Es gibt eine gute und eine schlechte Nachricht. Die gute: Zwischen 2013 und 2015 haben sich fast alle (95 Prozent) der größeren mittelständischen Unternehmen laut KfW-Mittelstandspanel 2015 aktiv um mehr IT-Sicherheit und Datenschutz bemüht. Die schlechte: Knapp jedes zweite der 2.200 befragten Unternehmen (45 Prozent) sieht hier trotzdem noch Nachholbedarf. Nötig sind diese Maßnahmen auf jeden Fall. Laut des KfW-Mittelstandspanels mussten 30 Prozent der Mittelständler zwischen 2013 und 2015 einen Angriff auf ihre IT-Sicherheit abwehren.
Wann ein Datenschutz-
beauftragter nötig ist
Neben freiwilligen Investitionen in den Datenschutz sind Unternehmen durch das Bundesdatenschutzgesetz (BDSG) zu bestimmten Maßnahmen verpflichtet. In der Regel gilt: Sobald in einem Unternehmen mehr als neun Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss laut BDSG ein Datenschutzbeauftragter ernannt werden. Der Einsatz von Smartphones mit Adresslisten gilt bereits als automatisierte Verarbeitung von Daten. Laut BDSG (§ 4f, Nr. 1) müssen „öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, einen Beauftragten für den Datenschutz schriftlich bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet“.
Datenschutzbeauftragte haben die Aufgabe, die Geschäftsleitung bei datenschutzrechtlichen Fragen zu beraten. Die letzte Entscheidung, welche Maßnahmen umgesetzt werden, verbleibt allerdings bei der Geschäftsleitung, erklärt ein Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI) Nordrhein-Westfalen.
Firmen können interne Mitarbeiter als Datenschutzbeauftragte berufen. Der Vorteil ist, dass der Mitarbeiter das Unternehmen gut kennt und eine interne Lösung oftmals günstiger ist, beschreibt der Sprecher weiter. Damit geht allerdings ein nachwirkender Kündigungsschutz für diesen Mitarbeiter von einem Jahr einher. Es gibt auch externe Dienstleister, die als Datenschutzbeauftragte für Firmen arbeiten. Allerdings kennen diese Experten das betreffende Unternehmen meist weniger gut als ein interner Beauftragter und die Kosten könnten höher anfallen.
Unternehmer, die sich nicht sicher sind, ob sie einen Datenschutzbeauftragten ernennen müssen, können beispielsweise über die Internetseite der Landesdatenschutzbeauftragten (LDI) Nordrhein-Westfalen (www.ldi.nrw.de) einen Online-Selbstcheck durchführen. Jedoch müssen sich auch Firmen, die aufgrund ihrer Größe keinen separaten Datenschutzbeauftragten benötigen, um den Schutz von personenbezogenen Daten kümmern.
Aktuelle Gesetzeslage
beim Datenschutz
Alle Firmen mit Sitz in Deutschland müssen sich nach dem Bundesdatenschutzgesetz (BDSG) richten. Im Zentrum steht der Schutz personenbezogener Daten natürlicher Personen, erklären die Autoren Dr. Michael Schwarz und Aurelia Muhle von KfW-Research in ihrem Beitrag „Fokus Volkswirtschaft Nr. 117“. Unternehmen müssen alle Daten, die zu einer Person gehören, also Angaben über persönliche oder sachliche Verhältnisse, vertraulich und sicher behandeln. Das gilt für Daten von Kunden, Mitarbeitern und Geschäftspartnern und auch für die gesamten Daten, die Rückschlüsse auf diesen Personen-
kreis erlauben.
In jedem Bundesland gelten zudem landesspezifische Gesetze zum Datenschutz. Diese können sich auch nach Branche und Tätigkeit unterscheiden, beschreiben Schwarz und Muhle von KfW-Research. Wichtig zu wissen ist, dass diese Gesetze gegenüber dem BDSG Vorrang haben (z.B. Verschwiegenheitspflichten von Ärzten und Anwälten).
Unternehmen müssen aber mitunter nicht nur die Daten ihrer Geschäftspartner und Kunden sichern, sondern auch ihre eigenen Geschäftsdaten. Gerade das viel diskutierte Thema „Cloud Computing“ ist für Mittelständler nicht nur mit einer möglichen Kostenersparnis verbunden. Unternehmer sollten genau abwägen, wen sie als Betreiber auswählen. Da inbesondere die großen Anbieter häufig aus den USA stammen, unterliegen sie oftmals Geheimdienstzugriffen. Daher ist bei der Wahl eines Cloud-Computing-Anbieters nicht nur Datenschutz ein Thema, sondern betrifft auch den Schutz von Geschäftsgeheimnissen, wie jüngst die Enthüllungen rund um die sogenannten Panama Papers bestätigen. Peter Schaar, der vorherige Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDi), geht in einem Interview mit der „Welt“ sogar so weit zu sagen: „Sensible persönliche oder betriebliche Daten gehören … besser nicht in die Cloud.“
In der alltäglichen Routine können Mittelständler ohne große Zusatzkosten ihre Daten schützen, indem sie die IT-Sicherheit verbessern. So rät Anja Strohm von „Mittelstand. Die Macher“ Unternehmen online Mitarbeitern u.a. dazu, ihre Web-Browser und Virenscanner immer aktuell zu halten, nur sichere Passwörter mit mindestens acht Zeichen Länge zu verwenden und vorher genau zu überlegen, eine E-Mail mit unbekanntem Absender zu öffnen.
Was tun bei einer Datenpanne?
Sollte trotz aller Vorsichtsmaßnahmen einem Unternehmen doch eine Datenpanne wie jüngst dem Kölner Verlag DuMont unterlaufen, müssen Unternehmer laut § 42a des BDSG die Aufsichtsbehörde schriftlich darüber unterrichten oder die Unterlagen zumindest schriftlich nachreichen, heißt es seitens der Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen. Der Vorfall sollte detailliert beschrieben werden. Außerdem müssen Betroffene benachrichtigt werden. Im Nachgang müssen die Maßnahmen zur Behebung der Sicherheitslücke ebenfalls detailliert beschrieben werden. Beispiele hierfür sind beispielsweise Karten, Passwörter, Zugangscodes, die ausgetauscht wurden.
Um Datenschutzmaßnahmen im Unternehmen besser einzubinden, gibt es zahlreiche Informationsangebote. So bieten die Indus-
trie- und Handelskammern (IHK) bundesweit Zertifikatslehrgänge für Datenschutzbeauftragte an. Der neueste Workshop bei der IHK zu Düsseldorf startet beispielsweise am 10. Mai 2016. Die IHK Nord Westfalen bietet auf ihrer Webseite (www.ihk-nordwestfalen.de) u.a. ein Link zu einer ausführlichen Broschüre der „Stiftung Datenschutz“. Diese beschäftigt sich damit, wie kleine und mittelständische Unternehmen Maßnahmen zum Datenschutz umsetzen
können.
Teilen:
Fotostrecke
(Foto: © andyller – stock.adobe.com)
