Das Bayerische Landesamt für Datenaufsicht wird bei Verstößen gegen den Datenschutz durch Angestellte künftig den Unternehmer selbst in die Haftung nehmen. Interview mit Andreas Pohl, zertifizierter Datenschutzbeauftragter, über die Konsequenzen.
(PM) Bad Arolsen, 11.07.2013 - Das Bayerische Landesamt für Datenaufsicht (BayLDA) hat die Mitarbeiterin eines Unternehmens mit einem Bußgeld belegt, weil sie mit einem offenen E-Mail-Verteiler personenbezogene E-Mail-Adressen einem großen Empfängerkreis übermittelt hat. In diesem Fall umfasst die E-Mail ausgedruckt zehn Seiten, von denen neuneinhalb Seiten die E-Mail-Adressen ausmachen und eine halbe Seite die Information beinhaltete, dass man sich zeitnah um die Anliegen der Kunden kümmern werde. Das BayLDA kündigte an, in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid gegen die Unternehmensleitung zu erlassen. Künftig haftet also der Unternehmer! Im Interview spricht Andreas Pohl, geprüfter EDV Sachverständiger, zertifizierter Datenschutzbeauftragter und aktiv im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ des BMWi, über die Folgen für die Unternehmer.
Herr Pohl, das BayLDA nimmt Geschäftsführer und Vorstände sehr deutlich in die Pflicht. Warum hat das Amt in dieser Schärfe reagiert?
Andreas Pohl: Das Amt hat in der Vergangenheit mehrfach darauf hingewiesen, dass die Verwendung eines offenen E-Mail-Verteilers datenschutzrechtlich unzulässig ist, wenn die Inhaber der E-Mail-Adressen dazu nicht ihre Einwilligung erklärt haben. Offenbar ist dieser gut gemeinte Appell nicht angekommen. Jetzt nimmt das Amt den Unternehmer in die Sorgfaltspflicht. Das Signal ist eindeutig: Ändert das und handelt!
Sie sind aktiv im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“, die das Bundesministerium für Wirtschaft und Technologie (BMWi) ins Leben gerufen hat. Gehen deutsche Unternehmen zu fahrlässig mit Datenschutz um?
Andreas Pohl: Grundsätzlich hat sich das Bewusstsein für Datenschutz in den vergangenen Jahren verbessert. Allerdings erkennen viele noch nicht, dass Datenschutz ein permanenter Prozess ist, der täglich im Unternehmen gelebt, überprüft und weiter entwickelt werden muss. In dem vorliegenden Fall hat das BayLDA deutlich unterstrichen, dass es sich um einen Datenschutzverstoß handelt. Hier sind personenbezogene E-Mail-Adressen in ganz erheblichem Umfange weitergegeben worden. Das BayLDA wertet das nicht mehr als datenschutzrechtliche Unzulässigkeit, die bisher folgenlos geblieben ist und mit einer Ermahnung geduldet wurde. Im Klartext heißt das: Datenschutzvergehen sind kein Kavaliersdelikt! Und es zeigt eben, dass das Bewusstsein für Datenschutz noch immer nicht vollständig in den Köpfen angekommen ist.
Ein anderes gutes Beispiel, das mir in der Praxis immer häufiger begegnet, ist die Nutzung privater Smartphones, auf denen Kundendaten gespeichert werden. Kaum einer macht sich Gedanken darüber, dass in diesem Fall Kundendaten weitergegeben werden, ohne dass die Betroffenen ihre Einwilligung dazu gegeben haben.
Was bedeutet diese Entscheidung für den Unternehmer?
Andreas Pohl: Diese Entscheidung ist zu seinem Besten! Unternehmer müssen sich bewusst werden, dass sie bei einem schuldhaften Verstoß in die Haftung genommen werden, wenn sie Ihre Mitarbeiter nicht nachweislich geschult und unterwiesen haben. Abgesehen vom reinen Bußgeldbescheid entsteht bei einem solchen Datenschutzverstoß auch immer ein riesiger Imageschaden für das betreffende Unternehmen. So etwas muss nicht sein, das kann man vermeiden.
Welche Vorkehrungen können Unternehmer treffen, um den Schutz personenbezogener Daten wirksam zu gewährleisten?
Andreas Pohl: Eine datenschutzrechtliche Schulung für Mitarbeiter, die etwa zwei Stunden dauert, sollte in jedem Unternehmen zur Regel gehören. Ebenso sollte ein Unternehmen seine technischen und organisatorischen Maßnahmen im Bereich IT-Sicherheit und Datenschutz überprüfen, im besten Falle sogar auditieren lassen. Solche Audits werden immer stärker nachgefragt. Dies ist auch immer ein Bestandteil eines ganzheitlichen Risikomanagements.