Datenschutz und Datensicherheit gehören verständlicherweise nicht zu den beliebtesten Themen der IT. Sie sind weder technisch reizvoll noch stärken sie unmittelbar die Wettbewerbsfähigkeit des Unternehmens. Im Gegenteil: Datenschutz und Datensicherheit behindern in der Regel die Entwicklung neuer Prozesse und innovativer Lösungen. Sie sind ein notwendiges Übel, welches erst dann bedeutsam wird, wenn es zu spät ist!
Panama Papers und die Frage nach der Schuld
So einmal mehr in den vergangenen Tagen eindrücklich geschehen und gesehen im Zusammenhang mit der Enthüllung der „Panama Papers„. Im Lichte dieses Vorfalls stellt sich so mancher wohl wieder einmal die Frage, wieviel Datenschutz und Datensicherheit es braucht, damit, frei nach Pareto, mit einem vernünftigen und vertretbaren finanziellen Aufwand ein Maximum an Sicherheit erzielt werden kann. Im Bewusstsein, dass ein Restrisiko immer verbleiben wird. Kein Unternehmen ist gefeit vor datenschutzrechtlichen Verletzungen. Die Unternehmensführung ist aufgerufen, sich der Gefahren bewusst zu sein und diese aktiv zu „bewirtschaften“ und dies ist im Endeffekt die so oft zitierte nicht übertragbare und nicht delegierbare Verantwortung des Verwaltungsrats.
Die unternehmerische Realität zeigt allerdings, dass sich dieser oft damit genügt, den IT-Beratern folgend Unsummen in technische Abwehrdispositive zu investieren und darauf zu vertrauen, dass damit den Auflagen des Datenschutzgesetzes und den Erfordernissen der Datensicherheit genüge getan sei. Doch weit gefehlt – damit ist es eben nicht getan. Was es braucht, ist eine ganzheitliche Sicht der Problematik und diese besteht aus technologischen, organisationalen und juristischen Standpunkten.
Wie auch der aktuelle Fall der „Panama Papers“ eindrücklich zeigt, spielt der Faktor „Mensch“ bei Verstössen im Zusammenhang mit dem Datenschutz und der Datensicherheit oft eine, wenn nicht DIE zentrale Rolle und diese lässt sich eben gerade nicht oder nur eingeschränkt mit technischen Massnahmen beherrschen. Sich also auf das zu beschränken, was mechanistisch umsetzbar und an die IT delegierbar ist, reicht nicht aus, der Verantwortung im Umgang mit Daten und Informationen zu genügen.
Bevor wir aber über mögliche Massnahmen zum Versuch eines Beherrschens des organisatorischen Risikos eingehen, möchten wir zunächst aufzeigen, was die Konsequenzen einer Datenschutz- oder Datensicherheitsverletzung sein könnten.
Folgen von Datenschutz- und Datensicherheitsverletzung in der Schweiz
Nicht wirklich messbar, aber doch in den meisten Fällen die grösste Schadenskomponente verursacht eine Datenschutz- oder Datensicherheitsverletzung im Bereich des Reputationsverlustes. Dafür gibt es unzählige Beispiele aus der Vergangenheit und auch die „Panama Papers“ werden hier noch nachhaltig ihre Spuren hinterlassen. Die verursachten Schäden reichen bis hin zum Ruin einer Privatperson oder dem Konkurs eines Unternehmens – die zweifellos verheerendste Auswirkung eines Risikos.
Zivilrechtlich sind Klagen auf Schadenersatz und im Falle einer immateriellen Benachteiligung eine auf Genugtuung denkbar. Hier halten sich die Risiken zumindest in der Schweiz jedoch in Grenzen, weil der Kläger einen echten, in Geld bewertbaren Vermögensschaden geltend machen muss, was in der Regel eher problematisch sein dürfte. Schon unangenehmer hingegen dürfte sich das Recht der betroffenen Personen auf Richtigstellung auswirken, denn dieses schädigt offensichtlich das Image der beklagten Partei.
Auf strafrechtlicher Ebene drohen zwar deftige Strafen bis hin zu Freiheitsentzug, aber auch solche Prozesse sind in der Regel eher schwierig vor einem Schweizer Gericht zu führen. Eingeklagt werden kann hingegen relativ einfach eine allgemeine Pflichtverletzung, eine Verletzung der beruflichen Schweigepflicht, oder die Verletzung von Geschäfts-, respektive Fabrikationsgeheimnissen.
Schliesslich kann in der Schweiz der EDÖB (eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) von sich aus oder auf Antrag eines Dritten tägig werden und eine Sachverhaltsabklärung vornehmen. Dazu stehen ihm umfangreiche Kompetenzen zur Verfügung, welchen man sich als Unternehmen oder als Privatperson nicht entziehen kann. Im Anschluss an die Untersuchung droht dann eine Publikation des Datenschutzbeauftragten mit einer Empfehlung, im Rahmen derer auch der untersuchte Sachverhalt sowie die von einer Rechtsverletzung betroffenen Unternehmen oder Personen genannt werden.
Massnahmen zur Vorbeugung
1. Unabhängiger Datenschutzbeauftragter
Massgebend für die zu ergreifenden Massnahmen im Sinne einer Risikoprophylaxe sind zunächst die bestehenden Risiken. Diese ergeben sich aus den folgenden Parametern:
- Umfang und Zweck der Datensammlungen
- Umfang und Zweck der Datenbearbeitungen
- Tätigkeitsbereich und Anspruchsgruppen
- Geografische Ausrichtung
- Potentieller Schaden einer Rechtsverletzung
Um das Risiko von Datenschutz- oder Datensicherheitsverletzungen in Grenzen zu halten, ist in erster Linie eine wirksame Datenschutz- und Datensicherheitsorganisation erforderlich. Dazu braucht es nicht nur die gängigen und bekannten technischen Massnahmen.
2. Kontrolle der Verträge und Prozesse
Genauso wichtig sind organisatorische, rechtliche Aspekte, wie zum Beispiel die Regelung der Verantwortung und die Ernennung eines Datenschutzbeauftragten, welcher über die persönlichen und fachlichen Eignungen verfügt, den Datenschutz und die Datensicherheit im Unternehmen zu gewährleisten. Dazu benötigt dieser selbstverständlich die zur Ausübung dieses Amtes erforderliche Unabhängigkeit innerhalb der Organisation und mögliche Interessenskonflikte sollten beachtet, respektive vermieden werden.
3. Schulung von Mitarbeitenden
Weiter sind die internen Datensammlungen und Datenbearbeitungsprozesse zu überprüfen und zu dokumentieren sowie die internen und externen Datenflüsse zu überprüfen. Dazu gehören auch die Überprüfung sämtlicher Verträge mit Dritten und das Erlassen von Weisungen, Massnahmen und insbesondere die Schulung der Mitarbeitenden im Hinblick auf einen sorgfältigen Umgang mit den Daten.
Fazit
Datenschutz und Datensicherheit dürfen nicht nur mit technischen Massnahmen gesichert werden. Viel mehr und leider viel zu oft sträflich vernachlässigt sind organisatorische und rechtliche Aspekte zu beachten. Was nützen zum Beispiel teure Firewalls oder aufwändige Virenschutzsoftware, wenn Mitarbeitende Daten auf einen Stick kopieren, damit problemlos aus dem Unternehmen spazieren und dann an Dritte weiter geben können?
In diesem Sinne ist die oberste Unternehmungsführung gefordert, die damit verbunden Risiken zu identifizieren und entsprechend der möglichen Schadensszenarien zu überwachen, respektive zu beherrschen.
