Seit der Novelle des Bundesdatenschutzgesetzes im Jahr 2003 und den aktuellen Neuerungen ist das Thema betrieblicher Datenschutz in aller Munde. Doch worum geht es beim Datenschutz eigentlich? Hier werden die Begriffe Datenschutz und Datensicherheit oft miteinander verwechselt. Beim Datenschutz geht es um den Schutz von personenbezogenen Daten, also den Schutz von Personen (dies kann jede natürliche Person sein, wie z.B. Interessenten und Kunden eines Unternehmens aber auch die eigenen Mitarbeiter). Hier geht es nicht darum, die Daten eines Unternehmens vor unberechtigtem Zugriff oder Manipulation durch „Hacker“ etc. zu schützen. Dies soll die Datensicherheit oder auch IT-Sicherheit gewährleisten. Nicht desto trotz sind beide Begriffe miteinander verflochten, denn professioneller Datenschutz funktioniert nicht ohne Datensicherheit. Sie ist also Voraussetzung für den gesetzlich geforderten Datenschutz.
Doch was sind personenbezogene Daten? Angefangen bei Name, Adresse, Telefonnummern oder E-Mail Adressen über Familienstand, Geburtsdatum bis hin zu Daten über Religionsangehörigkeit, Vorlieben oder den Gesundheitszustand. Diese Liste repräsentiert zugleich die Einteilung von personenbezogenen Daten in verschiedene Kategorien. Eine Klassifizierung, die beschreibt, welcher Schaden einer Person durch den Missbrauch dieser Daten entstehen kann. Mit Namen, Anschrift oder E-Mail Adresse können Personen lediglich belästigt werden, bestes Beispiel sind hier Postwurfsendungen oder Spam. Sind jedoch detaillierte Informationen über den Gesundheitszustand einer Person bekannt, kann es für diese weit reichende Folgen haben. Stellen Sie sich z.B. einmal vor, welche Chancen ein Bewerber bei einem Vorstellungsgespräch hat, wenn dem Unternehmen bekannt ist, dass der Bewerber an einer chronischen Krankheit leidet, die ihn mindestens 2 Monate im Jahr ausfallen lassen. Hier geht es um Existenzen und dementsprechend wichtig ist der Schutz dieser Art von personenbezogenen Daten.
Um diesem Schutz Rechnung zu tragen wurde 1977 das Bundesdatenschutzgesetz (BDSG) verabschiedet und bis heute stetig weiterentwickelt. Dieses und weitere Landesdatenschutzgesetze regeln den Datenschutz bei Datenerhebung, Datenverarbeitung und Datennutzung in öffentlichen (z.B. Behörden) und nicht-öffentlichen (z.B. Unternehmen) Organisationen und beschreibt, welche Maßnahmen zur Gewährleistung des Datenschutzes getroffen werden müssen. So muss jedes Unternehmen, welches zehn oder mehr Arbeitnehmer (seit August 2006, vorher fünf Arbeitnehmer oder mehr) mit der Nutzung oder Bearbeitung von personenbezogenen Daten beschäftigt hat, einen Datenschutzbeauftragten (DSB) bestellen. Dieser hat im Unternehmen auf einen ordnungsgemäßen Datenschutz und die Einhaltung der entsprechenden Gesetze hinzuwirken. Sollte kein Datenschutzbeauftragter bestellt werden müssen, hat der Geschäftsführer gleichwohl für eine gesetzeskonforme Umsetzung des Datenschutzes zu sorgen. Die Auswahl einer geeigneten Person fällt dabei nicht leicht. Inhaber, Geschäftsführer oder Mitglieder des Vorstands dürfen gemäß BDSG nicht zum Datenschutzbeauftragten bestellt werden; Abteilungs- oder Bereichsleiter sowie leitende Angestellte in der EDV-Abteilung sind für diese Aufgabe wenig geeignet. Zudem muss die entsprechende Person über solide Grundkenntnisse der EDV verfügen und detailliertes Wissen über in die Organisation des Unternehmens besitzen.
Die Bestellung eines betrieblichen Datenschutzbeauftragten hat dabei immer schriftlich zu erfolgen. Wurde diese Bestellung nicht durchgeführt oder verfügt der Datenschutzbeauftragte nicht über die notwendige Fachkunde spricht der Gesetzgeber von einer Nicht- bzw. Scheinbestellungen. Dies wird gemäß §34 BDSG mit einem Bußgeld von bis zu 25.000 € geahndet. Eine unbefugte Verarbeitung von nicht allgemein zugänglichen personenbezogenen Daten wird mit einer Geldbuße von bis zu 250.000 € geahndet. Liegt gleichzeitig eine Bereicherungsabsicht vor, oder die Absicht, einen anderen zu schädigen, so kann dies mit bis zu 250.000 € zusätzlichem Bußgeld oder einer Freiheitsstrafe von bis zu zwei Jahren belegt werden. Diese Risiken treffen dabei unmittelbar und persönlich den Geschäftsführer eines Unternehmens durch die Haftung aus §43 GmbHG. Da ein Gesetzesverstoß als grob fahrlässige Handlung gilt, bewahrt auch eine D&O-Police (Directors and Officers Versicherung) den Geschäftsführer nicht vor diesen Strafen. Unabhängig von den rechtlichen Folgen kann der Imageverlust eines Unternehmens bei Bekannt werden einer Datenschutzverletzung enorm sein. Wer möchte schon Geschäfte mit einer Firma machen, die sich nicht um den Schutz der Kundendaten kümmert?
Warum legen aber so wenige Firmen ein gesetzeskonformes Verhalten an den Tag? Umfragen ergeben, dass insbesondere bei kleinen und mittelständischen Unternehmen kein Datenschutzbeauftragter bestellt ist, obwohl die gesetzlichen Vorraussetzungen für die Bestellung gegeben sind. Die Umsetzung des Bundesdatenschutzgesetzes erfolgt durch die Bundesländer, welche die entsprechende Aufsichtsbehörde mit sehr wenig Personal ausstatten. Kontrollen sind daher selten, was zu einem sehr geringen Umsetzungsdruck bei den Unternehmen führt. Kommt es jedoch zu einer Kontrolle, kann es zu einem bösen Erwachen führen.
Wie kann ein Unternehmen also für eine gesetzmäßige Umsetzung des Datenschutzes sorgen? Die Bestellung eines betrieblichen Datenschutzbeauftragten aus den Reihen der Mitarbeiter ist hier eine Möglichkeit. Neben den schon aufgeführten Vorraussetzungen sieht sich der Geschäftsführer zusätzlich mit weiteren Problemen bei der Bestellung konfrontiert. Ein intern bestellter Datenschutzbeauftragter ist organisatorisch in Ausübung der Aufgaben eines DSB der Geschäftsführung gleichgestellt, ohne jedoch eine direkte Weisungsbefugnis zu besitzen. Dies und weitere Sonderrechte, sowie ein besonderer Kündigungsschutz erschweren zusätzlich die Auswahl eines geeigneten Mitarbeiters. In kleinen und mittelständischen Unternehmen wird in der Regel ein Mitarbeiter zusätzlich zu den normalen Tätigkeiten mit den Aufgaben des Datenschutzbeauftragten betraut und muss auch für diese explizit Freigestellt werden. Hierbei kann von einem Aufwand von mindestens 2-6 Stunden pro Woche ausgegangen werden.
Die Alternative zur internen Bestellung ist die Bestellung eines externen betrieblichen Datenschutzbeauftragten. In diesem Fall nimmt ein freier Datenschutzbeauftragter oder Mitarbeiter eines darauf spezialisierten Unternehmens die Aufgaben des Datenschutzbeauftragten auf Honorarbasis war. Hierbei ist es ratsam, im ersten Schritt eine Aufwandsanalyse durch einen Berater durchführen zu lassen, um den individuellen Bedarf und Aufwand im Bereich des Datenschutzes zu ermitteln. Auf Grundlage dieser Information kann anschließend eine Entscheidung über die interne oder externe Bestellung getroffen werden. Die Vorteile eines externen Datenschutzbeauftragten liegen insbesondere bei den Kosten und der zu erwartenden Qualität. Ein ausschließlich auf Datenschutz und Datensicherheit spezialisierter Berater sollte die Aufgaben des Datenschutzbeauftragten besser erfüllen können, als ein Mitarbeiter, der diese Aufgaben nur „nebenher“ erledigt. Da ein externer Datenschutzbeauftragter in der Regel mehrere Mandanten besitzt, können die notwendigen Aufgaben wesentlich effektiver erfüllt werden, was sich positiv auf die Kosten auswirkt. Doch kann eine externe Bestellung auch Nachteile mit sich bringen. Es besteht die Gefahr eines zu geringen Zeiteinsatzes und zu geringen Engagements für Betreuung und Fortbildung sowie schlechte Qualität auf Grund von Konkurrenzkämpfen und daraus folgendem Unterbieten der Honorarforderungen. Eine Pauschalaussage zum notwendigen Zeitansatz des externen Datenschutzbeauftragten kann hierbei nur schwer getroffen werden. Eine regelmäßige Vor-Ort Präsenz sollte jedoch in jedem Fall gegeben sein.
Bei der Auswahl des richtigen Datenschutzberaters oder externen Datenschutzbeauftragten sollten daher insbesondere die Punkte Ausbildung, Fachkunde, Erfahrung und Seriosität Beachtung finden. Die Mitgliedschaft des Beraters in Berufs- und Branchenverbänden (z.B. GDD – Gesellschaft für Datenschutz und Datensicherung) gibt zusätzliche Sicherheit. Eine örtliche Nähe ist nicht zwingend notwendig, erleichtert jedoch die Tätigkeit des Datenschutzbeauftragten und wirkt sich positiv auf die Kostenseite aus, da wenige bis keine Fahrtkosten anfallen.
Ob nun intern oder extern, die Bestellung eines Datenschutzbeauftragten sollte aus den oben genannten Gründen nicht herausgezögert werden. Kontrollen der Aufsichtsbehörde sind zwar derzeit noch selten, auf Grund der wachsenden Bedeutung des Datenschutzes werden diese in Zukunft jedoch vermehrt stattfinden.
[In gekürzter Form erschienen in Lahn Dill Wirtschaft 03/2007]
