Unglaublich leichtsinnig: Wenn der elektronische Datenschutz unterschätzt wird

28.12.16  11:00 | Artikel: 970103 | News-Artikel (e)

Unglaublich leichtsinnig: Wenn der elektronische Datenschutz unterschätzt wird Bei dem Begriff Compliance denken die meisten Menschen an Korruptionsaffären, unlautere Geschäfte und Verwicklungen von Politik und Wirtschaft, die hierzulande eigentlich verpönt sind. Und sie sind nicht nur verpönt, sie sind sogar gesetzlich verboten:

Der englische Begriff Compliance beschreibt integres Verhalten, also ein Verhalten, das sich sowohl an nationale und internationale gesetzliche Bestimmungen hält, als auch an interne Richtlinien und freiwillige Selbstverpflichtungen. Beispielsweise Bestimmungen, Richtlinien und Selbstverpflichtungen in Sachen Datenschutz.


Eine Modeerscheinung? Eher nicht.

Compliance ist ein Schlagwort, das in letzter Zeit immer wieder durch die Literatur und die Medien geisterte. Eine Eintagsfliege ist es dennoch nicht. Denn Verstöße gegen die Compliance verärgern Geschäftspartner, können das Image dauerhaft beschädigen und ziehen oft genug Schadenersatzklagen nach sich. Ein Grund mehr, unternehmensintern über den eigenen Ansatz nachzudenken. Denn im Vergleich zu anderen westeuropäischen Ländern schneidet Deutschland recht schlecht ab: In den vergangenen zwei Jahren wurden bei 26 Unternehmen in Deutschland Betrugsfälle bekannt (Russland: 16; China: 8), und etwa 20 % der Manager in Deutschland gibt an, dass sie bereits Verträge vor- oder zurückdatieren mussten, um dadurch Vorteile zu erzielen. Korruption, das Gegenteil von Compliance, ist also auch hierzulande ein Thema.

Ebenfalls (k)ein Thema: Datenschutz

Eigentlich sollte es selbstverständlich sein, dass sensible Daten auch wie solche behandelt werden. In Unternehmen fallen häufig große Datenmengen an: Die Mitarbeiter und Geschäftspartner kommen mit Produkt- und Kundendaten zusammen. Die gesetzlichen Datenschutzbestimmungen in Deutschland sehen vor, dass jeder Mensch das Recht hat, selbst zu bestimmen, was in welchem Umfang und von wem mit den eigenen Daten angestellt werden soll oder darf.

Für Unternehmen bedeutet das konkret: Die Daten insbesondere von Kunden und Kundinnen dürfen nicht weiterverarbeitet werden. Sie dienen dem einen geschäftlichen Vorgang, im Rahmen dessen sie erhoben wurden, und mehr nicht. Im Rahmen des Wettbewerbs gilt diese Regelung für alle Unternehmen, damit niemand benachteiligt wird. Maßgeblich sind die Regelungen des Bundesdatenschutzgesetzes, daneben gibt es noch Landesdatenschutzgesetze. Letztere sind aber nicht auf Unternehmen anwendbar, sondern nur in öffentlich-rechtlichen Einrichtungen.

Weitere Bestimmungen zum Datenschutz gibt es in bereichsspezifischen Sondergesetzen, die die Anforderungen der jeweiligen Bereiche besser umsetzen und unter Umständen dem Bundesdatenschutzgesetz vorgehen. Zu diesen Vorschriften kommen die Schweigepflichten der verschiedenen Berufsgruppen, insbesondere Ärzte und Anwälte sowie Banken und Priester.

Alle diese Regelungen betreffen personenbezogene Daten, also Daten wie Name, Geburtstag und Anschrift. Betriebsbezogene Daten sind in anderen Vorschriften geregelt, beispielsweise den Bestimmungen zu Betriebsgeheimnissen. Hier geht es aber um die Personendaten. Dazu zählen auch Aufnahmen von Überwachungskameras und dergleichen. Generell gilt als Faustregel: Es dürfen nur die Daten erhoben werden, die für den aktuellen geschäftlichen Vorgang wirklich erforderlich sind.

Alle anderen Daten würden eine förmliche datenschutzrechtliche Einwilligung voraussetzen. Warum nun sollte der Datenschutz in Unternehmen erst genommen werden, abgesehen von den gesetzlichen Vorschriften? Ganz einfach: Datenschutz ist bares Geld. Denn Kunden und Kundinnen treffen Kaufentscheidungen immer häufiger mit Blick auf den Datenschutz. Der von Haufe herausgegebenes TaschenGuide mit dem Titel „Compliance“ bietet zahlreiche Informationen über die wichtigsten Rechtsvorschriften.

So kann Datenschutz effektiv umgesetzt werden:

  • Räume mit Datenverarbeitungsanlagen dürfen nur von Befugten betreten werden.

  • Die Anlagen dürfen nur von befugten Personen genutzt werden.

  • Personen sind nur befugt, den für sie relevanten Teil der Daten einzusehen und zu bearbeiten.

  • Daten dürfen nicht manipuliert, weitergereicht oder einfach gelöscht werden. Jeder Vorgang muss dokumentiert werden und nachvollziehbar sein (wer was wann wie und warum bearbeitet hat).

  • Daten von Dritten dürfen nur im Rahmen der vom Auftraggeber gegebenen Anweisungen behandelt werden.

  • Daten unterschiedlicher Bestimmung sollten grundsätzlich getrennt voneinander behandelt werden.

Mit diesen einfachen Maßnahmen wird der Umgang mit Daten sicher. Die Maßnahmen sollten offen kommuniziert werden, nicht nur intern, sondern auch gegenüber Geschäftspartnern und Kunden und Kundinnen. Denn die Handhabung von Daten setzt immer Vertrauen voraus.




(Quelle: TA)


Themenbereiche:

Datenschutz | Politik

Schlagworte:

Datenschutz (207) | Compliance (2) | Bestimmungen (2) | Richtlinien (4) | Selbstverpflichtungen | TaschenGuide