Viele Firmen ignorieren es einfach, manchen ist es schlichtweg nicht bekannt: Das Bundesdatenschutzgesetz (BDSG) fordert, dass alle nicht öffentlichen Stellen, in denen mindestens zehn Mitarbeiter "personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen", einen Datenschutzbeauftragten benennen, also eine Person, die sich um den ordnungsgemäßen Umgang mit sensiblen, personenbezogenen Daten kümmert. Für öffentliche Stellen gilt Dasselbe, wenn diese Bedingung auf 20 oder mehr Personen zutrifft.

Der Begriff der personenbezogenen Daten ist dabei weit gefasst: Er bezeichnet alle persönlichen und sachlichen Angaben über "natürliche Personen" - seien es nun Angestellte, Kunden oder Partner. Es kann sich um persönliche Angaben wie Name, Adresse, Beruf, Familienstand oder Bankverbindung handeln, aber auch um sachliche Informationen, zum Beispiel über Einkommen und Vermögen, Umsätze oder beruflichen Werdegang.

Wie bei der Einkommenssteuer

Wer kontrolliert denn schon, ob die Unternehmen mit ihren personenbezogenen Daten sachgemäß umgehen? So möchte man fragen. Wen interessiert es, ob sie die Daten nicht zu Werbe- oder Angebotszwecken an Banken oder Versicherungen weitergeben? Wer prüft wirklich, ob zur Verhinderung von Datenmissbrauch ein Datenschutzbeauftragter bestellt wurde? Die Haltung "Wo kein Kläger, da kein Richter" kann lange Zeit gutgehen.

Doch beim Datenschutz ist es so wie bei der Einkommenssteuer: Irgendwann stattet eine Überwachungsbehörde wie die "Bayerische Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereich" dem Unternehmen einen Kontrollbesuch ab. Und dann gibt es für den Geschäftsführer keine Ausreden. Er ist es, der in diesem Fall haftet. Kann das Unternehmen keinen Datenschutzbeauftragten vorweisen, droht eine Bußgeldzahlung von bis zu 25 000 Euro. Wird bei der Kontrolle ein Datenmissbrauch aufgedeckt, sind sogar Strafen in Höhe von 250 000 Euro vorgesehen.