Kundendaten sind das höchste Gut!
Das am 1. September 2009 in Kraft getretene Bundesdatenschutzgesetz ahndet den Verlust von personenbezogenen Daten künftig deutlich strenger als zuvor: 300.000 Euro Strafe und Information der Öffentlichkeit durch halbseitige Anzeigen in Tageszeitungen.
Kurz vor der Bundestagswahl wurde die Novellierung des Bundesdatenschutzgesetztes (BDSG) verabschiedet. In der Öffentlichkeit wurde das Gesetz allgemein als „Marketing-Gesetz“ wahrgenommen. Dabei reguliert es nicht ausschließlich den umstrittenen Handel mit personenbezogenen Daten für Werbezwecke. Vielmehr betrifft es fast alle Unternehmen und Behörden. Diese sollten sich in jedem Fall über die Gesetzesänderungen schlau machen, da die Rechtssprechung nun bei Verstößen empfindliche Strafen vorsieht.
Das neue Bundesdatenschutzgesetz greift, sobald mehr als neun Mitarbeiter eines Unternehmens, einer Behörde oder Organisation mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dabei ist gleichgültig, ob die Daten automatisch oder manuell verarbeitet werden. Beschäftigt beispielsweise ein mittelständischer Betrieb jeweils drei Mitarbeiter im Marketing, im Vertrieb und in der Auftragsbearbeitung, ist die kritische Zahl von neun Mitarbeiter, die mit der Verarbeitung von schützenswerten Daten beschäftigt sind, erreicht. Und das bedeutet, dass das das Unternehmen dem BDSG unterliegt.
Datenverlust muss öffentlich gemacht werden
Seit dem 1. September 2009 sind die betroffenen Unternehmen und Behörden verpflichtet, den Diebstahl oder den Verlust von personenbezogenen Daten umgehend den Aufsichtsbehörden sowie den Betroffenen zu melden. Ist eine Identifikation der Betroffenen nicht möglich oder ist die Zahl der Geschädigten zu hoch, um sie einzeln informieren zu können, müssen die Unternehmen, Behörden und Organisationen künftig an die Öffentlichkeit gehen.
Laut dem neuen Datenschutzgesetz muss dies mindestens in zwei bundesweit erscheinenden Tageszeitungen mit jeweils mindestens halbseitigen Anzeigen erfolgen. Das Bußgeld bei Verstößen gegen Datenschutzvorschriften wegen grober Fahrlässigkeit oder gar Vorsatz wird auf 300.000 Euro angehoben. Neu ist bei dieser Regelung, dass das Bußgeld den wirtschaftlichen Vorteil durch die Weitergabe an Dritte übersteigen soll und daher auch deutlich über 300.000 Euro liegen kann. Ebenfalls neu ist im überarbeiteten Gesetz, dass immer die Organisation als handelnde Person zur Verantwortung gezogen wird und nicht der einzelne Mitarbeiter.
Security-Investitionen lohnen sich
In diesem Zusammenhang ist auch wichtig zu beachten, dass der Gesetzgeber im neuen Datenschutzgesetz nicht von der Angemessenheit spricht. Insofern gilt das Maximumprinzip bei allen durchzuführenden Maßnahmen, die direkt oder indirekt den Schutz personenbezogener Daten betreffen. Das heißt, dass im Falle eines Datenverlusts oder -diebstahls geprüft werden wird, ob ein Unternehmen wirklich alle erforderlichen Maßnahmen zum Datenschutz ergriffen hat oder nicht.
Wie das Gesetz in der Praxis tatsächlich umgesetzt werden wird, ist noch schwer abzusehen. Es ist allerdings geplant, dass die Investitionen in die IT-Security zu Gunsten des Unternehmens angerechnet werden. Auch deshalb lohnt es sich, in diesen Bereich zu investieren und die Ausgaben dafür genauestens zu dokumentieren.
Das kostbarste Gut eines Unternehmens sind Daten
Die Folgen eines Datenverlusts sind verheerend. Dabei sind empfindliche Bußgelder nur ein Aspekt. Deutlich empfindlicher kann ein Unternehmen der Verlust der Reputation in der Öffentlichkeit treffen. Auch verlorenes Vertrauen seitens der Kunden ist nur schwer wiederherzustellen. So wird Datenverlust oder Datenklau schnell zum unternehmenskritischen Faktor.
Deshalb sollten Daten wie andere Wertsachen geschützt und mit allen Mitteln geschützt werden. Doch leider können sie nicht einfach in den Safe gelegt werden.
Zudem ist häufig der Mensch das schwächste Glied in der Kette, wenn es um den Schutz sensibler Daten geht. Über privat genutzte mobile Endgeräte und Datenspeicher können beispielsweise Schadprogramme eingeschleust werden. Der Wurm Conficker verbreitete sich unter anderem rasend schnell über USB-Sticks und andere Speichermedien. Gleichzeitig können Mitarbeiter auf einen USB-Stick unbemerkt große Datenmengen ziehen und an Dritte weitergeben. Außerdem gehen jedes Jahr tausende von Handys und Laptops verloren. Alleine am Flughafen London Heathrow werden wöchentlich rund 900 Notebooks vermisst.
Mitarbeiter müssen geschult werden
Die Einführung und Umsetzung starker Sicherheitsmaßnahmen ist deshalb ein wichtiger Faktor. Sie unterstützen Mitarbeiter und geben ihnen gleichzeitig die Gewissheit, nicht gegen geltendes Recht zu verstoßen. Dabei ist besonders wichtig, dass die Belegschaft die Notwendigkeit der Maßnahmen versteht und sie nicht als willkürliche Repressalie ansieht. Ein Datenschutzbeauftragter kann hier als Ansprechpartner und Vermittler fungieren.
Zusätzlich müssen Unternehmen und Behörden aber auch dringend ihre Datenschutzvorkehrungen überprüfen und technische Vorkehrungen treffen. Lösungen für die Endpunkt-Sicherheit beispielsweise schützen das Unternehmensnetzwerk wirkungsvoll vor Eindringlingen. Patch-Management bietet die Möglichkeit, Schwachstellen zu erkennen und aktiv zu beheben.
Application Contol-Software gibt den Datenschutzverantwortlichen außerdem die Sicherheit, dass nur überprüfte Anwendungen mit schützenswerten Daten in Kontakt kommen und diese nicht unkontrolliert abgezogen werden können. Am wichtigsten ist allerdings die Installation einer Device Control-Lösung. Die Software verhindert, dass Daten über unautorisierte Medien wie USB-Sticks von Mitarbeitern einfach mitgenommen werden können oder unbeabsichtigt verloren gehen.
Weitere Kapitel
- 1. Teil: Kundendaten sind das höchste Gut!
- 2. Teil: 10 Tipps für besseren Schutz Ihrer Daten
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER