David KordesDatenfishing, Abhörskandale und Spionage in den sozialen Medien. Immer wieder begegnen uns Datenschutzverletzungen im großen Stil. Ob NSA, BND oder Facebook, ob aus vermeintlichen Sicherheitsgründen oder zu Werbezwecken, das heimliche Erfassen und die Nutzung persönlicher Daten scheint im postmodernen Digitalzeitalter omnipräsent. Immer lauter werden die Rufe nach Kontrollmechanismen, die eben jenen Diebstahl millionenschwerer Weltkonzerne unterbinden. Dass allerdings in fast jedem Unternehmen tagtäglich Datenschutzverletzungen geschehen, haben weniger Menschen auf dem Radar. Dabei kennt beinahe jeder das typische Szenario in der Arzt-Praxis, wenn man bereits in das Behandlungszimmer gebeten wird, während der Mediziner im Nebenzimmer noch mit einem anderen Patienten beschäftigt ist. Nicht selten offenbart sich dann auf dem Monitor die gesamte Litanei der Leidensgeschichte des zuvor behandelten Max Mustermann. Um diese Einblicke Unbefugter zu verhindern, verlangt der Gesetzgeber einen Datenschutzbeauftragten. Menschen wie Dorothea Riedel und Detlev Klein, die mit ihrem Unternehmen „Datenweise“ als externe Datenschutzbeauftragte Datenschutz, Datensicherheit und IT-Sicherheit herstellen und gewährleisten.
Per Gesetz muss jedes Unternehmen einen Datenschutzbeauftragten bestellen, wenn es personenbezogene Daten automatisiert verarbeitet.
Dorothea Riedel
Gemäß § 4f BDSG muss ein Unternehmen einen Datenschutzbeauftragten bestellen, wenn es personenbezogene Daten automatisiert verarbeitet. Ein betrieblicher Datenschutzbeauftragter muss schriftlich bestellt werden, wenn mehr als neun Personen im Betrieb ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder personenbezogene Daten auf andere Weise erheben, verarbeiten oder nutzen. „Das Landesamt für Datenschutz und IT-Sicherheit geht insbesondere in jüngerer Vergangenheit äußerst streng gegen Datenschutzverstöße vor. Branchenweise werden derzeit zahlreiche Unternehmen geprüft. Dabei wird von behördlicher Seite das interne und öffentliche Verfahrensverzeichnis eingefordert. Ist das Unternehmen anschließend nicht binnen vier Wochen in der Lage, die eingeforderten Unterlagen zu liefern, droht eine Strafe von bis zu 50.000 Euro für den formalen Verstoß der Nichtbeschäftigung eines Datenschutzbeauftragten. Doch Versäumnisse im Rahmen des Datenschutzes können auch abseits monetärer Sanktionen negative Kreise ziehen und ein Unternehmen belasten“, weiß Dorothea Riedel, die viele Jahre als Controllerin in zahlreichen Firmen gearbeitet hat und verweist auf den möglichen Verlust von Kundenvertrauen, Auseinandersetzungen mit Aufsichtsbehörden und die Gefährdung von ISO-Zertifizierungen. Im Rahmen des betrieblichen Datenschutzes zu schützen sind Angaben zum Namen, der Anschrift, dem Geburtsdatum und dem Beruf genauso wie weitaus sensiblerer Daten wie zur religiösen, politischen und sexuellen Orientierung oder zum Gesundheitszustand sowie zur Bonität einer Person.
„Zusammengefasst kümmert sich ein Datenschutzbeauftragter um die sichere Verwahrung und Übermittlung sowohl physischer als auch digitaler Daten.“
„Zusammengefasst kümmert sich ein Datenschutzbeauftragter um die sichere Verwahrung und Übermittlung sowohl physischer als auch digitaler Daten“, erklärt Detlev Klein, der bei Datenweise als Radio-Fernseh-Techniker- und Informationselektroniker-Meister für die IT-Sicherheit zuständig ist und bei Kunden sichere Internetzugänge herstellt, Datenübertragungen kontrolliert, das Einschleusen von Daten verhindert und mobile Geräte für den sicheren Online-Betrieb überwacht. Die studierte Diplomkauffrau Dorothea Riedel ist indes vornehmlich für die Organisation verantwortlich und schöpft dabei aus dem üppigen Erfahrungsschatz der zurückliegenden beruflichen Stationen. „Betriebliche Abläufe zu analysieren und zu hinterfragen, war schon immer Teil meines Berufs. Nun kann ich diese Fähigkeiten auch als Datenschutzbeauftragte nutzen. Bei fast jeder Beauftragung entdecke ich Einspar- und Weiterentwicklungspotenziale. Außerdem erkenne ich mögliche Fehler in der Organisation. Fast immer geht also mit einer Datenschutzprüfung eine Art Unternehmensberatung einher. Das wissen unsere Kunden sehr zu schätzen“, veranschaulicht die 51-Jährige.
Detlev Klein
Wer nach den gesetzlichen Bestimmungen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, kann entweder eine interne oder externe Lösung wählen. Beide Möglichkeiten bieten Vor- und Nachteile. Welche Variante gewählt wird, sollte nach gründlicher Abwägung der Voraussetzungen und Konsequenzen abgewägt werden. Aus vielen Gründen ist allerdings die Beauftragung eines externen Datenschützers sinnvoll. „Das beginnt schon bei den Kosten“, erläutert Detlev Klein, „Wer einen Mitarbeiter zum Datenschützer erklärt, muss ihn zunächst einmal schulen lassen. Das kostet Geld. Zudem muss dieser Mitarbeiter einen Teil seiner Arbeitszeit auf den Datenschutz verwenden und fällt in seiner ursprünglichen Position aus. Das kostet wieder Geld. Außerdem steht ein Interner immer in einem Interessenskonflikt und wird von den anderen Mitarbeitern als parteiisch empfunden. Dazu unterliegt er einem besonderen Kündigungsschutz. Wir hingegen kommen unvoreingenommen in ein Unternehmen, haben bereits die nötige Qualifikation, brauchen keinen Extra-Arbeitsplatz, können jederzeit wieder abberufen werden und, was vielleicht am wichtigsten ist, wir haften im Falle fahrlässiger Verstöße.“
Wer also selbst Unternehmer ist oder als Angestellter eines Unternehmens erkennt, dass der Datenschutz bislang stiefmütterlich gehandhabt wurde, sollte sich angesichts der drohenden Sanktion mit der Bestellung eines externen Datenschutzbeauftragten beschäftigen. Denn Datenweise schützt Ihre Daten nicht nur weise, sondern sorgt überdies dafür, dass Sie in Zukunft nachts wieder ruhig schlafen können.
Datenweise, Hunzingerstraße 6, 47799 Krefeld, Tel.: 0162 3334431,
info@datenweise.de, www.datenweise.de