Betriebe müssen sorgsam mit personenbezogenen Daten ihrer Mitarbeiter umgehen. Wer gegen die Vorschriften verstößt, muss mit Bußgeldern von bis zu 300.000 Euro rechnen.
Sergeij Schlotthauer
Das Bundesdatenschutzgesetz (BDSG) zählt zu den strengsten Europas – wenn nicht sogar der Welt – und enthält vergleichsweise konkrete technische Vorgaben, wie der Schutz von Informationen vor unbefugten Blicken zu gestalten ist.
Was wenige wissen: Jeder Betrieb, in dem mehr als neun Mitarbeiter mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind, muss einen Datenschutzbeauftragten benennen. Unter "personenbezogenen Daten" werden Informationen verstanden, die auf natürliche Personen zurückgeführt werden können. Dazu zählen Kundendaten und vermeintlich "harmlose" Fakten wie das Geburtsdatum eines Mitarbeiters oder Kunden.
Als Datenschutzbeauftragter kann auch eine externe Person bestellt werden, also etwa ein auf IT-Sicherheit spezialisierter Rechtsanwalt oder ein Serviceunternehmen. Entscheidet sich die Firma dafür, das Amt einem eigenen Mitarbeiter anzuvertrauen, so darf dessen Tätigkeit nicht zu einer Interessenskollision führen. Damit kommen die Geschäftsführung, IT-Mitarbeiter und Mitarbeiter der Personalabteilung für diese Tätigkeit nicht in Frage. Aber auch eine Firma, die die Anzahl von neun Mitarbeitern, die personenbezogene Daten verarbeiten, unterschreitet, muss natürlich die Bestimmungen des BDSG einhalten – dann ist es jedoch erlaubt, dass sich die Geschäftsführung selbst darum kümmert.
Chef bleibt haftbar
Auch wenn bereits die Bestellung eines Datenschutzbeauftragen das Gefühl von Sicherheit gibt: Im Prinzip bleibt die Geschäftsführung für Verfehlungen in Sachen Datenschutz persönlich haftbar.
Dabei kommen sowohl auf die Person als solche als auch auf den Handwerksbetrieb schnell beträchtliche Strafen zu. Zum einen müssen die betroffenen Firmen mit hohen Strafzahlungen rechnen. Die Bußgeldobergrenze für besonders schwere Fälle liegt bei immerhin 300.000 Euro. Zum anderen sind weitere Ausgaben fällig, etwa um den Reputationsschaden zu beheben oder abgewanderte Kunden wiederzugewinnen.
Dabei ist es vergleichsweise einfach, auf dem Radar der Behörden aufzutauchen. Eine Beschwerde, etwa dass kein Datenschutzbeauftragter bestellt ist oder dass die technische Ausstattung mangelhaft ist, reiche für eine Prüfung aus. Grundsätzlich können Unternehmen und Organisationen aber auch anlassfrei geprüft werden.
Akzeptanz der Mitarbeiter
Die Forderungen des BDSG sind vergleichsweise komplex und stellen hohe Anforderungen an die IT-Sicherheit. Umso wichtiger ist es, eine Lösung zu wählen, die einfach zu installieren und zu betreiben ist. Schließlich nützt die beste Software nichts, wenn Installation und Betrieb wertvolle Ressourcen binden. Zudem ist das Sicherheitsniveau nur dann tatsächlich hoch, wenn die Mitarbeiter sich von den Sicherheitsfeatures nicht gegängelt fühlen. Eine passende Software hilft, weniger Fehler zu machen, ohne die in vielen Jahren antrainierten Arbeitsabläufe verändern zu müssen. Von einer solchen Lösung wird im Alltag vom einzelnen Mitarbeiter sogar nichts bemerkt.
Über den Autor: Sergej Schlotthauer ist IT-Experte, Blogger und CEO beim Datenschutzexperten EgoSecure .