Ob die Wikileaks-Dokumentation des Julian Assange oder der NSA-Abhörskandal um Whistleblower Edward Snowden: Öffentlichkeit und Unternehmen sind sensibilisiert was den Umgang mit Daten betrifft. Kunden legen mehr Wert auf Datenschutz und Vertraulichkeit und sind bei der Herausgabe persönlicher Daten zurückhaltender als früher. Auch viele Geschäftsführer sind verunsichert, welche Pflichten für sie gelten.
Wichtig: In der Regel drohen strafrechtlichen Konsequenzen bei einer unzulässigen Datenweitergabe nur gegen den verursachenden Mitarbeiter, nicht aber für das Unternehmen. Der Entwurf eines Unternehmensstrafrechts liegt zwar vorbereitet in den Schubladen des Bundesjustizministeriums. Eine Umsetzung wird voraussichtlich in dieser Legislaturperiode aber nicht mehr kommen (vg. Nr. 31/2014).
Betroffene Kunden können aber Schadensersatzansprüche gegen das Unternehmen stellen – selbst dann, wenn zur Datenverwaltung ein externes Unternehmen beauftragt wird. Nur wenn der Geschäftsleiter selbst vorsätzlich oder grob fahrlässig Pflichten verletzt hat, kann er persönlich vom Unternehmen in die Haftung für Schadensersatzansprüche genommen werden. Als Geschäftsführer müssen Sie „mit der gebotenen Sorgfaltpflicht“ vorgehen. Fehlt das entsprechende Fachwissen, muss sich der Geschäftsführer entsprechendes Wissen einholen bzw. sich beraten lassen.
- Sie müssen konkrete Sicherheitsmaßnahmen treffen (z. B. Zutritts‑, Zugangs- und Auftragskontrollen im IT-Bereich, Verschlüsselung der Daten).
- Die einzelnen Kontrollmaßnahmen müssen konkret beschrieben werden und in der Praxis auch tatsächlich überwacht werden (Protokolle).
- Die Kontrollinstrumente müssen regelmäßig überprüft werden (empfohlen: GF-Routine unter Hinzuziehung des Leiters IT und des Datenschutzbeauftragten einmal pro Halbjahr).