Die Patientenkartei steht auf dem Flur - brisante Krankendaten sind frei zugänglich. Firma X überträgt einem Callcenter die Kundenbetreuung und verlangt, dass sämtliche Telefongespräche für Kontrollzwecke aufgezeichnet werden. - Verstöße gegen den Datenschutz sind häufig, all zu oft fehlt die Sensibilität fürs Thema. Schulen, beraten und auditieren heißt das Rezept der betrieblichen Datenschützer. Sabine Seeler arbeitet in der DV-Abteilung einer Wohnstiftverwaltung. Für ihre Aufgabe als betriebliche Datenschützerin hat sie 225 Stunden pro Jahr zur Verfügung, "viel zu wenig bei einer Organisation, in der über tausend Mitarbeiter mit personenbezogenen Daten von Kranken, Behinderten und Senioren umgehen", sagt sie. Seeler konzentiert sich zunächst darauf, ihren Kollegen bewusst zu machen, dass Handlungsbedarf besteht. Das betrifft den Umgang mit hoch sensiblen, auf Karteikarten vermerkten Patientendaten, die oft unbewacht vor den Zimmern auf dem Stationswägelchen herumliegen, während Post oder Medikamente verteilt werden. Und das gilt gleichermaßen für all die personenbezogenen Angaben über Mitarbeiter, die im Rechner der Personalab-teilung gespeichert sind. "Es reicht eben nicht, den Computer am Abend auszuschalten und den Raum abzusperren", beschreibt Seeler ein häufig anzutreffendes Missverständnis. Beraten und schulen - mehr erlaubt das Zeitbudget der betrieblichen Datenschützerin nicht: "Was die technische Seite der Datensicherheit angeht, muss ich mich auf die Angaben der Herstellerfirmen von Hard- und Software verlassen." Außerdem müsste ein Spezialist, der das verzweigte Datennetz des Unternehmens von außen auf seine Undurchlässigkeit prüft, extra bezahlt werden. Und da stößt Seeler auf eine in Firmen weit verbreitete Haltung: "Datenschutz darf nichts kosten." Sie setzt darauf, dass im Wohnstift Mitarbeiter und Bewohner langsam mehr Einsatz verlangen: "Immer häufiger ziehen Senioren ein, die E-mail und Internet nutzen und erhöhte Anforderungen an IT-Sicherheit und Datenschutz stellen.
" Der Umgang mit personenbezogenen Daten von Beschäftigten und Kunden ist EU-weit geregelt. Die Deutschen haben in diesem Rahmen das Konzept der "unternehmensinternen Eigenkontrolle" gewählt: Firmen und öffentliche Dienststellen ernennen einen betrieblichen Datenschützer, der seinerseits von einer Aufsichtsbehörde überwacht wird. Bei einer Kontrolle muss der Datenschutzbeauftragte sein Sicherheitskonzept demonstrieren: Wie wird der Missbrauch bei Eingabe, Zugriff, Übermittlung oder Löschung von Daten ausgeschlossen? Wie sind Einzelplatz-PCs, In-house-Netze oder Internetanschlüsse geschützt? Viele Firmen bestellen Juristen zum Datenschutzbeauftragten und schicken sie auf eine dv-technische Fortbildung. Tatsächlich ist der Paragrafendschungel dicht: Neben dem Bundesdatenschutzgesetz gelten viele bereichsspezifische Regelungen. Am verzwicktesten ist die Lage in der Telekommunikation. Ein Beispiel: Telefongesellschaft Z darf dem Firmenkunden dann einen Einzelgebührennachweis von jeder Nebenstelle aushändigen, wenn der Betriebsrat von V dem zustimmt. Komplizierter wird der Fall, wenn eine Arbeitnehmervertretung fehlt und Firma V eine rechtsgültige Unterschrift der Unternehmensleitung beibringen muss. Inzwischen gibt es immer mehr Informatiker, die sich mit rechtlichem Zusatzwissen für den betrieblichen Datenschutz qualifizieren. Sabine Seeler ist eine davon und glaubt: "Das ist der bessere Weg." Juristen wüssten zwar, was nicht erlaubt sei, könnten es aber schwerer kontrollieren, weil es auf die detaillierte Kenntnis des unsichtbaren Datenflusses ankomme. Seelers Studienkollegin Ilona Kohling sieht das ähnlich. Die Informatikerin mit Datenschutzausbildung berät Kunden in der Regel gemeinsam mit einem technisch versierten Kollegen: Er macht die Sicherheitsanalyse; sie klärt die rechtlichen Pflichten des Auftraggebers und schlägt passende technisch-organisatorische Maßnahmen vor.
Seeler und Kohling haben sich an der Fachhochschule München mit einer Zusatzausbildung für den "Betrieblichen Datenschutz" qualifiziert. Sie beschäftigten sich mit Wirtschafts- und Datenschutzrecht und Kryptografie. Sie übten unter Anleitung eines Praktikers, wie Datensicherheit durch technische Maßnahmen erhöht werden kann. Und sie lernten vor allem, wie sie künftigen Kollegen den korrekten Umgang mit sensiblen Daten auf einfache Weise vermitteln, ohne sie mit Rechtschinesich oder Computerlatein zu erschlagen. FH-Professor Klaus Köhler beobachtet, dass den Unternehmen die Datensicherheit immer wichtiger wird. Wer will schon als neues Opfer eines klugen Hackerangriffs in der Zeitung stehen? Er hofft, dass von der wachsenden Aufmerksamkeit und Sensibilität in der Gesellschaft auch der Datenschutz profitiert. Bisher ist dieses Bewusstsein sehr unterschiedlich ausgeprägt. Einerseits verschicken viele Leute E-mails mit wichtigen Internas, ohne daran zu denken, dass die unverschlüsselte Sendung lediglich dem Geheimnisgrad einer Postkarte entspricht. Andererseits entwickelt sich hierzulande der E-Commerce schleppender als von einschlägigen Firmen erhofft. Köhler: "Den potenziellen Kunden fehlt so lange das Vertrauen in das Medium, so lange sich nicht wissen: Was muss ich von mir preisgeben, wenn ich übers Netz einkaufe? Was geschieht mit den Daten?" Für viele Unternehmen wird der garantierte Datenschutz deshalb zu einem wichtigen Wettbewerbsargument. Ein Punkt, an dem die Initiative "quid!" - "Qualität im betrieblichen Datenschutz" ansetzt. Ziel des Projekts, an dem federführend die FH Frankfurt und die Deutsche Postgewerkschaft beteiligt sind, ist es, ein Gütesiegel zu entwickeln und zu vergeben. Damit können dann die Firmen offensiv werben, die sich dem freiwilligen Datenschutz-Audit erfolgreich unterzogen haben.
Die Testphase verlief viel versprechend, berichtet Projektleiter Professor Peter Wedde. Ein Dutzend ausgewählter Betriebe unterschiedlicher Größe und Branchen unterzog sich einer Probezertifizierung und half dabei den Forschern, ihren Fragenkatalog zu modifizieren. "Wir merkten, wie groß die Unkenntnis beim Datenschutz ist und wie groß das Interesse, von einer neutralen Stelle beraten zu werden," betont Wedde. Zwei Beispiele: Ein Handwerksmeister hat sich auf den Einbau von Alarmanlagen spezialisiert. Die Installationspläne mit Name und Anschrift des Kunden hat er auf demselben Billigrechner gespeichert, auf dem sein Sohn Computerspiele macht. Und denkt sich nichts Böses dabei. Im anderen Fall fühlt sich ein kleines Callcenter von einem Großkunden unter Druck gesetzt, der die Aufzeichnung aller Beratungsgespräche erzwingt. Der Hinweis auf einen Verstoß gegen das Datenschutzgesetz interessiert den Auftraggeber nicht; man gibt nach, weil man ihn nicht verlieren will. Was tun? Dank quid! sind die Callcenter-Betreiber nun in der Lage, härter zu argumentieren, kann doch das illegale Mitschneiden von Telefonaten auch strafrechtliche Konsequenzen haben. Wedde weiß aus der Praxis, dass betriebliche Datenschützer oft zwischen allen Stühlen sitzen. Das hängt nicht nur mit den Profitinteressen von Unternehmen zusammen, sondern auch mit der Rechtslage. "Gerade im Telekommunikationsbereich gibt es viele Verstöße gegen den Datenschutz, für die der Gesetzgeber mitverantwortlich ist, weil die Vorschriften selbst für Juristen nicht eindeutig sind", beschreibt Rechtsprofessor Wedde die Lage. Die Lösung, die quid! anbietet, heißt: Freiwillige Kontrolle auf der Basis standardisierter Gütemerkmale mit der Aussicht auf ein werbewirksames Siegel. Ab Frühjahr 2001, so kündigt Wedde an, kann quid! in Kooperation mit einer staatlichen Prüfstelle die ersten Zertifizierungen durchführen. Der zeitliche Aufwand beträgt in der Regel zwei bis drei Arbeitstage. Kleinere Unternehmen - etwa eine Arztpraxis mit hoch sensiblen Patientendaten - müssen mit rund fünftausend Mark jährlichen Auditierungskosten rechnen. Gesamtbewer-tungen in Großunternehmen, die quid! erst in einer späteren Phase anbieten kann, werden mit mindestens zwanzigtausend Mark zu Buche schlagen. Außerdem planen die Siegelentwickler, demnächst ein Selbstbewertungs-Tool als Shareware ins Internet zu stellen. Mehr zum Test: www.quid.de.
Die quid!-Förderer, zu denen auch das Land Hessen, die Europäische Union und das Kooperationsbüro Multimedia und Arbeitswelt gehören, sind optimistisch, dass immer mehr Unternehmen künftig bereit sein werden, für Datenschutz Geld auszugeben. Sie setzen auf die Nachfragemacht der Kunden und auf die wachsende Sensibilität der Beschäftigten. Schließlich riskieren Unternehmen einen Aufstand der Mitarbeiter, wenn sie den Schutz der Daten nicht garantieren können. Wenn beispielsweise die Gefahr besteht, dass persönliche Leistungsprofile aus der Skill-Datenbank in die Hände Unbefugter geraten. Wedde hat beobachtet, dass inzwischen auch viele Betriebsräte ein Meßinstrument für die Qualität des betrieblichen Datenschutzes einfordern. "Ein Auditing, wie es quid! vorsieht, ist eine gute Sache", assistiert Ilona Kohling. Sie arbeitet in einer Unternehmensberatung, die sich auf IT-Security und Datenschutz spezialisiert hat. Kohling begrüßt das Gütesiegel nicht nur deshalb, weil das Zertifizierungsverfahren ein neues Aufgabenfeld für den eigenen Arbeitgeber werden könnte. Sie erlebt in ihrer täglichen Beratungspraxis hautnah, dass praktikable und verbindliche Standards zur Umsetzung gesetzlicher Vorschriften im betrieblichen Datenschutz fehlen. Das gilt für den Umgang mit medizinischen Unterlagen ebenso wie für die speziellen Regelungen in der Telekommunikation. "Beim E-Commerce-Recht beispielsweise klaffen Theorie und Praxis noch weit auseinander. Auch die juristischen Kommentare sind alles andere als eindeutig," berichtet Kohling. "Mich fragt dann der Kunde: Woran soll ich mich halten? Da wären klare Richtlinien gut." Wenn ein Unternehmen ein Web-Portal einrichten und sich gegenüber der Konkurrenz mit dem Argument abheben will, alles sei Datenschutz konform und sicher gestaltet, ist es auch zu entsprechenden Investitionen bereit, weiß die Informatikerin. Doch sie moniert, dass es keinen Maßstab gibt, an dem sich ablesen lasse, "welche Schutzmaßnahmen Minimum und welche Luxus sind." Generell wünscht sich die Fachfrau eine breite gesellschaftliche Debatte über sinnvollen Datenschutz: "Bislang fehlt das richtige Maß an Aufklärung."