Fachartikel & News

Daten­schutz – mit Lupe auf Risi­ko­suche

Viele Unter­neh­mer sind nach­läs­sig im Umgang mit Per­so­nal- oder Kun­den­da­ten. Oft wis­sen sie nicht ein­mal, dass sie qua Gesetz einen Daten­schutz­be­auf­trag­ten brau­chen, des­sen Job das Auf­spü­ren und Schlie­ßen von Sicher­heits­lü­cken ist.

Autor: Eva-Maria Neu­thin­ger


Dateien mit Infor­ma­tio­nen über Kun­den sind nicht pass­wort­ge­schützt und so für jeden Beschäf­tig­ten zugäng­lich. Rech­nun­gen wer­den als Anhang in einer unver­schlüs­sel­ten Mail ver­schickt. Die Fire­wall des Fir­men­netz­werks liegt auf dem Sicher­heits­ni­veau von 2010, womit sie regel­recht zu Hacker­at­ta­cken ein­lädt. Dies sind nur einige der gro­ben Ver­stöße gegen das Bun­des­da­ten­schutz­ge­setz, die für Unter­neh­men teuer wer­den kön­nen, wenn Per­so­nal- oder Kun­den­da­ten ver­schwin­den.

Bei weni­gen Fir­men steht das Thema Daten­schutz bis­her so weit oben auf der Agenda und wird so breit aus­ge­legt wie in der Zen­trale der Town & Coun­try Haus Lizenz­ge­ber GmbH im thü­rin­gi­schen Beh­rin­gen. Sen­si­ble Infor­ma­tio­nen über Kun­den schützt das Fran­chi­se­un­ter­neh­men durch meh­rere Sicher­heits­vor­keh­run­gen. „Zum Bei­spiel sen­den wir prin­zi­pi­ell eine Mail, wenn jemand sich auf unse­rer Inter­net-Seite anmel­det. Anschlie­ßend bestä­tigt der Emp­fän­ger den Vor­gang noch­mals mit einem Klick“, sagt Mar­ke­ting­lei­ter Sebas­tian Reif. So bestä­tigt ein poten­zi­el­ler Kunde aus­drück­lich seine Iden­ti­tät und sein Inter­esse. Außer­dem gewähr­leis­tet die Firma, dass nie­mand ohne Zustim­mung kon­tak­tiert wird, so Reif: „Wir hal­ten in Koope­ra­tion mit Anwäl­ten dazu ent­spre­chende For­mu­lare bereit.“ Dar­über hin­aus wacht ein Daten­schutz­be­auf­trag­ter, wie gesetz­lich vor­ge­schrie­ben, lau­fend dar­über, dass die 57 Mit­ar­bei­ter der Zen­trale rechts­si­cher und ver­ant­wor­tungs­be­wusst mit Infor­ma­tio­nen umge­hen. Ent­spre­chende Schu­lun­gen sind Pflicht.

Das Thema wird ver­kannt. Town & Coun­try Haus gehört damit zur Min­der­heit der deut­schen Unter­neh­men, die sich tat­säch­lich um Daten­schutz küm­mern. „Vor allem bei klei­nen und mitt­le­ren Fir­men sieht das oft ganz anders aus“, klagt Roland Schä­fer, Regio­nal­lei­ter Mitte des Berufs­ver­ban­des der Daten­schutz­be­auf­trag­ten Deutsch­land (BvD) und Experte für Ver­brau­cher­schutz bei der Deut­schen Ver­ei­ni­gung für Daten­schutz (DVD). Ein Drit­tel der Betriebe, schätzt er, schütze aktiv und ver­ant­wor­tungs­be­wusst Daten der Mit­ar­bei­ter oder Kun­den: „Das Thema neh­men die meis­ten nicht ernst.“

Das heißt: Ange­stellte sind nicht sen­si­bi­li­siert, sorg­sam mit Infor­ma­tio­nen umzu­ge­hen. Sie plau­dern leicht­fer­tig Interna aus oder sen­den sorg­los per Mail ohne jede Sicher­heits­vor­keh­rung wich­tige Ver­trags­be­stand­teile. Die meis­ten Unter­neh­men holen weder die vom Gesetz vor­ge­schrie­be­nen Ein­wil­li­gungs­er­klä­run­gen über die Ver­wen­dung von Kun­den­da­ten ein noch sichern sie Akten im Büro – egal ob in Papier- oder elek­tro­ni­scher Form – aus­rei­chend gegen Angriffe von außen.

Und es gibt viele Pro­bleme. Doch erheb­lich mehr Enga­ge­ment für den Schutz vor allem der im Rech­ner gespei­cher­ten Infor­ma­tio­nen wäre ange­bracht. Die poli­zei­li­che Kri­mi­nal­sta­tis­tik zeigt jedes Jahr rund 15.000 Fälle des „Aus­spä­hens und Abfan­gens“ von Daten. Exper­ten schät­zen, dass die Dun­kel­zif­fer um ein Mehr­fa­ches höher liegt. Denn Hacker ver­wi­schen ihre Spu­ren. Oft bemer­ken Betriebe das Kopie­ren von Daten gar nicht. Auch nei­gen betrof­fene Mit­ar­bei­ter dazu, sol­che Pro­bleme unter den Tep­pich zu keh­ren. „Um einen rechts­si­che­ren Umgang zu gewähr­leis­ten, bedarf es des­halb qua­li­fi­zier­ter Schu­lun­gen, am bes­ten orga­ni­siert vom Daten­schutz­be­auf­trag­ten des Unter­neh­mens – genau das aber pas­siert nicht“, moniert Daten­schüt­zer Schä­fer. Dabei dro­hen auch klei­nen und mitt­le­ren Betrie­ben oder Frei­be­ruf­lern bei einem Ver­stoß gegen das Daten­schutz­ge­setz schnell Stra­fen im fünf­stel­li­gen Euro-Bereich. Anlass genug also, Vor­sorge zu tref­fen.

Die Vor­ga­ben sind ein­deu­tig. Prin­zi­pi­ell gilt: Einen Daten­schutz­be­auf­trag­ten müs­sen Unter­neh­men bestel­len, die per­so­nen­be­zo­gene Infor­ma­tio­nen auto­ma­ti­siert ver­ar­bei­ten und damit über neun Per­so­nen beschäf­ti­gen. Bei per­so­nen­be­zo­ge­nen Daten han­delt es sich in ers­ter Linie um Anschrift, E-Mail-Adresse, Tele­fon- und Kon­to­num­mer, aber auch Kre­dit­kar­ten­in­for­ma­tio­nen, Kfz-Kenn­zei­chen oder Per­so­nal­aus­weis- und Sozi­al­ver­si­che­rungs­num­mer. Auto­ma­ti­sierte Ver­ar­bei­tung bedeu­tet vor allem die Erhe­bung oder Nut­zung der Infor­ma­tio­nen durch EDV – also Com­pu­ter, PDAs, moderne Mobil­te­le­fone sowie Video­an­la­gen mit Auf­zeich­nun­gen. Kön­nen also bei­spiels­weise bei einem Ein­zel­händ­ler meh­rere Ver­käu­fer auf die Pri­vat­kun­den­da­tei zugrei­fen und wei­tere Mit­ar­bei­ter auf die Lohn­buch­hal­tung, ist schnell die Neun-Per­so­nen-Grenze über­schrit­ten. Dann steht selbst eine kleine Firma in der Pflicht, einen Daten­schutz­be­auf­trag­ten zu ernen­nen.

Diese Auf­gabe kann aber nicht jeder Mit­ar­bei­ter ohne Wei­te­res erfül­len: Der Spe­zia­list braucht eine beson­dere Qua­li­fi­ka­tion, umfas­sende Kennt­nisse im IT-Bereich sowie gute juris­ti­sche und orga­ni­sa­to­ri­sche Kennt­nisse sind obli­ga­to­risch. Er muss außer­dem wis­sen, wel­che Infor­ma­tio­nen im Unter­neh­men wo und wie ver­ar­bei­tet oder ver­wen­det wer­den. Er soll die Infor­ma­ti­ons­flüsse ana­ly­sie­ren, doku­men­tie­ren und schüt­zen, Schwach­stel­len auf­de­cken sowie für sichere Pro­zesse sor­gen. „Ihm obliegt die Auf­gabe, den Daten­schutz zu kon­trol­lie­ren“, so Schä­fer.

Zwar dürfte die­ser Job in einem mit­tel­stän­di­schen Unter­neh­men in aller Regel keine Voll­zeit­tä­tig­keit sein. Der dafür aus­ge­wählte Mit­ar­bei­ter muss aber trotz­dem genü­gend Zeit bekom­men, um seine Auf­gabe den gesetz­li­chen Vor­schrif­ten sowie betrieb­li­chen Erfor­der­nis­sen ent­spre­chend sorg­fäl­tig zu erfül­len. Wie gut der Daten­schutz­be­auf­tragte und seine Geschäfts­lei­tung den recht­li­chen Vor­ga­ben nach­kom­men, prü­fen die Lan­des­be­hör­den. „Wir haben bei rund 1.000 Unter­neh­men nach­ge­fragt, ob sie einen Daten­schutz­be­auf­trag­ten ernannt haben“, berich­tet Bir­git Weck-Boeckh, die Spre­che­rin des Daten­schutz­be­auf­trag­ten NRW. Zudem gehen die Län­der Beschwer­den nach. Und es fin­den Stich­pro­ben vor Ort statt. Das Risiko auf­zu­fal­len ist also immer da.

Hin­ter­grund

Der Daten­schutz­be­auf­tragte


Laut Daten­schutz­ge­setz brau­chen nicht nur Kon­zerne, son­dern in vie­len Fäl­len auch Mit­tel­ständ­ler einen Daten­schutz­be­auf­trag­ten.

Gesetz: Seit 1. Sep­tem­ber 2009 gilt die Daten­schutz­no­velle II. Sie hat die Anfor­de­run­gen an den Schutz von Mit­ar­bei­ter- und Kun­den­da­ten ver­schärft. Die Behör­den prü­fen zuneh­mend auch im Mit­tel­stand ihre Ein­hal­tung. Bei Ver­stö­ßen sind Buß­gel­der fäl­lig.
Orga­ni­sa­tion: Betrof­fene Fir­men müs­sen ein Daten­schutz­ma­nage­ment ein­rich­ten und ein daten­schutz­recht­li­ches Ver­fah­rens­ver­zeich­nis sowie ein Daten­schutz­hand­buch erstel­len. Sie müs­sen ihre Mit­ar­bei­ter im rich­ti­gen Umgang mit Daten schu­len und auf die Rege­lun­gen des Bun­des­da­ten­schutz­ge­set­zes ver­pflich­ten.
Beauf­trag­ter: Der Daten­schutz­be­auf­tragte darf wegen mög­li­cher Inter­es­sen­kol­li­sion weder Inha­ber noch Gesell­schaf­ter noch in lei­ten­der Funk­tion im Unter­neh­men tätig sein. Er genießt erwei­ter­ten Kün­di­gungs­schutz. Viele Betriebe bestel­len daher alter­na­tiv einen exter­nen Daten­schutz­be­auf­trag­ten.
Unter­stüt­zung bei Daten­schutz: Cle­vere Fir­men­chefs infor­mie­ren sich recht­zei­tig, ob sie betrof­fen sind, und erfül­len die Vor­ga­ben. DATEV unter­stützt sie, etwa durch den Daten­schutz-Check. Damit wird geprüft, ob das Unter­neh­men die Bestim­mun­gen des Bun­des­da­ten­schutz­ge­set­zes ein­hält. Auch der DATEV-Daten­schutz­ex­perte kann Fir­men­chefs zur Seite ste­hen, etwa bei Doku­men­ta­tio­nen, Mit­ar­bei­ter­schu­lun­gen sowie Pro­ble­men mit IT-Sicher­heit. Mehr dazu erfah­ren Sie unter www​.datev​.de/​c​o​n​s​u​l​t​ing > Daten­schutz-Bera­tun­gen.


Quelle: TRIA­LOG, Das Unter­neh­mer­ma­ga­zin Ihrer Bera­ter und der DATEV, Her­aus­ge­ber: DATEV eG, Nürn­berg, Aus­gabe 02/2013

This is a unique website which will require a more modern browser to work! Please upgrade today!