Personenbezogene Daten und Datenschutz

Sofern personenbezogene Daten verarbeitet werden – was in aller Regel der Fall ist, wenn Namen von Mitarbeitern, Kunden oder persönliche E-Mail-Adressen gespeichert werden –, ist insbesondere das Bundesdatenschutzgesetz (BDSG) zu befolgen. Ein eigener Paragraf (§9 BDSG) regelt technische und organisatorische Maßnahmen, die Unternehmen zu treffen haben. Dazu gehören beispielsweise die Zugriffs- und Weitergabekontrolle – ein klassischer Fall für Data Leakage Prevention. Alle gängigen DLP-Lösungen bringen vorgefertigte Regeln mit, die zum Beispiel die Vorgaben von Basel II oder andere (gesetzliche) Regelungen im Netzwerk durchsetzen.

Wie Dr. Hildenrink im Gespräch mit TecChannel erklärt, gibt es noch keine einschlägigen Gerichtsurteile, die Firmenverantwortliche aufgrund von Datenpannen zu hohen Strafen verdonnert haben. Das liegt zum einen daran, dass es sehr oft keine feststellbaren Schäden gibt. Wenn Kundendaten abhanden kommen, müssen die Kunden davon erst einmal erfahren, und es muss ihnen ein tatsächlicher Schaden entstehen. Zum anderen werden viele Fälle von bedenklichen Datenpannen außergerichtlich beigelegt. Das heißt aber nicht, dass die internationalen Datenschutzgesetze ein stumpfes Schwert sind. Der Leiter des IT-Risikomanagements des Pharmariesen Novartis, Andreas Wuchner, hat in seinem Blog einige spektakuläre Fälle von Strafzahlungen zusammengetragen. Und wie das dort gelistete Beispiel Lidl zeigt, wissen sich auch die deutschen Datenschutzbeauftragten zur Wehr zu setzen.