Quelle: TÜV Rheinland
Ob Mitarbeiter-, Patienten- oder Kundenakten – jedes Unternehmen ist laut Bundesdatenschutzgesetz (BDSG) zum sorgfältigen Umgang mit personenbezogenen Daten verpflichtet. Sind mindestens zehn Personen ständig mit der so genannten „automatisierten Verarbeitung personenbezogener Daten“ wie Gehaltsabrechnungen, Kontaktdaten oder Bewerbungen beschäftigt oder gehen mindestens zwanzig Mitarbeiter anderweitig mit diesen Daten um, muss die Firma einen Datenschutzbeauftragten bestellen. Die Unternehmen können einen zuverlässigen Mitarbeiter ernennen, der allerdings fachkundig sein muss und diese Fachkunde auch ständig erhalten muss. „Bei weniger als zehn Mitarbeitern in der automatisierten Verarbeitung personenbezogener Daten ist kein Datenschutzbeauftragter notwendig, aber dann ist der Geschäftsführer für den korrekten Umgang mit den Daten verantwortlich“, erklärt Martin Gasper, Datenschutzexperte von TÜV Rheinland.
Für Firmenchefs insbesondere kleiner und mittelständischer Unternehmen im betrieblichen Alltag ein hohes Risiko: Wer mit Datenschutz im Unternehmen nachweislich nachlässig umgeht, riskiert eine Strafe von bis zu 300.000 Euro, ganz zu schweigen vom Imageschaden. „Leider ist vielen Unternehmern das Risiko noch nicht bewusst“, weiß Gasper. Die Aufgabe des Datenschutzbeauftragten lässt sich auch an einen externen Fachmann übertragen, wie z.B. von TÜV Rheinland. Eine Investition, die sich finanziell und juristisch auf jeden Fall auszahlt, da der externe Datenschutzbeauftragte für seine Weiterbildung selber sorgen muss und das Unternehmen datenschutzrechtlich auch gegenüber Aufsichtsbehörden vertreten wird.
Arbeitgeber müssen grundsätzlich sicherstellen, dass Unbefugte personenbezogene Daten nicht einsehen können und diese vor äußeren Einflüssen wie Feuer geschützt sind. „Wer personenbezogene Daten in Papierform, z.B. Personalakten, in einem Stahlschrank aufbewahrt, und den Schlüssel ausschließlich an die zuständige Personalabteilung vergibt, der hat bereits einen guten Anfang gemacht“, sagt der Experte. Besonders schwierig: der korrekte Umgang mit elektronischen Daten. Diese müssen die Firmen laut Gesetz genauso vor unberechtigtem Zugriff schützen wie die Papierversionen. Ein internes Berechtigungskonzept muss den Zugriff auf die Daten regeln (z.B. durch Identifizierung mittels Username und Passwort). Werden die Daten nicht mehr für den ursprünglichen Erhebungszweck benötigt, müssen sie gelöscht werden. „Besonders E-Mail-Bewerbungen werden häufig innerhalb des Unternehmens weitergeleitet, bis sie die richtige Person erreichen“, betont Gasper. „Wird der Kandidat nicht eingestellt, ist es fast unmöglich, alle elektronischen Kopien zu löschen. Besser, die Daten werden nur an einer Stelle abgelegt, z.B. bei der Personalabteilung, die die Daten dann auch zentral wieder löscht.“
Ein weiteres großes Sicherheitsproblem besteht bei der Auslagerung personenbezogener Daten an Dritte, etwa zur Abwicklung von Gehaltsabrechnungen. Denn das Unternehmen selbst bleibt für die Daten verantwortlich. „Deshalb sollten Externe nur die Daten erhalten, die sie für ihre Arbeit auch wirklich benötigen“, rät Gasper. Das Unternehmen muss seinen Dienstleister sorgfältig auswählen und ihn nach der neuesten Gesetzesänderung durch seinen Datenschutzbeauftragten regelmäßig auditieren lassen. Mehr zu den umfangreichen datenschutzrechtlichen Pflichten für Unternehmen ist nachzulesen im Bundesdatenschutzgesetz, insbesondere in der Anlage zu Paragraph 9.