Das haben wir schon immer so gemacht …

Heute begegnete mir dieser Spruch leider wieder einmal, wörtlich lautete er: „Wir geben die Daten seit 20 Jahren in dieser Form weiter, da ist noch nie etwas passiert.“ Solche Aussagen zu hören, schmerzen jeden Datenschützer und auch jeden Betroffenen. Sie erlauben aber auch einen erschreckenden Einblick in die Mentalität vieler Verantwortlicher. Mein Gesprächspartner hatte Recht: Es war noch nie etwas passiert, kein Kunde hatte bisher nachgefragt und glücklicherweise waren auch noch keine Daten missbraucht worden. Trotzdem musste ich den Unternehmer aufmerksam machen. Zum einen ist sein Handeln illegal. Auch wenn es bisher noch nicht aufgedeckt wurde oder zu Schäden gekommen ist, ändert dies nichts an dem Gesetzesverstoß.

Viel schwerer wiegt jedoch das Risiko, welches er in Bezug auf seine Kunden, aber auch in Bezug auf sein eigenes Unternehmen eingeht. Seine Kunden vertrauen ihm Daten im Vertrauen darauf an, dass er mit den Daten korrekt umgeht und genau dieses Vertrauen enttäuscht er, wenn er nicht die notwendigen Maßnahmen zum Datenschutz durchführt. Er setzt dadurch seine Kunden wissentlich dem Risiko des Datenmissbrauchs aus. Aber er bringt auch sich selbst und sein Unternehmen in Gefahr: Wenn etwas passiert oder seine Vorgehensweise bekannt wird, drohen hoher Imageverlust, Schadenersatzforderung und Bußgeld. Und dies muss doch eigentlich nicht sein.

Im weiteren Gespräch kam heraus, dass Daten früher per Fax weitergegeben wurden und dies heute per E-Mail – wohlgemerkt unverschlüsselt – geschieht. Die Daten gehen immer zu den selben Empfängern, ein Wechsel der Empfänger findet nur sehr selten statt. Dass die Daten überhaupt übermittelt werden, kann der Kunde sich zwar denken, zumindest dann, wenn er sich mit dem Thema näher beschäftigt. Über die Datenweitergabe aufgeklärt wurde der Kunde jedoch nicht, geschweige denn seine Einwilligung eingeholt.

Um es klarzustellen: Ich bin bei diesem Unternehmen kein Datenschutzbeauftragter. Trotzdem habe ich den Unternehmer dringend angeraten, fachlichen Rat einzuholen und ihm folgende Lösung skizziert, die mit sehr wenig Aufwand unzusetzen ist:

  1. Der Unternehmer muss seine Kunden dringend über die Übermittlung der Daten aufklären und die Einwilligung zur Übermittlung einholen. Denn nach meiner ersten Anschauung greift keine Übermittlungserlaubnis z.B. nach § 28 (2) BDSG.
  2. Der Unternehmer sollte die Daten per E-Mail nur verschlüsselt, z.B. mit OpenPGP übertragen. Da es sich ja nur um wenige Empfänger handelt, ist es sehr einfach, ein solches Verfahren umzusetzen.

Antwort schreiben

Sie müssen angemeldet sein um einen Kommentar zu verfassen.