Umgang mit sensiblen daten

Für den Zugang zu ihren DV-Systemen verfügen die meisten Handwerksbetriebe über Sicherheitsausstattungen wie Passwörter, Firewalls, abschließbare Büros und Schränke sowie Papiershredder für zu entsorgende Unterlagen. Der Umfang der Sicherheitsmaßnahmen hängt in hohem Maße von den Verantwortlichen und der Bedeutung, die diese dem Thema persönlich geben, ab. Daraus ergeben sich große Unterschiede zwischen einzelnen Handwerksbetrieben. Da Prüfungen gesetzlich nicht vorgeschrieben sind, hat der Handwerker oft keine Kenntnis über den eigenen Entwicklungsstand. Der Austausch mit den Kollegen ist ebenfalls weniger intensiv als zu anderen Themen. Das Bundesdatenschutzgesetz stellt keine konkreten Vorgaben, sondern formuliert nur vage, dass Unternehmen die erforderlichen „technischen und organisatorischen Maßnahmen“ treffen müssen, um den Datenschutz zu gewährleisten. Der weitere Text konzentriert sich nicht auf technische Details, welche aufgrund der sich rasch ändernden Voraussetzungen und Gefährdungen ohnehin nur von Fachleuten überblickt werden können, sondern auf das grundsätzliche Konzept, was die Unternehmensleitung letztlich verantwortet.

Die Gestaltung eines geschlossenen Sicherheitskonzepts im Mittelstand wird im weiteren Text ausgeführt. Dabei sollten sich die Verantwortlichen nicht auf mögliche negative Folgen wie höhere Kosten und Arbeitsaufwand konzentrieren, sondern die positiven Auswirkungen in den Mittelpunkt stellen. Kunden fordern zu Recht den Schutz ihrer Daten. Kann dieser sichergestellt und überzeugend vermittelt werden, wird ein Wettbewerbsvorteil gegenüber Mitbewerbern geschaffen. Auch wenn aufgrund der Größe des Handwerksbetriebs gesetzliche Vorschriften nicht greifen, sollten diese als Richtschnur für die eigenen Maßnahmen dienen.

Datenschutzbeauftragter

Viele der weiteren Aufgaben liegen im Verantwortungsbereich der Datenschutzbeauftragten, deshalb gilt es an erster Stelle zu prüfen, ob eine derartige Position gesetzlich vorgeschrieben ist. Zwar beschränkt sich der Gesetzgeber in seinen Texten auf „Unternehmen“, allerdings fallen in diesem Zusammenhang auch Verbände unter die Vorgaben.

Unternehmen, die mehr als neun Mitarbeiter beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten bestellen. Personenbezogene Daten sind solche Daten, die einen direkten Schluss auf eine natürliche Person ermöglichen, was außer für rein technische Erfassungen auf fast alle Daten zutrifft. Entsprechendes gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit mindestens 20 Personen beschäftigt sind.

In folgenden Aufgabenfeldern werden personenbezogene Daten bearbeitet:

Aufgrund dieser Aufgabenfelder kann an sich jeder Handwerker davon ausgehen, dass personenbezogene Daten automatisiert verarbeitet werden. Bei mehr als neun Mitarbeitern ist daher fast immer ein Datenschutzbeauftragter erforderlich. Die Benennung reicht nicht aus. Sowohl Kenntnisse des Datenschutzrechtes als auch der Informationstechnologie sind für die fachliche Qualifikation erforderlich.

Der Datenschutzbeauftragte darf sich nicht in einem Interessenkonflikt befinden. Ein solcher Konflikt würde z.B. beim Personalleiter oder dem Leiter der Datenverarbeitung angenommen, denn dieser würde über die datenschutzrechtliche Zulässigkeit der von ihnen selbst verantworteten Datenverarbeitung befinden. Die Aufgabe des Datenschutzbeauftragten kann an einen externen Dienstleister vergeben werden.

In der Anlage zu § 9 Satz 1 des Datenschutzgesetzes (Fundstelle des Originaltextes: BGBl. I 2003, 88) stehen Hinweise, wie der Datenschutzbeauftragte seine Aufgaben erfüllen kann. Die folgenden Maßnahmen sollte jeder Handwerksbetrieb aufgreifen. Der Datenschutzbeauftragte ist nicht für die Maßnahmen verantwortlich, sondern für die Überwachung der gesetzlichen Vorgaben. Wie dargestellt, wird diese Unabhängigkeit nur dann gegeben sein, wenn die Schritte nicht selber umgesetzt wurden. Die Übernahme der weiteren Aufgaben vom Datenschutzbeauftragten zu verlangen, ist nicht nur kontraproduktiv, sondern auch gesetzeswidrig.

Zutritt zu den Geschäftsräumen

Im Rahmen des Sicherheitskonzeptes wird zwischen Zutritt und Zugang unterschieden. Beim Zutritt handelt es sich um die Möglichkeit, unmittelbar auf relevante Informationen und Informationsträger zuzugreifen. Zugang ist der direkte Zugriff auf Daten. Wer Zutritt hat, kann sich auch Zugang verschaffen. Auch ohne entsprechende Ausbildung können Überwachungs- und Übertragungssysteme beschafft und installiert, Daten kopiert, manipuliert oder zerstört werden. Deshalb stellt das Zutrittskonzept die Grundlage jedes Datenschutzes dar.

Hierbei gilt es die folgenden Fragen zu beantworten:

Der Besuch eines fremden Dritten hat sich als praktische Übung bewährt. Einfach eintreten und behaupten, man möchte seinen alten Freund den Inhaber überraschen; oder in der Frühstückspause durch die Räume streifen und schauen, ob man einen PC nicht einfach abbauen und mitnehmen kann; oder kontrollieren, ob Geschäftsfahrzeuge offen stehen und Mobiltelefone oder Lap­tops zugänglich sind. Nach Beendigung des Rundgangs werden die Betroffenen zusammengerufen und freundlich auf aufgedeckte Defizite hingewiesen.

Zugang zu den Daten

Unter Zugang versteht man die Datennutzung. Diese kann sowohl auf Papier als auch in elektronischer Form erfolgen. Häufig sind sich die Nutzer über die Bedeutung der Daten nicht bewusst. Welche Auswirkungen es hat, wenn bspw. ein Konkurrent Umsatz- und Ergebniszahlen auf Kundenbasis erhält, lässt sich leicht ermessen. Von der missbräuchlichen Nutzung ihrer Bankdaten wollen Kunden ebenfalls nicht aus der Zeitung erfahren. Die weiteren Fragen dienen der Ermittlung des derzeitigen Sicherheitsstandes und können, falls erforderlich, helfen, notwendige Verbesserungen einzuleiten.

Im Gegensatz zu den Zutrittskontrollen sollten hier keine „Amateure“ zur Überprüfung des Sicherheitsstandards eingesetzt werden. Einfach einen bekannten Computerspezialisten zu bitten, das Datennetz zu knacken, kann erheblichen Schaden verursachen. Allenfalls Profis mit entsprechenden Referenzen können hier abgestimmte Maßnahmen durchführen und zur Verbesserung möglicher Defizite beitragen.

Datennutzung

Kundendaten sind wertvolle Informationen. Die typischen Kunden verfügen über ein klares Profil, weshalb diese für professionelle Datensammler hochinteressant sind und gelegentliche Nachfragen erfolgen. Dennoch sollte kein Handwerksbetrieb über den Datenverkauf kurzfristige Ergebnisse erzielen und die langfristige Verärgerung der Kunden billigend in Kauf nehmen. Menschen sind zunehmend bzgl. des Umgangs mit ihren Daten sensibilisiert, wie die Diskussion über „Google Maps“ oder den Datendiebstahl bei Sony aufzeigt. Eine Weitergabe oder der unberechtigte Zugriff auf persönliche Daten durch fremde Dritte werden nicht mehr toleriert. Allerdings kann eine Zusammenarbeit mit anderen Anbietern durchaus geprüft werden. Wenn die Nutzer einer Weitergabe zustimmen, können passgenaue Informationen zugesandt werden. In jedem Fall sollten sich die Verantwortlichen allerdings ein Bild von der Seriosität des Partners machen.

Die persönliche Einstellung zum Datenschutz ist sehr unterschiedlich. Einer freut sich über schriftliche und elektronische Post, während bei anderen schon der Anschein von Werbezuschriften starke Abneigung hervorruft.

Wichtig sind Angaben und interne Vorgaben über die Verwendung der Daten und wann diese gelöscht werden. Dazu gehört die Zusicherung, dass keine Weitergabe zu Werbezwecken an Unternehmen erfolgt, bzw. unter welchen Bedingungen und wann man aus gesetzlichen Gründen zur Weitergabe an andere Institutionen verpflichtet sein kann. Hierüber werden auch die unmittelbaren Ansprechpartner im Außendienst unterrichtetet.

Ein kleiner Test mittels eines Anrufs über die zentrale Telefonnummer des Handwerksbetriebs zeigt die oft sehr unterschiedlichen Verhaltensweisen auf. Standardisierte Vorgaben unterstützen die Mitarbeiter bei der Reaktion auf telefonische oder schriftliche Anfragen.