Datenschutz in der IT-Abteilung

Wehe, wenn der Prüfer kommt?

26.08.2008
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Wedde: Leider führt das BDSG keine klaren Verbote auf. Und selbst wenn sie existieren würden, gäbe es keine staatliche Instanz, die die Einhaltung der Bestimmungen flächendeckend und effektiv kontrolliert. Außerdem sind die angedrohten Strafen viel zu gering.

CW: Um auf IT-Abteilungen zurückzukommen: Wo liegen hier die größten Fallen?

Wedde: Im Missbrauch privater Daten der Arbeitnehmer. Das klassische Beispiel ist der Eingriff in Inhaltsdaten - Stichwort E-Mail-Verkehr. Dass ein Administrator auf bestimmte Daten zur Systempflege zugreifen muss, steht außer Frage. Die Grenze zwischen Systemdaten und Inhaltsdaten ist indes fließend. In Unternehmen, die die private Internet- und E-Mail-Nutzung nicht explizit verbieten, laufen IT-Verantwortliche daher schnell Gefahr, gegen das Telekommunikationsgeheimnis zu verstoßen - das kann eine Straftat sein. Selbst das reine Abgreifen von Verkehrsdaten kann bereits strafbar sein - Stichwort "Unzulässiges Ausspähen von Daten".

Internetverbot hilft nichts

CW: Sollten Unternehmen die private Internet- und E-Mail-Nutzung am Arbeitsplatz untersagen?

Wedde: Nein, in meinen Augen hilft das nicht weiter. Auch im dienstlichen Bereich gibt es vertrauliche Informationen. Stellen Sie sich vor, Sie schreiben eine E-Mail an den Betriebsarzt, weil Sie schlecht sehen und nach Bildschirmbrillen fragen. Oder Sie führen eine vertrauliche Konversation mit dem Betriebsrat oder informieren sich im Internet über Hilfe für Mobbing-Opfer, weil sie selbst betroffen sind. Das sind datenschutzrechtlich relevante Informationen, die außerhalb der Privatnutzung im arbeitsrechtlich erlaubten Bereich anfallen. Mit Blick hierauf rate ich keinem Unternehmen, nach einem etwaigen Verbot der Privatnutzung die uneingeschränkte Kontrolle von E-Mails und Web-Nutzung freizugeben.

CW: Wie schützen sich CIOs und IT-Leiter davor, wegen eines nicht persönlich und nicht wissentlich begangenen Verstoßes gegen die Datenschutzgesetze belangt zu werden?

Wedde: Sie müssen sich durch entsprechende Vorgaben und Anweisungen absichern. Die Organisation innerhalb der Abteilung muss so geregelt sein, dass Verstöße gegen gesetzliche Vorgaben nicht vorkommen können. Erfolgen sie dennoch, muss durch entsprechende Dokumentationen eindeutig nachgewiesen werden können, wer was verschuldet hat. Gibt es eine solche Organisation, ist der CIO nur noch im Falle eines eigenen Verschuldens haftbar. Um klare Strukturen zu schaffen, dürfen IT-Verantwortliche auch keinen Zugriff auf die Zugänge der Mitarbeiter haben, Stichwort Passwörter. In vielen Unternehmen ist es leider Usus, dass die Mitarbeiter ihre Passwörter an Kollegen weitergeben, damit bei Urlaub und Krankheit kein Engpass entsteht. Oft verlangen Vorgesetzte diese Weitergabe. Ein solcher Umgang mit Passwörtern ist erstens datenschutzrechtlich nicht erlaubt und bringt CIOs und IT-Leiter zweitens möglicherweise selbst in Bedrängnis, wenn etwas passiert. Kommt es zu Missbräuchen, ist der Verursacher zwar möglicherweise bekannt, da aber mehrere Personen Zugriff auf dessen Zugang hatten, kann es letztlich doch jeder gewesen sein. In diesem Fall können verantwortliche CIOs oder Leiter der IT-Abteilung für Schäden haftbar gemacht werden, weil sie diese Praxis der Passwort-Weitergabe geduldet oder gar aktiv gefördert haben. Und auch für Geschäftsführer gibt es ein individuelles Haftungsrisiko, wenn sie ihr Personal - besonders die verantwortlichen IT-Mitarbeiter - nicht sorgfältig ausgesucht und vor allem regelmäßig kontrolliert respektive diese Prüfung zu sorglos delegiert haben.

CW: Sie sprachen die geringen Strafen an - lohnt es überhaupt, viel Zeit und Geld in einen sorgfältigen Datenschutz zu stecken?