15. März 2013

Daten­schutz – mit Lupe auf Risi­ko­suche

Viele Unter­nehmer sind nach­lässig im Umgang mit Personal- oder Kunden­daten. Oft wissen sie nicht einmal, dass sie qua Gesetz einen Daten­schutz­be­auf­tragten brau­chen, dessen Job das Aufspüren und Schließen von Sicher­heits­lü­cken ist.

Autor: Eva-Maria Neuthinger

Dateien mit Infor­ma­tionen über Kunden sind nicht pass­wort­ge­schützt und so für jeden Beschäf­tigten zugäng­lich. Rech­nungen werden als Anhang in einer unver­schlüs­selten Mail verschickt. Die Fire­wall des Firmen­netz­werks liegt auf dem Sicher­heits­ni­veau von 2010, womit sie regel­recht zu Hacker­at­ta­cken einlädt. Dies sind nur einige der groben Verstöße gegen das Bundes­da­ten­schutz­ge­setz, die für Unter­nehmen teuer werden können, wenn Personal- oder Kunden­daten verschwinden.

Bei wenigen Firmen steht das Thema Daten­schutz bisher so weit oben auf der Agenda und wird so breit ausge­legt wie in der Zentrale der Town & Country Haus Lizenz­geber GmbH im thürin­gi­schen Behringen. Sensible Infor­ma­tionen über Kunden schützt das Fran­chise­un­ter­nehmen durch mehrere Sicher­heits­vor­keh­rungen. „Zum Beispiel senden wir prin­zi­piell eine Mail, wenn jemand sich auf unserer Internet-Seite anmeldet. Anschlie­ßend bestä­tigt der Empfänger den Vorgang noch­mals mit einem Klick“, sagt Marke­ting­leiter Sebas­tian Reif. So bestä­tigt ein poten­zi­eller Kunde ausdrück­lich seine Iden­tität und sein Inter­esse. Außerdem gewähr­leistet die Firma, dass niemand ohne Zustim­mung kontak­tiert wird, so Reif: „Wir halten in Koope­ra­tion mit Anwälten dazu entspre­chende Formu­lare bereit.“ Darüber hinaus wacht ein Daten­schutz­be­auf­tragter, wie gesetz­lich vorge­schrieben, laufend darüber, dass die 57 Mitar­beiter der Zentrale rechts­si­cher und verant­wor­tungs­be­wusst mit Infor­ma­tionen umgehen. Entspre­chende Schu­lungen sind Pflicht.

Das Thema wird verkannt. Town & Country Haus gehört damit zur Minder­heit der deut­schen Unter­nehmen, die sich tatsäch­lich um Daten­schutz kümmern. „Vor allem bei kleinen und mitt­leren Firmen sieht das oft ganz anders aus“, klagt Roland Schäfer, Regio­nal­leiter Mitte des Berufs­ver­bandes der Daten­schutz­be­auf­tragten Deutsch­land (BvD) und Experte für Verbrau­cher­schutz bei der Deut­schen Verei­ni­gung für Daten­schutz (DVD). Ein Drittel der Betriebe, schätzt er, schütze aktiv und verant­wor­tungs­be­wusst Daten der Mitar­beiter oder Kunden: „Das Thema nehmen die meisten nicht ernst.“

Das heißt: Ange­stellte sind nicht sensi­bi­li­siert, sorgsam mit Infor­ma­tionen umzu­gehen. Sie plau­dern leicht­fertig Interna aus oder senden sorglos per Mail ohne jede Sicher­heits­vor­keh­rung wich­tige Vertrags­be­stand­teile. Die meisten Unter­nehmen holen weder die vom Gesetz vorge­schrie­benen Einwil­li­gungs­er­klä­rungen über die Verwen­dung von Kunden­daten ein noch sichern sie Akten im Büro – egal ob in Papier- oder elek­tro­ni­scher Form – ausrei­chend gegen Angriffe von außen.

Und es gibt viele Probleme. Doch erheb­lich mehr Enga­ge­ment für den Schutz vor allem der im Rechner gespei­cherten Infor­ma­tionen wäre ange­bracht. Die poli­zei­liche Krimi­nal­sta­tistik zeigt jedes Jahr rund 15.000 Fälle des „Ausspä­hens und Abfan­gens“ von Daten. Experten schätzen, dass die Dunkel­ziffer um ein Mehr­fa­ches höher liegt. Denn Hacker verwi­schen ihre Spuren. Oft bemerken Betriebe das Kopieren von Daten gar nicht. Auch neigen betrof­fene Mitar­beiter dazu, solche Probleme unter den Teppich zu kehren. „Um einen rechts­si­cheren Umgang zu gewähr­leisten, bedarf es deshalb quali­fi­zierter Schu­lungen, am besten orga­ni­siert vom Daten­schutz­be­auf­tragten des Unter­neh­mens – genau das aber passiert nicht“, moniert Daten­schützer Schäfer. Dabei drohen auch kleinen und mitt­leren Betrieben oder Frei­be­ruf­lern bei einem Verstoß gegen das Daten­schutz­ge­setz schnell Strafen im fünf­stel­ligen Euro-Bereich. Anlass genug also, Vorsorge zu treffen.

Die Vorgaben sind eindeutig. Prin­zi­piell gilt: Einen Daten­schutz­be­auf­tragten müssen Unter­nehmen bestellen, die perso­nen­be­zo­gene Infor­ma­tionen auto­ma­ti­siert verar­beiten und damit über neun Personen beschäf­tigen. Bei perso­nen­be­zo­genen Daten handelt es sich in erster Linie um Anschrift, E-Mail-Adresse, Telefon- und Konto­nummer, aber auch Kredit­kar­ten­in­for­ma­tionen, Kfz-Kenn­zei­chen oder Perso­nal­aus­weis- und Sozi­al­ver­si­che­rungs­nummer. Auto­ma­ti­sierte Verar­bei­tung bedeutet vor allem die Erhe­bung oder Nutzung der Infor­ma­tionen durch EDV – also Computer, PDAs, moderne Mobil­te­le­fone sowie Video­an­lagen mit Aufzeich­nungen. Können also beispiels­weise bei einem Einzel­händler mehrere Verkäufer auf die Privat­kun­den­datei zugreifen und weitere Mitar­beiter auf die Lohn­buch­hal­tung, ist schnell die Neun-Personen-Grenze über­schritten. Dann steht selbst eine kleine Firma in der Pflicht, einen Daten­schutz­be­auf­tragten zu ernennen.

Diese Aufgabe kann aber nicht jeder Mitar­beiter ohne Weiteres erfüllen: Der Spezia­list braucht eine beson­dere Quali­fi­ka­tion, umfas­sende Kennt­nisse im IT-Bereich sowie gute juris­ti­sche und orga­ni­sa­to­ri­sche Kennt­nisse sind obli­ga­to­risch. Er muss außerdem wissen, welche Infor­ma­tionen im Unter­nehmen wo und wie verar­beitet oder verwendet werden. Er soll die Infor­ma­ti­ons­flüsse analy­sieren, doku­men­tieren und schützen, Schwach­stellen aufde­cken sowie für sichere Prozesse sorgen. „Ihm obliegt die Aufgabe, den Daten­schutz zu kontrol­lieren“, so Schäfer.

Zwar dürfte dieser Job in einem mittel­stän­di­schen Unter­nehmen in aller Regel keine Voll­zeit­tä­tig­keit sein. Der dafür ausge­wählte Mitar­beiter muss aber trotzdem genü­gend Zeit bekommen, um seine Aufgabe den gesetz­li­chen Vorschriften sowie betrieb­li­chen Erfor­der­nissen entspre­chend sorg­fältig zu erfüllen. Wie gut der Daten­schutz­be­auf­tragte und seine Geschäfts­lei­tung den recht­li­chen Vorgaben nach­kommen, prüfen die Landes­be­hörden. „Wir haben bei rund 1.000 Unter­nehmen nach­ge­fragt, ob sie einen Daten­schutz­be­auf­tragten ernannt haben“, berichtet Birgit Weck-Boeckh, die Spre­cherin des Daten­schutz­be­auf­tragten NRW. Zudem gehen die Länder Beschwerden nach. Und es finden Stich­proben vor Ort statt. Das Risiko aufzu­fallen ist also immer da.

Hinter­grund

Der Daten­schutz­be­auf­tragte


Laut Daten­schutz­ge­setz brau­chen nicht nur Konzerne, sondern in vielen Fällen auch Mittel­ständler einen Daten­schutz­be­auf­tragten.

Gesetz: Seit 1. September 2009 gilt die Daten­schutz­no­velle II. Sie hat die Anfor­de­rungen an den Schutz von Mitar­beiter- und Kunden­daten verschärft. Die Behörden prüfen zuneh­mend auch im Mittel­stand ihre Einhal­tung. Bei Verstößen sind Bußgelder fällig.
Orga­ni­sa­tion: Betrof­fene Firmen müssen ein Daten­schutz­ma­nage­ment einrichten und ein daten­schutz­recht­li­ches Verfah­rens­ver­zeichnis sowie ein Daten­schutz­hand­buch erstellen. Sie müssen ihre Mitar­beiter im rich­tigen Umgang mit Daten schulen und auf die Rege­lungen des Bundes­da­ten­schutz­ge­setzes verpflichten.
Beauf­tragter: Der Daten­schutz­be­auf­tragte darf wegen mögli­cher Inter­es­sen­kol­li­sion weder Inhaber noch Gesell­schafter noch in leitender Funk­tion im Unter­nehmen tätig sein. Er genießt erwei­terten Kündi­gungs­schutz. Viele Betriebe bestellen daher alter­nativ einen externen Daten­schutz­be­auf­tragten.
Unter­stüt­zung bei Daten­schutz: Clevere Firmen­chefs infor­mieren sich recht­zeitig, ob sie betroffen sind, und erfüllen die Vorgaben. DATEV unter­stützt sie, etwa durch den Daten­schutz-Check. Damit wird geprüft, ob das Unter­nehmen die Bestim­mungen des Bundes­da­ten­schutz­ge­setzes einhält. Auch der DATEV-Daten­schutz­ex­perte kann Firmen­chefs zur Seite stehen, etwa bei Doku­men­ta­tionen, Mitar­bei­ter­schu­lungen sowie Problemen mit IT-Sicher­heit. Mehr dazu erfahren Sie unter www.datev.de/consulting > Daten­schutz-Bera­tungen.

Quelle: TRIALOG, Das Unter­neh­mer­ma­gazin Ihrer Berater und der DATEV, Heraus­geber: DATEV eG, Nürn­berg, Ausgabe 02/2013