Grafik
Grafik

Balance statt Blockade:

.
Synergien durch modernen Datenschutz

Autoren: Kerstin Blossey, Oliver Kempkens - (c) KSB4 Consulting, 2007

Zusammenfassung: Professioneller Datenschutz ist heute sowohl gesetzeskonform als auch ökonomisch orientiert ohne dabei das technische Umfeld und die Unternehmensentwicklung zu vernachlässigen. Richtig verstandener und gelebter Datenschutz schafft im Sinne der Compliance die notwendige Balance zwischen den Bedürfnissen von Betroffenen und Unternehmen und liefert innerhalb des eigenen Hauses erhebliches Synergiepotenzial.

Wie die Informations-Sicherheit steht auch der Datenschutz nicht selten unter dem Verdacht des "Verhinderers" – bei beiden Disziplinen gilt: Das muss nicht sein! Richtig "gelebt" können sie im Gegenteil sogar einen klaren Mehrwert liefern. Zeitgemäßer Datenschutz hat die rechtlich relevanten Baustellen eines Unternehmens im Blick und zielt auf praxistaugliche Lösungen – in enger Zusammenarbeit mit den Verantwortlichen der jeweils betroffenen Fachbereiche. Besondere Berücksichtigung sollten dabei die IT und der Betriebsrat erfahren. Interdisziplinär entwickelte und getragene Datenschutzmaßnahmen blockieren dann nicht, sondern setzen sogar Ressourcen frei und ermöglichen teilweise verblüffende Alternativen in der Arbeitsorganisation.

Mittelfristig führt moderner Datenschutz somit zu einer merklichen Ressourcenschonung in allen Bereichen, zu einer über die Qualitätssicherung hinaus führenden Optimierung von Geschäftsprozessen und zu mehr Transparenz nach innen und außen. Das steigert dann auch die Akzeptanz und Identifikation bei Mitarbeitern und Kunden: Guter Datenschutz wird zum messbaren Qualitätsmerkmal und Entscheidungskriterium für die Vergabe von Aufträgen und stellt einen klaren Wettbewerbsvorteil dar.

Wichtig ist: Es kann nicht um Gewinner und Verlierer gehen, wenn der personenbezogene Datenbestand in einem Unternehmen, einem Verband, der öffentlichen Hand oder einer anderen zum Datenschutz verpflichteten Stelle gemäß den rechtlichen Vorgaben datenschutzkonform verarbeitet wird. Einerseits ist nur so die regulatorische Compliance herzustellen, zum anderen können die Methoden und Instrumente des Datenschutzes aber auch an anderer Stelle sinnvolle Verbesserungen bewirken.

Wo immer es einem betrieblichen Datenschutzbeauftragten (DSB ) gelingt, diese Erkenntnis umzusetzen, zu kommunizieren und für die Belegschaft erfahrbar zu machen, erkennen Fachabteilungen und sonstige Aufgabenbereiche eines Unternehmens schnell, dass sie im Team mit einem kommunikativen DSB und mithilfe eines durchdachten Datenschutzkonzeptes viele Probleme von vornherein vermeiden, ihr juristisches Haftungsrisiko reduzieren, und darüber hinaus ihr Handlungsspektrum wirkungsvoll erweitern können.

Keine halben Sachen!

Um diese Chancen zu nutzen, muss der Datenschutz allerdings aus der Ecke des "lästigen Übels" befreit und mit entsprechenden Ressourcen ausgestattet werden. Ein intern oder extern bestellter DSB muss eine hohe Fachkenntnis in den verschiedensten Bereichen mitbringen und mit ihnen souverän umgehen können; ohne dieses Know-how, spricht man zu Recht von "ungesundem Halbwissen". Fehlen Wissen und Erfahrung in der Auslegung und Anwendung der gesetzlichen Vorgaben, kann ein unzureichend qualifizierter DSB auch nicht zu einem tragfähigen und ganzheitlichen Datenschutzkonzept beitragen.

Darüber hinaus fehlt zumindest intern Bestellten oft das tatsächlich erforderliche Zeitbudget, um sich einen fundierten Überblick der Situation und rechtlicher Alternativen zu verschaffen und daraufhin an den entscheidenden Stellen die richtigen Vorgaben machen zu können. Dies führt in den meisten Fällen mittel- und langfristig entweder zu einem inaktiven DSB mit einer "pro forma"-Position im Unternehmen oder zu einer Behandlung auf Symptomebene statt zu einem tragfähigen Datenschutzkonzept. In der Folge ergibt sich einerseits ein – eigentlich unnötiges – rechtliches Risiko mit drohenden Bußgeldern bis zu einer Höhe von 250.000 € (§ 43 Abs. 3 BDSG ) oder sogar Freiheitsstrafen bis zu zwei Jahren (§ 44 Abs. 1 BDSG). Andererseits kann dies aber auch zu empfindlichen Imageeinbußen in der Öffentlichkeit führen.

----------Anfang Textkasten----------

Von der Berufungspflicht zum Berufsbild

Wer Informationen über natürliche Personen (z. B. Mitarbeiter oder Kunden) nicht zu rein privaten Zwecken verwendet, ist zum angemessenen Schutz solcher personenbezogenen Daten verpflichtet (§ 1 Abs. 2 Nr. 3 Bundesdatenschutzgesetz – BDSG). Sobald bei nicht-öffentlichen Stellen mindestens 10 Beschäftigte mit diesen Daten umgehen oder bei speziellen Branchenzugehörigkeiten ist laut BDSG darüber hinaus ein fachkundiger, zuverlässiger Datenschutzbeauftragter (DSB) schriftlich zu bestellen.

Erstmals hat das Ulmer Landgericht mit einem Urteil aus dem Jahr 1990 (Az. 5T 153/90-01 LG Ulm) dafür gesorgt, dass der Beruf des DSB überhaupt als solcher wahrgenommen wurde – zumindest im juristischen Bereich. Welche Qualifikation ein professioneller DSB mitbringen muss, konkretisiert derzeit der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. in der Schaffung eines Berufsbildes. Nach über einem Jahr sorgfältiger Recherchen, Erhebungen und Überarbeitungen verfügen DSB nun über ein praxistaugliches Konzept, das Ende September in Ulm erstmals öffentlich zur Diskussion gestellt wurde. Hier ist für Außenstehende eine wichtige Voraussetzung geschaffen worden, um die Qualität von Angeboten und Dienstleistungen im Datenschutz einordnen zu können.

Jürgen Autor, Vertreter der Landesaufsichtsbehörde für Datenschutz in Baden-Württemberg im nicht-öffentlichen Bereich, betonte anlässlich des BvD-Workshops zum Berufsbild ausdrücklich dessen Bedeutung: Fast 20 Jahre, nachdem das Ulmer Landgericht die bis heute einzige konkrete Anforderungsmatrix festgeschrieben hat, sei es ein nahezu historischer Moment, wenn nun endlich Qualitätsstandards für das Berufsbild des gesetzlich verankerten Datenschutzbeauftragten gesetzt würden.

Marco Biewald, Leiter des Arbeitskreises Berufsbild (BeBi) im BvD konstatierte angesichts der Fertigstellung des ersten Kapitels: "Das BeBi wird erwachsen." Es werde Zeit, die Qualitätskriterien für modernen professionellen Datenschutz zu diskutieren und als Arbeitsergebnis zu fixieren. Datenschutzbeauftragter sei ein durchaus ehrenwerter Beruf, der endlich auch seinen Platz in der Öffentlichkeit bekommen sollte.

Bereits in der Übergangsphase bis zur endgültigen Verabschiedung eines Berufsbildes will der BvD eine Selbstverpflichtungserklärung für Datenschutzbeauftragte zur Verfügung stellen, um seriös agierenden Datenschutz-Beratern eine Möglichkeit zur Qualitätskennzeichnung zu bieten. Für langjährige Datenschutzbeauftragte wird es dabei eine Übergangslösung zur nahtlosen Integration in das Berufsbild geben.

Fazit: Mit dem Festschreiben des Berufsbildes "Datenschutzbeauftragter" erhält die Abdeckung des betrieblichen Datenschutzes eine neue Qualität. Diese kommt nicht nur Unternehmen bei der Auswahl, der bezahlten Arbeitsleistung und dem Niveau erreichter Rechtssicherheit zugute. Auch Datenschutzbeauftragte erhalten Richtwerte für die Definition von Qualität und das erforderliche Kompetenzspektrum. Die weiteren Entwicklungsschritte stellt der Arbeitskreis "BeBi" allen Interessierten auf der Internetseite des Berufsverbandes ([externer Link] www.bvdnet.de) in der jeweils aktuellen Fassung zur Verfügung.

----------Ende Textkasten----------

Aus dem Nähkästchen

"Wir sind die Guten! Wir wollen eine möglichst effektive Lösung mit der größten Wertschöpfung für alle Abteilungen finden!" So versuchte noch vor wenigen Jahren der interne DSB eines großen Münchener Unternehmens eine hitzige Diskussion mit der IT-Abteilung um das Customer Relationship Management (CRM) wieder in ruhigere Bahnen zu lenken. Heute kann man diesen Ausruf als moderne Definition professionellen Datenschutzes bezeichnen: Das Bundesdatenschutzgesetz (BDSG) muss eben nicht wie das sagenhafte Damoklesschwert über dem operativen Geschäft hängen, Maßnahmen zum Schutz der Privatsphäre von Mitarbeitern und Kunden eben nicht im Gegensatz zu Geschäftsprozessen stehen. Ein paar Beispiele aus der Datenschutzpraxis sollen dies verdeutlichen:

Personalisierte Benutzerprofile

Das BDSG fordert in § 9 diverse technische und organisatorische Maßnahmen zum Schutz von Mitarbeiter- und Kundendaten. Einer dieser Aspekte ist die so genannte Eingabekontrolle (Anlage zu § 9 Nr. 7 BDSG): Es ist demgemäß "zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind". Auf den ersten Blick klingt das nach strikter Überwachung machtloser Mitarbeitern. Doch was vordergründig nach Last klingt, kann bei näherem Hinsehen auch zur Entlastung beitragen: Letztlich verbirgt sich dahinter auch die rechtliche Absicherung der gesamten Belegschaft in Bezug auf sämtliche Formen möglichen Missbrauchs – etwa Verstöße im Bereich der Pornografie, des unlauteren Wettbewerbs oder der Wahrung von Geschäftsgeheimnissen.

Erst durch die für die Eingabekontrolle notwendige Einführung personalisierter Benutzerkonten ist es beispielsweise einfach möglich, Verdächtigungen gegenüber Mitarbeitern zu widerlegen, Daten missbraucht, verfälscht oder zerstört zu haben, da erst auf diese Weise eine nachprüfbare digitale Identität geschaffen wurde. So war es in einem konkreten Fall für die Mitarbeiter eines Kunden aus dem öffentlichen Dienst im Endeffekt auch viel angenehmer, dass sie zum Abruf bestimmter Daten nicht mehr den Rechner ihres Vorgesetzten belagern mussten: Die Einführung eines Rollen- und Berechtigungskonzeptes ermöglichte – neben der Datenschutzkonformität – den Zugriff auf ebendiese Daten von jedem beliebigen Client aus.

Ressourcenschonung

Durch unsystematische Prozesse bei der Erhebung, Speicherung und Pflege von (nicht nur personenbezogenen) Daten wird die Verschwendung betrieblicher Ressourcen schnell zum Problem. Beispielsweise sammeln Mitarbeiter häufig in "digitalen Wissensbibliotheken" Informationen, die sie jedoch – etwa aus Zeitgründen oder aufgrund einer fehlenden Applikation – nicht ausreichend katalogisieren. Die Server füllen sich, es gibt eine Unmenge an Informationen, die jedoch wegen ihres Rohzustands im System nicht nutzbar sind. Vielmehr ist das Fachpersonal gezwungen, erforderliche Daten aus dem (Alt-)Bestand mühsam herauszusuchen. Fehlende Löschzyklen können zusätzlichen Bedarf an Performance – und damit auch zusätzliche Kosten – bewirken. Nicht zu vernachlässigen ist auch der Aufwand für die Datenpflege sowie die erschwerte Datenbehandlung (z. B. das Sperren einzelner Datensätze) auf Backup-Datenträgern.

Ein professionell handelnder DSB wird eine derartige Sachlage samt möglichen Handlungsalternativen, die individuell auf das jeweilige Unternehmen zugeschnitten sind, gemeinsam mit der IT-Sicherheitsabteilung und dem IT-Betrieb bewerten. Wer nicht ausschließlich daran denkt, gesetzliche Vorgaben an Verfügbarkeit, Sperrung, Löschung, Auskunftsmöglichkeiten et cetera durchzusetzen, sondern darauf abzielt, eine für alle Beteiligten sinnvolle Datenhaltung zu implementieren, wird vom Störer zum Partner. Gemeinsam lassen sich dann Lösungsmöglichkeiten finden und auf ein praxistaugliches Niveau herunterbrechen.

Vier tragende Säulen

Die Grundprinzipien des Datenschutzes haben in letzter Konsequenz alle einen integrativen Charakter und werden bei methodischer Anwendung zum Gewinn für das Unternehmen – auch über die unmittelbar vom BDSG erfassten Daten hinaus. Im Einzelnen können folgende Prinzipien als Säulen eines erfolgreichen Datenschutzes "mit Mehrwert" gelten:

  • Datenvermeidung und Datensparsamkeit,
  • Datenverfügbarkeit,
  • Verarbeitungskontrolle,
  • Datenweitergabe und Datentrennung (vgl. § 4 BDSG).

Wer keine Informationen hat, besitzt auch keinen Überblick – wer zu viele Informationen hat, kann ihn aber auch schnell wieder verlieren. Definierte Löschzyklen personenbezogener (und anderer) Daten befolgen das Prinzip der Datensparsamkeit und sind zugleich eine entscheidende Basis erfolgversprechenden Datenmanagements. Datensparsamkeit bedeutet, dass sich die "Gestaltung und Auswahl von Datenverarbeitungssystemen […] an dem Ziel auszurichten [haben], keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. […]" (§ 3a BDSG). Es dürfte klar sein, dass die Vermeidung "unnötiger" Datenmengen auch über den Anwendungsbereich des BDSG hinaus deutliche Vorteile bringen kann (Speicherplatz, Verarbeitungsgeschwindigkeit, Überblick etc.).

Datenverfügbarkeit ist – im Sinne des Datenschutzes – die Bereitstellungssicherheit des Datenbestands, so lange er zur Erfüllung des Geschäftszwecks benötigt wird oder gesetzliche Aufbewahrungsfristen eine längerfristige sichere Aufbewahrung und wirksame Archivierung erfordern (vgl. § 9 BDSG nebst Anlage). Hierzu gehören die technisch sichere Aufbewahrung von Backup-Medien und Tests zum reibungslosen Wiedereinspielen im Ernstfall ebenso wie das Sicherstellen eines geeigneten Brandschutzes je nach Ausstattung vor Ort samt Notfall- und Wiederanlaufplan – offenbar gelten auch für IT-Betrieb und -Sicherheit analoge Ziele. Von Fachgremien erarbeitete Standards und Richtlinien zur IT-Sicherheit sowie zum Qualitätsmanagement geben umgekehrt auch dem DSB wertvolle Hilfestellung. Zu den bewährten Standards gehören beispielsweise die IT-Grundschutz-Kataloge (früher: Grundschutzhandbuch) des Bundesamts für die Sicherheit in der Informationstechnik (BSI) oder die allseits bekannten ISO-Normen und -Richtlinien (ISO 27001, ISO 9001 usw.).

Verarbeitungskontrolle schützt und nützt – wie schon im Praxisbeispiel erörtert – einzelnen Mitarbeitern ebenso wie der verarbeitenden Stelle (vgl. § 4 BDSG). Nachvollziehbare Datenverarbeitung hilft zudem, Unschärfen in unvollständigen Prozessabbildungen zu erkennen. So lassen sich Fehler vermeiden oder erkennen und beheben, die sich auf Performance, Qualität oder Kundenservice auswirken. Auch bei internen Ermittlungen oder gerichtlichen Auseinandersetzungen dürften "Beweise", deren Manipulationsfreiheit oder Herkunft unklar erscheinen, nur wenig Aussicht auf Erfolg haben. Insofern schützt ein datenschutzkonformer, beweisfähiger Workflow letztlich sowohl Unternehmen als auch Mitarbeiter.

Die Datenweitergabe regelt schließlich das Prinzip des Überblicks über alle Kommunikationsschnittstellen unternehmensintern und nach außen, etwa zu externen Dienstleistern (Stichwort: Outsourcing ). Mit geeigneten Mechanismen ist sicherzustellen, dass ein Missbrauch von Medien oder Mitarbeiterzugängen zu sensitiven Systemen möglichst ausgeschlossen werden kann. Hierbei spielt es keine Rolle, ob es um personenbezogene Daten, neue Geschäftsprozesse oder um das Verfolgen eines Geschäftszwecks im erforderlichen Datenaustausch geht.

Alle diese datenschutzrechtlichen Grundsätze zeigen also eine große Übereinstimmung mit einem bewusst gelebten IT-Sicherheitskonzept. Das weite Feld der Synergien zwischen Datenschutz und Datensicherheit ist daher ein wesentlicher Bestandteil eines erfolgreichen Unternehmens und führt insgesamt zu transparenteren Prozessen, Ressourcenschonung und Imageverbesserung.

----------Anfang Textkasten----------

Tipps für modernen Datenschutz

  • Sparen Sie nicht an der Qualifikation zum Datenschutz.
  • Sorgen Sie für ein ausreichendes Zeitbudget.
  • Nutzen Sie bei Bedarf externe Dienstleister für die Unterstützung durch Zuarbeit, Know-how oder einen externen DSB.
  • Schaffen Sie den Rahmen für kooperative Zusammenarbeit von IT-Betrieb und -Sicherheit, Management, Betriebsrat und Datenschutzbeauftragtem (DSB).
  • Verabschieden Sie sich und Ihre Belegschaft vom Klischee des DSB als betrieblichem Blockierer.
  • Nutzen Sie aktiv den Mehrwert, den Datenschutz bietet.

----------Ende Textkasten----------

Fazit

Moderner Datenschutz konzentriert sich nicht nur "auf sich selbst", sondern auf vier wesentliche Aspekte im Unternehmen: technische, betriebswirtschaftliche, sozioökonomische und juristische.

Datenschutz wird erfahrungsgemäß nur dann einen unternehmerischen Mehrwert und die angestrebte Rechtssicherheit erzeugen, wenn Management und Führungskräfte, IT-Betrieb und -Sicherheit, Betriebsrat sowie betrieblicher DSB ein gemeinsames Ziel verfolgen. Darüber hinaus kann ein derart interdisziplinär aufgestelltes Team alltagstauglich umsetzen, was der Gesetzgeber in den EU-Richtlinien 95/46/EG und 2002/58/EG sowie dem BDSG als deren nationale Umsetzung in Handlungsprinzipen gefasst hat. Zusätzlich stehen eine Reihe unternehmerischer Anforderungen in direkter Nachbarschaft zum Datenschutz: unter anderem Rankings im Sinne von Basel II, Sarbanes-Oxley (SOX) und weitere Compliance-Richtlinien.

Während viele immer noch an das Klischee von Kontrolle und Zwang glauben, hat man andernorts die Dynamik und das Potenzial modernen Datenschutzes erkannt und im Unternehmen installiert. In einer Zeit, in der Qualität auf allen Ebenen wettbewerbsentscheidend ist, sollte man auf den Mehrwert "Datenschutz" keinesfalls verzichten.

Kerstin Blossey ist Geschäftsführerin von Blossey & Partner (bisher KSB4 Consulting, [externer Link] www.blossey-partner.de). Oliver Kempkens studiert Rechtswissenschaften an der LMU in München und arbeitet im Bereich Datenschutz und Mediation.



Blossey & Partner

Schloss Dürrwangen
Hauptstraße 3
91602 Dürrwangen

Großraum Berlin
Berliner Straße 9
06886 Wittenberg

Telefon:
+49 98 56 - 92 19 991
Mail | Kontakt | Impressum 

Deutsch English