Kaufargument Datenschutz

Datenschutz und Steuererklärungen haben etwas gemeinsam. Beide sind vom Staat aufgebrummte Pflichten für Unternehmen. Doch sie haben auch ihre Vorteile. So bringt eine Steuerrückzahlung Geld in die Kasse. Überraschung: Datenschutz kann das auch.

Diese Erkenntnis offenbart der State of Privacy Report 2015 der IT-Spezialisten von Symantec. So ist für 88 Prozent der von ihnen befragten 7.000 Europäer Datenschutz der wichtigste Grund für eine Kaufentscheidung. Wichtiger sogar noch, als die Produktqualität (86 Prozent). Grund genug also, über einen guten Datenschutz in Ihrem Unternehmen nachzudenken.

Doch was zeichnet diesen aus? Zuallererst muss er natürlich dem Bundesdatenschutzgesetz entsprechen. Das greift bei allen Unternehmen, die personenbezogene Informationen verarbeiten. Verarbeiten bedeutet hier:

  • Erheben,
  • Speichern,
  • Verändern,
  • Nutzen,
  • Übermitteln,
  • Sperren oder
  • Löschen

von Informationen mittels Datenverarbeitungsanlagen. In der Regel also mit Computern. Verfahren Sie  in Ihrem Unternehmen auch so, dann müssen Sie Ihren Landesdatenschutzbeauftragten davon unterrichten. Der trägt dann Ihr Unternehmen in das Datenschutzregister ein.

Nächster Schritt: Möglicherweise brauchen Sie noch einen eigenen Datenschutzbeauftragten. Wann der notwendig wird und was der so macht, lesen Sie in diesem DM-Ratgeber. Deshalb hier nur ganz kurz: Ein Datenschutzbeauftragter sorgt dafür, dass in Ihrem Unternehmen die Pflichten im Umgang mit personenbezogenen Informationen ernst genommen und eingehalten werden.

Grundsätzlich aber sind Sie als Chef dafür verantwortlich und haben darauf zu achten, dass alles nach Recht und Gesetz geht.

Um diese Daten geht's

Was aber sind personenbezogene Daten überhaupt? Hier ein Überblick:

  • Name,
  • Alter,
  • Geburtsdatum,
  • Anschrift,
  • Telefonnummer,
  • E-Mail-Adresse,
  • Bankdaten und der
  • Familienstand.

Besonderer Schutz gilt darüberhinaus für Informationen zu ethnischer Herkunft, religiöser und weltanschaulicher Überzeugung, sexueller und politischer Orientierung. Das betrifft nebenbei gesagt nicht nur Daten von Kunden oder Geschäftspartnern, sondern natürlich auch die Ihrer Mitarbeiter.

Um all dem gerecht zu werden,  sind nicht wenige Pflichten zu beachten ...

  • Zutrittskontrolle: Nur Befugte dürfen die Räume mit den Datenverarbeitungsanlagen betreten.
  • Zugangskontrolle: Nur Befugte dürfen die Anlagen nutzen.
  • Zugriffskontrolle: Nur Befugte dürfen mit den Daten arbeiten. Und zwar ausschließlich mit jenen, die für die jeweiligen Mitarbeiter freigeschaltet sind.
  • Weitergabekontrolle: Personenbezogene Daten dürfen während der elektronischen Weitergabe nicht manipuliert oder unerlaubt genutzt werden. Sie müssen nachweisen wer, was, wann und wie an wen übermittelt hat.
  • Eingabekontrolle: Wer in Ihrem Unternehmen hat welche Daten wann und in welcher Weise bearbeitet? Auch das muss nachvollziehbar sein.
  • Auftragskontrolle: Verarbeiten Sie Daten von Dritten, dürfen Sie das nur in dem Rahmen, den der Auftraggeber Ihnen gesteckt hat.
  • Verfügbarkeitskontrolle:  Sie müssen die Daten gegen Vernichtung oder Verlust bewahren.
  • Getrennte Verarbeitung: Daten mit unterschiedlicher Bestimmung dürfen auch nur getrennt voneinander verarbeitet werden.
  • Datengeheimnis: Wer erlaubterweise mit personenbezogenen Daten hantiert, darf diese – na klar – nicht unbefugt erheben, verarbeiten oder nutzen.

Löschen und Vernichten

Das ist schon eine Menge Holz, das Sie da bewältigen müssen. Doch damit ist Ihren Pflichten noch längst nicht Genüge getan. Es wollen nämlich noch weitere Vorschriften befolgt sein. Beispielsweise wenn es um die sichere Vernichtung von Daten geht.

Denn weder Akten, CDs noch Festplatten mit vertraulichem Inhalt dürfen einfach so im nächstbesten Papierkorb oder Müllcontainer landen. Zuvor sind die darauf befindlichen Informationen zu löschen beziehungsweise unleserlich zu machen. So sollten Papiere und CDs fachgerecht geschreddert werden. Wie Sie elektronische Laufwerke unschädlich machen, verrät Ihnen die "Computerwoche".

Wollen Sie sich das delikate Prozedere verständlicherweise vom Hals halten, so betrauen Sie einen Spezialisten damit. Der nimmt Ihnen das Problem ab, aber erst nachdem Sie weitere Hausaufgaben gemacht haben. Denn auch für diesen Fall sind – Sie ahnen es – eindeutige Bestimmungen einzuhalten.  So muss der Auftrag in Schriftform erfolgen und – in Absprache mit dem Dienstleister – folgendes enthalten:

  • die Art der  Datenträger
  • das Maß der Sensibilität der Daten
  • die Art der Vernichtung
  • den Ort der Vernichtung
  • den Transport der Datenträger dorthin
  • den Aufbewahrungsort bis zur Vernichtung
  • den Zeitpunkt der Vernichtung
  • ob Dritte in den Prozess eingeschaltet werden
  • Ihre Erlaubnis, den Vorgang zu überwachen

Ihre Funktion als Prüfer sollten Sie durchaus ernst- und wahrnehmen. Auch wenn Sie schon lange mit einem Datenkiller zusammenarbeiten: Vertrauen ist gut, Kontrolle ist besser. Immerhin sind Sie solange für die sensiblen Informationen verantwortlich, bis sie endgültig gelöscht sind.

So viel zu Ihren Pflichten, wenn alles glatt läuft. Geht aber etwas schief, dann kommt noch mehr auf Sie zu.

Daten-GAU: Was ist zu tun?

Sind nämlich personenbezogene Informationen zum Beispiel durch ein Datenleck zu Dritten entwichen und damit schutzwürdige Interessen schwer verletzt worden, müssen Sie unverzüglich die Betroffenen sowie den Landesbeauftragten für den Datenschutz benachrichtigen. Notwendig sind diese Pflichten, wenn es um Daten geht, die ...

  • besonderen Schutz genießen (siehe oben),
  • dem Berufsgeheimnis unterliegen,
  • auf Straftaten oder Ordnungswidrigkeiten der betroffenen Personen hindeuten oder
  • Bank- und Kreditkarteninformationen enthalten.

Dann müssen Sie die Leidtragen sofort und individuell aufklären. Und zwar über die Art und Weise Ihres Fehlers sowie über mögliche Gegenmaßnahmen, die die Betroffenen ergreifen können. Und Ihrem Landesbeauftragten für den Datenschutz beichten Sie, welche Folgen das Datenleck haben könnte und wie Sie gedenken, es zu schließen.

Imageschaden inklusive

Noch unangenehmer wird es, wenn sehr viele Menschen von dem Schwund betroffen sind. Geht deren Zahl in die Tausende – was schnell passiert ist –, so können Sie nicht mehr jeden Einzelnen informieren. Dann müssen Sie wohl oder übel an die Öffentlichkeit gehen. So will es das Bundesdatenschutzgesetz. Konkret: Sie schalten eine mindestens halbseitige Anzeige in wenigstens zwei bundesweit erscheinenden Zeitungen.

Spätestens jetzt wird klar, warum ein guter Datenschutz ein Segen für Ihr Unternehmen ist. Denn ein Fauxpas dieser Größenordnung ist ganz schlecht fürs Image. Von den möglichen rechtlichen und finanziellen Folgen ganz zu schweigen. Bis zu 300.000 Euro Bußgeld kann Sie ein Verstoß gegen den Datenschutz kosten – auch persönlich. Und bei Vorsatz sind sogar zwei Jahre Haft drin.

Andererseits punkten Sie mit einem guten Datenschutz bei Kunden und Handelspartnern. Am besten geben Sie zu diesem Zweck eine Datenschutzerklärung ab, zum Beispiel auf Ihrer Homepage. Darin legen Sie offen, wie sorgsam Ihr Unternehmen mit personenbezogenen Informationen umgeht und welche Daten es für welchen Zweck verwendet. So machen Sie aus Ihren Pflichten einen imagefördernden Vorteil.

Weiterführende Links:

  • Auch die Daten der Mitarbeiter enthalten sensible Informationen. Welche Chefs wissen dürfen und welche nicht, erfahren Sie in diesem DM-Ratgeber.
  • Eine aktuelle Studie über digitale Angriffe auf Unternehmen hat der Branchenverband Bitkom herausgebracht.