Datenschutz

Ein Passwort alleine genügt nicht

12.06.2006
Von Katharina Friedmann
Das Thema Datenschutz bringt für Unternehmen eine ganze Reihe gesetzlicher Pflichten mit sich. Wer es damit nicht so genau nimmt, muss mit ernsten Konsequenzen rechnen.

Zahlreiche US-amerikanische Firmen - darunter Citigroup, Bank of America und der TK-Konzern MCI - sahen sich in den vergangenen Monaten gezwungen, den Verlust sensibler Daten Tausender Kunden und Mitarbeiter publik zu machen.

Hier lesen Sie ?

  • was Unternehmen riskieren, wenn sie nachlässig mit Personendaten umgehen;

  • welche Datenschutzmaßnahmen gesetzlich vorgeschrieben sind;

  • wie es in der deutschen Firmenlandschaft um den Schutz personenbezogener Daten bestellt ist.

Mit einzelnen Schutzmaßnahmen ist es nicht getan: Der Gesetzgeber fordert ein stimmiges Gesamtkonzept.
Mit einzelnen Schutzmaßnahmen ist es nicht getan: Der Gesetzgeber fordert ein stimmiges Gesamtkonzept.

In Deutschland müssen Vorfälle dieser Art nicht veröffentlicht werden, was jedoch nicht heißt, dass hierzulande mehr Umsicht im Umgang mit personenbezogenen Daten herrscht. Erst vor wenigen Wochen kam es beispielsweise zu einer ernsten Datenschutzpanne bei "DSL on Air" des Betreibers DBD (Deutsche Breitbanddienste): Über dessen Web-Seite ließen sich detaillierte Informationen zu Personen abrufen, die die Freischaltung der DSL-Alternative beantragt hatten. Via Internet waren dabei zahlreiche unverschlüsselte Datensätze mit detaillierten Angaben - Name, Anschrift, E-Mail-Adresse, Geburtsdatum, Telefonnummer, Kennwort und Bankverbindung - für jedermann einsehbar (siehe "Datenschutzpanne bei Breitbandanbieter").

Auch die Tätigkeitsberichte der deutschen Datenschutzaufsichtsbehörden liefern Hinweise darauf, dass es viele Firmen mit diesem Thema nicht so genau nehmen. So berichtet etwa der Hamburgische Datenschutzbeauftragte in seinem Jahresbericht 2004/2005, dass immerhin 20 Prozent von 125 geprüften Unternehmen trotz gesetzlicher Verpflichtung keinen betrieblichen Datenschutzbeauftragten bestellt hatten. Weit mehr als die Hälfte dieser Betriebe konnte das vorgeschriebene Verzeichnis der firmenintern eingesetzten elektronischen Datenverarbeitungsverfahren nicht oder nur unvollständig vorlegen. Zudem waren in vielen Fällen Anwendungen nicht hinreichend gegen unberechtigte Zugriffe geschützt. Auch sonstige technische und organisatorische Maßnahmen zum Schutz der Personendaten wiesen der Behörde zufolge zum Teil gravierende Mängel auf.