Den Datenschutz forcieren die Kunden
Andreas Göbel ist Fachanwalt für IT- Recht und Arbeitsrecht und Inhaber der Hagener Kanzlei WOLFF GÖBEL Rechtsanwälte Fachanwälte. Nebenbei berät der Jazzliebhaber rund um den Datenschutz, ist Dozent bei der Deutschen Sachverständigen Akademie (DSA) und Lehrbeauftragter für IT- Recht an der Fachhochschule Südwestfalen. Der praktische Jurist stellt fest, dass das Bewusstsein für den Datenschutz in der Wirtschaft spürbar gewachsen ist. Treibende Kraft sind die Kunden – „die wollen, dass man vernünftig mit ihren Daten umgeht.“
MittelstandsWiki: Hat Ihnen die Datenschutznovelle vom September 2009 vor Gericht mehr Fälle gebracht?
Andreas Göbel: Wir haben nicht mehr Fälle. Wir haben aber mehr Aufträge, Datenschutz für die Firmen zu machen. Und zwar in signifikanter Weise. Die Anfrage nach Datenschutzleistungen hat sich verdoppelt.
MittelstandsWiki: Warum?
Andreas Göbel: Wenn Sie früher den Unternehmen angeboten haben, den Datenschutzbeauftragten für sie zu machen, haben sie oft gesagt: „Lassen Sie mich in Ruhe, mir passiert ja sowieso nichts. Wenn ich mal ein Schreiben vom Landesdatenschutzbeauftragten kriege, dann rufe ich Sie an.“ Das heißt, der Druck war nicht da. Heute gibt es aber eine ganz andere Stelle, die den Firmen Druck macht. Nämlich die Kunden. Ich habe gestern einen Anruf von einem guten Mandanten bekommen. Der hatte das Problem, dass in anderthalb Stunden der TÜV bei ihm vorbeikam, um ihn zu auditieren. Der Kunde des Mandanten wollte sein Produkt zertifizieren lassen, aber das setzte voraus, dass alle dazu gehörenden Produkte auditiert werden mussten. Und eine der Fragen war, ob der Mandant einen Datenschutzbeauftragten hat und wer das ist. Das habe ich dann gemacht und wurde anderthalb Stunden vorher benannt.
Das Bewusstsein für den Datenschutz in der Wirtschaft wächst also. Und es sind vor allem die Kunden, die wollen, dass man vernünftig mit ihren Daten umgeht. Es wächst aber auch das Bewusstsein bei den Menschen. Ich habe jetzt einen sehr großen Datenschutzkunden aus dem Gesundheitswesen gewonnen, der Behindertenwerkstätten, Behindertenkindergärten und Behindertenwohnheime betreibt. Er hat selbst eingesehen, dass die Menschen stigmatisiert werden könnten, wenn sie z.B. im Internet chatten und dann herauskommt, dass sie ein Down-Syndrom haben. Es ist zwar traurig, aber leider verliert ein Mensch die Wertschätzung in den Augen anderer, wenn sie erfahren, dass er schwerbehindert ist. Ob bewusst oder unbewusst, sei mal dahingestellt. Aber die sozialen Kontakte im Internet können dadurch leiden. Und das wollte der Mandant verhindern.
MittelstandsWiki: Es soll aber auch mehr Prüfungen durch Datenschutzbehörden geben?
Andreas Göbel: Ja, in der Tat. Und zwar hatte der Landesdatenschutzbeauftragte von Nordrhein-Westfalen bis 2008 nur 35 Mitarbeiter. Jetzt hat er 70 Mitarbeiter. Mit diesen 70 Mitarbeitern, hat er erklärt, will er jetzt auch erstmals nicht nur auf Anzeigen reagieren, sondern er will auch selbst agieren. Der LDI (Landesbeauftragte für Datenschutz und Informationsfreiheit) geht nach außen und nimmt sich bestimmte Branchen vor. Im Augenblick untersuchen sie die Headhunter. Die haben ja eine Menge Daten, wie z.B. Heinz Müller, geboren am, Ausbildung von bis, zuletzt gearbeitet für 4000 Euro. Da werden sehr viele personenbezogene Daten erhoben, teilweise nur über Webformulare. Die Leute können sich da selber eintragen und wissen hinterher oft nicht, was mit ihren Daten passiert.
MittelstandsWiki: Wenn die Daten so sensibel sind, dann müssten Headhunter wie Adresshändler doch schon bei einem Einmannunternehmen einen Datenschutzbeauftragten benennen und nicht erst ab zehn Personen, die Informationen automatisch verarbeiten?
Andreas Göbel: Nein, es gibt keine Sonderregelung für Headhunter. Was die Leute aber vergessen, ist Folgendes: Jeder muss den Datenschutz einhalten. Jeder! Nur, ab einer bestimmten Größe muss man eine Person extra dafür benennen. Das ist alles.
MittelstandsWiki: Und wie kann ich als kleines Unternehmen die Daten effektiv schützen?
Andreas Göbel: Wenn Sie einen Server haben, dann ist die erste Frage: Wer kann an den Server ran? Stellen Sie sich mal vor, Sie betreiben ein Krankenhaus und speichern Informationen über die Krankheiten Ihrer Patienten. Also, sensiblere Daten können Sie kaum haben. Und jetzt stellen Sie sich vor, der Server steht in einem ebenerdigen Raum mit ganz normalen Fenstern und einem ganz normalen Rollo. Das geht überhaupt nicht. Es kann ja sein, dass da jemand einbricht und das alles klaut. Also muss der Serverraum einbruchssicher gemacht werden, mit einem Gitter vor dem Fenster, einer Alarmanlage, einer Videoüberwachung und und und. Der Datenschutz beginnt immer als Einbruchschutz.
MittelstandsWiki: Viele Freiberufler haben doch die privaten Telefonnummern der Kunden notiert. Das sind das doch auch schutzwürdige Daten? Wenn jetzt jemand einbricht, den Computer klaut und die Tür entspricht nicht dem allerhöchsten Einbruchsschutz …
Andreas Göbel: Nein, nein. Jetzt lassen Sie sich mal beruhigen. Es gibt fünf Schutzstufen, an denen Sie sich grob orientieren können. Da gibt es Daten, bei denen Lebensgefahr besteht, wenn die bekannt werden, wie die Identitäten von Geheimdienstlern. Das ist Stufe E. Damit haben wir auch nichts zu tun. Aber schon mit der nächsten Stufe, der Stufe D. Darunter fallen bereits Gesundheitsdaten. Die sind fast so zu behandeln wie Staatsgeheimnisse. Ganz unten finden Sie Stufe A. Das sind die Daten, die Sie aus jedem Telefonbuch zusammensuchen können. Stufe B sind darüber hinausgehende personenbezogene Daten und Stufe C sind Betriebsgeheimnisse. So, jetzt können Sie sich fragen, welche Daten Sie haben. Kein Datenschutzbeauftragter wird Ihnen als Einzelunternehmer zumuten, Ihre Fenster zu vergittern, nur weil sie die private Telefonnummer von einem Kunden haben. Es gilt auch das Prinzip der Verhältnismäßigkeit. Wobei sich die Verhältnismäßigkeit nicht an den finanziellen Möglichkeiten des Betroffenen ausrichtet, sondern an der Wichtigkeit der Daten.
MittelstandsWiki: Das heißt, wenn ich Söldner in Krisengebiete vermitteln würde, müsste ich das machen, auch wenn ich nicht so viel dabei verdiene?
Andreas Göbel: Klar. Dann müssen Sie in den Bunker gehen. Das hat ein Mandant sogar gemacht, der ein Rechenzentrum für Krankenhäuser betreibt.
Das Gespräch führte Sabine Philipp.