Personenbezogene Daten sind zu schützen. Das schreibt der Gesetzgeber vor. Kunden erwarten von Unternehmen, dass diese über ein gutes Datenschutzmanagement verfügen. Allerdings wird dieser Aspekt oft vernachlässigt. Über ein Drittel der Betriebe hat kein systematisches Vorgehen beim Umgang mit Datenschutzverletzungen. Außerdem werden die Mitarbeiter häufig nicht ausreichend mit verständlichen Informationen zum Datenschutz versorgt. Dies sind Ergebnisse der Datenschutzstudie 2012 von TÜV SÜD und der Ludwig-Maximilians-Universität (LMU) München, die unter der Schirmherrschaft des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) durchgeführt wurde und für die in erster Linie mittelständische Unternehmen befragt wurden.
Werden in Unternehmen neue Prozesse zur Datenverarbeitung eingeführt oder bestehende verändert, müssen sie auf Datenschutzbelange hin überprüft werden. Häufig wird dies jedoch nicht gemacht, was eine der Hauptursachen für die große Zahl an Datenschutzlücken ist. "Wir haben festgestellt, dass die erforderlichen Prüfschritte in vielen Projekten gar nicht vorgesehen sind", erklärt Rainer Seidlitz, Leiter IT- Security bei der TÜV SÜD Management Service GmbH. "Der Grund dafür ist, dass ihre Erfordernis nicht erkannt wird. Die Durchführung wirksamer Prüfungen ist aber eine Voraussetzung für ein funktionierendes Datenschutzmanagement." Außerdem werden Richtlinien für Verfahren und Prozesse mit Datenschutzrelevanz oft nicht schriftlich festgehalten, wodurch die notwendige Eindeutigkeit fehlt und sie nicht immer durchgesetzt werden.
Im Ernstfall unvorbereitet
Ein erschreckendes wenngleich nicht unerwartetes Ergebnis ist, dass sich rund die Hälfte der befragten Unternehmen kaum oder gar nicht damit auseinandersetzt, wie bei einer Datenschutzverletzung oder einer Datenpanne vorzugehen ist. Dabei stehen hier der Ruf des Unternehmens und das Vertrauen der Kunden auf dem Spiel. Auch die Aufklärung der Mitarbeiter bezüglich des Datenschutzes wird oft noch auf die leichte Schulter genommen. Ein Großteil der Mitarbeiter wird auf das Datenschutzgeheimnis verpflichtet, nachhaltig verständliche Informationen werden aber in nur etwa der Hälfte der Betriebe zur Verfügung gestellt. Damit sind die gesetzlichen Regelungen zwar eingehalten, der Stellenwert des Datenschutzes wird den Mitarbeitern aber nicht vermittelt.
Für ein umfassendes und funktionierendes Datenschutzmanagement sollten Mitarbeiter, die mit personenbezogenen Daten arbeiten, regelmäßig an Schulungen teilnehmen, um immer auf dem aktuellen Wissensstand zu sein. Solche Weiterbildungen werden beispielsweise von externen Dienstleistern wie TÜV SÜD angeboten. Bei der TÜV SÜD Management Service GmbH können Unternehmen außerdem einen Datenschutz-Kurzcheck durchführen lassen. Dabei werden die bereits getroffenen Maßnahmen erfasst und auf ihre Wirksamkeit geprüft. Auf Basis dieser Ergebnisse empfehlen die Experten von TÜV SÜD weitere notwendige Maßnahmen oder solche, die der Optimierung und Leistungssteigerung des Datenschutzes dienen.
Werden in Unternehmen neue Prozesse zur Datenverarbeitung eingeführt oder bestehende verändert, müssen sie auf Datenschutzbelange hin überprüft werden. Häufig wird dies jedoch nicht gemacht, was eine der Hauptursachen für die große Zahl an Datenschutzlücken ist. "Wir haben festgestellt, dass die erforderlichen Prüfschritte in vielen Projekten gar nicht vorgesehen sind", erklärt Rainer Seidlitz, Leiter IT- Security bei der TÜV SÜD Management Service GmbH. "Der Grund dafür ist, dass ihre Erfordernis nicht erkannt wird. Die Durchführung wirksamer Prüfungen ist aber eine Voraussetzung für ein funktionierendes Datenschutzmanagement." Außerdem werden Richtlinien für Verfahren und Prozesse mit Datenschutzrelevanz oft nicht schriftlich festgehalten, wodurch die notwendige Eindeutigkeit fehlt und sie nicht immer durchgesetzt werden.
Im Ernstfall unvorbereitet
Ein erschreckendes wenngleich nicht unerwartetes Ergebnis ist, dass sich rund die Hälfte der befragten Unternehmen kaum oder gar nicht damit auseinandersetzt, wie bei einer Datenschutzverletzung oder einer Datenpanne vorzugehen ist. Dabei stehen hier der Ruf des Unternehmens und das Vertrauen der Kunden auf dem Spiel. Auch die Aufklärung der Mitarbeiter bezüglich des Datenschutzes wird oft noch auf die leichte Schulter genommen. Ein Großteil der Mitarbeiter wird auf das Datenschutzgeheimnis verpflichtet, nachhaltig verständliche Informationen werden aber in nur etwa der Hälfte der Betriebe zur Verfügung gestellt. Damit sind die gesetzlichen Regelungen zwar eingehalten, der Stellenwert des Datenschutzes wird den Mitarbeitern aber nicht vermittelt.
Für ein umfassendes und funktionierendes Datenschutzmanagement sollten Mitarbeiter, die mit personenbezogenen Daten arbeiten, regelmäßig an Schulungen teilnehmen, um immer auf dem aktuellen Wissensstand zu sein. Solche Weiterbildungen werden beispielsweise von externen Dienstleistern wie TÜV SÜD angeboten. Bei der TÜV SÜD Management Service GmbH können Unternehmen außerdem einen Datenschutz-Kurzcheck durchführen lassen. Dabei werden die bereits getroffenen Maßnahmen erfasst und auf ihre Wirksamkeit geprüft. Auf Basis dieser Ergebnisse empfehlen die Experten von TÜV SÜD weitere notwendige Maßnahmen oder solche, die der Optimierung und Leistungssteigerung des Datenschutzes dienen.
