Ist Datenschutz ein Mode-Hype?

Je mehr man in letzter Zeit die Print-, TV- und Online-Medien verfolgte, umso häufiger tauchte dabei immer wieder das Thema Datenschutz auf. Berechtigterweise kam einmal am abendlichen Stammtisch von einem Unternehmer die Frage auf: „Wie ist denn das mit dem Datenschutz? Schon wieder etwas, was hochgejubelt wird, Zeit und Geld kostet und hinterher macht man weiter wie gehabt? Kontrolliert das überhaupt einer?“

Wenn man sich die Gesetzeszahl in Deutschland anschaut, kann man diese Aussage etwas nachvollziehen. Am 31. Dezember 2009 umfasste das deutsche Bundesrecht 1.924 Gesetze und 3.440 Verordnungen mit insgesamt 76.382 Artikeln und Paragraphen (Quelle: wikipedia.de). Eins davon ist das Bundesdatenschutzgesetz mit seinen 46 Paragraphen.

Wie ist das denn nun mit dem Datenschutz? Nun, Datenschutz ist eigentlich schon in vielen alltäglichen Dingen bei den meisten von uns „in Fleisch und Blut übergegangen“. Sagen Sie jedem die PIN Ihrer Bankkarte? Nein? Gut, denn das ist schon Datenschutz. Wenn man überlegt, dass mit der PIN und der Bankkarte das Konto leergeräumt werden kann, ist man sich des Risikos dieser Daten bewusst. Genauso ist es bei anderen personenbezogenen Daten wie Name, Vorname, Geburtsdatum, Personalausweisnummer, etc.. Moment, werden jetzt einige von Ihnen denken, den Name und Vorname preiszugeben, das sehe ich jetzt nicht so kritisch. Doch haben Sie sich schon einmal darüber Gedanken gemacht, was man mit Ihrem Namen und Vornamen so alles machen kann? Schauen wir uns mal folgendes Beispiel an: Nehmen wir mal die Suchmaschine yasni (http://www.yasni.com/). Mit dieser Suchmaschine gelingt es dem Suchenden, Sie zu finden und das sogar nur mit Name und Vorname. Einige Personen waren richtig betroffen, als Sie herausfanden, dass darüber sogar die Wunschliste von Ihrem Amazon-Konto gefunden wurde. Das Wichtigste aber ist die Kombination von verschiedenen personenbezogenen Daten. Hier schauen wir uns auch wieder ein Beispiel an: Vor wenigen Jahren war es bei einem großen Kreditinstitut noch möglich, sich am Telefon mit Namen und Geburtsdatum zu identifizieren. Es wurde zwar zusätzlich noch die Kreditnummer abgefragt, wenn man diese nicht wusste, jedoch den finanzierten Gegenstand nennen konnte, bekam man ohne Probleme sämtliche Auskünfte. Wie man sieht, das Thema Datenschutz ist durchaus sehr heikel.

Doch möchte ich Ihnen auch die andere Seite aufzeigen, nicht nur die der womöglich geschädigten Person (im Sinne des Bundesdatenschutzgesetztes BDSG wird diese „Betroffener“ genannt). Im Sinne des BDSG hat ein Unternehmen die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn

a.)    in der Regel sich mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen

oder wenn

b.)    personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind.

Auch hierzu wieder Beispiele:

Eine Steuerberaterkanzlei, die 15 festangestellte Mitarbeiter beschäftigt, fällt eindeutig durch Ihren Geschäftszweck unter die automatisierte Verarbeitung personenbezogener Daten mit mehr als neun damit tätigen Personen und somit unter Punkt a.) und muss einen Datenschutzbeauftragten bestellen.

Ein Versandunternehmen für Privatkunden mit 5 EDV-Arbeitsplätze und 25 Mitarbeitern in der Lagerverwaltung, ist nach Punkt b.) verpflichtet, einen Datenschutzbeauftragten zu bestellen, da auch die Lagermitarbeiter durch die Lieferscheine mit den personenbezogenen Daten (Adresse, Telefonnummer, eventuell Bankdaten) der Kunden in Berührung kommen.
Mit der Verpflichtung des Datenschutzbeauftragten alleine ist es aber nicht getan. Die Umsetzungen der Anforderungen für einen sicheren Datenschutz sind vereinzelt schwierig, da bestehende manchmal auch etwas eingefahrene Vorgehensweisen, interne Abläufe oder Geschäftsprozesse verändert werden müssen. Dies bedeutet auch einige Male den Wegfall von Bequemlichkeiten. Die Vorschriften einzuhalten ist nicht immer ganz einfach, jedoch zahlt es sich aus. Vielmals geht es nur um Kleinigkeiten, wie zum Beispiel:

  • Das Papier mit den personenbezogenen Daten wird gleich vernichtet, nicht auf den Altpapierstapel gelegt
  • Passwörter werden nicht unter die Tastatur gelegt
  • Akten werden wieder sofort nach der Benutzung in den abschließbaren Aktenschrank zurückgebracht
  • Wenn der Arbeitsplatz verlassen wird, sperre ich meinen Computer
  • Schließen Sie Räume, die länger unbesetzt sind ab

Zudem ist noch die Frage offen: Was bringt das und wer kontrolliert das? Die Frage nach dem was es bringt bzw. was es nützt, ist nicht nur auf die Erfüllung der Gesetze zu sehen, vielmehr geht es auch um ihr Image als Firma. Ein Beispiel: Um Diebstähle zu verhindern, hat eine Firma ihre Mitarbeiter in der Umkleidekabine per Video überwacht. Nachdem das bekannt wurde, musste die Firma daraufhin ein Bußgeld zahlen. Die Höhe des Bußgeldes fiel bei der Firmengröße nicht unbedingt ins Gewicht. Wesentlich größer aber war der Imageschaden für das Unternehmen. Über den bekannt gewordenen Verstoß gegen geltende Datenschutzbestimmungen wurde ausführlich in der Presse und im Internet berichtet. Der bisher sehr gute Ruf der Firma hatte dadurch erheblich gelitten und konnte bis heute nicht mehr vollständig wiederhergestellt werden. Die Firma verzeichnete nach diesem Vorfall einen Umsatzrückgang von über 40 Prozent, was selbst nach inzwischen 4 Jahren nicht wieder ausgeglichen werden konnte.

Die Kontrolle des Betriebes erfolgte durch den Hinweis eines Betroffenen an die Datenschutz-Aufsichtsbehörde des entsprechenden Bundeslandes. Die Behörde verhängte ein Bußgeld in Höhe von 80.000 € und machte die Veröffentlichung des Vorfalls zur Auflage. Die Datenschutz-Aufsichtsbehörde des jeweiligen Bundeslands ist für die Kontrollen zuständig. Vergleichbar ist das bei Restaurants, die von dem entsprechenden Gesundheitsamt durch einen bestellten Lebensmittelkontrolleur auf die vorgegebenen Hygienevorschriften kontrolliert werden.

Kann man nun sagen, dass das Thema Datenschutz ein Mode-Hype ist oder ist es doch sinnvoll, mehr darüber nachzudenken?

Datenschutz ist kein Mode-Hype, sondern gesetzlich vorgeschrieben. Die Unternehmen sind gesetzlich dazu verpflichtet, die geltenden Datenschutzbestimmungen einzuhalten. Abhängig von gewissen Voraussetzungen müssen Unternehmen einen Datenschutzbeauftragten bestellen, der die Unternehmensleitung in allen Fragen zum Thema Datenschutz berät. Ist von den Rahmenbedingungen her kein Datenschutzbeauftragter erforderlich, obliegt die Einhaltung der Datenschutzbestimmungen der Unternehmensleitung alleine. Sicherlich, einige Dinge kann auch das BDSG nicht 100prozentig klären und es wird auch immer wieder neue Technologien geben, bei denen man sich die Frage stellen muss, ob die bestehenden gesetzlichen Bestimmungen noch angemessen sind bzw. nachgebessert werden müssen. Bei all den Gesetzen, den genannten Beispielen und den aktuellen Geschehnissen gilt immer wieder der weise Spruch:

„Was Du nicht willst, was man Dir tut, das füg´ auch keinem anderen zu.“

Wir werden uns in den kommenden Jahren weiterhin mit der Datenvielfalt, Sammelwut (Beispiel elektronische Gesundheitskarte) als auch mit der Datensicherheit (Stichwort IT-Sicherheit) beschäftigen müssen. Dies können wir nur, wenn wir das Thema Datenschutz ernst nehmen, uns damit auseinandersetzen und praktikabel aber gesetzeskonform umsetzen. Dabei fällt mir ein Zitat ein, welches ich bei einer Tagung von einem Landesdatenschutzbeauftragten gehört habe: „Lassen Sie uns nicht mit jeglicher Gewalt den Datenschutz umsetzen, lassen Sie uns die Mitarbeiter und Kollegen bei diesem Thema abholen und mitnehmen.“
Fürwahr: Datenschutz ist kein Mode-Hype, er ist wichtig, um die Persönlichkeitsrechte jedes Einzelnen weder einzuschränken noch zu verletzen.