Schließen TEILEN MIT...

RANKINGS
Schließen
Schließen
Management

Datenschutz – was Mittelständler wissen müssen

Datenschutzpannen wie die berühmt-berüchtigten Panama Papers oder jüngst die Datenpanne des Verlags DuMont sind in aller Munde. Was Mittelständler beachten sollten, damit es ihnen nicht auch so ergeht.

Es gibt eine gute und eine sch­lechte Nachricht. Die gute: Zwischen 2013 und 2015 haben sich fast alle (95 Prozent) der größeren mit­tel­ständischen Un­terneh­men laut KfW-Mit­tel­s­tands­pan­el 2015 ak­tiv um mehr IT-Sicher­heit und Daten­schutz be­müht. Die sch­lechte: Knapp jedes zweite der 2.200 be­fragten Un­terneh­men (45 Prozent) sie­ht hi­er trotz­dem noch Nach­holbe­darf. Nötig sind diese Maß­nah­men auf je­den Fall. Laut des KfW-Mit­tel­s­tands­pan­els mussten 30 Prozent der Mit­tel­ständler zwischen 2013 und 2015 ei­nen An­griff auf ihre IT-Sicher­heit ab­wehren.

Wann ein Daten­schutzbeauf­tragter nötig ist


Neben frei­wil­li­gen In­vesti­tio­nen in den Daten­schutz sind Un­terneh­men durch das Bun­des­daten­schutzge­setz (BDSG) zu bes­timmten Maß­nah­men verpflichtet. In der Regel gilt: Sobald in einem Un­terneh­men mehr als ne­un Mi­tar­beit­er mit der au­to­ma­tisierten Ve­rar­bei­tung per­so­n­en­be­zo­gen­er Dat­en beschäftigt sind, muss laut BDSG ein Daten­schutzbeauf­tragter er­nan­nt wer­den. Der Ein­satz von Smart­phones mit Adress­lis­ten gilt bere­its als au­to­ma­tisierte Ve­rar­bei­tung von Dat­en. Laut BDSG (§ 4f, Nr. 1) müssen „öf­fentliche und nicht-öf­fentliche Stellen, die per­so­n­en­be­zo­gene Dat­en au­to­ma­tisiert ve­rar­beit­en, ei­nen Beauf­tragten für den Daten­schutz schriftlich bestellen. Nicht-öf­fentliche Stellen sind hi­erzu spätestens in­n­er­halb eines Mo­nats nach Auf­nahme ihr­er Tätigkeit verpflichtet“. Daten­schutzbeauf­tragte haben die Auf­gabe, die Geschäft­slei­tung bei daten­schutzrechtlichen Fra­gen zu be­r­at­en. Die let­zte Entschei­dung, welche Maß­nah­men umge­set­zt wer­den, ver­bleibt allerd­ings bei der Geschäft­slei­tung, erk­lärt ein Sprech­er der Lan­des­beauf­tragten für Daten­schutz und In­for­ma­tions­frei­heit (LDI) Nor­drhein-West­falen. Fir­men kön­nen in­terne Mi­tar­beit­er als Daten­schutzbeauf­tragte berufen. Der Vorteil ist, dass der Mi­tar­beit­er das Un­terneh­men gut ken­nt und eine in­terne Lö­sung oft­mals gün­stiger ist, beschreibt der Sprech­er weit­er. Damit ge­ht allerd­ings ein nach­wirk­en­der Kündi­gungsschutz für die­sen Mi­tar­beit­er von einem Jahr ein­her. Es gibt auch ex­terne Di­en­stleis­ter, die als Daten­schutzbeauf­tragte für Fir­men ar­beit­en. Allerd­ings ken­nen diese Ex­perten das be­tr­ef­fende Un­terneh­men meist weniger gut als ein in­tern­er Beauf­tragter und die Kosten kön­n­ten höher an­fall­en. Un­terneh­mer, die sich nicht sich­er sind, ob sie ei­nen Daten­schutzbeauf­tragten er­nen­nen müssen, kön­nen beispiel­sweise über die In­ter­net­seite der Lan­des­daten­schutzbeauf­tragten (LDI) Nor­drhein-West­falen (www.ldi.nrw.de) ei­nen On­line-Selb­stcheck durch­führen. Je­doch müssen sich auch Fir­men, die auf­grund ihr­er Größe kei­nen se­parat­en Daten­schutzbeauf­tragten benöti­gen, um den Schutz von per­so­n­en­be­zo­ge­nen Dat­en küm­mern.

Aktuelle Ge­setzes­lage beim Daten­schutz


Alle Fir­men mit Sitz in Deutsch­land müssen sich nach dem Bun­des­daten­schutzge­setz (BDSG) richt­en. Im Zen­trum ste­ht der Schutz per­so­n­en­be­zo­gen­er Dat­en natür­lich­er Per­so­n­en, erk­lären die Au­toren Dr. Michael Sch­warz und Au­re­lia Muh­le von KfW-Re­search in ihrem Bei­trag „Fokus Volk­swirtschaft Nr. 117“. Un­terneh­men müssen alle Dat­en, die zu ein­er Per­son ge­hören, al­so An­gaben über per­sön­liche oder sach­liche Ver­hält­nisse, ver­traulich und sich­er be­han­deln. Das gilt für Dat­en von Kun­den, Mi­tar­beit­ern und Geschäfts­part­n­ern und auch für die ge­samten Dat­en, die Rücksch­lüsse auf die­sen Per­so­n­enkreis er­lauben. In je­dem Bun­des­land gel­ten zu­dem lan­desspez­i­fische Ge­setze zum Daten­schutz. Diese kön­nen sich auch nach Branche und Tätigkeit un­ter­schei­den, beschreiben Sch­warz und Muh­le von KfW-Re­search. Wichtig zu wis­sen ist, dass diese Ge­setze ge­genüber dem BDSG Vor­rang haben (z.B. Ver­sch­wie­gen­heit­spflicht­en von Ärzten und An­wäl­ten). Un­terneh­men müssen aber mi­tun­ter nicht nur die Dat­en ihr­er Geschäfts­part­n­er und Kun­den sich­ern, son­dern auch ihre ei­ge­nen Geschäfts­dat­en. Ger­ade das viel disku­tierte The­ma „Cloud Com­put­ing“ ist für Mit­tel­ständler nicht nur mit ein­er möglichen Kosten­ers­par­nis ver­bun­den. Un­terneh­mer soll­ten ge­nau ab­wä­gen, wen sie als Be­treiber auswählen. Da inbe­son­dere die großen An­bi­eter häu­fig aus den USA stam­men, un­ter­lie­gen sie oft­mals Ge­heim­di­en­stzu­grif­f­en. Da­her ist bei der Wahl eines Cloud-Com­put­ing-An­bi­eters nicht nur Daten­schutz ein The­ma, son­dern be­t­rifft auch den Schutz von Geschäfts­ge­heim­nis­sen, wie jüngst die En­thül­lun­gen rund um die so­ge­nan­n­ten Pa­na­ma Pa­pers bestäti­gen. Peter Schaar, der vorherige Bun­des­beauf­tragte für Daten­schutz und In­for­ma­tions­frei­heit (Bf­Di), ge­ht in einem In­ter­view mit der „Welt“ so­gar so weit zu sa­gen: „Sen­si­ble per­sön­liche oder be­trie­bliche Dat­en ge­hören ... bess­er nicht in die Cloud.“ In der alltäglichen Rou­tine kön­nen Mit­tel­ständler ohne große Zusatzkosten ihre Dat­en schützen, in­dem sie die IT-Sicher­heit verbessern. So rät An­ja Strohm von „Mit­tel­s­tand. Die Macher“ Un­terneh­men on­line Mi­tar­beit­ern u.a. dazu, ihre Web-Brows­er und Viren­s­can­n­er im­mer aktuell zu hal­ten, nur sichere Pass­wörter mit min­destens acht Zeichen Länge zu ver­wen­den und vorher ge­nau zu über­le­gen, eine E-Mail mit un­bekan­n­tem Ab­sen­der zu öff­nen.

Was tun bei ein­er Daten­panne?


Sollte trotz aller Vor­sichts­maß­nah­men einem Un­terneh­men doch eine Daten­panne wie jüngst dem Köl­n­er Ver­lag Du­Mont un­ter­laufen, müssen Un­terneh­mer laut § 42a des BDSG die Auf­sichts­be­hörde schriftlich darüber un­ter­richt­en oder die Un­ter­la­gen zu­min­d­est schriftlich nachreichen, heißt es seit­ens der Lan­des­beauf­tragten für Daten­schutz und In­for­ma­tions­sicher­heit Nor­drhein-West­falen. Der Vor­fall sollte de­tail­liert beschrieben wer­den. Außer­dem müssen Be­trof­fene be­nachrichtigt wer­den. Im Nach­gang müssen die Maß­nah­men zur Be­he­bung der Sicher­heit­s­lücke eben­falls de­tail­liert beschrieben wer­den. Beispiele hi­er­für sind beispiel­sweise Karten, Pass­wörter, Zu­gangs­codes, die aus­ge­tauscht wur­den. Um Daten­schutz­maß­nah­men im Un­terneh­men bess­er einzu­bin­den, gibt es zahl­reiche In­for­ma­tion­sange­bote. So bi­eten die In­dus­trie- und Han­del­skam­mern (IHK) bun­desweit Zer­ti­fikat­slehrgänge für Daten­schutzbeauf­tragte an. Der neueste Work­shop bei der IHK zu Düs­sel­dorf startet beispiel­sweise am 10. Mai 2016. Die IHK Nord West­falen bi­etet auf ihr­er Web­seite (www.ihk-nord­west­falen.de) u.a. ein Link zu ein­er aus­führ­lichen Broschüre der „Stif­tung Daten­schutz“. Diese beschäftigt sich damit, wie kleine und mit­tel­ständische Un­terneh­men Maß­nah­men zum Daten­schutz um­setzen kön­nen.
Bar­bara Bocks | re­dak­tion@­sued­west­falen-ma­n­ag­er.de

Ausgabe 03/2016



WEITERE INHALTE