Fachartikel & News

Daten­schutz – mit Lupe auf Risiko­suche

Viele Unter­nehmer sind nachlässig im Umgang mit Personal- oder Kunden­daten. Oft wissen sie nicht einmal, dass sie qua Gesetz einen Daten­schutz­be­auf­tragten brauchen, dessen Job das Aufspüren und Schließen von Sicher­heits­lücken ist.

Autor: Eva-Maria Neuthinger


Dateien mit Infor­ma­tionen über Kunden sind nicht passwort­ge­schützt und so für jeden Beschäf­tigten zugänglich. Rechnungen werden als Anhang in einer unver­schlüs­selten Mail verschickt. Die Firewall des Firmen­netz­werks liegt auf dem Sicher­heits­niveau von 2010, womit sie regel­recht zu Hacker­at­tacken einlädt. Dies sind nur einige der groben Verstöße gegen das Bundes­da­ten­schutz­gesetz, die für Unter­nehmen teuer werden können, wenn Personal- oder Kunden­daten verschwinden.

Bei wenigen Firmen steht das Thema Daten­schutz bisher so weit oben auf der Agenda und wird so breit ausgelegt wie in der Zentrale der Town & Country Haus Lizenz­geber GmbH im thürin­gi­schen Behringen. Sensible Infor­ma­tionen über Kunden schützt das Franchi­se­un­ter­nehmen durch mehrere Sicher­heits­vor­keh­rungen. „Zum Beispiel senden wir prinzi­piell eine Mail, wenn jemand sich auf unserer Internet-Seite anmeldet. Anschließend bestätigt der Empfänger den Vorgang nochmals mit einem Klick“, sagt Marke­ting­leiter Sebastian Reif. So bestätigt ein poten­zi­eller Kunde ausdrücklich seine Identität und sein Interesse. Außerdem gewähr­leistet die Firma, dass niemand ohne Zustimmung kontak­tiert wird, so Reif: „Wir halten in Koope­ration mit Anwälten dazu entspre­chende Formulare bereit.“ Darüber hinaus wacht ein Daten­schutz­be­auf­tragter, wie gesetzlich vorge­schrieben, laufend darüber, dass die 57 Mitar­beiter der Zentrale rechts­sicher und verant­wor­tungs­be­wusst mit Infor­ma­tionen umgehen. Entspre­chende Schulungen sind Pflicht.

Das Thema wird verkannt. Town & Country Haus gehört damit zur Minderheit der deutschen Unter­nehmen, die sich tatsächlich um Daten­schutz kümmern. „Vor allem bei kleinen und mittleren Firmen sieht das oft ganz anders aus“, klagt Roland Schäfer, Regio­nal­leiter Mitte des Berufs­ver­bandes der Daten­schutz­be­auf­tragten Deutschland (BvD) und Experte für Verbrau­cher­schutz bei der Deutschen Verei­nigung für Daten­schutz (DVD). Ein Drittel der Betriebe, schätzt er, schütze aktiv und verant­wor­tungs­be­wusst Daten der Mitar­beiter oder Kunden: „Das Thema nehmen die meisten nicht ernst.“

Das heißt: Angestellte sind nicht sensi­bi­li­siert, sorgsam mit Infor­ma­tionen umzugehen. Sie plaudern leicht­fertig Interna aus oder senden sorglos per Mail ohne jede Sicher­heits­vor­kehrung wichtige Vertrags­be­stand­teile. Die meisten Unter­nehmen holen weder die vom Gesetz vorge­schrie­benen Einwil­li­gungs­er­klä­rungen über die Verwendung von Kunden­daten ein noch sichern sie Akten im Büro – egal ob in Papier- oder elektro­ni­scher Form – ausrei­chend gegen Angriffe von außen.

Und es gibt viele Probleme. Doch erheblich mehr Engagement für den Schutz vor allem der im Rechner gespei­cherten Infor­ma­tionen wäre angebracht. Die polizei­liche Krimi­nal­sta­tistik zeigt jedes Jahr rund 15.000 Fälle des „Ausspähens und Abfangens“ von Daten. Experten schätzen, dass die Dunkel­ziffer um ein Mehrfaches höher liegt. Denn Hacker verwi­schen ihre Spuren. Oft bemerken Betriebe das Kopieren von Daten gar nicht. Auch neigen betroffene Mitar­beiter dazu, solche Probleme unter den Teppich zu kehren. „Um einen rechts­si­cheren Umgang zu gewähr­leisten, bedarf es deshalb quali­fi­zierter Schulungen, am besten organi­siert vom Daten­schutz­be­auf­tragten des Unter­nehmens – genau das aber passiert nicht“, moniert Daten­schützer Schäfer. Dabei drohen auch kleinen und mittleren Betrieben oder Freibe­ruflern bei einem Verstoß gegen das Daten­schutz­gesetz schnell Strafen im fünfstel­ligen Euro-Bereich. Anlass genug also, Vorsorge zu treffen.

Die Vorgaben sind eindeutig. Prinzi­piell gilt: Einen Daten­schutz­be­auf­tragten müssen Unter­nehmen bestellen, die perso­nen­be­zogene Infor­ma­tionen automa­ti­siert verar­beiten und damit über neun Personen beschäf­tigen. Bei perso­nen­be­zo­genen Daten handelt es sich in erster Linie um Anschrift, E-Mail-Adresse, Telefon- und Konto­nummer, aber auch Kredit­kar­ten­in­for­ma­tionen, Kfz-Kennzeichen oder Perso­nal­ausweis- und Sozial­ver­si­che­rungs­nummer. Automa­ti­sierte Verar­beitung bedeutet vor allem die Erhebung oder Nutzung der Infor­ma­tionen durch EDV – also Computer, PDAs, moderne Mobil­te­lefone sowie Video­an­lagen mit Aufzeich­nungen. Können also beispiels­weise bei einem Einzel­händler mehrere Verkäufer auf die Privat­kun­den­datei zugreifen und weitere Mitar­beiter auf die Lohnbuch­haltung, ist schnell die Neun-Personen-Grenze überschritten. Dann steht selbst eine kleine Firma in der Pflicht, einen Daten­schutz­be­auf­tragten zu ernennen.

Diese Aufgabe kann aber nicht jeder Mitar­beiter ohne Weiteres erfüllen: Der Spezialist braucht eine besondere Quali­fi­kation, umfas­sende Kennt­nisse im IT-Bereich sowie gute juris­tische und organi­sa­to­rische Kennt­nisse sind obliga­to­risch. Er muss außerdem wissen, welche Infor­ma­tionen im Unter­nehmen wo und wie verar­beitet oder verwendet werden. Er soll die Infor­ma­ti­ons­flüsse analy­sieren, dokumen­tieren und schützen, Schwach­stellen aufdecken sowie für sichere Prozesse sorgen. „Ihm obliegt die Aufgabe, den Daten­schutz zu kontrol­lieren“, so Schäfer.

Zwar dürfte dieser Job in einem mittel­stän­di­schen Unter­nehmen in aller Regel keine Vollzeit­tä­tigkeit sein. Der dafür ausge­wählte Mitar­beiter muss aber trotzdem genügend Zeit bekommen, um seine Aufgabe den gesetz­lichen Vorschriften sowie betrieb­lichen Erfor­der­nissen entspre­chend sorgfältig zu erfüllen. Wie gut der Daten­schutz­be­auf­tragte und seine Geschäfts­leitung den recht­lichen Vorgaben nachkommen, prüfen die Landes­be­hörden. „Wir haben bei rund 1.000 Unter­nehmen nachge­fragt, ob sie einen Daten­schutz­be­auf­tragten ernannt haben“, berichtet Birgit Weck-Boeckh, die Sprecherin des Daten­schutz­be­auf­tragten NRW. Zudem gehen die Länder Beschwerden nach. Und es finden Stich­proben vor Ort statt. Das Risiko aufzu­fallen ist also immer da.

Hinter­grund

Der Daten­schutz­be­auf­tragte


Laut Daten­schutz­gesetz brauchen nicht nur Konzerne, sondern in vielen Fällen auch Mittel­ständler einen Daten­schutz­be­auf­tragten.

Gesetz: Seit 1. September 2009 gilt die Daten­schutz­no­velle II. Sie hat die Anfor­de­rungen an den Schutz von Mitar­beiter- und Kunden­daten verschärft. Die Behörden prüfen zunehmend auch im Mittel­stand ihre Einhaltung. Bei Verstößen sind Bußgelder fällig.
Organi­sation: Betroffene Firmen müssen ein Daten­schutz­ma­nagement einrichten und ein daten­schutz­recht­liches Verfah­rens­ver­zeichnis sowie ein Daten­schutz­handbuch erstellen. Sie müssen ihre Mitar­beiter im richtigen Umgang mit Daten schulen und auf die Regelungen des Bundes­da­ten­schutz­ge­setzes verpflichten.
Beauf­tragter: Der Daten­schutz­be­auf­tragte darf wegen möglicher Inter­es­sen­kol­lision weder Inhaber noch Gesell­schafter noch in leitender Funktion im Unter­nehmen tätig sein. Er genießt erwei­terten Kündi­gungs­schutz. Viele Betriebe bestellen daher alter­nativ einen externen Daten­schutz­be­auf­tragten.
Unter­stützung bei Daten­schutz: Clevere Firmen­chefs infor­mieren sich recht­zeitig, ob sie betroffen sind, und erfüllen die Vorgaben. DATEV unter­stützt sie, etwa durch den Daten­schutz-Check. Damit wird geprüft, ob das Unter­nehmen die Bestim­mungen des Bundes­da­ten­schutz­ge­setzes einhält. Auch der DATEV-Daten­schutz­ex­perte kann Firmen­chefs zur Seite stehen, etwa bei Dokumen­ta­tionen, Mitar­bei­ter­schu­lungen sowie Problemen mit IT-Sicherheit. Mehr dazu erfahren Sie unter www.datev.de/consulting > Daten­schutz-Beratungen.


Quelle: TRIALOG, Das Unter­neh­mer­ma­gazin Ihrer Berater und der DATEV, Heraus­geber: DATEV eG, Nürnberg, Ausgabe 02/2013

This is a unique website which will require a more modern browser to work! Please upgrade today!