CW: Herr Professor Wedde, der Handel mit illegal erworbenen personenbezogenen Daten im Web floriert. Was sollen IT-Profis und CIOs tun, wenn sie das Gefühl haben, in ihrem Unternehmen werden Datenschutzbestimmungen missachtet?
Wedde: Neben einer Einschaltung der eigenen Geschäftsführung ist es denkbar, den betrieblichen Datenschutzbeauftragten oder auch die staatlichen Aufsichtsbehörden zu informieren.
CW: Wie können IT-Profis/CIOs gegenüber ihren Vorgesetzten die Einhaltung von Datenschutzbestimmungen durchsetzen, obwohl sie Anweisung haben, es damit nicht so genau zu nehmen?
Die Strafen
Bei Verstößen gegen das BDSG droht ein Bußgeld bis 250 000 Euro. Verstöße gegen das Telekommunikationsgesetz (TKG), beispielsweise das unerlaubte Mitlesen von Mitarbeiter-E-Mails, werden mit bis zu 300 000 Euro belangt. Die Verletzung des Post- und Fernmeldegeheimnisses ist zudem ein Straftatbestand, der gar mit bis zu fünf Jahren Freiheitsstrafe geahndet werden kann. Werden Daten von den Festplatten der Mitarbeiterrechner verändert oder gelöscht, drohen bis zu zwei Jahre Freiheitsstrafe.
Wedde: In der Praxis liegt hier das zentrale Problem: Auf die Einhaltung datenschutzrechtlicher Vorgaben zu pochen ist mitunter nicht gerade karrierefördernd. Letztlich muss aber jeder IT-Verantwortliche oder CIO für sich entscheiden, ob er persönlich das Risiko auf sich nehmen will, für seine Karriere im Zweifelsfall wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften straf- oder zivilrechtlich belangt zu werden und gegebenenfalls als vorbestraft dazustehen. Ich kann allen Betroffenen nur raten, ihre Bedenken der Geschäftsführung schriftlich mitzuteilen und sich fragwürdige Anweisungen immer in einer dokumentensicheren Form und nicht etwa nur mündlich erteilen zu lassen. Wer diese Vorsichtsmaßnahmen nicht trifft, muss sich darüber im Klaren sein, dass er in einem spektakulären Prozess möglicherweise Rechtsgeschichte schreibt.
CW: Inwieweit sind IT-Abteilungen denn generell von gesetzlichen Datenschutzbestimmungen betroffen?
Wedde: Jede Form von personenbezogener Datenerhebung ist betroffen. IT-Abteilungen dürfen hier nur so viel speichern, wie gerade nötig ist. Wenn Daten nicht mehr benötigt werden, sind sie zu löschen. Bei ihrer Erhebung sollte also im besten Fall gleich ein Löschdatum festgeschrieben werden. Meine Empfehlung an CIOs: Wer personenbezogene Daten verarbeiten will, muss ganz genau wissen, ob er das auch darf. Es braucht entweder eine geregelte gesetzliche Erlaubnisnorm oder eine freiwillige Einwilligung, mit der unter anderem Arbeitnehmer sich mit der Verarbeitung ihrer Daten einverstanden erklären müssen. Leider wird eine notwendige Erlaubnis oft nicht eingeholt, oder der Erlaubnisrahmen wird nicht exakt eingehalten. Der gesetzliche Datenschutz wird nicht ernst genommen.
CW: Was dürfen die Unternehmen ohne Einverständnis der Betroffenen tun?
Wedde: Was Unternehmen in jedem Fall erheben und verarbeiten dürfen, sind laut Paragraf 28, Absatz 3, Nummer 3 des Bundesdatenschutzgesetzes (BDSG) listenmäßig zusammengefasste Daten bestimmter Personengruppen zum Zweck der Markt- und Meinungsforschung. Dazu zählen Name, Anschrift, Geburtsjahr, akademische Titel und Grade sowie die Berufs- oder Branchenbezeichnung. Es ist nicht verboten, mit diesen Daten zu handeln, wenn die schutzwürdigen Interessen der Betroffenen nicht dagegenstehen. Insbesondere Marketing-Unternehmen machen von diesen interpretierbaren Rechten regen Gebrauch. Sie schießen dabei jedoch manchmal über das Ziel hinaus, wenn sie auch explizit schützenswerte Daten wie genaue Geburtsdaten oder Kontoverbindungen an- und verkaufen.
Checkliste: Datenschutz im Unternehmen
Von Christoph Rittweger, Anwalt für IT- und Datenschutzrecht bei Baker & McKenzie in München
Wer feststellen möchte, ob im eigenen Unternehmen die Gefahr eines Datenmissbrauchs vorliegt, kann sich an diesem kurzen Fragenkatalog orientieren. Wichtig: Alle Fragen sind abteilungsweise und nicht für das gesamte Unternehmen zu beantworten!
-
Welche Art von Daten sammelt, verarbeitet und nutzt das Unternehmen?
-
Wozu werden diese Daten gesammelt, verarbeitet und genutzt?
-
Werden sensible personenbezogene Daten erhoben (dazu zählen zum Beispiel der ethnische Hintergrund einer Person, religiöse Überzeugungen, Parteizugehörigkeit, Informationen über Gesundheit oder Sexualität)?
-
Sind alle Angestellten, Kunden, Partner etc. nach dem schriftlichen Einverständnis mit der Verarbeitung ihrer Daten gefragt worden (zum Beispiel über den Arbeitsvertrag)? Und wenn ja, unter welchen Bedingungen? War die Erklärung für sie "zwingend"?
CW: Weil die Interpretationsspielräume zu groß sind?
Wedde: Leider führt das BDSG keine klaren Verbote auf. Und selbst wenn sie existieren würden, gäbe es keine staatliche Instanz, die die Einhaltung der Bestimmungen flächendeckend und effektiv kontrolliert. Außerdem sind die angedrohten Strafen viel zu gering.
CW: Um auf IT-Abteilungen zurückzukommen: Wo liegen hier die größten Fallen?
Wedde: Im Missbrauch privater Daten der Arbeitnehmer. Das klassische Beispiel ist der Eingriff in Inhaltsdaten - Stichwort E-Mail-Verkehr. Dass ein Administrator zur Systempflege auf bestimmte Daten zugreifen muss, steht außer Frage. Die Grenze zwischen Systemdaten und Inhaltsdaten ist indes fließend. In Unternehmen, die die private Internet- und E-Mail-Nutzung nicht explizit verbieten, laufen IT-Verantwortliche daher schnell Gefahr, gegen das Telekommunikationsgeheimnis zu verstoßen - das kann eine Straftat sein. Selbst das reine Abgreifen von Verkehrsdaten kann bereits strafbar sein - Stichwort "Unzulässiges Ausspähen von Daten".
CW: Sollten Unternehmen die private Internet- und E-Mail-Nutzung am Arbeitsplatz verbieten?
Wedde: Nein, in meinen Augen hilft das nicht weiter. Auch im dienstlichen Bereich gibt es vertrauliche Informationen. Stellen Sie sich vor, Sie führen eine vertrauliche Konversation mit dem Betriebsrat oder informieren sich im Internet über Hilfe für Mobbing-Opfer, weil sie selbst betroffen sind. Das sind datenschutzrechtlich relevante Informationen, die außerhalb der Privatnutzung im arbeitsrechtlich erlaubten Bereich anfallen. Mit Blick hierauf rate ich keinem Unternehmen, nach einem etwaigen Verbot der Privatnutzung die uneingeschränkte Kontrolle von E-Mails und Web-Nutzung freizugeben.
CW: Wie schützen sich CIOs und IT-Leiter davor, wegen eines nicht persönlich und nicht wissentlich begangenen Verstoßes gegen die Datenschutzgesetze belangt zu werden?
Wedde: Sie müssen sich durch entsprechende Vorgaben und Anweisungen absichern. Die Organisation innerhalb der Abteilung muss so geregelt sein, dass Verstöße gegen gesetzliche Vorgaben nicht vorkommen können. Erfolgen sie dennoch, muss durch entsprechende Dokumentationen eindeutig nachgewiesen werden können, wer was verschuldet hat. Gibt es eine solche Organisation, ist der CIO nur noch im Falle eines eigenen Verschuldens haftbar. Um klare Strukturen zu schaffen, dürfen IT-Verantwortliche auch keinen Zugriff auf die Zugänge der Mitarbeiter haben, Stichwort Passwörter-Weitergabe. Kommt es zu Missbräuchen, ist der Verursacher zwar möglicherweise bekannt, da aber mehrere Personen Zugriff auf dessen Zugang hatten, kann es letztlich doch jeder gewesen sein. In diesem Fall können verantwortliche CIOs oder Leiter der IT-Abteilung für Schäden haftbar gemacht werden, weil sie die Praxis der Passwort-Weitergabe geduldet oder gar aktiv gefördert haben. Und auch für Geschäftsführer gibt es ein individuelles Haftungsrisiko, wenn sie ihr Personal nicht sorgfältig ausgesucht und vor allem regelmäßig kontrolliert respektive diese Prüfung zu sorglos delegiert haben.
Das ungekürzte Interview lesen Sie unter www.computerwoche.de/1871750.