Die Patientenkartei steht auf dem Flur - brisante Krankendaten sind frei zugänglich. Firma X überträgt einem Call-Center die Kundenbetreuung und verlangt, dass sämtliche Telefongespräche für Kontrollzwecke aufgezeichnet werden. Verstöße gegen den Datenschutz sind häufig, denn oft fehlt für dieses Thema die Sensibilität.
Sabine Seeler arbeitet in der DV-Abteilung einer Wohnstiftverwaltung. Für ihre Aufgabe als betriebliche Datenschützerin hat sie 225 Stunden pro Jahr zur Verfügung, "viel zu wenig bei einer Organisation, in der über tausend Mitarbeiter mit personenbezogenen Daten von Kranken, Behinderten und Senioren umgehen", sagt sie. Seeler konzentriert sich zunächst darauf, ihren Kollegen bewusst zu machen, dass Handlungsbedarf besteht.
Das betrifft den Umgang mit auf Karteikarten vermerkten Patientendaten, die oft unbewacht vor den Zimmern auf dem Stationswägelchen herumliegen, während Post oder Medikamente verteilt werden. Und das gilt gleichermaßen für all die personenbezogenen Angaben über Mitarbeiter, die im Rechner der Personalabteilung gespeichert sind. "Es reicht eben nicht, den Computer am Abend auszuschalten und den Raum abzusperren", beschreibt Seeler ein häufiges Missverständnis.
Beraten und schulen - mehr erlaubt das Zeitbudget der betrieblichen Datenschützerin nicht: "Was die technische Seite der Datensicherheit angeht, muss ich mich auf die Angaben der Herstellerfirmen verlassen." Außerdem müsste ein Spezialist, der das verzweigte Datennetz des Unternehmens von außen auf seine Undurchlässigkeit prüft, extra bezahlt werden. Und da stößt Seeler auf eine in Firmen weit verbreitete Haltung: "Datenschutz darf nichts kosten." Sie setzt darauf, dass im Wohnstift Mitarbeiter und Bewohner allmählich mehr Einsatz verlangen: "Immer häufiger ziehen Senioren ein, die E-Mail und Internet nutzen und erhöhte Anforderungen an IT-Sicherheit und Datenschutz stellen."
Der Umgang mit personenbezogenen Daten von Beschäftigten und Kunden ist EU-weit geregelt. Die Deutschen haben in diesem Rahmen das Konzept der "unternehmensinternen Eigenkontrolle" gewählt: Firmen und öffentliche Dienststellen ernennen einen betrieblichen Datenschützer, der seinerseits von einer Aufsichtsbehörde überwacht wird. Bei einer Kontrolle muss der Datenschutzbeauftragte sein Sicherheitskonzept demonstrieren: Wie wird der Missbrauch von Daten ausgeschlossen? Wie sind Einzelplatz-PCs, Inhouse-Netze oder Internet-Anschlüsse geschützt?
Viele Firmen bestellen Juristen zum Datenschutzbeauftragten und schicken sie dann zu einer IT-Fortbildung. Tatsächlich ist der Paragraphendschungel dicht: Neben dem Bundesdatenschutzgesetz gelten viele bereichsspezifische Regelungen. Am verzwicktesten ist die Lage in der Telekommunikation. Ein Beispiel: Telefongesellschaft Z darf dem Firmenkunden V nur dann einen Einzelgebührennachweis von jeder Nebenstelle aushändigen, wenn der Betriebsrat von V dem zustimmt. Komplizierter wird der Fall, wenn eine Arbeitnehmervertretung fehlt und Firma V eine rechtsgültige Unterschrift der Unternehmensleitung beibringen muss.
Inzwischen gibt es immer mehr Informatiker, die sich mit rechtlichem Zusatzwissen für den betrieblichen Datenschutz qualifizieren. Seeler ist eine davon und glaubt: "Das ist der bessere Weg." Juristen wüssten zwar, was nicht erlaubt sei, könnten es aber schwerer kontrollieren, weil es auf die detaillierte Kenntnis ankomme. Seelers Studienkollegin Ilona Kohling sieht das ähnlich. Die Informatikerin berät Kunden in der Regel gemeinsam mit einem technisch versierten Kollegen: Er macht die Sicherheitsanalyse; sie klärt die rechtlichen Pflichten des Auftraggebers und schlägt passende technisch-organisatorische Maßnahmen vor.
Seeler und Kohling haben sich an der Fachhochschule München mit einer Zusatzausbildung "Betrieblicher Datenschutz" qualifiziert. Sie beschäftigten sich mit Wirtschafts- und Datenschutzrecht sowie Kryptografie. Und sie lernten vor allem, wie sie künftigen Kollegen den korrekten Umgang mit sensiblen Daten auf einfache Weise vermitteln, ohne sie mit Rechts-Chinesisch oder Computerlatein zu erschlagen.
Klaus Köhler, Informatikprofessor an der Fachhochschule (FH) in München, beobachtet, dass den Unternehmen die Datensicherheit immer wichtiger wird. Wer will schon als neues Opfer eines Hacker-Angriffs in der Zeitung stehen? Er hofft, dass von der wachsenden Aufmerksamkeit in der Gesellschaft auch der Datenschutz profitiert.
Bisher ist dieses Bewusstsein sehr unterschiedlich ausgeprägt. Einerseits verschicken viele Leute E-Mails mit wichtigen Interna, ohne daran zu denken, dass die unverschlüsselte Sendung lediglich der Vertraulichkeit einer Postkarte entspricht. Andererseits entwickelt sich hierzulande der E-Commerce schleppender als von einschlägigen Firmen erhofft. Köhler: "Den potenziellen Kunden fehlt so lange das Vertrauen in das Medium, wie sie nicht wissen: Was muss ich von mir preisgeben, wenn ich übers Netz einkaufe?
Für viele Unternehmen wird der garantierte Datenschutz deshalb zu einem wichtigen Wettbewerbsargument. Ein Punkt, an dem die Initiative "Quid" - "Qualität im betrieblichen Datenschutz" ansetzt. Ziel des Projekts, an dem federführend die FH Frankfurt und die Deutsche Postgewerkschaft beteiligt sind, ist es, ein Gütesiegel zu entwickeln und zu vergeben. Damit können dann die Firmen offensiv werben, die sich dem freiwilligen Datenschutz-Audit erfolgreich unterzogen haben.
Die Testphase verlief viel versprechend, berichtet Peter Wedde, Professor an der Fachhochschule in Frankfurt am Main und Quid-Projektleiter. Ein Dutzend ausgewählter Betriebe unterschiedlicher Größe und Branchen unterzog sich einer Probezertifizierung und half dabei den Forschern, ihren Fragenkatalog zu modifizieren. "Wir merkten, wie stark die Unkenntnis über den korrekten Datenschutz ist und wie groß das Interesse, von einer neutralen Stelle beraten zu werden," schreibt Wedde.
Zwei Beispiele: Ein Handwerksmeister hat sich auf den Einbau von Alarmanlagen spezialisiert. Die Installationspläne mit Name und Anschrift der Kunden hat er auf demselben Billigrechner, auf dem sein Sohn Computerspiele gespeichert hat.
In einem anderen Fall fühlt sich ein kleines Call-Center von einem Großkunden unter Druck gesetzt, der die Aufzeichnung aller Beratungsgespräche erzwingt. Der Hinweis auf einen Verstoß gegen das Datenschutzgesetz interessiert den Auftraggeber nicht. Das Call-Center gibt nach, weil es den Kunden nicht verlieren will.
In so einem Fall soll Quid dem Call-Center-Betreiber helfen, härter zu argumentieren, kann doch das illegale Mitschneiden von Telefonaten auch strafrechtliche Konsequenzen haben. "Gerade im Telekommunikationsbereich gibt es viele Verstöße gegen den Datenschutz, für die der Gesetzgeber mitverantwortlich ist, weil die Vorschriften selbst für Juristen nicht eindeutig sind", beschreibt Rechtsprofessor Wedde die Lage.
Die Quid-Förderer, zu denen auch das Land Hessen, die Europäische Union und das Kooperationsbüro Multimedia und Arbeitswelt gehören, sind optimistisch, dass immer mehr Unternehmen künftig bereit sein werden, für Datenschutz Geld auszugeben. Sie setzen auf die Nachfragemacht der Kunden und auf die wachsende Sensibilität der Beschäftigten. Schließlich riskieren Unternehmen einen Aufstand der Mitarbeiter, wenn sie den Schutz personenbezogener Daten nicht garantieren können und dadurch beispielsweise die Gefahr besteht, dass persönliche Leistungsprofile aus der Skill-Datenbank in die Hände Unbefugter geraten. Wedde hat beobachtet, dass inzwischen auch viele Betriebsräte ein Messinstrument für die Qualität des betrieblichen Datenschutzes einfordern.
Kohling arbeitet in einer Unternehmensberatung, die sich auf IT-Security und Datenschutz spezialisiert hat. Sie begrüßt das Gütesiegel nicht nur deshalb, weil das Zertifizierungsverfahren ein neues Aufgabenfeld für den eigenen Arbeitgeber werden könnte. Sie erlebt in ihrer täglichen Beratungspraxis hautnah, dass praktikable und verbindliche Standards zur Umsetzung gesetzlicher Vorschriften im betrieblichen Datenschutz fehlen. Das gilt für den Umgang mit medizinischen Unterlagen und die speziellen Regelungen in der Telekommunikation.
"Beim E-Commerce-Recht beispielsweise klaffen Theorie und Praxis noch weit auseinander. Auch die juristischen Kommentare sind alles andere als eindeutig", berichtet Kohling. Wenn ein Unternehmen ein Web-Portal einrichten und sich gegenüber der Konkurrenz mit dem Argument abheben will, alles sei datenschutzkonform und sicher gestaltet, ist es auch zu entsprechenden Investitionen bereit, argumentiert die Informatikerin. Doch sie moniert, dass es keinen Maßstab gibt, an dem sich ablesen lasse, "welche Schutzmaßnahmen notwendig und welche Luxus sind." Generell wünscht sich die Fachfrau eine breite gesellschaftliche Debatte über sinnvollen Datenschutz: "Bislang fehlt das richtige Maß an Aufklärung."
*Helga Ballauf ist freie Journalistin in München.
Gütesiegel für DatenschutzDer Frankfurter Rechtsprofessor Peter Wedde und die Postgewerkschaft haben ein Gütesiegel für den Datenschutz entwickelt. Wedde setzt auf die freiwillige Kontrolle auf Basis standardisierter Gütemerkmale mit der Aussicht auf ein werbewirksames Siegel. Ab Frühjahr 2001, so der Professor, kann Quid in Kooperation mit einer staatlichen Prüfstelle die ersten Zertifizierungen abnehmen. Der zeitliche Aufwand beträgt in der Regel zwei bis drei Arbeitstage. Kleinere Unternehmen - etwa eine Arztpraxis mit hoch sensiblen Patientendaten - müssen mit rund 5000 Mark jährlichen Auditierungskosten rechnen. Gesamtbewertungen in Großunternehmen, die Quid erst in einer späteren Phase anbieten kann, werden mit mindestens 20000 Mark zu Buche schlagen. Außerdem planen die Siegelentwickler, demnächst ein Selbstbewertungs-Tool als Shareware ins Internet zu stellen. Mehr zum Test: www.quid.de.