Datenschutz – mit Lupe auf Risikosuche
Viele Unternehmer sind nachlässig im Umgang mit Personal- oder Kundendaten. Oft wissen sie nicht einmal, dass sie qua Gesetz einen Datenschutzbeauftragten brauchen, dessen Job das Aufspüren und Schließen von Sicherheitslücken ist.
Autor: Eva-Maria Neuthinger
Dateien mit Informationen über Kunden sind nicht passwortgeschützt und so für jeden Beschäftigten zugänglich. Rechnungen werden als Anhang in einer unverschlüsselten Mail verschickt. Die Firewall des Firmennetzwerks liegt auf dem Sicherheitsniveau von 2010, womit sie regelrecht zu Hackerattacken einlädt. Dies sind nur einige der groben Verstöße gegen das Bundesdatenschutzgesetz, die für Unternehmen teuer werden können, wenn Personal- oder Kundendaten verschwinden.
Bei wenigen Firmen steht das Thema Datenschutz bisher so weit oben auf der Agenda und wird so breit ausgelegt wie in der Zentrale der Town & Country Haus Lizenzgeber GmbH im thüringischen Behringen. Sensible Informationen über Kunden schützt das Franchiseunternehmen durch mehrere Sicherheitsvorkehrungen. „Zum Beispiel senden wir prinzipiell eine Mail, wenn jemand sich auf unserer Internet-Seite anmeldet. Anschließend bestätigt der Empfänger den Vorgang nochmals mit einem Klick“, sagt Marketingleiter Sebastian Reif. So bestätigt ein potenzieller Kunde ausdrücklich seine Identität und sein Interesse. Außerdem gewährleistet die Firma, dass niemand ohne Zustimmung kontaktiert wird, so Reif: „Wir halten in Kooperation mit Anwälten dazu entsprechende Formulare bereit.“ Darüber hinaus wacht ein Datenschutzbeauftragter, wie gesetzlich vorgeschrieben, laufend darüber, dass die 57 Mitarbeiter der Zentrale rechtssicher und verantwortungsbewusst mit Informationen umgehen. Entsprechende Schulungen sind Pflicht.
Das Thema wird verkannt. Town & Country Haus gehört damit zur Minderheit der deutschen Unternehmen, die sich tatsächlich um Datenschutz kümmern. „Vor allem bei kleinen und mittleren Firmen sieht das oft ganz anders aus“, klagt Roland Schäfer, Regionalleiter Mitte des Berufsverbandes der Datenschutzbeauftragten Deutschland (BvD) und Experte für Verbraucherschutz bei der Deutschen Vereinigung für Datenschutz (DVD). Ein Drittel der Betriebe, schätzt er, schütze aktiv und verantwortungsbewusst Daten der Mitarbeiter oder Kunden: „Das Thema nehmen die meisten nicht ernst.“
Das heißt: Angestellte sind nicht sensibilisiert, sorgsam mit Informationen umzugehen. Sie plaudern leichtfertig Interna aus oder senden sorglos per Mail ohne jede Sicherheitsvorkehrung wichtige Vertragsbestandteile. Die meisten Unternehmen holen weder die vom Gesetz vorgeschriebenen Einwilligungserklärungen über die Verwendung von Kundendaten ein noch sichern sie Akten im Büro – egal ob in Papier- oder elektronischer Form – ausreichend gegen Angriffe von außen.
Und es gibt viele Probleme. Doch erheblich mehr Engagement für den Schutz vor allem der im Rechner gespeicherten Informationen wäre angebracht. Die polizeiliche Kriminalstatistik zeigt jedes Jahr rund 15.000 Fälle des „Ausspähens und Abfangens“ von Daten. Experten schätzen, dass die Dunkelziffer um ein Mehrfaches höher liegt. Denn Hacker verwischen ihre Spuren. Oft bemerken Betriebe das Kopieren von Daten gar nicht. Auch neigen betroffene Mitarbeiter dazu, solche Probleme unter den Teppich zu kehren. „Um einen rechtssicheren Umgang zu gewährleisten, bedarf es deshalb qualifizierter Schulungen, am besten organisiert vom Datenschutzbeauftragten des Unternehmens – genau das aber passiert nicht“, moniert Datenschützer Schäfer. Dabei drohen auch kleinen und mittleren Betrieben oder Freiberuflern bei einem Verstoß gegen das Datenschutzgesetz schnell Strafen im fünfstelligen Euro-Bereich. Anlass genug also, Vorsorge zu treffen.
Die Vorgaben sind eindeutig. Prinzipiell gilt: Einen Datenschutzbeauftragten müssen Unternehmen bestellen, die personenbezogene Informationen automatisiert verarbeiten und damit über neun Personen beschäftigen. Bei personenbezogenen Daten handelt es sich in erster Linie um Anschrift, E-Mail-Adresse, Telefon- und Kontonummer, aber auch Kreditkarteninformationen, Kfz-Kennzeichen oder Personalausweis- und Sozialversicherungsnummer. Automatisierte Verarbeitung bedeutet vor allem die Erhebung oder Nutzung der Informationen durch EDV – also Computer, PDAs, moderne Mobiltelefone sowie Videoanlagen mit Aufzeichnungen. Können also beispielsweise bei einem Einzelhändler mehrere Verkäufer auf die Privatkundendatei zugreifen und weitere Mitarbeiter auf die Lohnbuchhaltung, ist schnell die Neun-Personen-Grenze überschritten. Dann steht selbst eine kleine Firma in der Pflicht, einen Datenschutzbeauftragten zu ernennen.
Diese Aufgabe kann aber nicht jeder Mitarbeiter ohne Weiteres erfüllen: Der Spezialist braucht eine besondere Qualifikation, umfassende Kenntnisse im IT-Bereich sowie gute juristische und organisatorische Kenntnisse sind obligatorisch. Er muss außerdem wissen, welche Informationen im Unternehmen wo und wie verarbeitet oder verwendet werden. Er soll die Informationsflüsse analysieren, dokumentieren und schützen, Schwachstellen aufdecken sowie für sichere Prozesse sorgen. „Ihm obliegt die Aufgabe, den Datenschutz zu kontrollieren“, so Schäfer.
Zwar dürfte dieser Job in einem mittelständischen Unternehmen in aller Regel keine Vollzeittätigkeit sein. Der dafür ausgewählte Mitarbeiter muss aber trotzdem genügend Zeit bekommen, um seine Aufgabe den gesetzlichen Vorschriften sowie betrieblichen Erfordernissen entsprechend sorgfältig zu erfüllen. Wie gut der Datenschutzbeauftragte und seine Geschäftsleitung den rechtlichen Vorgaben nachkommen, prüfen die Landesbehörden. „Wir haben bei rund 1.000 Unternehmen nachgefragt, ob sie einen Datenschutzbeauftragten ernannt haben“, berichtet Birgit Weck-Boeckh, die Sprecherin des Datenschutzbeauftragten NRW. Zudem gehen die Länder Beschwerden nach. Und es finden Stichproben vor Ort statt. Das Risiko aufzufallen ist also immer da.
Hintergrund
Der Datenschutzbeauftragte
Laut Datenschutzgesetz brauchen nicht nur Konzerne, sondern in vielen Fällen auch Mittelständler einen Datenschutzbeauftragten.
Gesetz: Seit 1. September 2009 gilt die Datenschutznovelle II. Sie hat die Anforderungen an den Schutz von Mitarbeiter- und Kundendaten verschärft. Die Behörden prüfen zunehmend auch im Mittelstand ihre Einhaltung. Bei Verstößen sind Bußgelder fällig.
Organisation: Betroffene Firmen müssen ein Datenschutzmanagement einrichten und ein datenschutzrechtliches Verfahrensverzeichnis sowie ein Datenschutzhandbuch erstellen. Sie müssen ihre Mitarbeiter im richtigen Umgang mit Daten schulen und auf die Regelungen des Bundesdatenschutzgesetzes verpflichten.
Beauftragter: Der Datenschutzbeauftragte darf wegen möglicher Interessenkollision weder Inhaber noch Gesellschafter noch in leitender Funktion im Unternehmen tätig sein. Er genießt erweiterten Kündigungsschutz. Viele Betriebe bestellen daher alternativ einen externen Datenschutzbeauftragten.
Unterstützung bei Datenschutz: Clevere Firmenchefs informieren sich rechtzeitig, ob sie betroffen sind, und erfüllen die Vorgaben. DATEV unterstützt sie, etwa durch den Datenschutz-Check. Damit wird geprüft, ob das Unternehmen die Bestimmungen des Bundesdatenschutzgesetzes einhält. Auch der DATEV-Datenschutzexperte kann Firmenchefs zur Seite stehen, etwa bei Dokumentationen, Mitarbeiterschulungen sowie Problemen mit IT-Sicherheit. Mehr dazu erfahren Sie unter www.datev.de/consulting > Datenschutz-Beratungen.
Quelle: TRIALOG, Das Unternehmermagazin Ihrer Berater und der DATEV, Herausgeber: DATEV eG, Nürnberg, Ausgabe 02/2013