Zahlreiche US-amerikanische Firmen - darunter Citigroup, Bank of America und der TK-Konzern MCI - sahen sich in den vergangenen Monaten gezwungen, den Verlust sensibler Daten Tausender Kunden und Mitarbeiter publik zu machen. In Deutschland müssen Vorfälle dieser Art nicht veröffentlicht werden, was jedoch nicht heißt, dass hierzulande mehr Umsicht im Umgang mit personenbezogenen Daten herrscht. Erst vor wenigen Wochen kam es beispielsweise zu einer ernsten Datenschutzpanne bei "DSL on Air" des Betreibers DBD (Deutsche Breitbanddienste): Über dessen Web-Seite ließen sich detaillierte Informationen zu Personen abrufen, die die Freischaltung der DSL-Alternative beantragt hatten. Via Internet waren dabei zahlreiche unverschlüsselte Datensätze mit detaillierten Angaben - Name, Anschrift, E-Mail-Adresse, Geburtsdatum, Telefonnummer, Kennwort und Bankverbindung - für jedermann einsehbar (siehe www.computerwoche.de/ 575162).

Auch die Tätigkeitsberichte der deutschen Datenschutzaufsichtsbehörden liefern Hinweise darauf, dass es viele Firmen mit diesem Thema nicht so genau nehmen. So berichtet etwa der Hamburgische Datenschutzbeauftragte in seinem Jahresbericht 2004/2005, dass immerhin 20 Prozent von 125 geprüften Unternehmen trotz gesetzlicher Verpflichtung keinen betrieblichen Datenschutzbeauftragten bestellt hatten. Weit mehr als die Hälfte dieser Betriebe konnte das vorgeschriebene Verzeichnis der firmenintern eingesetzten elektronischen Datenverarbeitungsverfahren nicht oder nur unvollständig vorlegen. Zudem waren in vielen Fällen Anwendungen nicht hinreichend gegen unberechtigte Zugriffe geschützt. Auch sonstige technische und organisatorische Maßnahmen zum Schutz der Personendaten wiesen der Behörde zufolge zum Teil gravierende Mängel auf.

Der augenscheinlichen Sorglosigkeit im Umgang mit Personendaten steht hierzulande das Grundrecht auf "informationelle Selbstbestimmung" gegenüber. Jeder Bürger kann danach frei entscheiden, wer wann auf welche seiner persönlichen Daten Zugriff erhält. Für den Schutz dieser Informationen soll das Bundesdatenschutzgesetz sorgen: Es regelt jegliche Art der elektronischen Verarbeitung von Personendaten und gilt, unabhängig von Größe oder Art der Organisation, für öffentliche wie nichtöffentliche Stellen. Demnach haben nicht nur kleine und große Firmen, sondern auch Vereine und Genossenschaften die Daten ihrer Kunden, Mitarbeiter oder Mitglieder angemessen zu schützen.

Ist der Ruf erst ruiniert

Unternehmen, denen mangelnde Pflichterfüllung oder gar ein vorsätzlicher Verstoß gegen das Gesetz nachgewiesen werden kann, drohen Bußgelder bis zu 250000 Euro. Als noch kostspieliger oder sogar existenzbedrohlich kann sich allerdings der Reputationsverlust erweisen, der entsteht, wenn eine Außerachtlassung datenschutzrechtlicher Bestimmungen öffentlich bekannt wird und eine Firma für entsprechend negative Schlagzeilen sorgt. "Gerät etwa ein Markt- und Meinungsforschungsinstitut erstmal in Verruf, mit personenbezogenen Daten nicht sorgsam umzugehen, wird es kaum noch genügend Freiwillige für seine Befragungen finden", verdeutlicht Werner Hülsmann, externer Datenschutzbeauftragter und Vorstandsmitglied der Deutschen Vereinigung für Datenschutz (DVD), die Sachlage.

Zu den Kernpflichten eines Unternehmens zählt die Bestellung eines betrieblichen Datenschutzbeauftragten, sobald mehr als vier Mitarbeiter in die elektronische Verarbeitung personenbezogener Daten involviert sind. "Das ist schnell der Fall, denn gemeint ist die Anzahl der Personen, nicht der Stellen", warnt der externe Datenschutzbeauftragte und -berater Karl-Uwe Lüllemann. Aufgabe des jeweils Zuständigen ist es im Grundsatz, auf die Einhaltung des Datenschutzgesetzes im Unternehmen "hinzuwirken". Er ist in dieser Funktion allerdings nicht weisungsbefugt und daher auf die Rückendeckung der Firmenleitung angewiesen, die für Gesetzesverstöße persönlich haftet. Konkret hat der Datenschutzbeauftragte die firmenspezifische Verfahrensübersicht zu führen, die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen zu überwachen sowie die Zulässigkeit neuer Verfahren im Rahmen einer Vorabkontrolle zu prüfen. "Von der Idee her handelt es sich um eine Stabsstelle, die der Firmenleitung zuarbeitet und ihr Know-how zur Verfügung stellt", so Lüllemann.

Der IT-Chef scheidet aus

Der Datenschutzbeauftragte sollte nach Empfehlung der Experten im Bereich Sicherheit, Qualitäts-Management oder in der Revisionsabteilung angesiedelt sein. Da keine Interessenskonflikte bestehen dürfen, scheiden Personen wie Geschäftsführer, Personalleiter und vor allem IT-Chefs aus. Die laut Lüllemann dennoch verbreitete Praxis, den CIO auch in dieses Amt zu heben, ist riskant: Bei einer Falschbestellung droht ein Bußgeld von bis zu 25 000 Euro. "Man darf den Bock nicht zum Gärtner machen - schließlich hat der Datenschutzverantwortliche auch den IT-Leiter in der Umsetzung seiner Vorgaben zu kontrollieren", mahnt der Consultant.

Die betriebliche Datenschutzkontrolle kann auch nach außen vergeben werden - eine Option, die sich nicht zuletzt für kleinere und mittelständische Betriebe anbietet. "Je kleiner das Unternehmen, desto schwieriger kann es sein, eine geeignete Person mit der erforderlichen Fachkunde in den Bereichen Organisation, Recht und Technik zu finden", behauptet Hülsmann, der selbst als externer Datenschutzbeauftragter unterwegs ist. Voraussetzung für ein gelungenes Outsourcing dieser Position sei allerdings ein direkter Ansprechpartner im Unternehmen, der die internen Anfragen für ihn bündelt.

Mit dem Bestellen einer geeigneten Person ist es nicht getan: Unternehmen müssen gemäß Paragraf 9 des Bundesdatenschutzgesetzes "geeignete technische und organisatorische Maßnahmen" treffen, um die Einhaltung des Datenschutzes sicherzustellen. In diesem Zusammenhang sind Grundregeln zu beachten. So haben Firmen beispielsweise dafür zu sorgen, dass ihre Datenverarbeitungsanlagen für Unbefugte nicht zugänglich sind, sprich: die Server-Räume müssen verschlossen sein. "Wenn der Server in einem Kellerraum steht, zu dem man sich vom Hof aus mal eben mit Glasschneider und Gummiteller Zutritt verschaffen kann, ist dies unbedingt nicht gegeben", berichtet Hülsmann aus der Praxis.

Verbindliche Maßnahmen

Zu den weiteren Pflichtmaßnahmen gehört es, die firmeneigenen Systeme vor unberechtigten Zugriffen zu schützen. Auch hier haben die Unternehmen Nachholbedarf: Dem Hamburgischen Datenschutzbeauftragten zufolge wiesen die Passwort-Konventionen der in den vergangenen beiden Jahren kontrollierten Betriebe zahlreiche Mängel auf: Dazu zählten häufig Defizite im Hinblick auf Zeichenlänge und -mix sowie die geringe Anzahl von Passwort-Generationen, deren zu lange Gültigkeit sowie eine unzulängliche Sperrung bei wiederholter Fehleingabe.

Darüber hinaus schreibt das Gesetz vor, personenbezogene Daten vor Zerstörung oder Verlust zu schützen. Auch hier liegt einiges im Argen. So erinnert sich Hülsmann an Szenarien, "wo sich im Server-Raum auch gleich noch das Archiv nebst Grill mit Anzünder befunden haben" - bei stets geöffneten Brandschutztüren.

Ferner haben Betriebe zu gewährleisten, dass ihre Mitarbeiter ausschließlich auf Daten zugreifen können (etwa im CRM-System), die sie tatsächlich für ihre Arbeit benötigen. Daneben sind die Übertragung oder der Transport personenbezogener Informationen so zu sichern, dass sich die Daten nicht unbefugt einsehen, kopieren, verändern oder löschen lassen.

Alles in allem umfasst der technisch-organisatorische Maßnahmenkatalog acht Regeln, an die sich Unternehmen zu halten haben. Da sich aber die Gegebenheiten in den Firmen und Organisationen stark unterscheiden, lässt der Gesetzgeber Freiheiten in der Umsetzung. "Die angemessene Ausgestaltung ist unter anderem Aufgabe des Datenschutzbeauftragten", erklärt Hülsmann. Allerdings warnt der Consultant davor, sich auf die einzelnen Maßnahmen zu beschränken. Nur mit einem stimmigen Gesamtkonzept ließen sich die gesetzlichen Forderungen nach einer datenschutzkonformen innerbetrieblichen Organisation erfüllen.

Datenschutz - ein Randthema?

Was den gesetzeskonformen Umgang mit Kunden- und Mitarbeiterdaten betrifft, hält sich das Engagement der Firmen in Grenzen. "Für die meisten Unternehmen betrifft das Thema Datenschutz die Personalabteilung - der Bereich Vertrieb wird selten als Problem angesehen", berichtet Berater Lüllemann. Nach Erfahrungen von Wolfram Funk, Senior Advisor ICT-Service bei der Experton Group, schrecken die Betriebe angesichts des erforderlichen Erstaufwands häufig davor zurück, das Thema Datenschutz auf ein breiteres Fundament zu stellen. Grundsätzlich sähen sich Datenschutzbeauftragte und Sicherheitsverantwortliche meist mit derselben Argumentation konfrontiert: "Wenn nichts passiert, dann heißt es, die ergriffenen Maßnahmen seien unnötig. Oder es passiert etwas, dann werden sie als sinnlos angesehen", erläutert Funk.

Tendenziell gewissenhafter zeigen sich Firmen, die persönliche Daten von Endverbrauchern verwalten. Dort dient der Datenschutz als Marketing-Instrument, er wird als Qualitätsmerkmal offensiv angepriesen. Ebenfalls lässt sich beobachten, dass große Unternehmen sich eher an die Datenschutzbestimmungen halten als kleine. "Je größer der Betrieb, desto eher werden entsprechende Vorkehrungen getroffen", so Lüllemann. Im klassischen Mittelstand hingegen sei das Engagement schon erheblich dürftiger. Das bestätigt auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in ihrem Datenschutzbericht 2005: Demnach mangelt es den kleinen und mittleren Unternehmen häufig sowohl an Kontrollen als auch an verbindlichen Anweisungen. Schwächen wiesen sie auch im Hinblick auf eine ganzheitliche Datenschutzbetrachtung auf.

Das Risiko, bei Schluderei im Umgang mit Personendaten ertappt zu werden, erscheint auf den ersten Blick begrenzt: Nach Erfahrungen von Hülsmann müssen meldepflichtige Organisationen - etwa Auskunfteien, Online-Branchenauskünfte oder Unternehmen der Pharma-, Chemie- und TK-Branche - alle drei bis fünf Jahre mit einer behördlichen Routinekontrolle rechnen. Andere Unternehmen werden in erster Linie bei entsprechenden Vorkommnissen überprüft. "Allerdings knöpfen sich die Behörden immer wieder ad hoc eine Branche vor - man kann also nicht vorher wissen, ob es einen erwischt", gibt Lüllemann zu bedenken. Auch der wenig überschaubare Endverbrauchermarkt berge seine Risiken. "Es kann durchaus sein, dass ein sachkundiger Rechtsanwalt oder Datenschutzbeauftragter einen Verstoß gegen das Gesetz registriert und an die große Glocke hängt".