Interview: Im Datenschutz gibt es viel Nachholbedarf

Datenmissbrauch macht Schlagzeilen – und die Bürger fordern mehr Schutz für ihre persönlichen Daten. Nach dem Bundesdatenschutzgesetz (BDSG) ist die Unternehmensleitung dafür verantwortlich, sicher zu stellen, dass verwendete Daten nicht in falsche Hände gelangen. Was das konkret bedeutet, erläutert Datenschutz-Experte Ralf Bergmeir.

Für den Datenschutz soll die Unternehmensleitung verantwortlich sein. Welche Schlüsse ziehen Sie aus den jüngsten Fällen von Datenmissbrauch?
Richtig, laut BDSG ist die Unternehmensleitung persönlich für die Einhaltung des Datenschutzes verantwortlich. Durch die Ereignisse der jüngsten Vergangenheit werden die Bürger sensibler und fordern den Schutz ihrer Daten. Ich empfehle allen Führungskräften den Datenschutz ernst zu nehmen - und auch umzusetzen. Dabei sollte vermieden werden, dieser Aufgabe ‚in letzter Sekunde’ nachzukommen, denn dann ist es für alle Beteiligten anstrengend oder nicht mehr möglich, eine solche Aufgabe zu stemmen.

Bei diesen und anderen Vorfällen wird immer nach schärferen Vorschriften gerufen. Andererseits haben viele Aufsichtsbehörden nicht genug Personal, um die Einhaltung der Vorschriften zu überprüfen. Was raten Sie hier?
Aus meiner Praxis kenne ich Fälle, in denen die Aufsichtsbehörden heute noch nicht einmal die vorgesehenen Geldbußen nutzen. Die Aufsichtsbehörden sollten von den Unternehmen deren Verfahrensverzeichnisse verlangen – also prüfen, ob diese ihre Aufgabe richtig angehen – und dann stichprobenartig die Firmen überprüfen. Dazu braucht es mehr Personal. Vor allen Dingen aber sollte dieses Vorgehen durch die Medien bekannt gemacht werden.

Denken Sie also, dass die Einhaltung der bestehenden Vorschriften direkt mit einer wirksamen Überwachung korreliert?
Ja, das wurde mir schon mehrfach von Geschäftsführern bestätigt. Wir kümmern uns um den Datenschutz erst dann, wenn wir müssen.

Halten Sie die geltenden Vorschriften unter der Voraussetzung einer wirksamen Überwachung für ausreichend?
Grundsätzlich ja, wenn sie auch umgesetzt werden.

Wie sieht der Datenschutz Ihrer Erfahrung nach in den Unternehmen aus?
Es besteht ein großer Nachholbedarf: Leider gibt es immer noch sehr viele Unternehmen, die sich noch gar nicht mit dem Thema beschäftigt haben – und so auch keinen Datenschutzbeauftragten bestellt haben. Andere wiederum haben ihn bestellt, aber nicht ausbilden lassen, das heißt der DSB wurde nur formell bestellt – das genügt aber nicht, um den vorgeschriebenen Datenschutz zu erfüllen.

Ein Unternehmen, das die geltenden Bestimmungen einhalten will, sollte im Vorfeld einiges beachten, etwa bei der Auswahl des bzw. der Datenschutzbeauftragten oder der Schulung. Was empfehlen Sie hier?
Da fällt mir speziell § 4f BDSG ein: „Fachkunde und Zuverlässigkeit.“
Bei der Fachkunde müssen die technischen wie auch die rechtlichen Aspekte mit der organisatorischen Fähigkeit in Einklang sein. Zur Zuverlässigkeit gilt folgendes: Der DSB darf bei der Ausübung seiner Tätigkeit nicht in Interessenskonflikte mit andern Aufgaben kommen. Dies gilt für den betrieblichen wie den externen Datenschutzbeauftragten - sonst wird die Zuverlässigkeit in Frage gestellt.

Wie wird sich der Datenschutz ihrer Meinung nach entwickeln? Und: Wie sollten sich Unternehmen darauf vorzubreiten?
Durch die Medien wird Datenmissbrauch immer öfter aufgedeckt. Die Bevölkerung ist dafür empfänglich und daher wird der Datenschutz immer wichtiger. Die Unternehmen werden gefordert sein für den Schutz der Daten zu sorgen. Dabei müssen oft sehr kurzlebige technische und rechtliche Rahmenbedingungen in ein verlässliches Datenschutzkonzept umgesetzt werden. Wegen der oft raschen Veränderungen eine regelmäßige Aus- und Weiterbildung des Datenschutzbeauftragten notwendig. Der Gesetzgeber sagt nicht, wie dies geschehen soll. Ich empfehle daher eine regelmäßige externe Weiterbildung bei bekannten renommierten Bildungsträgern, wie zum Beispiel der TÜV SÜD Akademie.