Datenschutz, Teil 4

Kunden machen Druck

Von Sabine Philipp

Den schmalen Grat zwischen GoBD und Datenschutz zu gehen, ist nicht immer leicht. Es gibt z.B. Firmen, die das Fehlen eines Datenschutzbeauftragten ausnutzen, um aus Altverträgen zu kommen bzw. um günstigere Konditionen herauszuschlagen, wie Fachmann Dr. Thomas Krätzig zu erzählen weiß:

„Ein Zulieferer bekam von seinem wichtigsten Kunden ein kurzes Anschreiben mit dem nach der aktuellen Gesetzgebung abgeänderten Vertrag. Den sollte er unterschrieben zurückschicken, damit er auch in Zukunft als rechtsgültig angesehen werden könne. In einer Zeile hieß es: ‚Wir bestätigen, dass sich unser Betrieb in allen Belangen der EDV und IT compliant verhält.‘ Als der Großkunde kurz darauf vorbeikam, um die Compliance zu überprüfen, konnte das Unternehmen trotz sicherem Serverraum mit allen Schikanen nicht überzeugen. Denn er hatte keinen Datenschutzbeauftragten. EDV-compliant heißt nämlich, dass man alle geltenden Gesetze einhält. Und dazu gehört auch die Bestellung eines Datenschutzbeauftragten ab einer bestimmten Größe.“ Der Kunde konnte nur durch Zugeständnisse beim Preis gehalten werden.

ThomasKrätzig.jpg

Dr. Thomas Krätzig kommt ur­sprüng­lich selbst aus dem ISO-Manage­ment. Er grün­dete 2006 die KJ-Net­worX GmbH, weil er mit seinen bis­heri­gen IT-Dienst­leistern schlechte Er­fah­rungen ge­macht hat­te. Dem­ent­spre­chend wird Kunden­orientie­rung bei ihm jetzt groß­ge­schrieben. Der promo­vierte Wirt­schafts­ingnieur und ge­prüfte Daten­schutz­beauftragte be­rät u.a. in den Be­reichen Netz­werk­sicher­heit und IT-Security.

Aber nicht nur Kunden machen Druck. In einzelnen Bundesländern gibt es außerdem verstärkt Außenprüfungen. So hat die Landesdatenschutzbehörde NRW, die bis 2008 nur 35 Prüfer entsandte, die Zahl verdoppelt. Sie sollen nun erstmals nicht nur auf Anzeigen reagieren, sondern auch von sich aus agieren. Dabei untersuchen die Datenschützer verschiedene Branchen. Im Augenblick, so Fachmann Göbel, nehmen sie sich die Headhunter vor.

AndreasGoebel.jpg

Andreas Göbel ist Inhaber der Hage­ner Kanz­lei WOLFF GÖBEL Rechts­anwälte Fach­anwälte sowie Spe­zia­list für IT-Recht und Arbeits­recht. Der Jazz­liebhaber berät auch rund um den Datenschutz und ist Do­zent bei der Deutschen Sach­ver­ständigen Aka­demie (DSA). 2007 wurde Göbel zum Lehr­beauf­tragten für IT-Recht an der Fach­hoch­schule Süd­west­falen ernannt.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Von Dr. Krätzigs Klienten hatten schon zwei Kunden eine solche Überprüfung erlebt. Hinzu kommt noch eine Verschärfung des Bundesdaten­schutz­gesetzes (BDSG) durch die Datenschutz­novelle vom September 2009. Dadurch, berichtet Anwalt Göbel, habe er zwar nicht mehr Fälle, aber mehr Kunden, die von sich aus sauberen Datenschutz sich einführen möchten. „Es machen sich tatsächlich mehr Menschen Gedanken darüber, wie sie die Daten ihrer Mitarbeiter schützen können. Dabei fängt es schon im Kleinen an: mit einer gut gesicherten Haustür.“

Datenschutznovelle 2009
Im September 2009 wurde das Bundesdatenschutzgesetz (BDSG) verschärft. Bei leichten Verstößen kann ein Bußgeld von bis zu 50.000 Euro fällig werden, bei schwereren kann es bis zu 300.000 Euro betragen.

Die Daten Ihrer Mitarbeiter dürfen Sie nach § 32 BDSG nur dann erheben, verarbeiten oder nutzen, „wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.“ Außerdem müssen Sie diese personenbezogenen Daten nach § 9 BDSG so gut wie möglich schützen. Sollten Sie das nicht tun und Kriminelle missbrauchen die Informationen, sind Sie nach § 7 BDSG schadensersatzpflichtig.

Schutzklassen in fünf Stufen

„Sie sollten sich immer fragen, wer an Ihre Hardware und somit an Ihre Daten kommen kann“, betont Andreas Göbel. „Wenn Sie einen Server mit Krankendaten ebenerdig vor einem gitterlosen, einfach verglasten Fenster deponieren und der Rechner geklaut wird, haben Sie ein richtiges Problem. Sie müssen den Raum mit Gitter, Alarmanlage und Videoüberwachung schützen. Denn Datenschutz beginnt als Einbruchschutz.“

In Absprache mit dem Betriebsrat
Bei der „Ein­führung und An­wendung von techni­schen Ein­richtungen, die dazu be­stimmt sind, das Ver­halten oder die Leis­tung der Arbeit­nehmer zu über­wachen“, hat der Betriebsrat nach § 87 Abs. 6 Betriebs­verfassungs­gesetz (BetrVG) ein Wört­chen mit­zureden. Wenn Sie also z.B. eine Video­überwachung ohne seine Zustim­mung ein­führen, kann er sie mit einer einst­weiligen Ver­fügung stop­pen. Der Betriebs­rat darf seine Zustim­mung aber nicht so ein­fach ver­weigern. Der Arbeit­geber kann sie bei der Einigungs­stelle des Arbeits­gerichts er­zwingen, wenn er zeigen kann, wozu er die Informa­tionen braucht. Ein legiti­mer Grund ist z.B. die Kon­trolle von Akkordleistung.

Allerdings gilt das Prinzip der Verhältnismäßigkeit: „Kleine Unternehmer im Home Office müssen ihre Fenster meist nicht vergittern, denn es gibt abgestufte Sicherheitsniveaus“, beruhigt Andreas Göbel. „Die Verhältnismäßigkeit orientiert sich aber nicht an den finanziellen Verhältnissen den Betroffenen, sondern an der Wichtigkeit der Daten.“ Der Landesbeauftragte für den Datenschutz Niedersachsen unterscheidet fünf Stufen:

  • Stufe A enthält frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsicht Nehmende ein berechtigtes Interesse geltend machen muss, z.B. Adressbücher, Mitgliederverzeichnisse oder Benutzerkataloge in Bibliotheken.
  • Stufe B betrifft personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsicht Nehmenden gebunden ist, z.B. beschränkt zugängliche öffentliche Dateien oder Verteiler für Unterlagen.
  • Stufe C umfasst personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Ansehen), z.B. Informationen zu Einkommen, Sozialleistungen, Grundsteuer oder Ordnungswidrigkeiten.
  • Stufe D hat personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (Existenz), z.B. Informationen zur Unterbringung in Anstalten, Straffälligkeit, zu Ordnungswidrigkeiten schwer wiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen oder Konkurse.
  • Auf Stufe E schließlich befinden sich Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.B. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können.
Serie: Datenschutz
Teil 1 erklärt, wann Unter­nehmen einen Be­auf­tragten für den Daten­schutz brau­chen und wa­rum ex­terne Pro­fis oft die bes­sere Wahl sind. Teil 2 setzt aus­einander, wie Be­triebs­rat und Mit­arbeiter am besten mit­spielen und was in den Ver­fahrens­plänen stehen muss. Teil 3 geht das The­ma von der an­deren Sei­te an und fragt, was der Wirt­schafts­prüfer bei der Kon­trolle zu Ge­sicht be­kommen darf. Teil 4 stellt ein Schutz­klassen­system vor und be­trachtet Daten­schutz und EDV-Com­pliance als Wett­bewerbs­vorteil.

Fazit: Als Vorteil betrachtet

Gerade in Krisenzeiten wird Datenschutz oft als unnötiger Kostentreiber gesehen. Versuchen Sie das Beste daraus zu machen, indem Sie nach außen dokumentieren, dass Sie den Umgang mit Informationen ernst nehmen. Falls Ihnen Daten von Kundenseite anvertraut werden, wird sich Ihr Geschäftspartner ohnehin alle vorgeschriebenen Maßnahmen garantieren lassen. Auch sonst werden Sie bemerken, dass das Thema momentan rasant Fahrt aufnimmt und die Unternehmen in die Offensive gehen, so dass sich sauberer Datenschutz als Wettbewerbsvorteil erweisen wird.

Mit Blick auf die Datenschutznovelle ist wichtig, dass der Beauftragte in der Firma spätestens jetzt sämtliche Abläufe den neuen Pflichten anpasst, bis hin zur Verfahrensdokumentation. Von vielen Maßnahmen – einer sauberen Rechteverteilung im Netzwerk, einer sicheren Authentifizierung und einem guten Dokumentenmanagement oder der Aufstellung von klaren Unternehmensregeln – profitieren Sie nicht zuletzt auch intern.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Nützliche Links