In der Vergangenheit wurde das Thema Datenschutz in Unternehmen eher stiefmütterlich behandelt. Durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich vom April 1998 (KonTraG) und die Neufassung des Bundesdatenschutzgesetzes (BDSG) vom vergangenen Mai können sich Firmen der Problematik nun jedoch nicht mehr entziehen. Neben anderen Neuerungen im BDSG haben die zuständigen Aufsichtsbehörden die Befugnis, Unternehmen auch ohne konkreten Anlass aufzusuchen, um die Einhaltung der Bestimmungen des BDSG zu überprüfen.
Derartige Kontrollen können für die Firmen und ihre Verantwortlichen teuer werden. So müssen Unternehmen, die mehr als vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten (siehe Kasten "Hintergrund") beschäftigen und keinen den Anforderungen des Paragraphen 4 f Abs. 1 BDSG genügenden Datenschutzbeauftragten (DSB) benannt haben, mit Bußgeldern von bis zu 50000 Mark rechnen. Unabhängig von der Anzahl der Arbeitnehmer ist dann ein DSB zu benennen, wenn die Verarbeitung der Vorabkontrolle nach Paragraph 4 d Abs. 5 BDSG unterliegt oder das Unternehmen personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erhebt, verarbeitet oder nutzt. Andere Verstöße gegen das BDSG können im Einzelfall sogar mit bis zu 500000 Mark oder mit Freiheitsstrafe von bis zu zwei Jahren geahndet werden. Darüber hinaus sind Schadensersatzansprüche von Betroffenen denkbar.
Werden Verstöße gegen Datenschutz- oder Datensicherungsmaßnahmen öffentlich bekannt, kann dies den Ruf des Unternehmens beeinträchtigen und zu Einnahmerückgängen führen. So ist einer der Gründe für den eher schleppenden Umsatz im E-Commerce auch das mangelnde Vertrauen der Kunden in die Sicherheit ihrer persönlichen Daten. Viele Unternehmen zeigen hier leider zu wenig Aktivitäten, um diesen Vorbehalten zu begegnen - eine erstaunliche Tatsache, belegen doch Umfragen, dass die Datensicherheit für Kunden eine immer größere Rolle spielt.
Marketing-InstrumentDatenschutz ist mithin weit mehr als "nur" der Schutz der unternehmenseigenen Daten. Es ist auch und gerade ein Marketing-Instrument gegenüber Kunden und Geschäftspartnern. Ohne ein adäquates Konzept lässt sich in der IT-Branche, die vom Umgang mit geschäftskritischen Daten lebt, eine Vertrauensbasis zu potenziellen Kunden nicht aufbauen. Insoweit sind Datenschutz- und Datensicherungsmaßnahmen von höchster Bedeutung - jede weitere Verzögerung, sich des Themas anzunehmen, ist gefährlich.
Grundsätzlich gilt im Rahmen des BDSG: Eine Erhebung, Speicherung, Veränderung, Übermittlung oder Nutzung (Datenverarbeitung) von personenbezogenen Daten ist grundsätzlich verboten, es sei denn, die Datenverarbeitung wird durch ein Gesetz (in der Regel das BDSG) erlaubt oder angeordnet oder der Betroffene hat der Datenverarbeitung eingewilligt ("Verbot mit Erlaubnisvorbehalt"). Dieser Grundsatz wird im Rahmen der Gesetze konkretisiert, wobei sich die Schwierigkeiten wie immer erst im Detail zeigen.
Angesichts der juristischen Komplexität ist es daher notwendig, einen ausgebildeten DSB zu bestellen. Zu seinen Aufgaben gehört die Überprüfung der Datenverarbeitung im jeweiligen Betrieb. Datenschutzbeauftragte müssen jedoch noch weit mehr leisten: Zu ihren Aufgaben zählt es weiter, die Mitarbeiter des Unternehmens zu schulen, den gesamten Prozess der Datenverarbeitung - von der Speicherung bis hin zur Vernichtung der Daten - zu kontrollieren und entsprechend zu verbessern sowie das Management über etwaige Probleme zu informieren.
In der Regel ist es aus Unternehmenssicht vorteilhaft, einen externen DSB zu bestellen. So verfügt dieser bereits bei Amtsantritt über die nötige Sachkenntnis und kann sofort tätig werden, während sich ein interner DSB zunächst in seiner Arbeitszeit umfassend ausbilden lassen muss. Soweit der externe DSB darüber hinaus in einem Team mit IT-Fachleuten, Juristen und Betriebwirten tätig wird, kann das Unternehmen von einem gebündelten Sachverstand profitieren, den es von einem intern ausgebildeten, sozusagen hauseigenen DSB kaum erhalten würde.
Sieht man sich nach spezialgesetzlichen Vorschriften zum Thema Datensicherheit um, so sucht man außerhalb des Anwendungsbereiches des BDSG bei einer für alle Daten geltenden Norm zunächst vergebens. Allein durch die im Rahmen des KonTraG eingeführten Neuerungen findet der Bereich der Datensicherheit indirekt Eingang in das Gesetz. So wird in Paragraph 91 Abs. 2 AktG der Vorstand verpflichtet, "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden". Entsprechende Verpflichtungen bestehen auch für den GmbH-Geschäftsführer. Soweit es sich bei dem betreffenden Unternehmen darüber hinaus um eine börsennotierte Firma (Paragraph 3 Abs. 2 AktG) handelt, ist ferner der (Jahres)abschlussprüfer verpflichtet, zu beurteilen, ob das eingerichtete Überwachungssystem seine Aufgaben erfüllen kann.
Zweifelsfrei gehört auch ein Kontrollsystem für die Datensicherheit des Unternehmens zu den Maßnahmen, mit denen das Risiko gemindert werden soll. Zum Umfang und Konzept eines ordentlichen Datensicherungsüberwachungssystems kann naturgemäß auf Grund der individuellen Begebenheiten eines jeden Unternehmensnetzwerkes keine allgemeinverbindliche Aussage gemacht werden. Gleichwohl erscheint der Aufbau eines entsprechenden Konzeptes nach den Grundsätzen des IT-Grundschutzhandbuches des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstrebenswert. Hiernach muss in einem ersten Schritt neben der Benennung eines Datensicherungsverantwortlichen die gesamte Netzwerkstruktur nebst allen IT-Systemen und Anwendungen tabellarisch erfasst werden, um dann in einem zweiten Schritt etwaige Schwachstellen im System aufzudecken.
Obwohl jedem Unternehmen die Dringlichkeit und Relevanz eines Datensicherungskonzeptes bewusst ist, scheitern entsprechende Bemühungen oftmals am fehlenden Know-how im Unternehmen oder an der zeitlichen Verfügbarkeit des geeigneten Personals. Daher bietet sich auch beim Datensicherheitskonzept der Einsatz hierauf spezialisierter IT-Systemhäuser an, die im Idealfall auch entsprechendes Wissen im Datenschutzbereich mitbringen. Dieses Wissen ist häufig vorhanden, da beide Themenkomplexe nur bedingt zu trennen sind und sich in vielfacher Hinsicht ergänzen, wie die Verpflichtung zur Umsetzung von technischen und organisatorischen Datensicherungsmaßnahmen zum Schutz personenbezogener Daten im Rahmen des Paragrafen 9 BDSG zeigt.
Ein Datenschutz- und Datensicherheitskonzept ist in jedem mit elektronischer Datenverarbeitung arbeitenden Unternehmen ein unentbehrlicher Standard. Am Sinn einer solchen Maßnahme kann kein Zweifel bestehen. Niemand würde seine Unternehmenszentrale unverschlossen halten, sämtliche Verträge, Gehaltslisten, strategische Konzepte und Forecasts ins Netz stellen oder an Mitbewerber frei Haus verschicken. Genau dies würde geschehen, wenn man sein System nicht entsprechend gegen Angriffe von innen und außen absichert. Datenschutz- und Datensicherheitskonzepte sind deshalb keine "Kann"-Maßnahmen für die Beschäftigung nicht anderweitig eingesetzten Personals, sondern ein "Muss" für jedes Unternehmen. (ajf)
*Mathias Reif ist Justiziar und Datenschutzbeauftragter im IT-Systemhaus Innobase in München (www.innobase.com) sowie Datenschutzberater.
HintergrundPersonenbezogene Daten sind gemäß Paragraph 3 Abs. 1 BDSG: "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person"; beispielsweise Name, Adresse, Gehalt oder Familienstand. Unter besonderem Schutz stehen dabei Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualität (so genannte "besondere personenbezogene Daten" gemäß Paragraph 3 Abs. 9 BDSG).