Datenschutzaudit: Spagat zwischen Mehrbelastung und Wettbewerbsvorteil
Mit einer Veröffentlichungspflicht von Datenpannen und einem Datenschutzaudit will die Politik den Schutz sensibler Daten verbessern. Unter Praktikern ist jedoch umstritten, ob ein Audit tatsächlich mehr Nutzen bringt als Kosten verursacht. Vor allem innovative Firmen wie Google oder komplexe Gebilde wie Lufthansa sehen Probleme. Andere betonen jedoch: "Für uns bringt das Datenschutzaudit einen gewissen Vertrauensvorschuss, mit dem wir auch positives Feedback bei Kunden generieren können."
Viele Unternehmen sind verunsichert beim Thema Datenschutz, verdeutlicht ein vom
Internet-Verband Eco veranstalteter Fachkongress zum betrieblichen Spannungsfeld zwischen dem
Schutz von Grundrechten und einem möglichst transparenten und offenen Wettbewerb. Der zunehmende
Aktionismus auf Seiten der Politik bringe insbesondere die Unternehmen der
Telekommunikationsbranche in eine missliche Lage, so der Verband.
Einerseits seien diese Unternehmen durch Gesetze gezwungen, den Grundsatz der Datensparsamkeit
zugunsten einer Vorratsdatenspeicherung für Strafverfolgungszwecke aufzugeben. Dabei müssten diese
sogar für die unfreiwillig geschaffenen Risiken gerade stehen – misstrauisch beäugt von
Verbrauchern und staatlichen Stellen.
Andererseits nähmen auch die Begehrlichkeiten von Dritten zu, was die gespeicherten Daten
angehe. Im Klartext: Firmen wollen diese Daten auch weiterhin für die privatrechtliche Verfolgung
von Urheberrechtsverletzungen nutzen – trotz der Einschränkungen, die das Bundesverfassungsgericht
vorläufig bei der Nutzung der Vorratsdaten auferlegt hat.
Doch nicht nur Provider sind betroffen: "Wer kontrolliert eigentlich Kontrolleure bei einem
Audit, wenn diese tief in die betrieblichen Strukturen eingreifen", kritisiert Professor Thomas
Hören von der Universität Münster und Richter am Oberlandesgericht (OLG) Düsseldorf. Der "wilde
Zugriff" auf die internen betrieblichen Datenlandschaften seitens der Wirtschaftsprüfer sei
jedenfalls kein guter Lösungsansatz.
Viele Firmen müssten aber auch vor der eigenen Tür kehren. So rechnet Hören das Data Mining in
großem Stile, das jedwedem Missbrauch Tür und Tor öffne, ebenfalls zur Liste der groben Verstöße
gegen den betrieblichen Datenschutz. Auch kritisiert der Experte das Scoring, etwa für Kreditzwecke
– und plädierte stattdessen für Verbraucherbeiräte, etwa bei einer Schufa-Überprüfung der
individuellen Kreditwürdigkeit. Und nicht zuletzt das Auslagern einzelner betrieblicher
Kernfunktionen wie der Buchhaltung berge ein erhebliches Zusatzrisiko, da der Datenschutz meist auf
einem rechtlich ungeklärten Terrain erfolge, so Hören.
"Der gröbste Fehler aber ist, den Datenschutz nur formal zur Chefsache zu erklären und dies im
Alltag nicht zu leben", sagt Barbara Kirchberg-Lennartz, Konzerndatenschutzbeauftragte der
Lufthansa AG. Datenschutz sei aber auch in ihrem Unternehmen als wettbewerbskritischer Faktor
erkannt – und zukünftig von großer Bedeutung, denn Verstöße gingen zu Lasten der eigenen
Ertragsperspektive.
"Das nachträgliche Ausbessern ist zudem deutlich teurer als ein integriertes, unabhängiges und
nicht weisungsgebundenes System", so Kirchberg-Lennartz weiter. Damit gemeint ist auch, dass der
Datenschutzbeauftragte fortan direkt an die Geschäftsleitung berichten solle, um dadurch mehr
Rückendeckung seitens der Geschäftsleitung sicher zu stellen.
Von der diskutierten Veröffentlichungspflicht bei Datenpannen hält der Internetverband Eco
jedefalls nichts. Er kritisiert daher die politischen Bestrebungen, den Unternehmen mit drastischen
Sanktionen wie einer teuren Informationspflicht zu Leibe zu rücken. So sehe der Entwurf des neuen
Bundesdatenschutzgesetzes genau dieses öffentliche an den "Pranger stellen" vor, wenn Unternehmen
ein Datenleck erlitten hätten. Für öffentliche Stellen, die heikle Daten sammeln, gebe es jedoch
keine entsprechenden Informationspflichten, beklagt Eco.
Der Verband fordert nun, dass Unternehmen lediglich die Aufsichtsbehörde informieren sollen, so
wie dies auch auf europäischer Ebene bei der Überarbeitung des europäischen Rechtsrahmens für
elektronische Kommunikationsnetze und –dienste vorgesehen (TK-Review) vorgesehen sei. Eindeutige
Sanktionen für Unternehmen solle es zudem nur für grob fahrlässiges oder vorsätzliches
Fehlverhalten der Unternehmen geben.
"Dazu bedarf es einer selektiven Weiterbildung der Führungskräfte beim Datenschutz, um das
Bewusstsein dafür zu schaffen, dass die ersten Schritte bereits beim Einkauf beginnen, etwa bei der
Auswahl der Lieferanten", regt Kirchberg-Lennartz von der Lufthansa AG an.
Auch externe Partner gelte es konkret auf den Datenschutz hin zu verpflichten, gerade mit Blick
auf die sensiblen Kundendaten. "Datenschutz ist definitiv eine Führungsaufgabe", fordert die
Expertin. Dem pflichtet Thilo Weichert nur allzu gerne bei. Der oberste Datenschützer beim Land
Schleswig-Holstein spricht sich seit längerem für eine sorgfältige Zertifizierung der Unternehmen
durch ein Datenschutzaudit aus.
Ein hohes Datenschutzniveau generiere im Sinne einer stimmigen Corporate Identity sogar eine
höhere Kundenbindung, so Weichert weiter. "Das Audit darf jedoch kein Gefälligkeitsgutachten sein,
da es kein Produkt darstellt, das von Anfang an datenschutzkonform ist."
Ob gerade kleinere Unternehmen dafür Kosten in Höhe von mehreren Tausend Euro investieren
wollen, bleibt weiter offen. Das Datenschutzaudit eigne sich generell nur für jene Unternehmen, die
keinen allzu kurzen Innovationszyklus hätten, kritisiert Arnd Haller, Leiter Recht bei Google
Deutschland.. Andernfalls rollten durch ein ständig erneuertes Auditverfahren weitere Zusatzkosten
auf die Betriebe zu.
Auch andere Vertreter aus der Praxis winken bereits ab. So könne die Lufthansa etwa das
Verfahren nicht flächendeckend implementieren, betont Konzerndatenschutzbeauftragte
Kirchberg-Lennartz. "Ein derart großes und komplexes Unternehmen ist als Versuchskaninchen für das
Datenschutzaudit ungeeignet", begründet die Expertin die Absage an das auf breiter Front
implementiertes Prozedere. Allenfalls an einigen losen Stellen in den Geschäftsprozessen sei bei
der Fluggesellschaft eine Einführung überhaupt denkbar.
Deutlich positiver stellt dies mit Blick auf die eigene Unternehmensphilosophie Stephan Noller
dar, Vorstand der Nugg.ad AG. Das Unternehmen hat sich auf das webbasierte User-Targeting für
Werbezwecke spezialisiert. Glaubwürdigkeit und Transparenz bei den Usern sei die Währung, von der
das Unternehmen lebt. "Für uns bringt das Datenschutzaudit einen gewissen Vertrauensvorschuss, mit
dem wir auch positives Feedback bei Kunden generieren können."
Für fachlich nicht ausreichend durchdacht hält der Experte Weichert jedoch die derzeit auch im
Bundestag in der Diskussion befindlichen Gesetzesvorlagen. In der auch parteipolitisch gefärbten
Diskussion kritisiert der Datenschützer insbesondere das Bundesinnenministerium, das als
federführende Stelle nicht die erforderlichen Kompetenzen für ein Verfahren aufweise, an dem die
Betriebe sich verlässlich orientieren könnten.
Lothar Lochmaier/CZ
