Datenschutz im Unternehmen: Risiko vielen Chefs nicht bewusst / TÜV Rheinland: Bei Verstößen Strafen bis zu 300.000 Euro / Interne Berechtigungskonzepte festlegen / Externe Dienstleister auditieren

Ob Mitarbeiter-, Patienten- oder Kundenakten – jedes
Unternehmen ist laut Bundesdatenschutzgesetz (BDSG) zum sorgfältigen
Umgang mit personenbezogenen Daten verpflichtet. Sind mindestens zehn
Personen ständig mit der so genannten „automatisierten Verarbeitung
personenbezogener Daten“ wie Gehaltsabrechnungen, Kontaktdaten oder
Bewerbungen beschäftigt oder gehen mindestens zwanzig Mitarbeiter
anderweitig mit diesen Daten um, muss die Firma einen
Datenschutzbeauftragten bestellen. Die Unternehmen können einen
zuverlässigen Mitarbeiter ernennen, der allerdings fachkundig sein
muss und diese Fachkunde auch ständig erhalten muss. „Bei weniger als
zehn Mitarbeitern in der automatisierten Verarbeitung
personenbezogener Daten ist kein Datenschutzbeauftragter notwendig,
aber dann ist der Geschäftsführer für den korrekten Umgang mit den
Daten verantwortlich“, erklärt Martin Gasper, Datenschutzexperte von
TÃœV Rheinland.

Für Firmenchefs insbesondere kleiner und mittelständischer
Unternehmen im betrieblichen Alltag ein hohes Risiko: Wer mit
Datenschutz im Unternehmen nachweislich nachlässig umgeht, riskiert
eine Strafe von bis zu 300.000 Euro, ganz zu schweigen vom
Imageschaden. „Leider ist vielen Unternehmern das Risiko noch nicht
bewusst“, weiß Gasper. Die Aufgabe des Datenschutzbeauftragten lässt
sich auch an einen externen Fachmann übertragen, wie z.B. von TÜV
Rheinland. Eine Investition, die sich finanziell und juristisch auf
jeden Fall auszahlt, da der externe Datenschutzbeauftragte für seine
Weiterbildung selber sorgen muss und das Unternehmen
datenschutzrechtlich auch gegenüber Aufsichtsbehörden vertreten wird.

Arbeitgeber müssen grundsätzlich sicherstellen, dass Unbefugte
personenbezogene Daten nicht einsehen können und diese vor äußeren
Einflüssen wie Feuer geschützt sind. „Wer personenbezogene Daten in
Papierform, z.B. Personalakten, in einem Stahlschrank aufbewahrt, und
den Schlüssel ausschließlich an die zuständige Personalabteilung
vergibt, der hat bereits einen guten Anfang gemacht“, sagt der
Experte. Besonders schwierig: der korrekte Umgang mit elektronischen
Daten. Diese müssen die Firmen laut Gesetz genauso vor unberechtigtem
Zugriff schützen wie die Papierversionen. Ein internes
Berechtigungskonzept muss den Zugriff auf die Daten regeln (z.B.
durch Identifizierung mittels Username und Passwort). Werden die
Daten nicht mehr für den ursprünglichen Erhebungszweck benötigt,
müssen sie gelöscht werden. „Besonders E-Mail-Bewerbungen werden
häufig innerhalb des Unternehmens weitergeleitet, bis sie die
richtige Person erreichen“, betont Gasper. „Wird der Kandidat nicht
eingestellt, ist es fast unmöglich, alle elektronischen Kopien zu
löschen. Besser, die Daten werden nur an einer Stelle abgelegt, z.B.
bei der Personalabteilung, die die Daten dann auch zentral wieder
löscht.“

Ein weiteres großes Sicherheitsproblem besteht bei der Auslagerung
personenbezogener Daten an Dritte, etwa zur Abwicklung von
Gehaltsabrechnungen. Denn das Unternehmen selbst bleibt für die Daten
verantwortlich. „Deshalb sollten Externe nur die Daten erhalten, die
sie für ihre Arbeit auch wirklich benötigen“, rät Gasper. Das
Unternehmen muss seinen Dienstleister sorgfältig auswählen und ihn
nach der neuesten Gesetzesänderung durch seinen
Datenschutzbeauftragten regelmäßig auditieren lassen. Mehr zu den
umfangreichen datenschutzrechtlichen Pflichten für Unternehmen ist
nachzulesen im Bundesdatenschutzgesetz, insbesondere in der Anlage zu
Paragraph 9.

Ihr Ansprechpartner für redaktionelle Fragen:
Jörg Meyer zu Altenschildesche, Presse, Tel.: 0221/806-2255
Die aktuellen Presseinformationen erhalten Sie auch per E-Mail über
presse@de.tuv.com sowie im Internet: www.tuv.com/presse

  rechtsprechung, unternehmen