Datenschutz bleibt häufig in einmaligen Aktionen stecken

"Datenschutz scheint in vielen Unternehmen immer noch ein Thema zu sein, mit dem man sich am liebsten so wenig wie möglich beschäftigt", fasst Birthe Görtz, PwC-Spezialistin für Datenschutzfragen, die Erkenntnisse aus der Studie "Daten schützen - Zum Stand des Datenschutz in deutschen Großunternehmen 2011" zusammen. Das bedeutet: Einmal im Jahr, einmal in der beruflichen Laufbahn - oder eben das eine Mal, wenn der Datenschutz zum Problem wird. Eine Datenschutzkultur, die Verstöße verhindern könnte, sei nach wie vor erst im Aufbau, berichtet Birthe Görtz.

"Noch immer leisten es sich Unternehmen, ihre Datenschutzbeauftragten nicht oder zu wenig zu informieren und einzubinden", staunt PwC-Expertin Birthe Görtz. Schon als sie 2010 mit ihrem Team die Datenschutzbeauftragten deutscher Großunternehmen befragte, fühlte sich eine bemerkenswert große Zahl von ihnen über neue Verfahren nicht oder zu spät informiert und in Krisenfällen nicht eingebunden: Nach wie vor sagt jeder fünfte Datenschutzbeauftragte, von neuen Verfahren, bei denen Vorgaben des Datenschutzes möglicherweise zu beachten wären, erst nach deren Einführung oder gar nicht zu erfahren.

Datenschutz-Pannen sind mancherorts Tür und Tor geöffnet

"Wenn Unternehmen die Fachleute für den Datenschutz nicht in Entscheidungen einbeziehen, lassen sie wertvolle Expertise ungenutzt", erklärt Birthe Görtz: "Denn Datenschutz-Experten sind sensibilisiert für den Schutz der personenbezogenen Daten und sollten die Einfallstore überprüfen, die IT-Systeme und Prozesse - wie jüngst das Netzwerk der Sony-Playstations - möglicherweise bieten." Sich mit den Fachleuten im Vorhinein zu beraten, könnte Unternehmen manch peinliche Panne und vielleicht auch manch verheerenden Verstoß ersparen.

Immer noch sind Datenschutzbeauftragte auch bei der Schadensbegrenzung außen vor

Noch weniger als in die Etablierung neuer Verfahren sind Datenschutzbeauftragte  in den Umgang mit Krisen eingebunden: Fast ein Viertel der Datenschutzbeauftragten geht davon aus, von schwerwiegenden Datensicherheitsvorfällen "vermutlich nicht immer" zeitnah informiert zu werden. Wer den Datenschutzbeauftragten im Krisenfall außen vor lässt, laufe Gefahr, dass gesetzlich vorgeschriebene Meldungen an die Betroffenen und die Aufsichtsbehörden nicht rechtzeitig erfolgen: "Zu dem Reputationsschaden durch den Vorfall selbst kommt dann leicht noch die Blamage, schlecht mit der Krise umgegangen zu sein", warnt PwC-Expertin Birthe Görtz - auch wenn sich mehr Datenschutzbeauftragte als im Vorjahr in die Krisenbewältigung eingebunden fühlen.

Unternehmen nehmen Datenschutz ernster

Die grundsätzliche Bedeutung des Datenschutzes scheint deutschen Großunternehmen bewusster zu werden: Zwei von drei Datenschutzbeauftragen geben in der PwC-Studie "Daten schützen" an, Datenschutz werde in ihrem Unternehmen wichtig oder sehr wichtig genommen. Im Jahr 2010 hatte sich nur gut die Hälfte der Datenschutzbeauftragten so ernst genommen gefühlt. Dennoch fordert in 58 Prozent der deutschen Großunternehmen die Geschäftsleitung Berichte des Datenschutzbeauftragten nur unregelmäßig oder gar nicht an. Dabei gilt: Je kleiner die Unternehmen, desto unregelmäßiger die Berichterstattung.

Noch unregelmäßiger als die Vorstände befassen sich in vielen Unternehmen die Mitarbeiter mit Datenschutz-Fragen: "Nur in jedem vierten Unternehmen werden Mitarbeiter, die Umgang mit personenbezogenen Daten haben, auch regelmäßig zu Datenschutzfragen geschult", berichtet Birthe Görtz. Zwar sei der Anteil der Unternehmen, die gar keine oder nur einmalige Schulungen durchführen, zurückgegangen. Gestiegen ist jedoch der Anteil der Unternehmen, die Datenschutz-Schulungen "bei Bedarf" durchführen - auf fast 40 Prozent: "Man kann nur hoffen, dass Unternehmen 'Bedarf' nicht nur ausnahmsweise sehen", kommentiert Birthe Görtz.

Viele pflegen das Verfahrensverzeichnis nicht regelmäßig

Wie einmalig die Beschäftigung mit Datenschutzfragen für viele Unternehmen immer noch ist, zeigt sich auch in der Handhabung des Verfahrensverzeichnisses , das das Bundesdatenschutzgesetz (BDSG) fordert: Neun von zehn deutschen Großunternehmen haben zwar ein Verzeichnis aller Verfahren, die Datenschutz-Fragen berühren.

Dass das Verfahrensverzeichnis auch regelmäßig aktualisiert wird, gibt mit 53 Prozent nur etwa die Hälfte der Datenschutzbeauftragten an. "Damit vernachlässigen Unternehmen nicht nur ihre gesetzlichen Pflichten", sagt PwC-Datenschutzexperte Tim Fechte. "Sie haben offenbar selbst keinen Überblick, von welchen Geschäftsprozessen möglicherweise ein Risiko ausgeht."

Wenig Nachhaltigkeit attestieren die PwC-Experten Görtz und Fechte deshalb den Datenschutz-Aktivitäten vieler deutscher Unternehmen. Und Birthe Görtz sagt: "Auch bei unserer zweiten Studie zum Datenschutz mussten wir leider feststellen: Eine wirkliche Datenschutzkultur hat erst in wenigen Unternehmen Einzug gehalten."