Datenschutz im Unternehmen

Sie sind großzügig? Ihre Mitarbeiter dürfen in der Mittagspause online auf den Unternehmens-PCs shoppen und privat mailen? Ihr Unternehmen hat über zehn Mitarbeiter? Dann sollten Sie schnellstmöglich mit ihrem Datenschutzbeauftragten sprechen. KNOW!S Experte Marius Schommer, der auch die Schaffrath  DigitalMedien als externer Berater unterstützt, erklärt, worauf Unternehmen heute beim Datenschutz achten müssen.

Das Wort Datenschutz für sich alleine genommen beschreibt einen nüchternen und bürokratischen Vorgang. In der Kombination mit anderen Begriffen wird aus dem nüchternen Begriff ein hochemotionaler, denn er greift immer in die Intimsphäre von Menschen, Unternehmen und – wie alle mittlerweile wissen – sogar von Bundeskanzlerinnen ein. Und so verweben auch in Unternehmen beim Datenschutz Unternehmensinteressen mit denen der Mitarbeiter. Wenn ein Unternehmen mehr als zehn Mitarbeiter beschäftigt, muss es einen internen Datenschutzbeauftragten benennen oder einen externen Berater hinzuziehen. Bestellt der Unternehmer einen seiner internen Mitarbeiter zum Datenschutzbeauftragten, so genießt dieser ab dem Tag seiner Ernennung für ein Jahr Kündigungsschutz. Im Klartext bedeutet dies: Fordert der Datenschutzbeauftragte Dinge, die der Unternehmensleitung missfallen, kann dieser nicht einfach gekündigt werden. Der Datenschutzbeauftragte erhält im Unternehmen eine Sonderstellung, ist bei Datenschutzthemen sogar nicht mehr an die Weisungen der Geschäftsleitung gebunden. Er hat ein Anrecht auf Weiterbildung, und dafür muss das Unternehmen auch Geld in die Hand nehmen.

Bäcker als Datenschutzbeauftragter?

Wen der Unternehmer als Datenschutzbeauftragten benennt, ist seine Sache. So könnte eine Bäckerei etwa einen ihrer Bäckergesellen zum Datenschutzbeauftragten machen. Der Gesetzgeber sieht nur vor, dass dieser in der Lage sein muss, Datenschutzfragen ordentlich zu klären. Ein Datenschutzbeauftragter sollte sich natürlich mit juristischen Fragen, IT-Recht, IT-Sicherheit, der Technik und Backups  auskennen und nicht nur Brötchen backen können. Die Themenpalette ist also eher komplex.

Je nach Unternehmensgröße besser einen externen Berater

Viele Unternehmen aus dem Mittelstand in der Größenordnung wie Schaffrath entscheiden sich für einen externen Berater. Damit lagert das Unternehmen das Thema organisatorisch aus und sorgt für mehr Transparenz. Es stellt dann keinen eigenen Mitarbeiter ab. Der externe Berater setzt in Abstimmung mit der Geschäftsführung Termine an. Zunächst machen beide gemeinsam eine Bestandsaufnahme, die in der Regel zwei bis drei Tage dauert. Das ist sehr abhängig davon, wie sensibel das Unternehmen schon in Sachen Datenschutz unterwegs ist. Als externer Datenschutzbeauftragter stellt Schommer dann fest, was datenschutzkonform ist und was nicht. Der Externe gibt Handlungsempfehlungen, was geändert werden sollte. Ob die Geschäftsführung handelt und diesen Vorschlägen folgt, obliegt deren unternehmerischem Handeln. Unternehmen, wie Schaffrath, die von sich aus nahe an Datenschutzthemen sind, folgen diesen Empfehlungen.

Anders ist dies bei Unternehmen, denen Datenschutz ein Dorn im Auge ist und die oft gar keinen Datenschutzbeauftragten benennen. Marius Schommer geht davon aus, dass die Dunkelziffer der Unternehmen, die keinen Beauftragten bestellt haben, sehr hoch ist, obwohl die Landesdatenschutzbehörde Bußgelder verhängen kann.

Datenschutz ernst nehmen hat Vorteile für Unternehmen

Auf den ersten schnellen Blick sorgt der Datenschutz zunächst für mehr Arbeit und vielleicht auch Probleme im Unternehmen. Er sorgt aber auch für mehr Transparenz. Denn so verschafft sich ein Unternehmen darüber Klarheit, wie mit Daten und Information umzugehen ist. Ein Beispiel: Unternehmensdaten werden auf einen USB Stick gezogen und dieser wird dann in der Bahn, im Flieger oder beim Kunden vergessen. Das hat auch etwas mit Datenschutz zu tun, auf der anderen Seite aber vor allem mit Datensicherheit. Das kann natürlich böse enden. Marius Schommer empfiehlt daher: „Meine Intention ist es, den Datenschutz so aufzusetzen, dass vor allen Dingen die Mitarbeiter für das Thema Datenschutz und Datensicherheit sensibilisiert werden. Und die Geschäftsführung dies auch mitträgt und lebt. Dabei setzt Schommer nicht so sehr auf autoritäre Ansagen wie „Du machst das jetzt so“, sondern appelliert an die Einsicht seiner Kunden: „Viel lieber beschreibe, erläutere und lege ich die Risiken dar, so dass eine Sensibilität und auch ein Verständnis entsteht.“

Geschäftsführer haften persönlich

Hat ein Unternehmen mit über zehn Mitarbeitern keinen Datenschutzbeauftragten benannt, dann haftet der Geschäftsführer für alle Bußgelder und Schadensersatzforderungen persönlich und muss im schlimmsten Fall bei einem Strafverfahren mit Haft rechnen. Das gilt auch für die Rechtsform der GmbH.

Datenschutz als lebender Zyklus

Zunächst wird die Bestandsaufnahme gemacht und Handlungsempfehlungen besprochen. Danach wird ein neuer Termin vereinbart. Ideal ist ein Treffen einmal jedes Quartal. Dort können die Sachen besprochen werden, die als To-Do zu erledigen waren. Und eine neue Baustelle kann bei diesem Termin definiert werden. „So, dass der Datenschutz quasi ein lebender Zyklus wird und jedes Steinchen einmal umgedreht wird, ob es denn jetzt an der richtigen Stelle liegt“, beschreibt Schommer die ideale Herangehensweise. Deswegen kann man nicht sagen, dass ein Unternehmen, sobald der Datenschutzbeauftragte da ist, gleich regelkonform arbeitet. Das passiert weder bei Mittelständlern noch bei Industriekonzernen.

Im Detail bedeutet dies, dass sich der Datenschutzbeauftragte darum kümmert, dass Kennwörter  einer bestimmten Komplexität unterliegen oder nicht unter die Tastatur mit einem Post-It geklebt werden, wer auf welche E-Mail-Konten Zugriff hat oder wie das Unternehmen mit Kundendaten umgeht. Darf ich Excel-Tabellen mit tausenden Kundendaten einfach an Kollegen oder externe Dienstleister weiterschicken? Wann muss ich Daten verschlüsseln? Also: Die Klärung der Fragen, was wirklich mit personenbezogenen Daten passiert.

„Wir reden beim Datenschutz ja immer von personenbezogenen Daten. Und es geht nicht nur um digitale Daten, sondern auch darum, ob Türen zur Buchhaltung, Personalleitung oder der Geschäftsführung bei Nichtanwesenheit verschlossen sind. Ein Aktenordner mit Personen-Daten ist für den Datenschutz genauso relevant wie eine Excel-Tabelle.“, erläutert Schommer.

Social Media als Datenschutz-Thema

Facebook, Xing und andere Medien sind ein großes Thema für den Datenschutz. Unternehmer tun gut daran, das private Surfen und auch das private Mailen zu unterbinden, also zu verbieten. Und auch in regelmäßigen Abständen zu kontrollieren, ob es auch wirklich eingehalten wird. Auf den ersten Blick sieht es so aus, als wäre es kein großes Problem, wenn der Mitarbeiter in der Pause privat surft, seinem Partner eine Mail schreibt oder eben im Onlineshop etwas bestellt. Denn das belastet das Unternehmen zunächst nicht.

Aber wenn das erlaubt wird, dann darf der Arbeitgeber nicht mehr in das Postfach des Mitarbeiters blicken, auch dann nicht, wenn es wirklich notwendig wird. Und er darf sich auch nicht mehr Zugang zu diesem PC verschaffen. Der Geschäftsführung gehört der PC, die bezahlt natürlich auch die IT- und die Wartungskosten, darf aber nicht an den PC, weil sie damit gegen den Datenschutz verstoßen würde. Der Mitarbeiter könnte seinen Chef wegen des Nichteinhaltens des Datenschutzgesetzes verklagen.
Der zweite Punkt, Privatnutzung zu unterbinden ist die Gefahr, dass die Systeme kompromittiert werden können, wenn auf unsicheren oder illegalen Seiten gesurft wird. Dabei ist es egal, ob das in der Pausenzeit passiert oder in der Arbeitszeit. Bei XING-Profilen, etwa von Vertriebsmitarbeitern, ist darauf zu achten, dass dieses ein geschäftliches und nicht ein privates ist.

Wie geht man mit einer Cloud oder dem Thema Dropbox um?

Bei allen Daten, die Cloud-basiert sind, sollte man sicherstellen, dass der Anbieter dem deutschen Datenschutzrecht unterliegt, dass die Server in Deutschland sind, dass die Sicherheitsvorkehrungen des Cloud-Dienstleisters  so gut sind, dass dort kein Ansatzpunkt für den Missbrauch oder die Unterwanderung des Datenschutzgesetzes gegeben ist. Dropbox ist ein Dienst, der nicht datenschutzkonform ist. Keiner kann sicherstellen, wo die Daten liegen und Mitarbeiter können problemlos oft die ganzen Unternehmensdaten in eine Dropbox schaufeln – beabsichtigt oder unbeabsichtigt.
USB-Sticks sollten prinzipiell verschlüsselt sein. Einen einfachen USB-Stick sollte man nicht verwenden. Bei Schaffrath hat man sich darauf geeinigt, dass es unternehmenseigene USB-Sticks gibt, die von Hause aus verschlüsselt sind: Wenn personenbezogene Daten transportiert werden müssen, dann gibt es die Anordnung, die unternehmenseigenen USB-Sticks zu benutzen. Dies gilt auch für Laptops, die vollständig zu verschlüsseln sind. Denn dann hat man bei Verlust nur den materiellen Schaden.

Die Datenschutz-Witze haben zugenommen

Fragt man Experten wie Marius Schommer, ob nach der NSA-Affäre die Sensibilität oder die Laissez-faire-Haltung zugenommen haben, antwortet dieser erst einmal: „Die Datenschutz-Witze haben zugenommen. Die Sensibilität hat zugenommen, keine Frage, aber jetzt nicht zu 50 Prozent. Ich würde eher sagen zu 25 Prozent. Als das Abhören des Kanzlerinnen-Handys aufkam, war das ein heißes Thema. Aber das ist natürlich auch das Problem. Dann sagen sich viele: Ja, wenn die Kanzlerin schon abgehört wird, mit einem ganzen IT-Stab dahinter, kann ich als kleines Würmchen ja gar nichts tun. Aber das ist natürlich so nicht richtig.“

Foto: Rainer Holz