Datenschutz geht uns alle an. Bei Datenschutzverletzungen denken wir meist an Hacker, die sich wie bei den jüngst bekannt gewordenen Angriffen auf Facebook, Yahoo und Uber von außerhalb Zugriff auf Unternehmensdaten verschaffen. Es gibt jedoch einen weiteren wichtigen Risikobereich, den Unternehmen nicht außer Acht lassen dürfen:
interne Gefahren.
Sicherheitsverletzungen innerhalb von Unternehmen machen zwar nicht so große Schlagzeilen, können allerdings genauso viel Schaden anrichten. Beispielsweise gab es den Fall, dass von einem Mitarbeiter der nationalen schweizerischen Sicherheitsbehörde wichtige Daten zur Terrorbekämpfung offengelegt wurden. Die irrtümliche Veröffentlichung von 5.500 Datensätzen durch die deutsche Handelskammer ist ein weiteres Beispiel. Bei diesen Fällen handelt es sich zwar um seltene Extremfälle, sie zeigen jedoch, dass Handlungen Einzelner schwerwiegende Folgen haben können und es daher wichtig ist, dass jeder Mitarbeiter eines Unternehmens mit der Bedeutung des Datenschutzes vertraut ist und seine eigene Rolle in diesem Zusammenhang genau versteht. Einen ökonomischen Anreiz dafür geben die beträchtlichen Strafen, die die neue Datenschutz-Grundverordnung (DSGVO) der EU und das Bundesdatenschutzgesetz (BDSG-neu) bei Verstößen vorsehen. Es stellt sich also die Frage: Wie können Unternehmen ihre Mitarbeiter motivieren, Datenschutzexperten zu werden?
Einzelhandel: Auswirkungen des BDSG-neu
Betrachten wir zunächst die Auswirkungen des BDSG-neu auf den Einzelhandel. Am auffälligsten sind als erstes die höheren Strafen: Bei Verstößen sind nun Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes (falls dieser Betrag höher ist) vorgesehen, oder 50.000 Euro bei Verstößen gegen Bundesgesetze. Zweitens wurden die vorhandenen Regelungen in zwei Bereichen überarbeitet. Hierzu gehören eine stärkere Gewichtung der Nachweispflicht, da nun detaillierte Unterlagen zum Nachweis der Einhaltung gefordert werden, sowie strengere Bestimmungen im Umgang mit bestimmten Arten von Daten und Einschränkungen hinsichtlich der Auswertung zu Werbezwecken. Zusätzlich wird von dem neuen Gesetz festgelegt, dass Hinweise nicht länger ausreichen, wenn Cookies zur Erfassung von Daten wie Namen oder IP-Adressen eingesetzt werden, mit denen Einzelpersonen identifiziert werden können. Stattdessen müssen Unternehmen nun eine eindeutige Zustimmung einholen und sind außerdem haftbar, wenn Tracking-Tools von Dritten diese Bestimmung missachten.
Auf Mitarbeiterebene gelten ebenso strenge gesetzliche Vorschriften. Unternehmen mit einer Belegschaft ab 10 Mitarbeitern müssen einen Datenschutzbeauftragten benennen – falls die Datenverarbeitung zu Marketing- oder gewerblichen Zwecken erfolgt, gilt diese Vorschrift auch für kleinere Unternehmen. Schließlich sieht das BDSG-neu noch rechtliche Schritte gegen Personen vor, die gegen gesetzliche Vorschriften verstoßen. In Artikel 42 des BDSG-neu wird sogar ein mögliches Strafmaß genannt: bis zu drei Jahre Haft.
Wie lässt sich die Einhaltung sicherstellen? Was das Verfahren angeht, müssen Einzelhändler vor allem den gesamten Datenverkehr analysieren. Insbesondere müssen Datenquelle, Speichermethode und Zugriffsberechtigungen erfasst werden, sowohl im internen als auch im externen Bereich. Dadurch können nicht nur die erforderlichen Nachweise der Einhaltung erbracht werden – zusätzlich lassen sich mögliche Risiken ermitteln und Bereiche identifizieren, in denen eine Zustimmung eingeholt werden muss. Beispielsweise können Einzelhändler feststellen, dass sie nicht über die Berechtigung verfügen, bei Einkäufen über die Bestätigungsseiten Daten zu erfassen. Oder es wird ermittelt, dass keine Maßnahmen gegen den Einkauf von Kunden unter 16 Jahren vorhanden sind, die kein Einverständnis erteilen können, und dadurch gesetzeswidrig Daten verarbeitet werden.
Als weitere Vorsichtsmaßnahme wird die Verwendung einheitlicher Plattformen empfohlen. Die Zusammenführung von Daten aus unterschiedlichen Quellen in einem zentralen Repository ermöglicht Einzelhändlern die Analyse des gesamten Datenbestands sowie die Einführung einheitlicher Sicherheitsmaßnahmen.
Einbeziehen der Mitarbeiter
Menschliches Versagen kann selbst die umfassendsten Datenschutzmaßnahmen eines Unternehmens zunichte machen. Nach Untersuchungen des Ponemon Institute sind 20 Prozent der Cyber-Sicherheitsvorfälle in Deutschland auf das Verhalten der Mitarbeiter zurückzuführen, sei es durch Nachlässigkeit oder absichtlichen Datenverlust. Aus diesem Grund müssen Unternehmen ihren Mitarbeitern die Bedeutung des Datenschutzes ebenso vermitteln wie deren Rolle bei der Einhaltung der entsprechenden Gesetze. Die erste Herausforderung hierbei ist die unternehmensweite Sensibilisierung für das BDSG-neu. Die einfachste Methode, das Verteilen einer Kopie des Bundesdatenschutzgesetzes an die Mitarbeiter, ist wenig erfolgversprechend. Das BDSG-neu vereint die DSGVO, polizeiliche Vorgaben und regionale Regelungen. Dadurch ist es unübersichtlich, schwer verständlich und ungeeignet, die Mitarbeiter zur Umsetzung der Vorgaben zu motivieren. Einzelhandelsunternehmen müssen also Programme entwickeln, die die gesamte Belegschaft motivieren, sich mit dem BDSG-neu auseinanderzusetzen und dessen Vorgaben umzusetzen. Dazu müssen diese Programme zwei wichtige Voraussetzungen erfüllen:
- Wissensvermittlung: Ohne Kenntnis der Auswirkungen des BDSG-neu auf die Datenverarbeitung und das Tagesgeschäft sind Mitarbeiter nicht in der Lage, die Vorschriften einzuhalten. Einzelhandelsunternehmen sind also gefordert, Mitarbeitern durch ausführliche Schulungen und entsprechende Informationen die Auswirkungen des Gesetzes zu vermitteln. Zusätzlich müssen Schulungen zu den Themen Cybersicherheit und Best Practices für die Datenverarbeitung eingeführt werden.
- Eigenverantwortung: Viele Mitarbeiter, die mit umfangreichen Neuregelungen konfrontiert werden, fühlen sich unsicher. Dies gilt besonders bei neuen Vorschriften, die wie das BDSG-neu die individuelle Verantwortung hervorheben. Um ihren Mitarbeitern Sicherheit zu bieten und die Einhaltung der Bestimmungen zu gewährleisten, müssen Einzelhandelsunternehmen dafür sorgen, dass ihre Mitarbeiter eigenverantwortlich handeln können. Informationen allein, also die Kenntnis der Auswirkungen des Gesetzes auf die Rolle der Mitarbeiter, die Zuständigkeiten und die Konsequenzen von Datenschutzverletzungen, sind nicht genug. Mitarbeiter müssen zur Eigeninitiative befähigt werden. Unternehmen können beispielsweise Arbeitsgruppen zur Datensicherheit einrichten, die mit dem Datenschutzbeauftragen des Unternehmens zusammenarbeiten und Mängel in Richtlinien identifizieren. Eine weitere Maßnahme sind beispielsweise Boni für den außergewöhnlichen Einsatz für den Datenschutz. Andere Gruppen können sicherstellen, dass nur autorisierte Mitarbeiter Zugriff auf Daten erhalten. Zusätzlich ist es von großer Bedeutung, die zahlreichen Vorteile strengerer Datenverarbeitungsregeln hervorzuheben: Verbesserte Transparenz der Datenverarbeitung sichert Vertrauen der Verbraucher hinsichtlich des Umgangs mit ihren personenbezogenen Daten. Zusätzlich lassen sich durch die Neuorganisation der Daten wichtige Erkenntnisse über Kunden gewinnen, mit denen Kundenbeziehungen nachhaltiger gestaltet werden können.
Das BDSG-neu stellt zweifellos die umfassendste Änderung des Datenschutzrechts dar und sieht erheblich strengere Strafen vor, sowohl für Unternehmen als auch für einzelne Mitarbeiter. Eine erfolgreiche Umsetzung dieser Änderung ist trotzdem möglich. Mit entsprechender Schulung und Ausstattung der Mitarbeiter können Einzelhändler die Gefahr interner Datenschutzverletzungen erheblich reduzieren und sich ganz auf die Abwehr äußerer Bedrohungen – und selbstverständlich die Arbeit für ihre Kunden – konzentrieren.
