Die im Jahr 2001 in Kraft getretene Neufassung des Bundesdatenschutzgesetzes (BDSG) sieht vor, dass alle nicht öffentlichen Stellen, die automatisiert personenbezogene Daten erheben, verarbeiten oder nutzen, eine Datenschutzbeauftragten stellen müssen. Das gilt für sämtliche Rechtsformen: AGs, GmbHs, GbRs und auch für natürliche Personen wie Ärzte, Rechtsanwälte etc. Die Übergangsfrist für bestehende Verfahren ist abgelaufen, wer keinen oder den falschen Datenschützer bestellt hat, muss mit empfindlichen Bußgeldern rechnen. 25.000 Euro werden fällig, wenn die Missachtung auffliegt. Kann Fahrlässigkeit oder gar Vorsatz nachgewiesen werden, darf sich auf bis zu einer Viertel Million gefasst machen.

Wer braucht’s?

Ein Datenschutzbeauftragter muss spätestens dann her, wenn im Unternehmen mehr als vier Personen mit der IT-gestützten Verarbeitung personenbezogenen Daten beschäftigt sind. Unterliegen automatisierte Verarbeitungen der Vorhab-Kontrolle, ist die Bestimmung eines Datenschutzbeauftragten sofort zwingend – und zwar gänzlich unabhängig von der Mitarbeiterzahl. Bei nicht automatisierten Anwendungen müssen Firmen mit mehr als 20 Arbeitnehmern einen Datenschutzbeauftragten bestellen: schriftlich, spätestens einen Monat nach Aufnahme der Geschäftstätigkeit.

Wer kann’s?

Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit der Aufgabe können auch Externe betraut werden: Outsourcing ist eine interessante Alternative. Diese Meinung vertreten viele Geschäftsführer spätestens dann, wenn ihnen klar wird, dass ein intern bestellter DSB kontinuierlich geschult werden muss, weisungsfrei agieren darf und quasi unkündbar ist. Die für seine Tätigkeit nötigen Mittel (darunter auch Räume und Mitarbeiter) sind ihm zur Verfügung zu stellen, es besteht Benachteiligungsverbot. In der Quintessenz bedeutet dass: Der DBA genießt einen Kündigungsschutz ähnlich dem eines Betriebsratsmitglieds.

Ist der Datenschutzbeauftragte zusätzlich mit anderen Aufgaben betraut, darf diese Tätigkeit nicht mit den Schutzaufgaben kollidieren. Das heißt im Klartext: Inhaber, Vorstände, Geschäftsführer und sonstige gesetzliche oder verfassungsmäßig berufenen Leiter, Personalleiter, leitende Funktionen von Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung personenbezogener Daten (auch und gerade IT-Leiter!) sind für den Posten nach Auffassung des Gesetzeshüter nicht geeignet und dürfen folglich auch nicht DSB bestellt werden.

Mitspracherecht

Nach § 11 BDSG trägt der Auftraggeber die Verantwortung für die Einhaltung des BDSG und andere Vorschriften für den Datenschutz – er ist quasi „Herr der Daten“. Werden Dienstleistungsverträge – wie mit Fernwartungsanbietern, Rechenzentren, Printshops, Inkassounternehmen oder Entsorgungs- und Wärmemessdiensten – abgeschlossen, sollte der betriebliche Datenschutzbeauftragte bei der Gestaltung der Verträge mitwirken. Wird beim Partnerunternehmen geschlampt, kann das den Auftraggeber teuer zu stehen kommen. Sorgfalt bei der Auswahl ist also geboten, die Auftragserteilung sollte schriftlich erfolgen, der Kunde Einblick in die Verträge mit möglichen Subunternehmern haben. Es liegt außerdem in seiner Verantwortung, sich von der Einhaltung der definierten Maßnahmen zu überzeugen.

Datenschutz = Persönlichkeitsschutz

Artikel 8 der Charta der Grundrechte der Europäischen Union sieht vor: Jede Person hat das Recht auf Schutz der sie betreffenden, personenbezogenen Daten. Diese dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betreffenden Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erwirken. Die Einhaltung dieser Vorschrift wird von einer unabhängigen Stelle überwacht.

Basis des Datenschutzgesetztes sind verfassungsrechtliche Grundlagen, nämlich Artikel eins und zwei der Grundgesetzes, bei denen es um Menschenwürde und –rechte und um die Persönlichkeitsrechte geht.

Zweck des Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Personenbezogene Daten gibt es viele – sie reichen von Name, Beruf und Familienstand über Religions- und Vereinszugehörigkeit und Zahlungsverhalten über Krankheiten, Vorstrafen, Einkommen und Arbeitgeber bis zu Zählernummer und Jahresstromverbrauch. Derlei Daten werden über verschiedene Personenkreise erhoben: Bewerber, Lieferanten, Kunden, Mieter, Mitarbeiter aber auch Besucher und Mitarbeiter von Fremdfirmen.

Arbeitsverweigerung

Der Auftragnehmer darf die betreffenden Daten auch nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten und nutzen. Eine Verpflichtung der Mitarbeiter auf das Datengeheimnis hat unbedingt zu erfolgen, dieses Datengeheimnis gilt auch über das Arbeitsverhältnis hinaus. Werden dem Auftragnehmer Weisungen erteilt, die gegen das BDSG oder andere Datenschutzvorschriften verstoßen, ist der Partner unverzüglich auf diesen Umstand hinzuweisen. Eine „Arbeitsverweigerung“ versteht sich von selbst.

Prüfer ante portas

Die Prüfer der Aufsichtsbehörde kommen auch unangemeldet. Sie stehen am Empfang, reichen ihre Visitenkarte herüber und wollen Antworten: Sofort. Laut Gesetz hat die verantwortliche Stelle – also diejenige, die Daten erhebt und speichert – die erforderlichen Auskünfte auf Verlangen unverzüglich zu erteilen. Ein „Vertrösten“ ist nicht drin. Werden technische oder organisatorische Mängel festgestellt, wird deren Beseitigung innerhalb relativ kurzer Fristen gefordert. Wer diese Zeiträume überschreitet, muss mit empfindlichen Zwangsgeldern rechnen, im schlimmsten Fall wird gleich der Einsatz gesamter Verfahren untersagt; besonders dann, wenn sie mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind.

Die Vertreter der Aufsichtsbehörde haben das Recht, geschäftliche Unterlagen – insbesondere Übersichten – einzusehen. Sie dürfen tiefe Blicke in die Datenbanken werfen und die DV-Programme inspizieren. Diese Maßnahmen sind von der verantwortlichen Stelle zu dulden, egal ob die Prüfer nun passend oder eher ungelegen kommen.

Personenbezogene Daten

Das deutsche Recht definiert personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§3 Absatz 1, Bundesdatenschutzgesetz)

Daten sind personenbezogen, wenn sie eindeutig einer bestimmten Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Eine mittelbare Bestimmung ist auch dann möglich, wenn nicht Name der Person, wohl aber IP-Adresse, Personalnummer, Telefonnummer oder eMail-Adresse bekannt und gespeichert sind. Das BDSG beschäftigt sich ausschließlich mit dem Schutz von Daten natürlicher Personen, nicht mit denen juristischer Personen wie GmbHs, AGs etc.

Besonderen Schutz genießen sensible Daten wie ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gesundheit oder Gewerkschaftszugehörigkeit.

Topliste der Verstöße

Die häufigsten Mängel werden im Bereich räumliche Sicherheit und Zugangskontrolle diagnostiziert. Häufig sind auch PC-Arbeitsanweisungen nicht statthaft, Passwörter, Logins in Standardsoftware oder die Festlegung von Löschungsfristen wird ebenfalls gern moniert. Der Verzeichnisaufbau und die Zugangsrechte zu Textprogrammen sind auch häufiger Anlass zur Rüge.

Wer Mehrpersonenarbeitsplätze betreibt, sollte auf peniblen Aufbau der Einsichts- und Änderungsrechte achten, Verschlüsselungsverfahren, Schutz-Software und Kryptografie-Auflagen stehen auf der Mängelliste der Prüfer ebenfalls ganz oben.

Wer ein Zwischenlager für Entsorgungsgut wie Papier oder auch Datenträger unterhält, hat ebenfalls gute Karten, wenn er sich Fort Knox zum Idol macht. Ärgerlich werden die Aufsichtsbehörden häufig auch bei Unternehmen, die Mitarbeiter im Home-Office beschäftigen: Die Mitnahme von Datenträgern außer Haus ist ein ganz sensibles Thema. In Zeiten, in denen ein einfacher Musik-Player oder ein iPod ausreichen, um innerhalb weniger Minuten mehrere Gigabyte vertraulicher Daten von einem Netzwerk zu stehlen, ist Aufmerksamkeit gefragt. Auch die Details von Outsourcing-Verträgen werden von den Mitarbeitern der Aufsichtsbehörde vergleichsweise häufig gerügt, dasselbe gilt für die Abwicklung von Fernwartungsdienstleistungen.

Gefährliche Möbelstücke

Es gibt Möbel, die jeden noch so gut gemeinten Datenschutzansatz ad absurdum führen können: Papierkörbe. Auch der Volkssport E-Mail wird in Sachen Sicherheit überschätzt, realistisch betrachtet kommen elektronische Briefe eher postalisch verschickten Postkarten gleich. Werden vertrauliche Inhalte übermittelt, ist eine Verschlüsselung unbedingt vonnöten, und auch die Antwortfunktion hat ihre Tücken. Automatische Umleitungen bei Urlaub und Abwesenheit lassen manche Nachrichten bei Empfängern landen, die vielleicht besser nicht… Zu spät!

Oh: Alles rot!

Wer es sich mit seinen Kunden nicht verscherzen will, sollte sehr sorgsam mit seinen Microsoft-Office Dokumenten umgehen. Wer durch drei Instanzen und Freigabeprozesse gelangte doc-Files nach extern verschickt, gibt damit nicht selten die komplette Historie des Dokumentes preis. Der Kunde hat also möglicherweise rot auf weiß, dass Sachbearbeiter Krause den Kommentar „Das schluckt der A… doch nie…“ eingefügt, sein Vorgesetzter die Formulierung durch „Neue Konditionen müssen positiver dargestellt werden“ ersetzt und die unterzeichnungsberechtigte Stelle final „Ihr Preisvorteil bei Sammelbestellung“ integriert hat. Wahrhaft geschwätzig sind so manche Dokumente – und deshalb vor dem Versand in sichere Formate wie z.B. rtf (Rich Text File) oder PDF (Portable Document Format) umzuwandeln.

Natürlich sind Unternehmen gesetzlich verpflichtet, die Vorgaben zum Datenschutz zu erfüllen. Wer die Partnerschaft mit Kunden und Lieferanten ernst nimmt, wird erkannt haben, dass die Beachtung und Umsetzung der Regeln viel mehr schafft, als nur die Vermeidung von Bußgeldern. Vertrauen ist das, was im geschäftlichen Alltag zählt. Weiß der Kunde sich fair behandelt und in seinen Persönlichkeitsrechten respektiert, wird aus Win-Loose-Vermutungen eine Win-Win-Situation, sprich: GeWINn.

Weiterführende Links:

Um Ihnen einen kleinen Vorgeschmack auf die Informationmenge zu geben, hier ein Auszug der Informationen aus dem Online-Bereich (www.bfd.bund.de ) „Datenschutz und Technik“

  • Broschüre „Die Virtuelle Poststelle im datenschutzgerechten Einsatz
  • Orientierungshilfe zum datenschutzgerechten Anschluss an Internet und Online-Banking bei Gerichtsvollzieherinnen und Gerichtsvollziehern
  • Broschüre „Datenschutzgerechtes eGovernment“
  • Orientierungshilfe „Datensicherheit bei USB-Geräten“
  • Orientierungshilfe zum Einsatz kryptografischer Verfahren
  • Datenschutz und Telemedizin, Anforderungen an Datennetze
  • Datenschutz bei Windows XP professional
  • Schutzprofile zur benutzerbestimmbaren Informationsflusskontrolle
  • Datenschutz bei der Nutzung von Internet und Intranet
  • Verschlüsselte E-Mail Kommunikation mit dem Bundesbeauftragten für den Datenschutz
  • Datenschutzfreundliche Technologien in der Telekommunikation
  • Vorschlag des BfD für ein Datenschutzkapitel zum IT-Grundschutzhandbuch des BSI
  • Empfehlungen zum Schutz vor verteilten Denial of Service-Angriffen im Internet
  • Empfehlungen zum Schutz vor Computer-Viren aus dem Internet
  • Transparente Software – eine Voraussetzung für datenschutzfreundliche Technologien

    www.bfd.bund.de
    www.datenschutz.de

  • Fachautorin: Irina Hesselink