Viele Unternehmer sind nachlässig im Umgang mit Personal- oder Kundendaten. Oft wissen sie nicht einmal, dass sie qua Gesetz einen Datenschutzbeauftragten brauchen, dessen Job das Aufspüren und Schließen von Sicherheitslücken ist.

Autor: Eva-Maria Neuthinger

---

Dateien mit Infor­ma­tio­nen über Kun­den sind nicht pass­wort­geschützt und so für jeden Beschäftigten zugänglich. Rech­nun­gen wer­den als Anhang in ein­er unver­schlüs­sel­ten Mail ver­schickt. Die Fire­wall des Fir­men­net­zw­erks liegt auf dem Sicher­heit­sniveau von 2010, wom­it sie regel­recht zu Hack­er­at­tack­en ein­lädt. Dies sind nur einige der groben Ver­stöße gegen das Bun­des­daten­schutzge­setz, die für Unternehmen teuer wer­den kön­nen, wenn Per­son­al- oder Kun­den­dat­en verschwinden.

Bei weni­gen Fir­men ste­ht das The­ma Daten­schutz bish­er so weit oben auf der Agen­da und wird so bre­it aus­gelegt wie in der Zen­trale der Town & Coun­try Haus Lizen­zge­ber GmbH im thüringis­chen Behrin­gen. Sen­si­ble Infor­ma­tio­nen über Kun­den schützt das Fran­chise­un­ternehmen durch mehrere Sicher­heitsvorkehrun­gen. „Zum Beispiel senden wir prinzip­iell eine Mail, wenn jemand sich auf unser­er Inter­net-Seite anmeldet. Anschließend bestätigt der Empfänger den Vor­gang nochmals mit einem Klick“, sagt Mar­ket­ingleit­er Sebas­t­ian Reif. So bestätigt ein poten­zieller Kunde aus­drück­lich seine Iden­tität und sein Inter­esse. Außer­dem gewährleis­tet die Fir­ma, dass nie­mand ohne Zus­tim­mung kon­tak­tiert wird, so Reif: „Wir hal­ten in Koop­er­a­tion mit Anwäl­ten dazu entsprechende For­mu­la­re bere­it.“ Darüber hin­aus wacht ein Daten­schutzbeauf­tragter, wie geset­zlich vorgeschrieben, laufend darüber, dass die 57 Mitar­beit­er der Zen­trale rechtssich­er und ver­ant­wor­tungs­be­wusst mit Infor­ma­tio­nen umge­hen. Entsprechende Schu­lun­gen sind Pflicht.

Das The­ma wird verkan­nt. Town & Coun­try Haus gehört damit zur Min­der­heit der deutschen Unternehmen, die sich tat­säch­lich um Daten­schutz küm­mern. „Vor allem bei kleinen und mit­tleren Fir­men sieht das oft ganz anders aus“, klagt Roland Schäfer, Region­alleit­er Mitte des Berufsver­ban­des der Daten­schutzbeauf­tragten Deutsch­land (BvD) und Experte für Ver­brauch­er­schutz bei der Deutschen Vere­ini­gung für Daten­schutz (DVD). Ein Drit­tel der Betriebe, schätzt er, schütze aktiv und ver­ant­wor­tungs­be­wusst Dat­en der Mitar­beit­er oder Kun­den: „Das The­ma nehmen die meis­ten nicht ernst.“

Das heißt: Angestellte sind nicht sen­si­bil­isiert, sorgsam mit Infor­ma­tio­nen umzuge­hen. Sie plaud­ern leicht­fer­tig Inter­na aus oder senden sor­g­los per Mail ohne jede Sicher­heitsvorkehrung wichtige Ver­trags­be­standteile. Die meis­ten Unternehmen holen wed­er die vom Gesetz vorgeschriebe­nen Ein­willi­gungserk­lärun­gen über die Ver­wen­dung von Kun­den­dat­en ein noch sich­ern sie Akten im Büro – egal ob in Papi­er- oder elek­tro­n­is­ch­er Form – aus­re­ichend gegen Angriffe von außen.

Und es gibt viele Prob­leme. Doch erhe­blich mehr Engage­ment für den Schutz vor allem der im Rech­n­er gespe­icherten Infor­ma­tio­nen wäre ange­bracht. Die polizeiliche Krim­i­nal­sta­tis­tik zeigt jedes Jahr rund 15.000 Fälle des „Ausspähens und Abfan­gens“ von Dat­en. Experten schätzen, dass die Dunkelz­if­fer um ein Mehrfach­es höher liegt. Denn Hack­er ver­wis­chen ihre Spuren. Oft bemerken Betriebe das Kopieren von Dat­en gar nicht. Auch neigen betrof­fene Mitar­beit­er dazu, solche Prob­leme unter den Tep­pich zu kehren. „Um einen rechtssicheren Umgang zu gewährleis­ten, bedarf es deshalb qual­i­fiziert­er Schu­lun­gen, am besten organ­isiert vom Daten­schutzbeauf­tragten des Unternehmens – genau das aber passiert nicht“, moniert Daten­schützer Schäfer. Dabei dro­hen auch kleinen und mit­tleren Betrieben oder Freiberu­flern bei einem Ver­stoß gegen das Daten­schutzge­setz schnell Strafen im fün­f­stel­li­gen Euro-Bere­ich. Anlass genug also, Vor­sorge zu treffen.

Die Vor­gaben sind ein­deutig. Prinzip­iell gilt: Einen Daten­schutzbeauf­tragten müssen Unternehmen bestellen, die per­so­n­en­be­zo­gene Infor­ma­tio­nen automa­tisiert ver­ar­beit­en und damit über neun Per­so­n­en beschäfti­gen. Bei per­so­n­en­be­zo­ge­nen Dat­en han­delt es sich in erster Lin­ie um Anschrift, E‑Mail-Adresse, Tele­fon- und Kon­ton­um­mer, aber auch Kred­itkarten­in­for­ma­tio­nen, Kfz-Kennze­ichen oder Per­son­alausweis- und Sozialver­sicherungsnum­mer. Automa­tisierte Ver­ar­beitung bedeutet vor allem die Erhe­bung oder Nutzung der Infor­ma­tio­nen durch EDV – also Com­put­er, PDAs, mod­erne Mobil­tele­fone sowie Videoan­la­gen mit Aufze­ich­nun­gen. Kön­nen also beispiel­sweise bei einem Einzel­händler mehrere Verkäufer auf die Pri­vatkun­den­datei zugreifen und weit­ere Mitar­beit­er auf die Lohn­buch­hal­tung, ist schnell die Neun-Per­so­n­en-Gren­ze über­schrit­ten. Dann ste­ht selb­st eine kleine Fir­ma in der Pflicht, einen Daten­schutzbeauf­tragten zu ernennen.

Diese Auf­gabe kann aber nicht jed­er Mitar­beit­er ohne Weit­eres erfüllen: Der Spezial­ist braucht eine beson­dere Qual­i­fika­tion, umfassende Ken­nt­nisse im IT-Bere­ich sowie gute juris­tis­che und organ­isatorische Ken­nt­nisse sind oblig­a­torisch. Er muss außer­dem wis­sen, welche Infor­ma­tio­nen im Unternehmen wo und wie ver­ar­beit­et oder ver­wen­det wer­den. Er soll die Infor­ma­tions­flüsse analysieren, doku­men­tieren und schützen, Schwach­stellen aufdeck­en sowie für sichere Prozesse sor­gen. „Ihm obliegt die Auf­gabe, den Daten­schutz zu kon­trol­lieren“, so Schäfer.

Zwar dürfte dieser Job in einem mit­tel­ständis­chen Unternehmen in aller Regel keine Vol­lzeit­tätigkeit sein. Der dafür aus­gewählte Mitar­beit­er muss aber trotz­dem genü­gend Zeit bekom­men, um seine Auf­gabe den geset­zlichen Vorschriften sowie betrieblichen Erfordernissen entsprechend sorgfältig zu erfüllen. Wie gut der Daten­schutzbeauf­tragte und seine Geschäft­sleitung den rechtlichen Vor­gaben nachkom­men, prüfen die Lan­des­be­hör­den. „Wir haben bei rund 1.000 Unternehmen nachge­fragt, ob sie einen Daten­schutzbeauf­tragten ernan­nt haben“, berichtet Bir­git Weck-Boeckh, die Sprecherin des Daten­schutzbeauf­tragten NRW. Zudem gehen die Län­der Beschw­er­den nach. Und es find­en Stich­proben vor Ort statt. Das Risiko aufz­u­fall­en ist also immer da.

Hintergrund

Der Daten­schutzbeauf­tragte

---

Laut Daten­schutzge­setz brauchen nicht nur Konz­erne, son­dern in vie­len Fällen auch Mit­tel­ständler einen Datenschutzbeauftragten.

Gesetz: Seit 1. Sep­tem­ber 2009 gilt die Daten­schutznov­el­le II. Sie hat die Anforderun­gen an den Schutz von Mitar­beit­er- und Kun­den­dat­en ver­schärft. Die Behör­den prüfen zunehmend auch im Mit­tel­stand ihre Ein­hal­tung. Bei Ver­stößen sind Bußgelder fällig.
Organ­i­sa­tion: Betrof­fene Fir­men müssen ein Daten­schutz­man­age­ment ein­richt­en und ein daten­schutzrechtlich­es Ver­fahrensverze­ich­nis sowie ein Daten­schutzhand­buch erstellen. Sie müssen ihre Mitar­beit­er im richti­gen Umgang mit Dat­en schulen und auf die Regelun­gen des Bun­des­daten­schutzge­set­zes verpflichten.
Beauf­tragter: Der Daten­schutzbeauf­tragte darf wegen möglich­er Inter­essenkol­li­sion wed­er Inhab­er noch Gesellschafter noch in lei­t­en­der Funk­tion im Unternehmen tätig sein. Er genießt erweit­erten Kündi­gungss­chutz. Viele Betriebe bestellen daher alter­na­tiv einen exter­nen Datenschutzbeauftragten.
Unter­stützung bei Daten­schutz: Cle­vere Fir­menchefs informieren sich rechtzeit­ig, ob sie betrof­fen sind, und erfüllen die Vor­gaben. DATEV unter­stützt sie, etwa durch den Daten­schutz-Check. Damit wird geprüft, ob das Unternehmen die Bes­tim­mungen des Bun­des­daten­schutzge­set­zes ein­hält. Auch der DAT­EV-Daten­schutzex­perte kann Fir­menchefs zur Seite ste­hen, etwa bei Doku­men­ta­tio­nen, Mitar­beit­er­schu­lun­gen sowie Prob­le­men mit IT-Sicher­heit. Mehr dazu erfahren Sie unter www.datev.de/consulting > Datenschutz-Beratungen.

---

Quelle: TRIALOG, Das Unternehmer­magazin Ihrer Berater und der DATEV, Her­aus­ge­ber: DATEV eG, Nürn­berg, Aus­gabe 02/2013