Die Berliner Landesbank verliert zehntausende Kreditkartenabrechnungen mit allen Kundendaten. 2006 wurden bei T-Mobile 17 Millionen Kundendaten gestohlen.
Die Liste spektakulärer Datenpannen lässt sich beliebig fortsetzen. Obwohl deutsche Unternehmen dadurch ihren guten Ruf aufs Spiel setzen, ist Datenschutz für fast die Hälfte nur ein Randthema und von geringer Bedeutung.
Ist der Ruf erst ruiniert, …
Zu diesem Kernergebnis kommt die Studie "Wie sieht die Datenschutzlage in deutschen Großunternehmen aus" die TNS Emnid für die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) durchführte.
Dass die Firmen den Datenschutz immer noch nicht als Kernaufgabe betrachten, zeigen auch weitere Umfrageergebnisse. So sind die Datenschutzbeauftragten (DSB) nur in 54 Prozent der Fälle organisatorisch unmittelbar der Geschäftsleitung unterstellt. Jeweils zwölf Prozent der Datenschützer sind der Rechtsabteilung und der internen Revision zugeordnet, sieben Prozent der IT-Abteilung.
Knausern beim Personal
Beim Datenschutz wird auch an der personellen Ausstattung und am Budget gespart. Ein Drittel der Unternehmen müssen die befragten Datenschutzbeauftragten mit einer Halbtagsstelle auskommen. Ein Fünftel der Befragten kann immerhin über zwei Vollzeitstellen verfügen.
Bei einem Viertel der Großunternehmen mit mehr als 10.000 Mitarbeitern stehen den Datenschutzbeauftragten sechs und mehr Mitarbeiter zur Seite. Im Schnitt können die Datenschützer zur Wahrnehmung ihrer Aufgaben auf 1,6 Vollzeitstellen zurückgreifen und 44 Prozent ihrer vertraglich vereinbarten Arbeitszeit dafür aufwenden.
Nur 32.000 Euro für Datenschutz
Auch das jährliche Datenschutz-Budget fällt nicht gerade üppig aus. Es liegt im Schnitt 32.685 Euro. Während Datenschützer in Firmen mit mehr als einer Milliarde Euro Umsatz immerhin mehr als 55.000 Euro ausgeben können, müssen ihre Kollegen in mittelgroßen Unternehmen mit rund 27.000 Euro auskommen. Diese Ergebnisse sind jedoch nicht unbedingt repräsentativ, denn 36 Prozent der Befragten machten hierzu überhaupt keine Angaben.
Keine Strategie und schlecht informiert
Zudem gibt es zahlreiche organisatorische Defizite. Eine firmeninterne Datenschutzorganisation richtet sich in der Regel an der vorgegebenen Strategie und den Zielen zum Datenschutz aus. Jedoch haben nur 16 Prozent der Umfrageteilnehmer diese Komponenten auch in einer eigenen Geschäftsordnung für den Datenschutz verankert.
Ein Drittel der Datenschutzbeauftragten glaubt, dass sie bei schweren Vorfällen im Zusammenhang mit der Datensicherheit nicht zeitnah informiert werden. Die häufigsten Ursachen für Datenschutzverletzungen sind übrigens unachtsame und unwissende Mitarbeiter (73 bzw. 63 Prozent) und eine schlechte Kommunikation (39 Prozent). Jeweils nur vier Prozent der Vorfälle sind auf Datendiebstahl durch Mitarbeiter oder durch Dritte zurückzuführen.
Datenschutzbericht höchstens einmal im Jahr
Das aktuelle Bundesdatenschutzgesetz (BDSG) verlangt von der Geschäftsleitung, dass diese die Einhaltung der Datenschutz-Anforderungen im Rahmen ihrer Dienstaufsicht wahrnimmt. Dazu ist eine regelmäßige Berichterstattung durch den DSB notwendig.
Ein Viertel der Befragten gab an, dass es eine solche in ihrem Unternehmen nicht gibt. Knapp die Hälfte führt diese immerhin in einem jährlichen Turnus durch. Monatliche oder quartalsweise Datenschutzberichte an das Management sind dagegen selten. Nur vier bzw. sieben Prozent nutzen diese Möglichkeit.
Die Studie basiert auf einer Auswertung der Angaben von 230 Datenschutzbeauftragten in deutschen Unternehmen. 49 Prozent der Firmen haben weniger als 5.000 Beschäftigte weltweit, 24 Prozent zwischen 5.000 und 10.000 und 27 Prozent mehr als 10.000 Mitarbeiter.
24 Prozent der Betriebe stammen aus dem Dienstleistungssektor einschließlich beratender Unternehmen, 15 Prozent aus der Metallindustrie und 13 Prozent aus dem sonstigen produzierenden Gewerbe.