Straftatbestand (§206 Strafgesetzbuch StGB), der gar mit bis zu fünf Jahren Freiheitsstrafe geahndet werden kann. Werden Daten von den Festplatten der Mitarbeiterrechner verändert beziehungsweise ohne Wissen des Betroffenen gelöscht, drohen nach §303a StGB bis zu zwei Jahre Freiheitsstrafe. Derart hohe Strafen wurden im Bereich Datenmissbrauch von deutschen Gerichten bisher aber noch nicht ausgesprochen, weshalb weiterhin viel Raum für juristische Interpretationen bleibt.
Wedde: Ja, oft werden IT-Mitarbeitern relativ unkontrollierte Möglichkeiten des Zugriffs auf Daten zugestanden. Im Arbeitsleben beginnt dies etwa schon mit Fernwartungssystemen und dem zentral gesteuerten Patch-Management. Wenn datenschutzkonform gearbeitet wird, müsste jeder Mitarbeiter auf seinem Rechner eine Meldung bekommen, wenn sich der Administrator Zugriff auf individuelle PCs oder Notebooks verschaffen möchte, um diesen oder jenen Patch zu installieren. Erst wenn der Mitarbeiter den Zugriff zulässt, findet die Aktion statt. Solche Verfahren gibt es in einer Reihe von Betrieben - aber nicht in allen. Es ist doch viel bequemer, ungefragt und ohne explizite Zustimmung diese Wartung zu betreiben. Ein eindeutiger Verstoß gegen das Datenschutzgesetz.
CW: Transparenz sieht anders aus.
Wedde: Ich plädiere deshalb grundsätzlich für das Vier-Augen-Prinzip, wenn es um Zugriffe auf sensible Personendaten geht. So sollten technische Verfahren in diesen Bereichen so ausgestaltet sein, dass etwa das Kopieren von solchen Daten auf externe Datenträger wie USB-Sticks oder Mini-Festplatten, egal ob sie von Mitarbeitern oder Administratoren kommen, nur erfolgen kann, wenn mindestens ein weiterer ITler diesen Vorgang autorisiert hat und kontrolliert. Diese Vorgaben existieren ja häufig, sie werden nur aus Zeit- und Kostengründen nicht umgesetzt.
Neue Wege einschlagen
CW: Was, wenn der Prüfer kommt?
Wedde: Prüfung durch staatliche Aufsichtsbehörden ist schon wegen deren schlechter Personalausstattung selten.
CW: Welche Möglichkeiten zur Erhöhung des Datenschutzstandards sehen Sie?
Wedde: Abgesehen von grundlegenden gesetzgeberischen Maßnahmen, an die ich derzeit nicht glaube, könnte die breite Verankerung von Datenschutz-Auditverfahren, die in die Vergabe von Gütesiegeln münden, eine Lösung sein. Leider sind entsprechende Verfahren derzeit nicht vorgeschrieben. Bisher gibt es nur in Schleswig-Holstein wirksame gesetzliche Regelungen zu diesem Thema. Dort zeigt sich auch, dass Unternehmen ein großes Interesse an der Verleihung von Datenschutz-Gütesiegeln haben, mit denen sie werben können. Vielleicht sollten wir auch über eine "Datensteuer" nachdenken - etwa einen Euro pro Jahr pro erhobenen Datensatz, einen weiteren Euro pro übermittelten. Das würde der wahnsinnigen Sammelwut die Basis entziehen, weil jeder zu überlegen begönne, welche Daten überhaupt notwendig sind. Auch der Handel mit Daten würde so reduziert werden, weil der Verkauf von zwei Millionen Daten nicht mehr für unter tausend Euro möglich wäre.
Checkliste: Datenschutz im Unternehmen
Wer feststellen möchte, ob im eigenen Unternehmen die Gefahr eines Datenmissbrauchs vorliegt, kann sich an diesem kurzen Fragenkatalog von Christoph Rittweger (Fachanwalt für IT- und Datenschutzrecht bei Baker & McKenzie in München) orientieren. Wichtig: Alle Fragen sind abteilungsweise und nicht für das gesamte Unternehmen zu beantworten!
Welche Art von Daten sammelt, verarbeitet und nutzt das Unternehmen?
Wozu werden diese Daten gesammelt, verarbeitet und genutzt?
Werden sensible personenbezogene Daten erhoben (dazu zählen zum Beispiel der ethnische Hintergrund einer Person, religiöse Überzeugungen, Parteizugehörigkeit, Informationen über Gesundheit oder Sexualität)?
Sind alle Angestellten, Kunden, Partner etc. nach dem schriftlichen Einverständnis mit der Verarbeitung ihrer Daten gefragt worden (zum Beispiel über den Arbeitsvertrag)? Und wenn ja, unter welchen Bedingungen (war es für sie "zwingend", diese Erklärung zu unterzeichnen)?