Datenschutz: Zehn Fehler – zehn Lösungen
Strengere Regeln, höhere Strafen: Die Europäische Union verpasst dem Thema Datenschutz derzeit einen frischen Anstrich. Die Maßnahmen, die im Rahmen der Grundverordnung geplant sind, setzen für 2015 völlig neue Maßstäbe. Daher ist es spätestens jetzt an der Zeit, die eigenen Vorstellungen vom Datenschutz zu entstauben. Denn es ist nicht damit getan, eine Firewall zu installieren und für einen aktuellen Virenschutz zu sorgen. Datenschutz hat weit mehr Facetten. Zehn typische Probleme zeigen, wo es in vielen Betrieben hapert und wie sich die Fehler ausbügeln lassen.
Schwierigkeiten bereitet vor allem die Vielfalt an Aspekten, die beim Datenschutz berücksichtigt werden müssen. Das gesamte Spektrum im Blick zu behalten, ist zweifelsohne aufwendig. Doch selbst bei Kleinigkeiten, die inzwischen als selbstverständlich gelten sollten, läuft nach wie vor nicht alles rund. Das fängt bei einer lückenhaften oder gänzlich fehlenden Datenschutzerklärung auf der eigenen Homepage an und reicht bis hin zu Kennwörtern á la „1234“ oder „Passwort“. Daraus resultieren weitreichende Konsequenzen, von der Abmahnung bis hin zum kompletten Datenverlust nach einem Hackerangriff. Viele reagieren erst, wenn das Kind bereits in den Brunnen gefallen ist. Warum? Darauf gibt es viele Antworten. Bisweilen mangelt es an der nötigen Sensibilität für den Datenschutz oder schlichtweg am Problembewusstsein.
Viele reagieren erst, wenn das Kind bereits in den Brunnen gefallen ist.
Alles im Blick: der Datenschutzbeauftragte
Da in jedem Betrieb Daten anfallen und bearbeitet werden – von der Anfrage per E-Mail über den Kundenauftrag bis hin zu den Personalakten –, führt kein Weg mehr daran vorbei, sich näher mit dem Datenschutz zu befassen. Viele Firmen sind durch das Bundesdatenschutzgesetz (BDSG – Paragraf 4f) sogar dazu verpflichtet, einen eigenen Datenschutzbeauftragten zu bestellen. Hier lauert das erste Problem: Wann muss ein Datenschutzbeauftragter benannt werden und wer kommt für diese Tätigkeit infrage?
Nach aktueller Rechtslage ist die Mitarbeiterzahl ausschlaggebend, ob ein Datenschutzbeauftragter erforderlich ist. Die Datenschutz-Grundverordnung der EU, die noch in diesem Jahr greifen wird, nennt als Maßstab die Menge der verarbeiteten Daten. Künftig ist ein Datenschutzbeauftragter dann ab 5.000 Datensätzen pro Jahr Pflicht. Der Kreis derer, die von dieser Regelung betroffen sind, weitet sich dadurch erheblich aus.
Nun ist es für kleine und mittelständische Unternehmen kaum rentabel, eine Mitarbeiterin oder einen Mitarbeiter eigens für den Datenschutz abzustellen. Hinzu kommt, dass der Gesetzgeber eine ausreichende Qualifikation voraussetzt, die ohne eine entsprechende Ausbildung kaum nachzuweisen ist. In solchen Fällen bietet es sich an, einen externen Datenschutzexperten zu beauftragen. In einem ersten Schritt wird der aktuelle Status ermittelt, ehe konkrete Maßnahmen vorgeschlagen und umgesetzt werden. Durch den unverblümten Blick von außen werden Probleme deutlich schneller sichtbar und können zügig behoben werden.
Geschulte Mitarbeiter mindern Datenschutzrisiken
Wenig verwunderlich ist, dass bei einer solchen Bestandsaufnahme immer wieder die eigenen Mitarbeiter als Schwachstelle ausgemacht werden. Auch im Datenschutz sind es vor allem menschliche Fehler, die fast ausschließlich auf Unwissenheit beruhen. Hier sind die Unternehmen in der Pflicht, für Abhilfe zu sorgen, und das wortwörtlich. Das Bundesdatenschutzgesetz (Paragraf 5) verlangt, dass die Mitarbeiter auf das Datengeheimnis verpflichtet werden. Eine Unterweisung zu allen relevanten Aspekten wie dem Datenschutz, der Datensicherheit und dem Datengeheimnis sollte daher zum Standardprozedere gehören. Das gilt insbesondere bei der Einstellung neuer Mitarbeiter. Schriftlich fixiert werden die Ausführungen in einer Verpflichtungserklärung, die von jedem Arbeiter und Angestellten unterschrieben werden muss. Diese Verpflichtung umfasst nicht nur die Regeln, sondern auch die Folgen, sollten die Datenschutzbestimmungen nicht eingehalten werden.
Die Kontrolle über externe Dienstleister behalten
Ebenfalls in schriftlicher Form festgehalten werden müssen Vereinbarungen mit externen Dienstleistern, die einen Teil der Datenverarbeitung übernehmen. Denn unabhängig davon, ob es sich um eine Aktion oder um ein Gewinnspiel handelt: Dafür, dass die gesetzlichen Vorschriften eingehalten werden, ist laut Paragraf 11 des Bundesdatenschutzgesetzes (Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag) stets der Auftraggeber verantwortlich. Handelt der Dienstleister nicht gesetzeskonform, kann es unter Umständen richtig teuer werden.
Von daher dient eine Vereinbarung zur Auftragsdatenverarbeitung in erster Linie dem eigenen Schutz. Außerdem ist sie durch Paragraf 11 Absatz 2 BDSG vorgeschrieben. Der Vertrag muss Gegenstand und Dauer des Auftrags umfassen, die Kontrollrechte des Auftraggebers sowie den Umfang, die Art und den Zweck, für den die Daten erhoben, verarbeitet und genutzt werden. Individuelle Vereinbarungen sind dabei Musterverträgen vorzuziehen, weil nur so gewährleistet ist, dass auch wirklich alle Facetten einfließen.
Rechtssicherheit durch maßgeschneiderte Verfahrensverzeichnisse
Rang vier der klassischen Datenschutzprobleme nimmt das sogenannte Verfahrensverzeichnis ein. Hierbei handelt es sich um eine verpflichtende Maßnahme, die den zuständigen Behörden erlaubt, sich über die Datenschutzmaßnahmen im Betrieb zu informieren. Das Verzeichnis dient als Nachweis darüber, dass gesetzeskonform gearbeitet wird. Es lässt sich grob in zwei Bereiche gliedern. Einerseits gibt das Verfahrensverzeichnis Auskunft darüber, wie welche personenbezogenen Daten verarbeitet werden. Andererseits informiert es über die Datenschutzmaßnahmen. Das Ergebnis sollte eine lückenlose Dokumentation sein. Auch diesbezüglich ist es nicht ratsam, auf Muster zurückzugreifen. Maßgeschneiderte Lösungen spiegeln den Datenschutz im Betrieb deutlich besser wider, was wiederum zur Rechtssicherheit beiträgt.
Teuer: Lücken in der Datenschutzerklärung
Auf Rechtssicherheit müssen Firmen auch bei den Datenschutzbestimmungen auf ihrer Homepage achten. Während das Design und die Inhalte regelmäßig gepflegt, erweitert und gegebenenfalls optimiert werden, bleibt die Datenschutzerklärung meist eine „graue Maus“, der man kaum Beachtung schenkt. Das rächt sich, sobald die erste Abmahnung zugestellt wird. Bereits kleine Lücken können als Verstoß gegen das Bundesdatenschutzgesetz oder das Gesetz gegen den unlauteren Wettbewerb eingestuft werden.
Diese Klippe ist relativ leicht zu umschiffen, indem alle Optionen und Inhalte penibel durchforstet werden. Gibt es einen Button von Facebook, dürfen Nutzer Kommentare hinterlassen oder einen Newsletter abonnieren, werden fremde Tools oder Grafiken verwendet? Jeder dieser Punkte muss später in den Datenschutzbestimmungen aufgegriffen werden. Es empfiehlt sich, dafür einen Datenschutz-Generator [1] zu Hilfe zu nehmen und jeden Aspekt in Ruhe abzuarbeiten. Das Ergebnis ist eine rechtssichere Datenschutzerklärung. Sie sollte als eigener Menüpunkt ausgewiesen oder in Kombination mit dem Impressum veröffentlicht werden.
Cloud-Lösungen auch auf den Datenschutz hin abklopfen
Deutlich komplizierter, aber nicht unlösbar ist die Frage nach dem idealen Cloud-Anbieter. Immer mehr Unternehmen lagern ihre Daten und teils auch die Anwendungen aus. Die eigene Infrastruktur wird dadurch entlastet. Zum Teil ergeben sich auch finanzielle Vorteile. Doch worauf muss man achten, ehe ein Vertrag abgeschlossen und wichtige Informationen auf fremden Servern gespeichert werden?
Der Preis ist erst einmal zweitrangig.
Die Debatte um Geheim- und Nachrichtendienste als Dauergäste bei einigen Cloud-Dienstleistern hat für Verunsicherung gesorgt. Hinzu gesellt sich die teilweise durchaus begründete Sorge um Ausfälle und Verluste. Umso wichtiger ist es, sich mit der Wahl des Anbieters ausreichend Zeit zu lassen. Im Fokus sollten die Zuverlässigkeit, die Sicherheitsmaßnahmen und nicht zuletzt der Datenschutz stehen. Der Preis ist dabei erst einmal zweitrangig. Tipps und Hinweise dazu hält das Bundesministerium für Sicherheit in der Informationstechnik bereit. In einer Broschüre wurden alle Fakten samt der Mindestanforderungen zusammengefasst [2].
Newsletter: nur mit Double-Opt-In-Verfahren
Fehler Nummer sieben dürfte eigentlich gar nicht erst auftreten. Es geht um den Newsletter-Versand ohne die Einwilligung des Empfängers. Das passiert schnell, wenn jemand aus Jux dutzende E-Mail-Adressen fremder Personen in den Verteiler einträgt. Schlimmstenfalls werden die Nachrichten als Spam und somit als Verstoß gegen das Bundesdatenschutzgesetz sowie das Gesetz gegen den unlauteren Wettbewerb angesehen. Die unangenehme Konsequenz: eine Abmahnung. Dieses Problem ist hinlänglich bekannt und kann durch das Double-Opt-In-Verfahren mit wenig Aufwand ausgemerzt werden. Ohne eine Bestätigung, dass der Newsletter abonniert wurde, werden keine weiteren Nachrichten verschickt. Und für den Fall, dass jemand kein Interesse mehr an den Informationen hat, muss in jedem Newsletter auf die Widerrufsmöglichkeit und die Option, sich aus der Liste auszutragen, hingewiesen werden.
Datenschutz bei Kontaktformularen
Ähnlich gelagert sind die Probleme, die Kontaktformulare bereiten können. Kunden oder Interessenten, die Fragen stellen, Informationen ordern oder Kritik üben, übermitteln über das Formular personenbezogene Daten wie die E-Mail-Adresse, die IP oder auch die eigene Telefonnummer. Darauf, wie die Daten verwendet werden, muss in den Datenschutzbestimmungen explizit hingewiesen werden. Denn das Telemediengesetz und das Bundesdatenschutzgesetz fordern unmissverständlich, dass der Absender darin einwilligt, dass seine Daten erhoben und verarbeitet werden. Dazu bietet sich eine Checkbox an. Der Nutzer muss dadurch aktiv bestätigen, dass er mit der Datenverarbeitung, so wie sie in den Datenschutzbestimmungen erklärt wird, einverstanden ist. Dieses Beispiel zeigt, dass meist schon kleine Anpassungen reichen, um datenschutzrechtlich auf der sicheren Seite zu sein.
Bei Passworten kommt es auf die Länge an
Weniger technischer oder organisatorischer Natur, sondern eher eine Kopfsache ist der Bereich Passworte. Sie begegnen uns nahezu überall, bei E-Mails, dem Zugang zum Online-Banking oder dem Zugriff auf Datenbanken. Damit Unbefugte außen vor bleiben, müssen Kenn- und Passwörter sicher sein. Anderenfalls stehen Cyberkriminellen Tür und Tor offen. Kombinationen aus Name und Geburtsdatum sind als Schutzmechanismus ebenso ungeeignet wie der Kosename des Haustiers.
Ein sicheres Passwort sollte möglichst lang sein, aus Groß- und Kleinbuchstaben sowie aus Zahlen und Sonderzeichen bestehen. Kleine Eselsbrücken helfen, die Zugangsdaten nicht gleich wieder zu vergessen. Oder man greift auf ein Verwaltungstool für Passworte zurück. Schließlich geht es nicht nur um eine Kennung. Denn statt für jede Anwendung die gleiche Zeichenkombination zu wählen, ist es deutlich sicherer, unterschiedliche Passworte zu genieren. Absolutes Tabu sind Post-its, auf denen die Zugangsdaten vermerkt werden. Auch ein Zettel in der Schublade oder unter der Schreibtischunterlage wären grob fahrlässig.
Ein Passwort kann nicht lang genug sein!
Geschreddert und verbrannt: Personenbezogene Daten korrekt entsorgen
Während ein Passwort gar nicht lang genug sein kann, gilt es, Unterlagen mit personenbezogenen Daten möglichst kleinformatig zu entsorgen. Im Hausmüll haben die Informationen nichts verloren, weder in Papierform noch auf Datenträgern. Das gilt auch für Fehldrucke. Ein solches Vorgehen ist strafbar. Um einen Verstoß gegen geltendes Recht handelt es sich übrigens auch, wenn die Dokumente nur grob zerrissen und nicht fachgerecht zerkleinert werden. Das Deutsche Institut für Normung gibt millimetergenau vor, wie die Unterlagen entsorgt werden müssen. Maßgeblich ist die Sicherheitsstufe, der die Dokumente unterliegen. Je höher die Einstufung, desto weniger darf von den Unterlagen übrig bleiben.
Da den meisten Firmen die technischen Voraussetzungen wie ein Hochleistungs-Schredder fehlen, bietet sich die zertifizierte Entsorgung über einen Fachbetrieb an, ebenso eine Datentonne. Hierin landen neben alten Akten auch besagte Fehl- und Probedrucke sowie alle Arten von Datenträgern. Der Inhalt der Tonne wird später vom Dienstleister fach- und sachgerecht entsprechend den gesetzlichen Normen entsorgt.
Qualitätsmerkmal Datenschutz
Das sind nur einige Beispiele, wie sich der Datenschutz auf betriebliche Abläufe, die Organisation der Homepage und die Schulung der Mitarbeiter auswirkt. Diese Regeln werden durch die EU-Datenschutz-Grundverordnung teilweise noch verschärft. Sich nicht daran zu halten oder das Thema Datenschutz auf die leichte Schulter zu nehmen, wäre der absolut falsche Weg. Und das nicht nur wegen der drohenden Strafen, sondern auch mit Blick auf die Kunden. War Datenschutz vor ein paar Jahren noch eine Worthülse, der kaum Beachtung geschenkt wurde, sind Verbraucher aufgrund der vielen Skandale mittlerweile deutlich sensibler. Das macht Datenschutz zum Qualitätsmerkmal.