Kundendaten in den Safe

von Markus Bereszewski (markus.bereszewski@informationweek.de), Maik Bockelmann*

Share
18.08.2009

Das neue Bundesdatenschutzgesetz ahndet den Verlust von personenbezogenen Daten ab 1. September deutlich strenger: 300.000 Euro Strafe und die Pflicht zur Information der Öffentlichkeit durch Anzeigen in Tageszeitungen drohen.

Ab 1. September gilt das neue BDSG

Kurz vor der Sommerpause hat der Deutsche Bundestag die Novellierung des Bundesdatenschutzgesetztes (BDSG) verabschiedet. Das Gesetz wurde in der Öffentlichkeit allgemein als „Marketing-Gesetz“ wahrgenommen, denn es reguliert unter anderem den umstrittenen Handel mit personenbezogenen Daten für Werbezwecke. Tatsächlich betrifft das Gesetz aber fast alle Unternehmen und Behörden und es sieht bei Verstößen empfindliche Strafen vor.

Sobald mehr als neun Mitarbeiter eines Unternehmens, einer Behörde oder Organisation mit der Verarbeitung personenbezogener Daten beschäftigt sind, greift das neue Bundesdatenschutzgesetz. Dabei ist gleichgültig, ob die Daten automatisch oder manuell verarbeitet werden. Beschäftigt ein mittelständisches Unternehmen also beispielsweise drei Mitarbeiter im Marketing, vier Mitarbeiter im Vertrieb und acht Mitarbeiter in der Auftragsbearbeitung, sind schon insgesamt 17 Mitarbeiter mit der Verarbeitung von schützenswerten Daten beschäftigt. Damit unterliegt das Unternehmen dem BDSG.

Meldepflicht für verlorene Datensätze

Maik Bockelmann, Vice President Continental Europe bei Lumension.

Wenn das neue BDSG wie geplant am 1. September 2009 in Kraft treten, sind die betroffenen Unternehmen und Behörden verpflichtet, ab diesem Stichtag den Diebstahl oder den Verlust von personenbezogenen Daten umgehend den Aufsichtsbehörden sowie den Betroffenen zu melden. Ist es nicht möglich, die Betroffenen zu identifizieren oder ist die schiere Menge der Geschädigten zu hoch, um sie einzeln informieren zu können, müssen die Unternehmen, Behörden und Organisationen künftig an die Öffentlichkeit gehen. Laut der BDSG-Novelle muss dies mindestens in zwei bundesweit erscheinenden Tageszeitungen mit jeweils mindestens halbseitigen Anzeigen erfolgen. Das Bußgeld bei Verstößen gegen Datenschutzvorschriften wegen grober Fahrlässigkeit oder gar Vorsatz wird auf 300.000 Euro angehoben. Neu ist bei dieser Regelung, dass das Bußgeld den wirtschaftlichen Vorteil durch die Weitergabe an Dritte übersteigen soll und daher in Einzelfällen auch deutlich über 300.000 Euro liegen kann. Ebenfalls neu ist, dass immer die Organisation als handelnde Person zur Verantwortung gezogen wird und nicht der einzelne Mitarbeiter.

In diesem Zusammenhang ist auch wichtig zu beachten, dass der Gesetzgeber im neuen Datenschutzgesetz nicht von der Angemessenheit spricht. Insofern gilt das Maximumprinzip bei allen durchzuführenden Maßnahmen, die direkt oder indirekt den Schutz personenbezogener Daten betreffen. Das heißt, dass im Falle eines Datenverlusts oder -diebstahls geprüft werden wird, ob ein Unternehmen wirklich alle erforderlichen Maßnahmen zum Datenschutz ergriffen hat oder nicht. Wie diese Prüfung genau aussehen mag, weiß man noch nicht. Es ist allerdings geplant, dass die Investitionen in die IT-Security zugunsten des Unternehmens angerechnet werden.

Von Bußgeld bis Imageschaden

Ob Diebstahl oder Fahrlässigkeit – die Folgen eines Datenverlusts sind verheerend. Dabei sind empfindliche Bußgelder das Eine. Daneben müssen die Betroffenen auch mit einem massiven Imageschaden in der Öffentlichkeit sowie einem Vertrauensverlust ihrer Kunden rechnen. So wird Datenverlust oder Datenklau schnell zum unternehmenskritischen Faktor. Deshalb sollten Daten wie andere Wertsachen mit allen Mitteln geschützt werden. Doch leider können sie nicht einfach in den Safe gelegt werden. Zudem ist häufig der Mensch das schwächste Glied in der Kette, wenn es um den Schutz sensibler Daten geht. Über privat genutzte mobile Endgeräte und Datenspeicher können beispielsweise Schadprogramme eingeschleust werden. Gleichzeitig können Mitarbeiter auf einen USB-Stick unbemerkt große Datenmengen ziehen und an Dritte weitergeben. Außerdem gehen jedes Jahr Tausende von Handys und Laptops verloren. Alleine am Flughafen London Heathrow werden wöchentlich rund 900 Notebooks vermisst.

Die Einführung und Umsetzung starker Sicherheitsmaßnahmen ist deshalb ein wichtiger Faktor. Sie unterstützen Mitarbeiter und geben ihnen gleichzeitig die Gewissheit, nicht gegen geltendes Recht zu verstoßen. Dabei ist besonders wichtig, dass die Belegschaft die Notwendigkeit der Maßnahmen versteht und sie nicht als willkürliche Repressalie ansieht. Ein Datenschutzbeauftragter kann hier als Ansprechpartner und Vermittler fungieren.

Technische Möglichkeiten nutzen

10 Tipps für Datenschutzgesetzkonforme IT

Zusätzlich müssen Unternehmen und Behörden aber auch dringend ihre Datenschutzvorkehrungen überprüfen und technische Vorkehrungen treffen. Lösungen für die Endpunkt-Sicherheit beispielsweise schützen das Unternehmensnetzwerk wirkungsvoll vor Eindringlingen. Patch-Management bietet die Möglichkeit, Schwachstellen zu erkennen und aktiv zu beheben. Application Contol-Software gibt den Datenschutzverantwortlichen außerdem die Sicherheit, dass nur überprüfte Anwendungen mit schützenswerten Daten in Kontakt kommen und diese nicht unkontrolliert abgezogen werden können. Am wichtigsten ist allerdings die Installation einer Device Control-Lösung. Die Software verhindert, dass Daten über unautorisierte Medien wie USB-Sticks von Mitarbeitern einfach mitgenommen werden können oder unbeabsichtigt verloren gehen.

* Maik Bockelmann ist Vice President Continental Europe bei Lumension
Verwandte Artikel