Seite 35 - DAS QUARTAL 2.2013

THEMEN IM FOKUS

DAS QUARTAL 2.13

35

Diese Aufgabe kann aber nicht jeder Mitar-

beiter ohne Weiteres erfüllen: Der Spezialist

braucht eine besondere Qualifikation, um-

fassende Kenntnisse im IT-Bereich sowie

gute juristische und organisatorische Kennt-

nisse sind obligatorisch. Er muss außerdem

wissen, welche Informationen im Unterneh-

men wo und wie verarbeitet oder verwendet

werden. Er soll die Informationsflüsse analysie-

ren, dokumentieren und schützen, Schwach-

stellen aufdecken sowie für sichere Pro-

zesse sorgen. „Ihm obliegt die Aufgabe, den

Datenschutz zu kontrollieren“, so Schäfer.

Zwar dürfte dieser Job in einem mittelstän-

dischen Unternehmen in aller Regel keine

Vollzeittätigkeit sein. Der dafür ausgewählte

Mitarbeiter muss aber trotzdem genügend

Zeit bekommen, um seine Aufgabe den ge-

setzlichen Vorschriften sowie betrieblichen

Erfordernissen entsprechend sorgfältig zu

erfüllen. Wie gut der Datenschutzbeauftrag-

te und seine Geschäftsleitung den rechtli-

chen Vorgaben nachkommen, prüfen die

Landesbehörden. „Wir haben bei rund 1.000

Unternehmen nachgefragt, ob sie einen Da-

tenschutzbeauftragten ernannt haben“, be-

richtet Birgit Weck-Boeckh, die Sprecherin

des Datenschutzbeauftragten NRW. Zudem

gehen die Länder Beschwerden nach. Und

es finden Stichproben vor Ort statt. Das Risi-

ko aufzufallen ist also immer da.

Informationen automatisiert verarbeiten und

damit über neun Personen beschäftigen. Bei

personenbezogenen Daten handelt es sich in

erster Linie um Anschrift, E-Mail-Adresse,

Telefon- und Kontonummer, aber auch

Kreditkarteninformationen, Kfz-Kennzei-

chen oder Personalausweis- und Sozialver-

sicherungsnummer. Automatisierte Verar-

beitung bedeutet vor allem die Erhebung

oder Nutzung der Informationen durch EDV

– also Computer, PDAs, moderne Mobiltele-

fone sowie Videoanlagen mit Aufzeich-

nungen. Können also beispielsweise bei

einem Einzelhändler mehrere Verkäufer auf

die Privatkundendatei zugreifen und weitere

Mitarbeiter auf die Lohnbuchhaltung, ist

schnell die Neun-Personen-Grenze über-

schritten. Dann steht selbst eine kleine Fir-

ma in der Pflicht, einen Datenschutzbeauf-

tragten zu ernennen.

tenschutzbeauftragten Deutschland (BvD)

und Experte für Verbraucherschutz bei der

Deutschen Vereinigung für Datenschutz

(DVD). Ein Drittel der Betriebe, schätzt er,

schütze aktiv und verantwortungsbewusst

Daten der Mitarbeiter oder Kunden: „Das

Thema nehmen die meisten nicht ernst.“

Das heißt: Angestellte sind nicht sensibili-

siert, sorgsam mit Informationen umzuge-

hen. Sie plaudern leichtfertig Interna aus

oder senden sorglos per Mail ohne jede Si-

cherheitsvorkehrung wichtige Vertragsbe-

standteile. Die meisten Unternehmen holen

weder die vom Gesetz vorgeschriebenen

Einwilligungserklärungen über die Verwen-

dung von Kundendaten ein noch sichern sie

Akten im Büro – egal ob in Papier- oder

elektronischer Form – ausreichend gegen

Angriffe von außen.

Und es gibt viele Probleme.

Doch erheblich

mehr Engagement für den Schutz vor allem

der im Rechner gespeicherten Informatio-

nen wäre angebracht. Die polizeiliche Krimi-

nalstatistik zeigt jedes Jahr rund 15.000 Fäl-

le des „Ausspähens und Abfangens“ von

Daten. Experten schätzen, dass die Dunkel-

ziffer um ein Mehrfaches höher liegt. Denn

Hacker verwischen ihre Spuren. Oft bemer-

ken Betriebe das Kopieren von Daten gar

nicht. Auch neigen betroffene Mitarbeiter

dazu, solche Probleme unter den Teppich zu

kehren. „Um einen rechtssicheren Umgang

zu gewährleisten, bedarf es deshalb qualifi-

zierter Schulungen, am besten organisiert

vom Datenschutzbeauftragten des Unter-

nehmens – genau das aber passiert nicht“,

moniert Datenschützer Schäfer. Dabei dro-

hen auch kleinen und mittleren Betrieben

oder Freiberuflern bei einem Verstoß gegen

das Datenschutzgesetz schnell Strafen im

fünfstelligen Euro-Bereich. Anlass genug

also, Vorsorge zu treffen.

Die Vorgaben sind eindeutig.

Prinzipiell gilt:

Einen Datenschutzbeauftragten müssen Un-

ternehmen bestellen, die personenbezogene

Laut Datenschutzgesetz brauchen nicht nur Konzerne, sondern in vielen Fällen auch Mit-

telständler einen Datenschutzbeauftragten.

Gesetz:

Seit 1. September 2009 gilt die Datenschutznovelle II. Sie hat die Anforderungen an

den Schutz von Mitarbeiter- und Kundendaten verschärft. Die Behörden prüfen zuneh-

mend auch im Mittelstand ihre Einhaltung. Bei Verstößen sind Bußgelder fällig.

Organisation:

Betroffene Firmen müssen ein Datenschutzmanagement einrichten und ein

datenschutzrechtliches Verfahrensverzeichnis sowie ein Datenschutzhandbuch erstellen.

Sie müssen ihre Mitarbeiter im richtigen Umgang mit Daten schulen und auf die Rege-

lungen des Bundesdatenschutzgesetzes verpflichten.

Beauftragter:

Der Datenschutzbeauftragte darf wegen möglicher Interessenkollision

weder Inhaber noch Gesellschafter noch in leitender Funktion im Unternehmen tätig sein.

Er genießt erweiterten Kündigungsschutz. Viele Betriebe bestellen daher alternativ

einen externen Datenschutzbeauftragten.

Unterstützung bei Datenschutz:

Clevere Firmenchefs informieren sich rechtzeitig, ob sie

betroffen sind, und erfüllen die Vorgaben. DATEV unterstützt sie, etwa durch den Daten-

schutz-Check. Damit wird geprüft, ob das Unternehmen die Bestimmungen des Bundes-

datenschutzgesetzes einhält. Auch der DATEV-Datenschutzexperte kann Firmenchefs zur

Seite stehen, etwa bei Dokumentationen, Mitarbeiterschulungen sowie Problemen mit IT-Si-

cherheit. Mehr dazu erfahren Sie unter

www.datev.de/consulting

> Datenschutz-Beratungen.

Hintergrund

Der Datenschutzbeauftragte

Quelle: TRIALOG, Das Unternehmermagazin Ihrer

Berater und der DATEV, Herausgeber: DATEV eG,

Nürnberg, Ausgabe 02/2013

Die polizeiliche Kriminalstatistik zeigt jedes

Jahr rund 15.000 Fälle des „Ausspähens und

Abfangens“ von Daten. Experten schätzen,

dass die Dunkelziffer um ein Mehrfaches

höher liegt.