Im Dienste des Datenschutzes – die heikle Mission der Verantwortlichen
Die Nachfrage nach Datenschutzbeauftragten ist so groß wie nie – doch eingeklemmt zwischen Gesetz und Geschäftsführung wird der Job oft zur Zerreißprobe.
Jahrelang war das Thema Datenschutz in Deutschlands Unternehmen ungefähr so viel beachtet wie das berühmte Mauerblümchen – doch spätestens seit dem 24. Mai 2004 haben die Chefetagen das gar nicht so seltene Pflänzchen entdeckt. Seitdem herrscht Nervosität und Verunsicherung. Grund dafür sind in erster Linie zwei Neuerungen, die seit diesem Zeitpunkt verbindlich gelten: die Tatsache, dass die Aufsichtsbehörden nun auch von sich aus ermitteln dürfen – und nicht wie bisher ausschließlich aufgrund eines konkreten Anlasses. Zudem können sie nun Zwangsgelder verhängen, Bußgeldverfahren einleiten und Strafantrag stellen.
In Kombination mit der Tatsache, dass nahezu jeder Geschäftsbetrieb mit mehr als vier Mitarbeitern dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen, bringt das Gesetz so manchen Geschäftsführer um den Schlaf. Denn die Anforderungen an einen Datenschutzbeauftragten sind derart komplex, dass es das falscheste wäre ‘irgendeinen Beauftragten’ zu installieren. Neben der Kompetenz ist außerdem ein feines Händchen im zwischenmenschlichen Umgang gefragt.
Schließlich gehören Skandale und Skandälchen für die meisten Datenschutzbeauftragten in Deutschland zum Arbeitsalltag. “Es läuft dauernd irgendwo, irgendwas schief, da gibt es viele Fälle, aber die dringen in der Regel nicht an die Öffentlichkeit”, sagt zum Beispiel Professor Gerhard Kongehl, Geschäftsführer der Ulmer Akademie für Datenschutz und IT-Sicherheit (Udis). Als langjähriger Datenschutzbeauftragter der Uniklinik Ulm war er 1979 der Erste seiner Art, der in Baden-Württemberg den Dienst antrat.
“Während meiner Zeit in der Klinik habe ich jede Menge Skandale ans Tageslicht gebracht, zum Beispiel kam man ohne große Probleme an Patientendaten heran.” Im Gedächtnis geblieben ist Kongehl auch der Fall eines Labors, in dem Bluttests durchgeführt wurden. Die Daten von HIV-positiven Patienten wurden dort an die Wand gehängt, um die Mitarbeiter zu besonderer Vorsicht im Umgang mit diesen Personen zu mahnen – allerdings hatten zu dem Raum auch Besucher Zugang und konnten so die Patientendaten ohne weiteres einsehen.
Aus nachvollziehbaren Gründen dringen solche und ähnliche Geschehnisse nur äußerst selten an die Öffentlichkeit. Eine Ausnahme ist der Fall der Online-Tochter der fränkischen Versicherungsgruppe HUK-Coburg, HUK24. 2002 hatten Mitglieder der Hackerszene eine gravierende Sicherheitslücke entdeckt, durch die knapp 3000 Kundendaten tagelang öffentlich im Netz zugänglich waren. Die HUK-Techniker hatten den Server offenbar nicht mit längst überfälligen Sicherheits-Updates aktualisiert. Rechtliche Konsequenzen hatte der Zwischenfall nicht, der Image-Schaden, den eine derartige Schlamperei nach sich zieht, ist jedoch enorm. Jüngstes Beispiel ist der spektakuläre Diebstahl der Daten von 40 Millionen Kreditkarteninhabern in den USA.
Trotzdem weigern sich viele Unternehmen, ihre Scheuklappen in Sachen Datenschutz abzulegen. “Der Datenschutzbeauftragte wird häufig als jemand angesehen, der immer nur sagt, was nicht geht – das ist ja bei mir genauso”, sagt der Bundesdatenschutzbeauftragte Peter Schaar im Interview mit silicon.de. “Wenn er dagegen von Anfang an und konsequent mit einbezogen wird, kann das auch ein gutes Verkaufsargument sein. Beispielsweise für einen eShop – Kunden sind vielleicht eher bereit etwas zu bestellen, wenn sie sicher sein können, dass mit ihren Daten ordnungsgemäß umgegangen wird. Wenn der Datenschutz als produktiver Faktor angesehen wird, kann das auch ein Wettbewerbsvorteil sein.”
Beate Uhse als Vorbild
Grundsätzlich können Unternehmen nicht viel falsch machen, wenn sie sich an Beate Uhse orientieren. Der Flensburger Erotikkonzern gilt traditionell als sehr datenschutzfreundlich – der sensible Umgang mit Kundendaten ist dort ein zwingender Teil des Geschäfts. “Viele eCommerce-Anbieter unterschätzen dagegen noch immer die Bedeutung des Datenschutzes. Hier wird schnell einmal ein Logfile geschrieben und die Kunden wundern sich dann, warum sie so spezifische Werbemails bekommen”, so Professor Hannes Federrath, Vorstandsvorsitzender des ‘Berufsverbands der Datenschutzbeauftragten Deutschlands’ (BvD) gegenüber silicon.de.
Der Verband hat derzeit mehrere hundert Mitglieder – Tendenz steigend. Schließlich entdecken viele Unternehmen den Datenschutz erst jetzt, vor allem die kleinen und mittelgroßen. Denn während Großunternehmen wie Bosch, DaimlerChrysler und die Telekom in den vergangenen Jahren oder Jahrzehnten teilweise komplette Datenschutzhierarchien aufgebaut haben und inzwischen über eine nach den Worten von Datenschutz-Professor Kongehl “hervorragende Datenschutzkultur” verfügen, hat der Mittelstand den Anschluss oft verpasst.
So gaben bei einem silicon.de eVote zu diesem Thema 47 Prozent der Befragten an, keinen Datenschutzbeauftragten zu haben – 42 Prozent antworteten mit Ja, die restlichen rund 10 Prozent sind nach eigenen Angaben dabei, einen zu bestellen.