(openPR) Viele Unternehmen stehen zum Thema Datenschutz wie der Couch-Potato zum regelmäßigen Sport: Eine ganz tolle Sache, solange es die anderen machen. Aber extrem abschreckend, sobald man selbst aktiv werden soll. Dabei sind die juristischen und finanziellen Gefahren bei einer Datenpanne immens und ein sicheres Datenhandling meist weniger aufwändig als man denkt. Der komfortabelste und sicherste Weg, sämtliche gesetzliche Auflagen zuverlässig zu erfüllen, ist die Bestellung eines externen Datenschutzbeauftragten.
„Haben wir noch nie gemacht, und ist auch viel zu aufwändig.“ Das hört Thomas Cedzich öfter, wenn er sich mit Unternehmern über das Thema Datenschutz unterhält. Allerdings ändert sich diese Haltung relativ schnell, sobald der Datenschutzberater der Vater Unternehmensgruppe von seinen Erfahrungen berichtet und von den Konsequenzen erzählt, die mangelhafter oder nicht vorhandener Datenschutz haben kann. Denn trotz klarer Gesetzeslage ignorieren viele Unternehmen dieses Thema komplett oder stellen sich ihm nur zähneknirschend. Aber gar keine oder lückenhafte Datenschutzregelungen können im Zweifel nicht nur unangenehm, sondern auch teuer werden und noch dazu das Firmenimage nachhaltig beschädigen.
Aktuelles Beispiel ist ein Fall aus Süddeutschland: Aus einem Kreiskrankenhaus und einem Klinikum sind mehrere Zehntausend Patientendaten mit dazugehörigen Arztberichten verschwunden. Darunter Namen, Adressen, Kontakt- und Geburtsdaten. Ein Mitarbeiter hatte einen Karton mit Datenträgern nach der Bearbeitung nicht sofort wieder in den Safe geschlossen. Als er das wenig später nachholen wollte, war der Karton verschwunden. Ob die Daten gestohlen wurden oder aus Versehen im Müll gelandet sind, ist unklar. Klar ist allerdings, dass das es für die Gesundheitsbetriebe jetzt peinlich wird: Sie haben Anzeige gegen Unbekannt erstattet, aktuelle und frühere Patienten sollen durch eine großformatige Anzeige in einer deutschlandweiten Tageszeitung informiert werden, und die Staatsanwaltschaft ermittelt.
„Die Ausreden, sich um den lästigen Datenschutz nicht kümmern zu müssen, sind erstaunlich vielfältig und fantasievoll“, weiß Thomas Cedzich, der als externer Datenschutzbeauftragter unter anderem dafür sorgt, dass Unternehmen die gesetzlichen Auflagen zuverlässig einhalten. Während Handwerker das Thema gerne mit einem knappen „Brauchen wir nicht.“ beenden, betonen Ärzte häufig, dass das alles zuviel Zeit koste, die sie besser in die Behandlung Ihrer Patienten investieren könnten. „Die gesetzlichen Regelungen werden eben häufig als Gängelung empfunden“, sagt Cedzich. Allerdings nicht von allen. „Viele unserer Kunden sehen die Auflagen als eine Motivationshilfe, sich in diesem Bereich endlich besser zu organisieren.“
Damit sie das effizient und mit realistischem Einsatz von Geld, Zeit und Personal erreichen, brauchen sie sein das Fachwissen. Dabei ist das erste Gespräch ganz unverbindlich und kostenfrei. „Dort stellen wir erst einmal fest, ob überhaupt ein grundsätzlicher Handlungsbedarf besteht“, erklärt Cedzich. Denn gemäß BDSG müssen alle Unternehmen einen Datenschutzbeauftragten bestellen, in denen mindestens zehn Personen in digitaler automatisierter Form oder zwanzig Personen in nicht digitaler automatisierter Form mit der Verarbeitung, Nutzung oder Erhebung von personenbezogenen Daten beschäftigt sind. Dazu kommen pauschale Verpflichtungen für bestimmte Berufsgruppen, zum Beispiel im Gesundheitswesen.
Muss das Unternehmen bestimmte gesetzliche Richtlinien erfüllen, wird zunächst die aktuelle Situation analysiert: Wie viele Personen sind betroffen, wie sind die Arbeitsabläufe, wo sind Schwachstellen erkennbar? Da jedes Unternehmen sehr individuelle Voraussetzungen und Strukturen hat, gibt es dafür keine allgemeingültige Checkliste. „Extrem wichtig ist die Erfahrung des Datenschutzbeauftragten und der persönliche Kontakt zu denjenigen, die die Datenschutzmaßnahmen später umsetzen sollen“, sagt Thomas Cedzich, der jede Abteilung im Zuge der Analyse besucht und sich jede Aufgabe und jeden Ablauf von den Mitarbeitern genau erklären lässt. Anschließend erhalten die Unternehmen eine detaillierte Auswertung und einen Katalog mit empfohlenen Maßnahmen. Der zeitliche Aufwand für diese Analyse beträgt bei kleineren Unternehmen mit bis zu 30 Bildschirmarbeitsplätzen in der Regel zwei Tage, und die Kosten liegen bei knapp unter 2.000,- Euro.
Eine bescheidene Investition, wenn man bedenkt, dass schwerwiegende Verstöße gegen das BDSG mit einem Bußgeld von bis zu 300.000,- Euro oder sogar mit zwei Jahren Freiheitsentzug bestraft werden können. Der Auslöser für Unternehmen, sich überhaupt mit dem Thema Datenschutz auseinanderzusetzen, ist allerdings in den wenigsten Fällen die Angst vor Strafe oder die Einsicht, dass die eigenen Prozesse risikoreich und unsauber sind. „Die meisten handeln erst, wenn es schon eine Datenschutzpanne gegeben hat oder auf Druck von außen“, weiß Cedzich. In vielen Fällen sind es die Kunden der Unternehmen, die darauf pochen, dass der Umgang mit ihren Daten professionalisiert wird.
Und das völlig zu Recht. Denn die Fälle, die der Datenschutzberater schon erlebt hat, sind teilweise haarsträubend. „Oft ist es Bequemlichkeit, aber noch häufiger fehlt einfach das Bewusstsein dafür, dass man mit sensiblen Daten umgeht“, erklärt er. Wie im Unternehmen, bei dem die gesamte Finanzbuchhaltung mit einem einzigen Passwort arbeitete, das im Urlaubsfall für jedermann gut sichtbar auf einem Zettel am Monitor einer Mitarbeiterin klebte.
Aber es muss nicht immer um Kunden- oder Finanzdaten gehen, auch unter Kollegen kann der sorglose Umgang mit Passwörtern oder Zugängen zu Arbeitsplätzen schnell verhängnisvoll sein. Wie bei der Sachbearbeiterin, die zur Toilette ging, ohne vorher ihren Rechner zu sperren. „Ihre Büronachbarin hat diese Chance genutzt und dem Chef über den Account Ihrer Kollegin alles das gemailt, was sie ihm schon immer mal sagen wollte“, erzählt Cedzich. Auch die Nutzung sozialer Netzwerke bei der Arbeit ist bei jeder Beratung ein Thema. „Sie glauben gar nicht, was für Fotos auf Facebook landen, wenn die Weihnachtsfeier eskaliert“, winkt der Datenschutzexperte ab.
Mittlerweile betreut Cedizich für die Vater Unternehmensgruppe etwa 30 Kunden als externer Datenschutzbeauftragter. Das hat für die Unternehmen neben den fachlichen auch arbeitsrechtliche Vorteile. Denn wenn Mitarbeiter zu internen Datenschutzbeauftragten berufen werden, gelten sie seit 2009 als „privilegierte Funktionsträger“, deren unabhängige Position im Unternehmen durch einen Sonderkündigungsschutz gestärkt werden soll. „Darüber hinaus sind sie unmittelbar unter dem Vorstand eingeordnet“, erklärt Thomas Cedzich, „sind also weitgehend weisungsfrei.“ Nicht jeder Unternehmer hält diese Regelung für sinnvoll und entscheidet sich stattdessen lieber für einen externen Datenschutzbeauftragten.
Die Kunden von Thomas Cedzich sind hochzufrieden und lassen auch die regelmäßigen Überprüfungen der Datensicherheit von ihm und seinen Kollegen durchführen. „Unser Ziel ist es, für jeden Fall eine individuelle Lösung zu finden, die auch für alle Beteiligten praktikabel ist“, betont der Datenexperte noch einmal. „Wenn das eine 80-Prozent-Lösung ist, ist das immer noch deutlich besser, als sich gar nicht um den Datenschutz zu kümmern.“ Und wenn die Maßnahmen dann erstmal erfolgreich umgesetzt sind, ist das doch wieder ein bisschen wie beim Sport: Hinterher fühlt es sich wirklich gut an.
