So schützen Unternehmen ihre Daten

Ein Datenskandal jagt den nächsten und Unternehmen fragen sich, ob und wann sie selbst betroffen sein könnten. Doch wie kann es bei der strengen Gesetzgebung in Deutschland und der Sensibilität der deutschen Nutzer überhaupt zu Datenmissbrauch kommen? Vielen Unternehmen, darunter auch E-Commerce-Anbietern, sind die gesetzlichen Regelungen und die Folgen bei Nichteinhaltung gar nicht bewusst. Dennoch stehen sie alle vor den Herausforderungen eines guten Datenschutzes. Welche rechtlichen Bestimmungen gibt es hier und was bedeuten sie für die praktische Umsetzung?
Jeder Mensch kann grundsätzlich selbst entscheiden, welche seiner persönlichen Daten er anderen zugänglich machen will und auch wer und wann das sein darf. Die gesetzliche Grundlage dafür bildet in Deutschland das Bundesdatenschutzgesetz (BDSG). Es regelt den Umgang mit personenbezogenen Daten unabhängig von der Größe der Unternehmen und gilt damit auch für E-Commerce-Anbieter. Personenbezogene Daten wie Name, Adresse oder Firmenzugehörigkeit dürfen demnach nur dann computergestützt erhoben, verarbeitet und genutzt werden, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet, beziehungsweise wenn der Betroffene darin eingewilligt hat. Weitere Vorschriften sind unter anderem in den einzelnen Landesdatenschutzgesetzen, dem Telekommunikationsgesetz (TKG) oder dem Telemediengesetz (TMG) zu finden.
Kurzer Blick in die Geschichte
Der Schutz von persönlichen Informationen war schon vor der weit verbreiteten Nutzung des Internets ein Thema. Bereits 1970 wurde in Hessen das erste Landesdatenschutzgesetz verabschiedet. Das erste Datenschutzgesetz auf Bundesebene trat am 1.1.1978 in Kraft und war eines der ersten allgemeinen Datenschutzgesetze in Europa. Im Jahr 2001 wurde die Europäische Datenschutzrichtlinie 1995/46/EG in einer novellierten Form des BDSG umgesetzt. Darin haben das Europäische Parlament und der Europäische Rat Mindeststandards für den Datenschutz in Europa festgeschrieben. 2003 wurde das BDSG neu gefasst und 2006 sowie 2009 erneut novelliert. Die letzte Novelle trat am 31. August 2012 in Kraft und regelt, dass Daten nur noch gespeichert und zu Werbezwecken genutzt werden dürfen, wenn der Kunde damit einverstanden ist und diese Zustimmung in schriftlicher Form klar nachweisbar ist. Außerdem müssen Kunden jederzeit die Möglichkeit haben, diese Zustimmung zu widerrufen. Im Vergleich zu anderen Ländern hat Deutschland mit dem BDSG eines der strengsten Gesetze zum Datenschutz.
Fehlendes Bewusstsein in den Unternehmen
Dennoch fehlt in vielen Unternehmen das Bewusstsein für die gesetzlichen Bestimmungen rund um den Datenschutz. Die von TÜV SÜD und der Ludwig-Maximilians-Universität (LMU) München durchgeführte Studie „Datenschutz 2012“ zeigt, dass etwa 10 Prozent der Unternehmen den gesetzlich vorgeschriebenen Datenschutzbeauftragten nicht bestellt haben und jedes fünfte Unternehmen noch keine definierten Vorgaben dafür hat, wie Kunden über den Umgang mit personenbezogenen Daten informiert werden.
Daten sind gerade für Unternehmen in der digitalen Wirtschaft ein wertvolles Gut, da sie ihre Arbeitsgrundlage darstellen. Ein guter Grund, sie entsprechend zu schützen. Daher ist auch ein umfassendes Datenschutzmanagement nötig, das in der Geschäftsführung integriert und wesentlicher Bestandteil der Unternehmensstrategie ist. Doch auch hier gibt es der Studie „Datenschutz 2012“ zufolge in deutschen Unternehmen noch Nachholbedarf: Bei nur knapp 40 Prozent steht das Thema tatsächlich regelmäßig auf der Tagesordnung der Geschäftsführung, obwohl einem Großteil bewusst ist, dass es den Kunden wichtig ist.
Grundlagen für ein sinnvolles Datenschutzmanagement
Um die gesetzlichen Anforderungen hinsichtlich des Datenschutzes erfüllen zu können, brauchen Unternehmen ein umfassendes Datenschutzmanagement, das die Rahmenbedingungen festlegt. Für die Erhebung von Daten im Bereich des E-Commerce gilt laut Telemediengesetz (TMG), dass die Einwilligung zur Speicherung der Daten unter folgenden Bedingungen auch elektronisch erklärt werden kann: Wenn der Nutzer seine Einwilligung bewusst und eindeutig erteilt, die Einwilligung vom Webseitenbetreiber protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Damit dies reibungslos funktioniert, müssen alle diese Prozesse bestimmt und im Datenschutzmanagement hinterlegt sein. Unternehmen sollten außerdem darauf achten, dass sie bei der Erfassung von Daten die Hauptprinzipien Datensparsamkeit und Datenvermeidung, Erforderlichkeit sowie Zweckbindung einhalten. In der Praxis bedeutet das, dass verpflichtend nur solche Daten abgefragt werden, die für den Vorgang des Online-Einkaufs nötig sind, und dass diese dann auch nur für die in der obligatorischen Datenschutzunterrichtung angegebenen Zwecke genutzt werden. Eine Erhebung und Verwendung von Daten darüber hinaus erfordert eine explizite Zustimmung des Betroffenen, zum Beispiel Mittels einer zu aktivierenden Checkbox. Eine Ausnahme davon ergibt sich aus dem Wettbewerbsrecht in § 7 Abs. 3 UWG. Demnach soll es dem Online-Händler unter Berücksichtigung einiger Randbedingungen möglich sein, für den Verkauf ähnlicher Produkte mittels E-Mail zu werben, ohne die Einwilligung des Kunden eingeholt zu haben.
Unternehmen müssen gemäß § 9 BDSG technisch-organisatorische Maßnahmen treffen, um die erforderliche Sicherheit der erhobenen Daten zu gewährleisten. Dazu sollte zunächst definiert werden, welche Daten vorhanden sind, welchen Schutzbedarf sie haben und welchen Risiken sie ausgesetzt sind. Hier sind die Grundwerte der Informationen Verfügbarkeit, Integrität sowie Vertraulichkeit zu berücksichtigen. Verfügbarkeit bedeutet, dass Daten stets dann verfügbar sein müssen, wenn sie benötigt werden und nicht verloren gehen oder zufällig zerstört werden dürfen, während Integrität festlegt, dass alle Daten vollständig und unverändert sein müssen. Unter Vertraulichkeit ist zu verstehen, dass die Daten vor unbefugter Preisgabe geschützt sind. In diesem Rahmen sollten auch verschiedene Bedrohungsszenarien skizziert werden, um einzuschätzen: Wie wahrscheinlich ist die Bedrohung, welche Auswirkungen würden daraus resultieren und wie schnell kann das Szenario entdeckt werden? Anhand dieser Klassifizierung erfolgt dann die Implementierung entsprechender Maßnahmen. Das kann in Form von technischen Maßnahmen oder über organisatorische Regelungen wie die Schulung von Mitarbeitern erfolgen. Eine wichtige Rolle spielt hier der Datenschutzbeauftragte. Unternehmen mit mehr als neun Personen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben laut Bundesdatenschutzgesetz einen Beauftragten für den Datenschutz schriftlich zu bestellen. Er wirkt aktiv auf die Umsetzung des Datenschutzes im Unternehmen hin, berät, entwickelt Datenschutzkonzepte, schult die Mitarbeiter, ist Anlaufstelle bei Fragen oder Beschwerden und ist zusammen mit den Fachabteilungen für die Erstellung von Verfahrensübersichten zuständig.
So entstehen Datenschutzlücken
Diese Aufgaben erfordern Zeit und Fachwissen. Häufig ist es aber so, dass der Datenschutzbeauftragte noch weitere Aufgaben hat und der Datenschutz nur nebenbei läuft. Damit hat er oftmals nicht genug Zeit, es fehlen oft Weiterbildungen und damit das entsprechende Fachwissen. So ist ein verlässlicher Datenschutz nicht gewährleistet und es entstehen gefährliche Lücken. Wenn intern die Ressourcen oder das Know-how fehlen, kann der Datenschutzbeauftragte auch über einen externen Dienstleister bestellt werden. Dadurch ist auch sichergestellt, dass es zu keinem Interessenskonflikt mit anderen Aufgaben kommt und die Fragen des Datenschutzes mit der notwenigen Aufmerksamkeit qualifiziert bearbeitet werden.
Eine weitere Hauptquelle für Datenschutzlücken ist die Tatsache, dass in vielen Betrieben neue oder geänderte Prozesse und Projekte nicht auf Datenschutzbelange hin überprüft werden. Bereits bei der Planung sollte der Projektverantwortliche den Datenschutzbeauftragten mit einbeziehen, der dann beurteilen kann, ob das Projekt oder der Prozess datenschutzkonform ist und ob beispielsweise die Datenschutzerklärung auf der Homepage geändert werden muss.
Hält sich ein Anbieter nicht an die Bestimmungen des BDSG, kann das gravierende Folgen haben. Neben erheblichen Bußgeldern bis zu 300.000 Euro pro Fall und Freiheitsstrafen von bis zu zwei Jahren, können Schadenersatzforderungen erhoben werden. So kommt es zum einen zu einem großen finanziellen Schaden, zum anderen entsteht ein massiver Image- und Vertrauensverlust auf Seiten der Kunden.
Gut geprüft ist halb gewonnen
Unternehmen können die Prüfleistung von externen Anbietern in Anspruch nehmen, um sicher zu gehen, dass die Daten gut geschützt sind. Eine solche Überprüfung simuliert Angriffe von außen oder aus dem Unternehmensnetz selbst und deckt auf, wo Handlungsbedarf besteht. Im Anschluss machen die Experten Verbesserungsvorschläge und geben konkrete Tipps für weitere Schritte. In einem zweiten Test kann dann festgestellt werden, ob die ergriffenen Maßnahmen wirksam waren. Im Bereich des E-Commerce gibt es verschiedene Qualitätszertifikate wie beispielsweise das s@fer-shopping Siegel. Dafür wird das Angebot ausführlichen Tests hinsichtlich Qualität, Sicherheit und Transparenz unterzogen. Für den Kunden dient das Prüfsiegel als Orientierungshilfe, während der Anbieter Schwachstellen entdecken und beseitigen kann.
Begriffe & Definitionen
Informationssicherheit soll verarbeitete Informationen schützen und die Einhaltung der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Sie vereint die folgenden Begriffe:
IT-Sicherheit bezeichnet den Schutz von soziotechnischen Systemen wie IT oder ITK-Systemen. Zu den Aufgaben der IT-Sicherheit gehört der Schutz von Organisationen und deren Werte gegen Bedrohungen.
Datensicherheit hat das technische Ziel, Daten jeglicher Art in ausreichendem Maß gegen Verlust, Manipulationen und andere Bedrohungen zu sichern. Datensicherheit ist eine Voraussetzung für effektiven Datenschutz.
Datenschutz bezeichnet den Schutz persönlicher Daten vor Missbrauch und ist unter anderem im Bundesdatenschutzgesetz (BDSG) festgeschrieben. Es soll damit die Privatsphäre geschützt werden.
Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder einer bestimmbaren Person. Dazu zählen beispielsweise Name, Adresse, Alter, E-Mail-Adresse, Firmenzugehörigkeit oder Gehalt.

Autor
Rainer Seidlitz
Rainer Seidlitz hat an der Technischen Universität München seinen Abschluss zum Diplom Physiker gemacht und ist seit 1997 bei der TÜV SÜD Management Service GmbH tätig. Im Jahr 2000 hat er das bekannte TÜV SÜD Online-Prüfsiegel s@fer-shopping für Internet-Shops entwickelt. Seit 2007 ist er Leiter der Strategischen Geschäftseinheit IT-Security bei der TÜV SÜD Management Service GmbH und seit 2013 Prokurist der neu gegründeten TÜV SÜD Sec-IT GmbH. Die TÜV SÜD Sec-IT GmbH bündelt Kompetenzen der Bereiche IT-Security und Datenschutz und bietet dabei Prüfleistungen sowie Unterstützung beim Beherrschen von Informationsrisiken.
www.tuev-sued.de
Rainer.Seidlitz(at)tuev-sued.de