Dr. Stefan BrinkLeiter Privater Datenschutz beim Landesbeauftragten für den Daten-schutz und die Informationsfreiheit Rheinland-Pfalz.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit RLPDer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) ist inRheinland-Pfalz als Kontrollinstanz für den öffentlichen Bereich und als Datenschutzauf-sichtsbehörde für die privaten Stellen (Unternehmen) tätig. In Bezug auf die öffentlichenund die privaten Stellen überwacht er die Einhaltung der Datenschutzgesetze und ande-rer Vorschriften über den Datenschutz, berät den Landtag, die Landesregierung und ihreMitglieder sowie die datenverarbeitenden Stellen in Fragen des Datenschutzes und führtörtliche Kontrollen durch. Bedeutsam ist auch seine Aufgabe, Beschwerden von Bürgernnachzugehen.
Wie schätzt Ihre Aufsichtsbehörde die aktuelle Gefahrenlage im Bereich Datenschutz und Datensicherheit ein?
Der rasante Fortschritt der Informationstechnologie beschert uns nicht nur ständigneue und erweiterte Nutzungsmöglichkeiten für jedermann, gleichzeitig wachsenaber auch die Gefahren im Bereich Datenschutz und Datensicherheit. Und diesgilt nicht nur für große, global agierende Unternehmen, sondern für das mittelstän-dische Unternehmen und den kleinen Handwerksbetrieb in gleichem Maße.Zwar ist das Thema Datenschutz inzwischen in aller Munde, dennoch stellenwir als Aufsichtsbehörde immer wieder fest, dass die betriebliche Realität mit dem
technologischen Fortschritt – und seinen Schattenseiten – häufig nicht mithält. Einesunserer wichtigsten Themen ist dabei die betriebliche Datensicherheit. Datenschutzwird nur dann erfolgreich sein, wenn die personenbezogenen Daten von Kunden,Geschäftspartnern und Mitarbeitern vor dem unbefugten Zugriff Dritter gesichertwerden. Dazu muss einerseits das Bewusstsein in den Betrieben, dass personenbezo-gene Daten sensibel und schützenswerte Daten sind, weiter gestärkt werden; zumandern müssen auch organisatorische und technische Vorkehrungen getroffen wer-den, um dem Datenklau und dem Datenmissbrauch vorzubeugen. Von der Datensi-cherheit sind übrigens Betriebsgeheimnisse in gleicher Weise betroffen wie personen-bezogene Daten. Es sollte daher im ureigensten Interesse der Unternehmen liegen,hier für „klar Schiff“ zu sorgen.Sehen Sie besonders gefährdete Branchen? Welche Unterschiede sind zwischen kleinen und größeren Unternehmen zu beachten?Eine Grundbedrohung in punkto Datensicherheit besteht für jede Branche und ist auch vonder Betriebsgröße völlig unabhängig. Natürlich sind solche Unternehmen in besondererWeise gefährdet, deren „Betriebskapital“ gerade die zu schützenden Daten sind. Dies giltinsbesondere für Dienstleistungsunternehmen, die in besonderer Weise auf das Ver-trauen ihrer Kunden angewiesen sind und für die ein unfreiwilliger Datenverlust regelmäßigzugleich den Verlust ihres Kundenbestandes bedeutet. Mittlerweile sind aber auch reineProduktionsstätten vor Angriffen aus dem Netz nicht mehr sicher, wenn mittels Compu-terviren oder Trojanern in die Betriebssteuerung eingegriffen wird oder Produktionsver-fahren ausspioniert werden.Als Aufsichtsbehörde beobachten wir natürlich Unterschiede im Verhalten von klei-nen und von größeren Unternehmen: Größere Unternehmen haben auf dem Gebietder Datensicherheit häufig schon erhebliche, auch organisatorisch wirksame Anstren-gungen unternommen, die auch die Inanspruchnahme externen Sachverstands vonIT Sicherheitsspezialisten, des Verfassungsschutzes oder der Datenschutzaufsichtsbe-hörde umfasst. Bei kleineren Unternehmen stellen wir leider ebenso häufig immer nochdie Haltung fest: Ich bin so klein, mich wird schon keiner finden! Dabei ist die Folge vonIT Spionage für den kleinen Geigenbauerbetrieb, dem die Konstruktionspläne ent-wendet werden, genau derselbe wie für den Großkonzern, dessen Produktionssteuerunglahmgelegt wird: Das Unternehmen kommt in eine existenzielle Krise.Dem gilt es vorzubeugen – und die Datenschutzbehörden bieten hierzu ihre Unterstützung an.
Welche Schwachstellen innerhalb der Organisation von Unternehmen treten häufig zutage?Die Schwachstellen, die wir bei örtlichen Feststellungen in Rheinland-Pfalz immerwieder vorfinden, sind vielfältig. In technischer Hinsicht erweist es sich für viele Unter-nehmen als fatal, dass sie unterschiedliche Anwendungen innerhalb ihrer EDV nichttechnisch klar genug trennen, wenn etwa die Buchhaltung, die Kundenbetreuungund der Öffentlichkeitsauftritt im Internet von einem Server aus betrieben werden.Ein erfolgreicher Hackerangriff an einer Stelle infiziert damit immer gleich die ge-samte Betriebsstruktur. Das lässt sich verhindern, wenn man sich auf die realen Ri-siken in der virtuellen Welt einstellt. Die gravierendsten organisatorischenMängel bestehen häufig darin, dass das Unternehmen der eigenen EDV-Abteilungvollständig ausgeliefert ist, also sein Wohl und Wehe von der Qualität der Arbeit derAdministratoren abhängig macht. Die alte Parole „Vertrauen ist gut, Kontrolle ist bes-ser“ hat immer noch ihre Berechtigung! Hier ist es dringend geboten, auch externenSachverstand zu Rate zu ziehen und mögliche Schwachstellen des Unternehmens vonunabhängiger Seite analysieren zu lassen.Inwieweit lassen sich die Bereiche Datenschutz und der IT Sicherheit sinnvoll in Einklang bringen, um effizient Gefahren und Risiken unter Kontrolle zu halten?Aus Sicht einer Datenschutzaufsichtsbehörde ist das Thema IT Sicherheit deswe-gen von zentraler Bedeutung, weil hier die staatlichen Aufsichtsstellen und die Unter-nehmen an einem Strang ziehen – und zwar in dieselbe Richtung!Beim Thema Datensicherheit handelt es sich nicht nur um eine theoretische Forderungirgendwelcher staatlichen Stellen, sondern die Unternehmen spüren hier schnell ameigenen Leibe, wie wichtig die Risikobegrenzung auf diesem Gebiet ist, und zwar auchgemessen am eigenen unternehmerischwirtschaftlichen Interesse.Während Datenschützer und Unternehmen in punkto Datensicherheit alsodasselbe Ziel verfolgen, ist dies beim Thema Schutz der personenbezogenen Datenvon Kunden, Geschäftspartnern und Mitarbeitern leider nicht im gleichen Umfangder Fall. Zwar beteuern inzwischen alle Unternehmen, den Wert des Datenschut-zes verstanden zu haben; häufig bleibt es jedoch bei einem bloßen Lippenbekennt-nis. Das ist nicht ohne Risiko, denn die Kunden, Verbraucher und Mitarbeiter sindin Sachen Datenschutz aufmerksamer geworden und schalten immer häufiger dieDatenschutzaufsichtsbehörden ein; bei uns in Rheinland-Pfalz alleine im vergangenenJahr in mehr als 2.000 Fällen. Bei Verstößen drohen dem Unternehmen nicht nurerhebliche Bußgelder, sondern auch ein öffentlicher Ansehensverlust. Da ist es schonbesser, man stellt sich beim Thema Datenschutz gut auf!Welche Unterstützung können Unternehmen von Seiten des Landesbeauftragten in Anspruch nehmen?Der Landesbeauftragte für den Datenschutz hat gerade beim Thema Daten-sicherheit, aber auch für alle anderen Bereiche des Datenschutzes einen Bera-tungs- und Informationsauftrag zugunsten der Unternehmen als verantwortliche Stel-len. Diese Aufgabe ist sogar ausdrücklich im Bundesdatenschutzgesetz erwähnt, §38 Abs. 1 Satz 2 des Bundesdatenschutzgesetzes verpflichtet die Aufsichtsbehör-den dazu, die Unternehmen zu beraten und mit Rücksicht auf deren typische Be-dürfnisse zu unterstützen.
Das tun wir hier in Rheinland-Pfalz auch nach Kräften, weil jedes Unterneh-men, das im Vorfeld von datenschutzrechtlichen Problemen die Aufsichtsbehörde umUnterstützung bittet, einen wichtigen Beitrag zum präventiven Datenschutz leistet.Wer sich an uns wendet, bevor das Kind in den Brunnen gefallen ist, kann nicht nurunserer Unterstützung sicher sein, sondern erspart sich auch erheblichen Ärger, Buß-geldverfahren und schlechte Presse, wenn eine Datenpanne passiert. Der LfDI Rhein-land-Pfalz hat sich, seitdem er diese Aufgabe im Jahr 2009 übernommen hat, stets da-rum bemüht, im Vorfeld von Datenpannen tätig zu werden und damit seine repressi-ven Handlungsmöglichkeiten gar nicht erst zum Einsatz bringen zu müssen. Deshalbist er auch für jede Form des kooperativen Vorgehens in Sachen Datenschutzund Datensicherheit dankbar und offen.