Qualitätsmerkmal Datenschutz: Eine Aufgabe des Managements!

Beim Datenschutz klafft eine große Lücke zwischen den Erwartungen der Kunden und den tatsächlichen Bemühungen der Unternehmen. Den Schutz von Daten sehen viele Betriebe nur als Kostenfaktor, da er Zeit und Ressourcen beansprucht.

Doch für einen Kunden wird er – verstärkt durch zahlreiche Datenskandale – immer mehr zum Qualitätsmerkmal. Für Unternehmen sollte klar sein: Wer in Datenschutz investiert, reduziert Risiken und legt damit das Fundament für ein langfristiges, pro tables Wachstum.

Im Bundesdatenschutzgesetz (BDSG) ist festgelegt, dass jeder grundsätzlich selbst entscheiden kann, wem und wann welche seiner persönlichen Daten zugänglich sein sollen. Personenbezogene Daten wie Name, Adresse oder Firmenzugehörigkeit dürfen demnach nur dann computergestützt erhoben, verarbeitet und genutzt werden, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Ansonsten können hohe Bußgelder von bis zu 300.000 Euro pro Fall sowie Freiheitsstrafen von bis zu zwei Jahren fällig werden. Zusätzlich sind Imageschäden und der Verlust von Kundenvertrauen die Folge. Unternehmen sollten sich daher die Frage stellen, welchen Stellenwert das Thema Datenschutz bei ihnen hat und ob ihm nicht mehr Bedeutung zugemessen werden müsste. Das heißt auch, dass es im Management angesiedelt und auf höchster Ebene gehandhabt werden sollte.

 Bild 1: Qualität des Datenschutz-Managements.

Datenschutz als Aufgabe des gesamten Unternehmens

Das Thema Datenschutz sollte in jede Unternehmenspolitik integriert werden, es braucht eine entsprechende Policy und festgelegte Prozesse, die auch gelebt werden. Dadurch wird das Datenschutzniveau nachhaltig erhöht und Risiken werden reduziert. Vor allem muss das Management die Verantwortung dafür übernehmen und entsprechende Rahmenbedingungen schaffen. Idealerweise greifen die Maßnahmen für Datenschutz und Informationssicherheit ineinander. Umgesetzt werden muss der Datenschutz aber letztlich im ganzen Unternehmen: vom Chef über die verschiedenen Fachabteilungsleiter, insbesondere auch dem IT-Leiter, bis hin zu jedem einzelnen Mitarbeiter.

Wichtig ist daher, dass sie regelmäßig in Sachen Datenschutz geschult sowie vor Aufnahme ihrer Tätigkeit auf das Datengeheimnis verpflichtet werden und ihnen sowohl Raum als auch Zeit eingeräumt wird, die Maßnahmen im Alltag tatsächlich umzusetzen. Als Grundlage für die Schulungen sollten Richtlinien festgelegt werden, was im Unternehmen erlaubt ist und was nicht. Diese können neben dem reinen Datenschutz am Arbeitsplatz auch die Handhabung von E-Mails, die Nutzung von Internet und Intranet, den Einsatz von Notebooks oder eigenen Geräten und das Löschen von Daten beinhalten. Alle Richtlinien müssen leicht verständlich formuliert, für die Mitarbeiter jederzeit einsehbar sein und tatsächlich gelebt werden. Denn das reale Datenschutzniveau ist nur so gut wie seine schwächste Stelle.

“Unternehmen sollten sich die Frage stellen, welchen Stellenwert das Thema Datenschutz bei ihnen hat und ob ihm nicht mehr Bedeutung zugemessen werden müsste. Das heißt auch, dass es im Management angesiedelt und auf höchster Ebene gehandhabt werden sollte.”, rät Rainer Seidlitz von der TÜV SÜD Sec-IT GmbH.

Wunsch und Wirklichkeit

Die Ergebnisse der Datenschutzstudie 2012 und des in diesem Jahr gestarteten Datenschutzindikators (DSI) von TÜV SÜD und der Ludwig-Maximilians- Universität (LMU) München zeigen allerdings, dass die Wirklichkeit in vielen Unternehmen ganz anders aussieht. Bei nur knapp 40 Prozent der befragten deutschen Unternehmen steht das Thema Datenschutz tatsächlich regelmäßig auf der Tagesordnung der Geschäftsführung – obwohl einem Großteil bewusst ist, dass es den eigenen Kunden wichtig ist. Und für viele Arbeitgeber ist die Effizienz von Arbeitsabläufen immer noch entscheidender als der Datenschutz. Etwa 10 Prozent der Unternehmen halten sich außerdem nicht an das Datenschutzgesetz – sie haben keinen Datenschutzbeauftragten. Denn sobald mehr als neun Mitarbeiter ständig automatisiert personenbezogene Daten verarbeiten, sind nichtöffentliche Stellen gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen, der ein wesentlicher Bestandteil eines guten Datenschutzmanagements ist.

 Bild 2: Stellenwert des Datenschutzes in Unternehmen.

Voraussetzungen für einen Datenschutzbeauftragten

Damit ein Datenschutzbeauftragter seiner Bestimmung tatsächlich gerecht werden kann, sind einige Voraussetzungen zu erfüllen. Er muss über eine entsprechende Fachausbildung und ausreichend Zeit verfügen. In der Realität bedeutet das, dass der Datenschutzbeauftragte nicht so stark in andere Aufgaben eingebunden sein darf, dass der Datenschutz zur Nebensache wird und er sein Wissen nicht auf dem aktuellen Stand halten kann. Außerdem ist es wichtig, dass es zu keiner Interessenskollision mit anderen Tätigkeiten kommt. Ist beispielsweise der IT-Leiter gleichzeitig als Datenschutzbeauftragter eingesetzt, steht er bei der Einführung neuer Systeme oder bei Änderungen vor der Herausforderung, zwei Seiten gleichzeitig gerecht zu werden: der IT-Seite, die einfache und unkomplizierte Lösungen bevorzugt, und der Datenschutzseite, die auf Umsetzung der rechtlichen Anforderungen bedacht ist. Davon abgesehen muss er in seiner Funktion weisungsfrei sein, direkt an die Unternehmensleitung berichten und wirklich in alle Prozesse, bei denen der Datenschutz eine Rolle spielt, eingebunden werden. Dabei haben auch die einzelnen Unternehmensbereiche eine Bringschuld, da der Datenschutzbeauftragte selbst nicht überall gleichzeitig sein kann. Werden beispielsweise neue datenverarbeitende Verfahren oder IT-Systeme mit Datenschutzrelevanz eingeführt oder solche geändert, muss er darüber informiert werden. Dann sind die Zulässigkeit und die gesetzlichen Grundlagen für die Datenerhebung zu prüfen. Tatsächlich hat der Datenschutzbeauftragte allerdings häufig nicht ausreichend Zeit, es fehlen Weiterbildungen und damit das Fachwissen. Dadurch entstehen gefährliche Datenschutzlücken, die dem Unternehmen zum Verhängnis werden können.

Verfahrensübersichten und -verzeichnisse

Unabhängig davon, wie viele Mitarbeiter personenbezogene Daten automatisiert verarbeiten, braucht jedes Unternehmen für seine Verfahren und Prozesse mit Datenschutzrelevanz, Verfahrensübersichten sowie ein Verfahrensverzeichnis. Ziel ist es, Transparenz zu schaffen: Welche Prozesse zur Erfassung personenbezogener Daten gibt es im Unternehmen? Wie sind sie geregelt? In einer Verfahrensübersicht stehen grundsätzliche Angaben zum Verfahren, die Verantwortlichkeit, die Zweckbestimmung der Datenverarbeitung, die betroffene Personengruppe, welche Datenkategorien erhoben werden, wer zugriffsberechtigt ist, die Regelfristen für die Löschung sowie welche technischen und organisatorischen Maßnahmen zur Sicherung bestehen. Diese Übersicht erstellt der Datenschutzbeauftragte in der Regel gemeinsam mit dem Verfahrensverantwortlichen, wobei oft der IT-Verantwortliche mit eingebunden wird. Bei einer Änderung von Verfahren, ist natürlich auch die Übersicht entsprechend anzupassen. Anschließend müssen alle Verfahrensübersichten in einem Verfahrensverzeichnis gelistet werden. Laut Bundesdatenschutzgesetz § 4e haben Unternehmen die Pflicht, ein öffentliches Verzeichnis anzubieten. Dieses dient der Transparenz und schafft Vertrauen bei Kunden und Geschäftspartnern.

Überprüfung und Auswahl von Partnern

Eine hinsichtlich des Datenschutzes oft völlig unterschätzte Thematik ist das Outsourcing. Viele Unternehmen arbeiten heute mit Partnern zusammen, die verschiedene Aufgaben übernehmen, sei es Hosting, Fernwartung, Call-Center- Services, Letter-Shops oder andere Dienstleistungen. Ein Großteil dieser Partner erhält Zugang zu den personenbezogenen Daten und verarbeitet diese im Auftrag des Unternehmens. Aber werden sie bei der Auswahl hinsichtlich ihres Datenschutzniveaus überprüft und gibt es Vereinbarungen zum Umgang mit den Daten? Laut TÜV SÜD Datenschutzindikator interessiert es viele Befragte nicht, was ihre Partner machen: So haben etwa 40 Prozent der Unternehmen nie eine Prüfung durchgeführt und rund 30 Prozent haben keine Vereinbarung. Doch als Auftraggeber der Datenverarbeitung sind sie für den Datenschutz verantwortlich und entstehende Mängel fallen auf die Unternehmen selbst zurück. Daher sollte der Aspekt Datenschutz fest im Auswahl- und Bewertungsprozess integriert sein. Voraussetzung für eine fundierte Prüfung ist allerdings, dass der Verantwortliche selbst über ein entsprechendes Bewusstsein und Kenntnisse verfügt. Die richtigen Ansprechpartner sind der Datenschutzbeauftragte und oft auch Experten aus dem IT-Bereich.

Kommunikation mit den Kunden

Werden in irgendeiner Form personenbezogene Daten erhoben, müssen die Kunden darüber informiert werden. Sie haben ein Recht darauf, zu wissen, welche Daten warum erhoben und zu welchem Zweck sie genutzt werden. Sollen sie beispielsweise für Werbezwecke dienen, ist eine Einwilligung der Kunden notwendig, die protokolliert wird. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten handelt, die sich auf bestimmte Merkmale beschränken. Details dazu regelt das Bundesdatenschutzgesetz in § 28. Kunden haben außerdem ein Widerspruchsrecht, mit dem sie ihre Einwilligung jederzeit zurücknehmen können. Wichtig ist hier, dass dieses Recht tatsächlich auch in allen relevanten Systemen umgesetzt wird. Zusätzlich hat jeder das Recht auf Auskunft, Berichtigung und Löschung beziehungsweise Sperrung seiner persönlichen Daten. Das Unternehmen muss dafür geeignete Prozesse installieren. Dazu gehören neben der eigentlichen Umsetzung des Rechts insbesondere eine Authentifizierung der Betroffenen und eine sichere Datenübertragung bei Auskünften.

Bild 3: Datenschutz-Experten
von TÜV SÜD überprüfen
Unternehmen.

Regelmäßig prüfen

Doch selbst wenn der Datenschutz in der Unternehmenspolitik integriert ist und jedem Mitarbeiter am Herzen liegt, die Kunden informiert werden und es eine Vereinbarung mit den Partnern gibt, braucht es regelmäßige Überprüfungen, ob Datenschutzregelungen auch tatsächlich eingehalten werden. Um sicher zu gehen, können Unternehmen dabei die Prüfleistungen von externen Spezialisten in Anspruch nehmen, welche alle Maßnahmen zum Datenschutz auf ihre Wirksamkeit hin überprüfen, Verbesserungspotenziale identifizieren und konkrete Maßnahmen zur Optimierung aufzeigen. Dies ist ein wichtiger Schritt auf dem Weg zu einem systematischen Datenschutzmanagement, welches ein fester Bestandteil aller Unternehmen werden sollte, damit diese auch in Zukunft zuverlässig mit der wertvollsten Ressource des Informationszeitalters umgehen können – mit Daten.

Rainer Seidlitz, TÜV SÜD Sec-IT GmbH

www.tuev-sued.de/sec-it

Artikel aus it management November 2014