Management Mit Sicherheit verwirrend

Kompliziert und kurzlebig: Unternehmer können mit der Geschwindigkeit, in der sich das Datenschutzrecht ändert, kaum mithalten. Viele versteckte Pflichten sind kaum bekannt.

Auf Senden geklickt, und raus geht die Mail mit dem Kundennewsletter. Marketingroutine, wie sie jeden Tag tausendfach in deutschen Unternehmen exerziert wird. Das Tückische an Routine ist indes, dass sie zu einer gewissen Nachlässigkeit führt. So auch in einer süddeutschen IT-Firma. Dort kopierte man den kompletten Kundenverteiler ins sichtbare Adressfeld der Mail – gut lesbar für jeden Empfänger des Newsletters. Ups!

Andreas Gutsell, der externe Datenschutzbeauftragte der Firma, fand das gar nicht lustig. Nicht nur, dass danach heftige Kundenbeschwerden auf die IT-Firma einprasselten – die Sache war auch rechtlich schwierig. Seit 2009 gibt es eine Meldepflicht gegenüber der Datenschutzbehörde, wenn sensible Daten in falsche Hände geraten und „schwerwiegende Beeinträchtigungen“ drohen. Aber ist es ein ebenso schwerwiegendes Vorkommnis, wenn die E-Mail-Adressen eines PR-Newsletters für alle Kunden sichtbar sind? „Juristisch war das nicht ganz klar“, sagt Gutsell. Also ging er auf Nummer sicher und meldete. Allemal besser als ein Bußgeld von bis zu 300.000 Euro. Das setzt es, wenn die Meldepflicht verletzt wird.

Anzeige

Im Datenschutz ist die Unsicherheit groß, nicht nur bei Gutsell. Da, wo es Gesetze gibt, herrscht Verwirrung – da, wo sie fehlen, herrscht Anarchie. Mal verstricken sich große Handelsketten und Staatskonzerne in veritable Skandale, weil sie Mitarbeiter heimlich filmen oder deren Daten rastern lassen – der Korruptionsbekämpfung wegen. Mal sind es internationale Social-Media-Konzerne, die eine erstaunliche Gleichgültigkeit gegenüber staatlichen Datenschutzregeln zeigen – was Politiker und Verbraucherschützer noch rebellischer macht.

Komplettiert wird das Chaos durch den fortwährenden Reigen des Gesetzgebers, neue Regeln erst anzukündigen, wüst streitend zu verschieben und dann ganz anders in Kraft treten zu lassen. Verlassen können sich die Unternehmen derzeit nur auf eines: Wird mit personenbezogenen Daten – von Kunden, Lieferanten, Mitarbeitern – nicht korrekt verfahren, droht Ärger mit Behörden, stehen Geschäftsbeziehungen und der Ruf auf dem Spiel. Und der Begriff „personenbezogene Daten“ umfasst ganz schön viel: Das fängt bei Namen, Adresse und Geburtsdatum an, geht über Haarfarbe, Beruf, Einkommen bis Familienstand und Religion.

Noch ist die große Überarbeitung des Bundesdatenschutzgesetzes (BDSG) von 2009 gar nicht voll umgesetzt, da arbeitet der Bundestag schon an der nächsten Neuerung: dem Schutz der Arbeitnehmerdaten. Das Gesetz dürfte Ende des Jahres in Kraft treten. Allerdings könnte es auch nach wenigen Jahren überholt sein. Denn die EU hat den Entwurf zu einer Datenschutzverordnung vorgelegt, die 2015 oder 2016 in Kraft treten könnte. Das deutsche Gesetz wäre dann wieder überflüssig.

Zwar stehen schon jetzt hinter dem deutschen Datenschutzrecht Vorgaben aus Europa, aber das waren bislang nur EU-Richtlinien. Die müssen von den Parlamenten erst noch in nationale Gesetze umgesetzt werden, das lässt den Ländern große Spielräume. Beispielsweise bei den bisherigen Strafen für Datenschutzverstöße: In Spanien können sie bis zu 25 Mio. Euro jährlich betragen, nach deutschem Recht liegt das Limit bei 300.000 Euro, in Großbritannien gab es bis 2010 gar keine Sanktionen.

Nun plant die EU eine Datenschutzverordnung. Der Unterschied zu einer Richtlinie: Die Verordnung würde in allen Ländern unmittelbar und gleichermaßen gelten, ohne dass noch ein nationales Gesetz nötig wäre. Überall die gleichen Regeln, überall die gleichen Strafen. Bei Verletzung der EU-weit einheitlichen Standards sollen saftige Sanktionen fällig werden. „Das ist noch nicht zu Ende diskutiert, aber sicher ist: Die Kommission wird mit der Durchsetzung ihrer Regeln ernst machen“, sagt Jürgen Hartung, Datenschutzrechtler von der Kanzlei Oppenhoff & Partner.

Bis zu zwei Prozent des weltweiten Jahresumsatzes sollen die Bußgelder betragen, wenn ein Unternehmen etwa das Datenschutzzertifikat missbraucht, das ebenfalls neu eingeführt werden soll. Als weitere Folge der neuen Einheitlichkeit käme hinzu, dass sich europäische Firmen nicht mehr in jedem Land mit den amtlichen Datenschützern auseinandersetzen müssen. Nach den EU-Plänen soll nur noch die Aufsichtsbehörde an ihrem Stammsitz zuständig sein. „Das begrüßen wir sehr“, sagt Claus-Dieter Ulmer, Datenschutzbeauftragter bei der Telekom.

Weniger Bürokratie, weniger Schutz

Datenschutzbeauftragte wie ihn gibt es nicht nur in milliardenschweren Konzernen wie der Deutschen Telekom. Wenn auch nur zehn Mitarbeiter in einem Unternehmen automatisiert personenbezogene Daten verarbeiten – etwa in der Personalabteilung -, muss solch ein Beauftragter bestellt werden. So will es das aktuelle deutsche Recht. Ein Modell, das in Brüssel gut ankam. So gut, dass es die Kommission künftig auf alle europäischen Unternehmen erstrecken will. Aber erst ab 250 Beschäftigten.

Für deutsche Mittelständler ein gewaltiger Bürokratieabbau. Aus Sicht von Verbraucherschützern ein gewaltiger Rückschritt. Der deutsche Schwellenwert habe sich bewährt, heißt es in einer Stellungnahme des Verbraucherzentrale Bundesverbands. Werde er aufgeweicht, „würde das Risiko von Datenschutzverletzungen für die Verbraucher deutlich zunehmen.“

Noch ist das alles Zukunftsmusik. Noch sind es mindestens drei Jahre, bis das EU-Datenschutzrecht kommt. In vielen Unternehmen scheinen unterdessen nicht einmal die Neuerungen des Bundesdatenschutzgesetzes von 2009 bekannt zu sein – die Meldepflicht bei Datenpannen, mit der sich Andreas Gutsell plagen musste, inklusive. Anders ist es nicht zu erklären, dass der Bundesdatenschutzbeauftragte in den ersten 18 Monaten, seit das Gesetz gilt, gerade 90 Meldungen gezählt hat, von fehlgelaufenen E-Mails bis zum Verlust oder Diebstahl von Laptops oder USB-Sticks. Er geht von einer weitaus höheren Dunkelziffer aus.

35 Jahre Datenschutz – Eine kleine Chronik
Mit dem Durchbruch der Computertechnik konnten plötzlich massenhaft persönliche Daten verarbeitet werden. In der Folge entstand ein komplett neues Rechtsgebiet
1977 Das Bundesdatenschutzgesetz (BDSG) tritt in Kraft. Es richtet sich an Behörden und private Datennutzer, wenn diese personenbezogene Daten automatisiert verarbeiten oder an Dritte übermitteln. Grundsatz: Was nicht von Gesetz oder Betroffenem erlaubt ist, ist verboten.
1983 Das Bundesverfassungsgericht stellt mit dem Volkszählungsurteil fest, dass zu Menschenwürde und allgemeinem Persönlichkeitsrecht die informationelle Selbstbestimmung gehört, quasi ein Grundrecht auf Datenschutz. Als ungeschriebenes Gesetz steht es gleichrangig neben den anderen verfassungsmäßigen Grundrechten.
1995 Die Datenschutzrichtlinie der EU soll ein einheitliches Datenschutzniveau schaffen und den freien Datenverkehr sichern.
2001 Das BDSG wird an die EU-Vorgaben angepasst. Neu sind die Grundsätze der Datensparsamkeit und Datenvermeidung sowie Regelungen zur Videoüberwachung öffentlicher Räume.
2009 Eine BDSG-Überarbeitung bringt Regeln zu Auskunfteien und Scoring, Datennutzung für Werbung und zur Auftragsdatenverarbeitung. Es sind künftig Bußgelder von bis zu 300.000 Euro möglich (vorher 250.000 Euro).
2015/16 Die EU-Datenschutzverordnung tritt voraussichtlich in Kraft. Sie soll Bürgern gegenüber sozialen Netzwerken ein „Recht auf Vergessen“ einräumen.

Auch bei der Auftragsdatenverarbeitung gibt es seit 2009 weitaus mehr Pflichten als allgemein bekannt. Das ist nicht unwichtig, denn eine Auftragsdatenverarbeitung liegt immer dann vor, wenn personenbezogene Daten das Unternehmen verlassen. Wenn etwa Arbeitskleidung bestellt wird – und der Schneider die Kleidergrößen der Mitarbeiter erhält. Oder wenn die Lohnbuchhaltung ein externer Dienstleister erledigt. Gibt das Unternehmen die Daten raus, muss es den korrekten Umgang damit durch einen Vertrag mit dem Externen sicherstellen und „dessen Einhaltung kontrollieren“, sagt Wilhelm Rydzy, Abteilungsleiter beim hessischen Datenschutzbeauftragten. Das gilt sogar innerhalb eines Konzerns, wenn etwa die Personaldaten zentral verwaltet werden.

Anderes Beispiel: das Verfahrensverzeichnis. Auch so eine Neuerung von 2009, die nach drei Jahren noch für Ärger sorgt. Jedes Unternehmen muss auf Anfrage dokumentieren können, wie es mit den persönlichen Daten seiner Kunden verfährt, wessen Daten zu welchem Zweck verarbeitet werden. „Das Verzeichnis muss jedem, wirklich jedem, der es verlangt, präsentiert werden“, sagt Florian Karle, Chef der Südvers-Gruppe, die Industrieversicherungen verkauft. Es sei eigentlich schnell erstellt, sagt Karle, der es auf seiner Firmen-Homepage platziert hat. Aber wenn es doch fehlt, drohen Abmahnungen. „Es gibt bereits Anwälte, die sich darauf spezialisiert haben.“

Wenn es um den Kunden geht, sind die Datengesetze mit den Jahren immer strenger geworden. So brauchen Unternehmen neuerdings das Einverständnis des Verbrauchers, wenn sie sich für Werbeaktionen dessen bisheriges Einkaufsverhalten anschauen wollen. Ein Elektrofachhändler möchte die Broschüre über das Luxussoundsystem natürlich gern an die Kunden schicken, die ihren Hang zu Hochpreisigem bereits demonstriert haben – weil sie etwa vor drei Monaten mit einem großen Flachbildfernseher aus dem Laden marschiert sind.

Doch der Kunde ist König – auch seiner Daten. Verweigert er sein Einverständnis oder wird es gar nicht erst eingeholt, ist es vorbei mit der gezielten Reklame. Das Marketing darf nur noch allgemeine Informationen wie Geschlecht, Alter oder Adresse heranziehen. Wer sich darüber hinwegsetzt, muss mit heftigsten Konsequenzen rechnen, sagt der Frankfurter Anwalt Kai Westerwelle: „Die Datenschutzbehörden können die Löschung der Kundendaten verlangen.“ Mit dieser Ankündigung gelingt es dem Taylor-Wessing-Partner immer wieder, sein Publikum bei Vorträgen zu erschrecken.

Zwar ist die Gefahr gering, dass die staatlichen Datenschützer von sich aus den Fehler aufstöbern. Schlicht und einfach deshalb, weil sie so viel zu tun haben. „Kontrollen ohne konkreten Anlass sind eher selten“, sagt Datenschutzrechtler Hartung. Aber viele Verfahren kommen durch anonyme Tipps ins Rollen, „durch Beschwerden von Betroffenen, Betriebsräten, Konkurrenten oder die Medien“, sagt Datenschützer Wilhelm Rydzy. So wurden auch die großen Datenskandale der vergangenen Jahre aufgedeckt, bei der Deutschen Bahn, der Telekom oder Lidl.

In allen drei Fällen ging es in erster Linie um den etwas leichtfertigen Umgang mit Mitarbeiterdaten. Die Bahn glich persönliche Angaben ihrer Angestellten mit denen von Lieferanten ab, um Korruptionsfällen auf die Spur zu kommen. Die Telekom ließ Aufsichts- und Betriebsräte überwachen, weil ständig Interna durchgesickert waren. Lidl installierte Kameras in der Deckenverkleidung von Supermärkten, weil das Unternehmen einigen Kassiererinnen Warenklau unterstellte. Es gab einen kolossalen öffentlichen Aufschrei; die Politik warf 2009 die Gesetzgebungsmaschine an, nur um alsbald im jahrelangen Streit zu versinken.

Nachdem das Projekt schon totgesagt wurde, sieht es nun so aus, als könnte das Beschäftigtendatenschutzgesetz Ende des Jahres in Kraft treten. Bislang erledigte den Schutz von Mitarbeitern ein einziger Paragraf im BDSG, künftig sollen es 14 sein (siehe Kasten links).

Kamera nein, Datenscreening ja

Die heimliche Bespitzelung mit Videotechnik soll demnach verboten werden. Datenscreenings nach dem Vorbild der Bahn könnten legalisiert werden – unter der Bedingung, dass sie nur im Verdachtsfall und anonymisiert stattfinden (bei Treffern dürfen die Klarnamen der Mitarbeiter aufgedeckt werden). Will der Chef in nicht öffentlichen Quellen Erkundigungen über Angestellte und Bewerber einholen, soll er deren Einverständnis benötigen. Die Gewerkschaften bezweifeln aber, dass Mitarbeiter, besonders künftige, in dieser Frage wirklich eine freie Wahl hätten. Und protestieren vehement.

Auch Stefan Kursawe ist nicht zufrieden: „Da zeigt sich eine Regulierungswut, die weit über das Notwendige hinausgeht“, sagt der Anwalt von Heisse Kursawe Eversheds. Dietmar Böhlke, Datenschutzbeauftragter bei Media-Saturn-Kette in Ingolstadt, kann den umfassenden Plänen durchaus etwas abgewinnen. Das bisherige Gesetz verlange von den Firmen, dass sie Korruption bekämpfen müssten, „aber es sagt ihnen – anders als den staatlichen Ermittlern – nicht klar, was sie dürfen und was nicht“.

Seit er 2007 sein Amt übernahm, hat er mit ständigen Rechtsänderungen zu kämpfen. Alle paar Monate muss er in der Firma neue Anforderungen als den letzten Schrei präsentieren – was ihm ein Glaubwürdigkeitsproblem bei der Geschäftsführung einbringt. Und deshalb hat er eigentlich nur einen Wunsch: „Der Datenschutz muss endlich zur Ruhe kommen.“

Beschäftigtendatenschutz – was das Gesetz bringen soll
Als die Bundesregierung 2010 ihren Entwurf vorstellte, sah es nicht so aus, als würde sie sich damit viele Freunde machen. Nach heftigem Streit könnte das bereits totgesagte Gesetz nun doch gegen Ende des Jahres kommen
Einstellung Der Arbeitgeber soll Bewerbern nur Fragen mit Jobbezug stellen und sensible Daten wie ethnische Herkunft, Religion oder sexuelle Orientierung nur erheben dürfen, wenn sie für die Stelle entscheidende Voraussetzung sind. Gewerkschaftszugehörigkeit ist tabu. Die Nachfrage bei Ex-Chefs ist mit Einverständnis des Bewerbers zulässig, dann kann der aber Informationen über die Auskunft verlangen. Im frei zugänglichen Internet darf der Chef stöbern, für nicht öffentliche Bereiche braucht er das Einverständnis des Mitarbeiters.
Sicherheitssysteme Ortungssysteme dürfen nur während der Arbeitszeit eingesetzt werden und nur zur Einsatzkoordinierung oder Sicherheit der Mitarbeiter. Diese sind zu informieren. Biometrische Daten können für Autorisierungs- und Authentifikationszwecke erhoben werden.
Videoüberwachung Sie ist erlaubt in der Qualitätskontrolle, der Betriebssicherheit oder der Anlagensicherung, aber nie heimlich. Die Daten dürfen nicht länger gespeichert werden als für diese Zwecke erforderlich. Immer verboten ist die Videobeobachtung von Sanitär-, Schlaf- und Umkleideräumen, auch zur Aufdeckung von Straftaten.
Datenaustausch im Konzern Bisher gelten für den Austausch von Beschäftigtendaten zwischen rechtlich selbstständigen Konzernunternehmen im Prinzip dieselben Regeln wie für externe Unternehmen: Es geht nicht ohne Absicherung durch ausführliche Verträge – ein Hindernis bei zentraler Personalverwaltung. Künftig soll der Datenfluss im Konzern erleichtert werden.
Bußgeld Wer Ortungssysteme oder Videoüberwachung verdeckt einsetzt, wer nach Abschluss von Ermittlungen die Mitarbeiter nicht korrekt darüber informiert, muss mit einem Bußgeld von bis zu 50.000 Euro rechnen. Eine falsche Frage im Bewerbungsverfahren kann theoretisch bis zu 300.000 Euro kosten, zumindest nach dem aktuellen Gesetzentwurf.
Aus dem Magazin
Dieser Beitrag stammt aus der impulse-Ausgabe 05/2012.

Abonnenten erhalten die neueste Ausgabe jeden Monat frisch nach Hause geliefert.

impulse gibt es ab sofort für 7,50 Euro auch als PDF-Download oder für das iPad unter www.pubbles.de/impulse. Dort können Sie auch ein digitales Abo abschließen.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): *Captcha loading...