Fallstudie – Bewusster Verzicht auf den Datenschutzbeauftragten BDSG wird trotz Novellierung ignoriert

Autor / Redakteur: Julia Rummel / Stephan Augsten

Trotz der Novellierung im Jahr 2009 blieb das deutsche Datenschutzgesetz ein bürokratisches Werk, dessen Umsetzung nicht konsequent verfolgt wird. Ohne Zweifel wird der Staat Konsequenzen aus den jüngsten Sicherheitsvorfällen ziehen. Meist sind es aber die Kunden schlecht geschützter Unternehmen, die eine Umsetzung des Gesetzes fordern.

Firma zum Thema

Ein Datenschutz-Tool muss nicht kompliziertz sein. Die Software von ER-Secure stellt nur wenige Fragen, die meisten lassen sich per Multiple-Choice beantworten.
Ein Datenschutz-Tool muss nicht kompliziertz sein. Die Software von ER-Secure stellt nur wenige Fragen, die meisten lassen sich per Multiple-Choice beantworten.
(Bild: ER-Secure e. K.)

Die große Mehrheit der deutschen Firmen kümmert sich entweder gar nicht oder unzureichend um den vom Gesetzgeber geforderten Schutz personenbezogener Daten. Kunden wechseln deshalb immer häufiger zu den Konkurrenten, die den Datenschutz ernstnehmen und gesetzeskonform umsetzen.

Trotzdem schrecken die Kosten und die zusätzliche Bürokratie derzeit noch viele Unternehmen ab, dem Bundesdatenschutzgesetz (BDSG) zu entsprechen. Ähnlich ging es Easyfeedback. Der Dienstleister entwickelt und vertreibt eine Umfrage-Managementsoftware, mit der Kunden eigenständig Umfragen zu verschiedenen Themen und Anlässen durchführen können.

Bildergalerie

„Man hört immer wieder, wie aufwändig und teuer es ist, den Datenschutz gesetzeskonform umzusetzen“, konstatiert Dennis Wegner von Easyfeedback. „Es müssen Handbücher erstellt werden, eine Person kommt ins Unternehmen und stellt alles auf den Kopf. Das hat uns ziemlich abgeschreckt und den eigentlich obligatorischen Datenschutz in ein schlechtes Licht gerückt.“

Ohne den Datenschutzbeauftragten kein Auftrag

Viele große Unternehmen – insbesondere aus dem Finanzsektor – arbeiten aber nur mit Unternehmen zusammen, die einen Vertrag zur Auftragsdatenverarbeitung eingehen. Immer häufiger wird dann nach den Kontaktdaten des Datenschutzbeauftragten gefragt. „Gerade heute darf eine Cloud-Software, die zum Erheben von Daten konzipiert wurde, nicht weniger als absolut sicher sein“, weiß Wegner.

Weil er keinen Mitarbeiter von dessen Kernaufgaben abziehen wollte, suchte er zunächst nach einem externen Datenschutzbeauftragten. Dieser hätte die gleichen Anforderungen erfüllt wie ein interner, aber bis zu 15.000 Euro pro Jahr gekostet. Bei seinen Recherchen ist Wegner dann auf ER-Secure gestoßen.

„Nahezu täglich kommen sowohl Bestands- als auch Neukunden zu mir, die berichten, dass viele Unternehmen erst jetzt anfangen, den Datenschutz nach Paragraph 11 des BDSG einzuhalten“, Rene Rautenberg, Geschäftsführer der ER-Secure e.K. Das Gesetz werde also mehr als vier Jahre nach seiner Einführung immer noch nicht ernst genommen.

Warum das BDSG nicht ernst genommen wird

Ähnlich wie Easyfeedback fürchten viele Unternehmen, dass ein externer Datenschutzbeauftragter betriebliche Abläufe durcheinander bringt. Darüber hinaus könnte er ja unnötig überdimensionierte Datenschutzkonzepte durchsetzen und hohe Kosten verursachen. Aufgrund dieser Unannehmlichkeiten kämpfen interne Datenschutzbeauftragte oft gegen Windmühlen.

Rautenberg kennt nach eigenen Angaben einen Fall, bei dem die Firma den Break-Even-Point abwartet: „Das heißt, es wurde ermittelt, was es kostet, den Datenschutz umzusetzen und ab wie viel verhängten Bußgeldern es sich nicht mehr rechnet, diesen zu ignorieren.“ Da die Behörden mit der Überprüfung allerdings hoffnungslos überfordert seien und auch die Bundesregierung selbst wenig Interesse an Datenschutz habe, könne dies lange dauern.

„Vieles von dem, was Herr Snowden ,enthüllt` hat, ist der Bundesregierung schon seit 2005 bekannt, nur haben dies die Medien nicht wahrgenommen beziehungsweise thematisiert“, behauptet Rautenberg. „Beispielsweise hat der Verfassungsschutz damals schon behauptet, dass die USA HTTPS-Verschlüsselung in Echtzeit entschlüsseln können oder dass England Daten sammelt, an die einheimische Wirtschaft weiterleitet und die englischen Behörden per Gesetz sogar dazu verpflichtet sind, dies zu tun.

Ebenso sei auch bekannt gewesen, dass die Anstellung chinesischer Praktikanten ein Risiko darstellt, da ihr Heimatland diejenigen belohnt, die es schaffen, Know How aus anderen Ländern zu stehlen. Dass die Regierung all dies schon 2005 gewusst, aber nichts unternommen habe, ist für Rautenberg ein Beleg für die alibimäßige Umsetzung des Datenschutzgesetzes.

Fehlender Datenschutz kann teuer werden

Allerdings gibt es auch Gegenbeispiele: So berichtete der Datenschutzbeauftragte eines Großkonzerns, dass dieser derzeit noch mit rund 200 Dienstleistern zusammenarbeitet, die sich weigern, den Datenschutz im Rahmen der Auftragsdatenverarbeitung nach §11 BDSG umzusetzen.

„Nun wurde eine behördliche Kontrolle innerhalb der kommenden sechs Monate sowie ein Bußgeld in Höhe von 5.000 bis 10.000 Euro für jede nicht abgeschlossene Auftragsdatenverarbeitung angedeutet. Während der Datenschutzbeauftragte fieberhaft daran arbeitet, die Auftragsdatenverarbeitung zu bekommen, arbeitet eine weitere Abteilung daran, die rund 200 Dienstleister auszutauschen“, berichtet Rautenberg.

Überschaubare Kosten für den Datenschutz

Die adäquate Umsetzung des Datenschutzgesetztes kann aber auch einfach sein, heißt es seitens ER-Secure. Das Unternehmen hat eine Software entwickelt, die die Einhaltung der gesetzlichen Datenschutznormen drastisch vereinfachen soll. Sie macht die Vor-Ort Anwesenheit eines Externen überflüssig und kostet maximal 3.000 Euro, wobei 1.500 Euro durch EU-Fördergelder finanziert werden können.

„Dies ist möglich, weil wir nur das umsetzen, was das Gesetz tatsächlich fordert. Durch die zugehörige, cloud-basierte Software sparen Unternehmen zudem viel Zeit, weil Updates weitestgehend automatisiert sind. Die Software ist weitgehend selbsterklärend und sehr leicht zu bedienen. Man benötigt maximal 15 Minuten Schulung, um alles zu verstehen“, erklärt Rautenberg.

Ergänzendes zum Thema
Hintergrundinformationen

Dennis Wegner gründete Easyfeedback im Jahr 2010 und beschäftigt heute zwei Mitarbeiter. Das Startup-Unternehmen entwickelt individuell für seine Kunden eine Feedback-Management-Software, mit der sich Umfragen zu verschiedenen Themen und Anlässen eigenständig durchführen lassen.

Herr Rene Rautenberg arbeitete seit 2005 als selbstständiger Berater und beschäftigte sich vor allem mit dem Thema Cloud. Als er 2006 sein Unternehmen gründete, vertrieb er zunächst verschiedene Sicherheitsprodukte für diesen Bereich. 2007 firmierte sein Unternehmen zur heutigen ER Secure e.K. um und begann rund ein Jahr später mit der Ausbildung zum Datenschutzbeauftragten. 2009 startete er mit der Programmierung einer eigenen Software, die nun im laufenden Jahr 2013 vollständig ausgereift ist.

„Aus heutiger Sicht, ist die Umsetzung anhand der Software genau das richtige für uns gewesen“, so Wegner. „Wir konnten damit einfach und unbürokratisch die gesetzlich vorgeschriebenen Voraussetzungen für den Datenschutz realisieren. Am Ende haben wir das Ganze dann von einem Sachverständigen prüfen lassen. Er hat keine Fehler gefunden und uns das Gutachten ausgestellt.“

Dies stellte sich vor allem für die Neukundenakquise als enormer Vorteil heraus. „Wir haben dadurch viele Kunden gewonnen. Oftmals wird sogar erst nach dem Datenschutz und dann erst nach der Leistung gefragt. Vorher hieß es, ‚wir würden Ihre Software gerne einsetzen, können dies aber nicht ohne geprüften Datenschutz.’ Heute ist das Thema selbstverständlich und ein gutes Argument im Neugeschäft“, so Wegner.

Über die Autorin

Julia Rummel studierte an der Universität Regensburg Germanistik, Amerikanistik und Vergleichende Kulturwissenschaften. Seit 2011 ist sie freie Redakteurin in München mit den Schwerpunkten Industrie und Informationstechnologie.

(ID:42534927)