Bezahlbarer Datenschutz-TÜV
Bezahlbarer Datenschutz-TÜV Eine Verletzung der Datenschutzbestimmungen wird empfindlich geahndet. Von den entsprechenden Gesetzen sind nicht nur Großkonzerne, sondern vor allem auch Mittelständler betroffen. Jetzt gibt es einen Datenschutz-TÜV, der auch für kleinere Firmen bezahlbar ist.
Der Umgang mit Kundendaten ist für jedes Unternehmen, ob klein, mittel oder groß, ein heikles Thema. Welche Daten dürfen erfasst, wie lange dürfen diese Daten gespeichert und wie müssen sie vor Unbefugten geschützt werden? Wie werden die Kundenrechte auf Auskunft und Löschung der persönlichen Daten gewährleistet? Wie ist mit den Informationen zu verfahren, die zum Beispiel bei den Videoüberwachungen eines Juweliers oder einer Tankstelle gespeichert werden? Ähnliche Fragen betreffen auch Geschäftsbeziehungen, in denen Dienstleister mit der Sammlung oder Weiterverarbeitung von Daten beauftragt werden, zum Beispiel für die Finanzbuchhaltung oder für Umfragen oder Marktanalysen.
Kriterienkatalog als Prüfungsgrundlage Für die Klärung dieser und weiterer Fragen haben die zum TÜV Süd gehörende TÜV Management Service und die intersoft consulting services (ics) gemeinsam einen Datenschutz-Prüfkatalog entwickelt. Die entsprechenden Prüfmaßnahmen dauern vor Ort rund drei Tage und kosten einschließlich aller zusätzlichen Auswertungen von Dokumenten unter 4000 Euro. »Als Prüfungsgrundlage haben wir einen Kriterienkatalog mit den wesentlichen datenschutzrechtlichen Pflichten entwickelt. Beispiele sind korrekte Dokumentationen, die schriftliche Bestellung eines Datenschutzbeauftragten oder auch Hinweise auf eine Videoüberwachung«, erläutert ics-Berater Hans-Ulrich Bierhahn. Die Risiken der Verletzung von Datenschutzbestimmungen sind, abgesehen vom materiellen Schaden und der Rufschädigung, die durch in falsche Hände geratene Adressdaten entstehen können, auch auf rechtlicher Seite nicht zu vernachlässigen: Es drohen Sanktionen in Form von Ordnungsgeldern bis zu 250000 Euro oder sogar Freiheitsstrafen von bis zu zwei Jahren. Die Handwerkskammer in Halle an der Saale machte in der zweiten Jahreshälfte 2006 den Datenschutz-TÜV. »Als Dienstleistungsunternehmen haben wir bereits 2005 ein Qualitätshandbuch entwickelt und auch die Zertifizierung nach DIN EN ISO 9001:2000 durchlaufen. In Sachen Datenschutz hatte der Landesdatenschutzbeauftragte unter anderem unseren Web-Auftritt geprüft. Daher lag es nahe, nun den Datenschutz-Status unseres gesamten Unternehmens einer Prüfung zu unterziehen, um nach außen Kunden und Geschäftspartnern zu zeigen, dass alle Geschäftsprozesse den Anforderungen entsprechen«, erklärt Carola Müller, bei der Handwerkskammer als Juristin und Datenschutzbeauftragte tätig.
Prüfung der Dokumentationen Basis für die Prüfung sind zunächst die vorhandenen Dokumentationen, die dem TÜV-Prüfer Auskunft über den firmeninternen Umgang mit personenbezogenen Daten geben. »Diese Unterlagen erhalten wir vorab und wir machen uns ein erstes Bild«, sagt Hans-Ulrich Bierhahn. Im Einzelnen werde überprüft, ob die notwendigen Dokumentationen hinsichtlich der IT und ihrer Organisation vollständig vorhanden und ob sie inhaltlich aussagekräftig sind. Dazu gehört insbesondere das »Öffentliche Verfahrensverzeichnis«, das jedermann – also etwa auch ein Mitglied der Handwerkskammer – einsehen darf, um zu überprüfen, ob mit seinen Daten ordnungsgemäß umgegangen wird. Das Verzeichnis enthält unter anderem Informationen darüber, wer mit der Leitung der Datenverarbeitung beauftragt ist, wer welche personenbezogenen Daten verarbeitet, wem sie mitgeteilt und wann sie gelöscht werden. Ebenso wichtig ist die »Interne Verfahrensübersicht«, in der die Informationen des öffentlichen Verzeichnisses konkretisiert sind. Die interne Verfahrensübersicht enthält beispielsweise Details zur Rechenzentrumsabsicherung und zur Videoüberwachung. Weitere wichtige Dokumente sind die Protokolle über Meldungen an die Datenschutz-Aufsichtsbehörden oder auch die Verpflichtungserklärungen der Mitarbeiter zur Einhaltung des Datengeheimnisses.
Vor-Ort-Prüfungen durch Interviews Im Detail wird auch überprüft, ob einzelne Datenschutzgrundsätze eingehalten werden, zum Beispiel die weitestgehende Anonymisierung von Daten. So führt die Handwerkskammer Statistiken über die Anzahl, Erfolge und Übernahmen von Auszubildenden, die aber auf der Grundlage anonymisierter Daten zu erstellen sind. Ein weiterer Prüfpunkt betrifft den Datenschutzbeauftragten. Es wird abgefragt, ob er oder sie für die Aufgabe entsprechend ausgerüstet, ausreichend geschult und offiziell bestellt sind. Anschließend werden in Interviews mit dem Datenschutzbeauftragten und den Ansprechpartnern aus den Fachabteilungen offene Fragen geklärt, die sich aus den Dokumentationen ergeben. Bei der Handwerkskammer Halle betrafen solche offenen Fragen beispielsweise den Umgang der Mitarbeiter mit Personaldaten und die Protokollierung von Tätigkeiten der Mitarbeiter am PC. Der dritte Schritt in der Datenschutz-Überprüfung betrifft die Umsetzung der Datenschutzmaßnahmen vor Ort. »Dabei überprüfen wir zum Beispiel die Räume auf ihre Zutrittssicherheit, den Passwortschutz der Datenverarbeitungssysteme und die Organisation der Aktenvernichtung durch externe Dienstleister auf ihre Wirksamkeit«, erklärt Hans-Ulrich Bierhahn. Bei der Handwerkskammer Halle stell-te sich beispielsweise heraus, dass die Technik zwar keine schwerwiegenden Sicherheitsmängel aufwies, speziell an den Universalgeräten zum Drucken, Faxen und Kopieren aber noch Einstellungen geändert werden mussten. Woanders finden die Prüfer des Öfteren aber auch größere Mängel. Besonders häufig treten solche Mängel in der Systemverwaltung auf. Hier muss genau nachvollziehbar sein, wer was administriert, welche Bereiche eventuell an einen externen Dienstleister vergeben sind. Auch ein externer Dienstleister muss natürlich alle Datenschutzanforderungen erfüllen. Auch bei den heute so häufigen mobilen Arbeitsplätzen mit Rechnerwinzlingen à la Blackberry liegt manches im Argen. Da solch ein kleines Gerät leicht abhanden kommen kann, müssen zum Beispiel die Festplatten ebenso verschlüsselt werden wie der E-Mail-Verkehr, wenn sich auf diesen Rechnern personenbezogene Daten befinden. Und ein ganz heißes Eisen ist die Datenweitergabe an andere Firmen, die manches Unternehmen nicht so genau nimmt.
Vertrauensgewinn nach innen und aussen Der Abschlussbericht der Datenschutz-Kurzprüfung listet für alle Kriterien auf, ob und wie sie erfüllt werden. Bei der Handwerkskammer Halle umfasste der Schlussbericht rund 50 Seiten mit insgesamt 217 Kriterien. Je nach Unternehmen, dessen Geschäftszweck und der IT-Komplexität ergeben sich im Schnitt zwischen 200 und 300 Kriterien. Eine Prioritätenliste von 1 bis 4 gibt pro Kriterium vor, wie dringend etwaige Mängel zu beseitigen sind. Im ungünstigsten Fall kommen die Prüfer zu dem Ergebnis, dass die Firma noch nicht datenschutzkonform arbeitet und spricht Empfehlungen für das weitere Vorgehen aus. Insofern ist die Datenschutz-Prüfung zuerst einmal ein Leitfaden, um einen vorschriftsmäßigen Zustand in Sachen Datenschutz dort zu erreichen, wo noch Verbesserungsbedarf besteht. Auch für zukünftige, neue datenschutzrelevante Aufgaben kann sich das Unternehmen daran orientieren. Die Empfehlungen eines unabhängigen Dritten sind auch den Mitarbeitern gegenüber eine glaubhafte Argumentationsgrundlage, wenn es darum geht, bestehende Prozesse den Anforderungen anzupassen. Bei der Handwerkskammer Halle ist das Datenschutz-Audit Teil der Zertifizierung im Rahmen des Qualitätsmanagementsystems. »Damit zeigen wir nach außen auch Transparenz. Diese vertrauensbildende Maßnahme ist für uns sehr wichtig, weil wir eine große Menge personenbezogener Daten verwalten und auch verarbeiten«, erklärt Carola Müller.
Doris Jessen ist freie Journalistin in Hamburg.
