Die Auflagen des Bundesdatenschutzgesetzes (BDSG) werden häufig nicht beachtet werden, teilweise sind sie noch nicht einmal bekannt. Alle Beteuerungen im Zusammenhang mit dem Begriff Compliance muten deshalb oft wie Schönfärberei an. Die Risiken der Nichteinhaltung der Datenschutzgesetze sind groß, die Ursachen vielfältig. Es ist höchste Zeit, hier zu handeln und den Datenschutz in der Firma zu verbessern.
Ursachen des mangelnden Datenschutzes
Zwei Hauptursachen für den schlecht ausgeprägten Datenschutz in kleinen und mittelständischen Unternehmen (KMU) sind auszumachen: Zum einen ist das Thema Datenschutz in den Medien, mit denen sich die Firmen beschäftigen, relativ wenig präsent. Zum anderen ist die Kontrolle durch die jeweils zuständige Aufsichtsbehörde sehr gering. Würde die Aufsichtsbehörde jedes Jahr bei jedem Unternehmen präsent sein, wäre die Situation anders. Doch die KMU-Landschaft ist geprägt durch die Einstellung: Wo kein Kläger, da kein Richter.
Doch Gesetze sind einzuhalten - auch von Unternehmen, das ist unstrittig. Das Einhalten von Gesetzen und Richtlinien durch Unternehmen hat sogar einen eigenen Namen: "Compliance".
Datenschutz und Compliance
In der Betriebswirtschaftslehre wird der Begriff Compliance mit "Regelüberwachung" gleichgesetzt. Compliance bezeichnet zum einen die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmen, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Zum anderen soll die Übereinstimmung des unternehmerischen Geschäftsgebarens auch mit allen gesellschaftlichen Richtlinien und Wertvorstellungen sowie mit Moral und Ethik gewährleistet werden. Dies geschieht in der Regel durch freiwillige Kodizes in den Unternehmen.
Mithilfe von Compliance-Maßnahmen oder eine Compliance-Abteilung in der Firma soll überwacht werden, dass die nationalen und internationalen Gesetze und Richtlinien beispielsweise gegen kriminelle Handlungen (etwa Betrug), Finanzsanktionen, Marktmissbrauch, Interessenkonflikte, Geldwäsche, Insiderhandel und Datenschutzverletzungen eingehalten werden. Datenschutz ist also ein Teil der Compliance.
Risiken im Bereich Datenschutz
Im Bereich Datenschutz bestehen für Unternehmen erhebliche Risiken - auch für kleine und mittelständische Firmen. Haftbar ist jeweils der Geschäftsführer. Die wichtigsten Risiken sind:
- Für eine Falsch- oder Scheinbestellung des Datenschutzbeauftragten sieht das Bundesdatenschutzgesetz (BDSG) ein Bußgeld bis zu 25.000 Euro vor (§ 43 Abs. 1 Nr. 2 BDSG).
- Das Datenschutzrecht sieht bereits bei fahrlässig unbefugter Erhebung (zum Beispiel Website) oder Verarbeitung personenbezogener Daten Geldbußen bis zu 250.000 Euro vor (§ 43 Abs. 2 BDSG).
- Der Geschäftsführer haftet für einen Gesetzesverstoß im Bereich Datenschutz (der normalerweise als grob fahrlässig anzusehen ist) mit seinem Privatvermögen (gem. § 43 GmbHG) unbegrenzt. Vor dieser persönlichen Haftung schützt keine D&O-Police (Directors and Officers-Versicherung), denn ein Gesetzesverstoß gilt als grob fahrlässig und führt zu einer Nicht-Leistung.
- Die Speicherung von Daten auf der TK-Anlage (Telefon beziehungsweise Fax) stellt unter bestimmten Bedingungen (zum Beispiel private Nutzung geduldet) einen Gesetzesverstoß gegen § 15 TMG, gegen §§ 88, 89 TKG und gegen § 7 TDSV 2000 dar. Dieser Gesetzesverstoß kann mit Freiheitsstrafe bis zu zwei Jahren beziehungsweise mit Bußgeld bis zu 50.000 Euro geahndet werden.
- Unter bestimmten Rahmenbedingungen (zum Beispiel private Nutzung geduldet) ist ein Zugriff auf oder eine Weiterleitung von E-Mails ohne die Einwilligung (gemäß § 4a BDSG) des Betroffenen unzulässig. Dies ist zum Beispiel im Fall des Ausscheidens eines Mitarbeiters nach der Kündigung durch den Arbeitgeber oder im Krankheitsfall ein Problem.
- Eine Verletzung des Postgeheimnisses, wird gemäß § 206 StGB (Strafgesetzbuch) mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
- Wird ein Gesetzesverstoß publik (zum Beispiel Veröffentlichung in der Presse oder im Tätigkeitsbericht der Datenschutzaufsichtsbehörde), ist stets ein entsprechend hoher Imageschaden zu erwarten, der sich entsprechend negativ auswirkt.
Teuer werden diese Datenschutzverletzungen im Regelfall zwar erst dann, wenn sich jemand beschwert. Dies kann aber schneller der Fall sein, als man glaubt. Ein unzufriedener Mitarbeiter, ein Betriebsrat, ein Interessent oder eben die Aufsichtbehörde selbst kontrolliert vielleicht mal unerwartet, und schon hat das Unternehmen ein Problem.
Datenschutz im Unternehmen - Tipps zur Umsetzung
Datenschutz in der Firma umsetzen bedarf einiger Vorbereitung, schließlich soll der zeitliche und finanzielle Aufwand ja auch zum gewünschten Ergebnis führen. Es geht also darum, den Datenschutz einerseits professionell und gesetzeskonform und andererseits möglichst kostengünstig umzusetzen. Es empfiehlt sich ein Vorgehen in vier Schritten:
- Erster Schritt: Analyse durch einen externen Berater. Ziel der Analyse ist es, den individuellen und häufig sehr unterschiedlichen Bedarf und Aufwand für den Bereich Datenschutz des Unternehmens zu ermitteln und zu dokumentieren.
- Zweiter Schritt: Entscheidung. Im Unternehmen wird überlegt, ob die Aufgabe von einem internen oder einem externen Datenschutzbeauftragten (DSB) umgesetzt werden soll. Externe DSB sind beispielsweise Steuerberatungsgesellschaften oder Unternehmensberatungen, die sich um die Regelüberwachung ihrer Mandanten kümmern.
- Dritter Schritt: schriftliche Bestellung. Wenn die Entscheidung für einen internen oder eine externen DSB gefallen ist, wird dieser schriftlich bestellt.
- Vierter Schritt: Umsetzung. Im vierten und letzten Schritt geht es darum, dass der - interne beziehungsweise externe - DSB aus der Analyse (Schritt eins) eine priorisierte Aufgabenliste erstellt und diese abarbeitet, also die Datenschutzmaßnahmen umsetzt.
Diese Vorgehensweise hat sich bewährt, da sie sowohl für Unternehmen geeignet ist, die einen eigenen DSB schon bestellt haben, als auch für jene Firmen, die sich mit dem Thema erst jetzt beschäftigen. Dies zeigt folgendes Zitat des Datenschutzbeauftragten der Herbert Kannegiesser GmbH, Vlotho, eines mittelständischen Maschinenbauunternehmens mit 500 Mitarbeitern: "Durch die Zusammenarbeit mit einem Externen Datenschutzbeauftragten, konnten wir unseren individuellen Bedarf für den Datenschutz genau ermittelten und haben jetzt innerhalb kurzer Zeit einen gesetzeskonformen Stand erreicht, der unser Risiko auf ein Minimum reduziert hat."
Allen Verantwortlichen ist zu raten, sich mit dem Thema bereits jetzt zu beschäftigen, um die Spielräume in der Firma auszunutzen. Handeln Sie jetzt, bevor die Aufsichtsbehörde Ihnen vorschreibt, wie Sie den Datenschutz in Ihrem Unternehmen umzusetzen haben." (oe)
Der Autor Robert F. Krick ist Geschäftsführer SK-Consulting Group GmbH, Osterweg 2, 32549 Bad Oeynhausen, Tel.: 05731 15026-0, E-Mail: info@dsba.de, Internet: www.dsba.de und www.sk-consulting.com