Archivierung contra Datenschutz

Personaldaten vor dem Rechnungsprüfer

Daten und Unterlagen wie Rechnungen müssen jahrzehntelang unverändert aufbewahrt werden. Andere heikle Informationen aber, speziell die aus der Personalabteilung, darf der Wirtschaftsprüfer keinesfalls zu Gesicht bekommen. Hier gesetzestreu alle Vorgaben einzuhalten, ist nicht leicht. Aber es geht.

Einen Datenschutzbeauftragten braucht das Unternehmen, wenn mehr als neun Mitarbeiter personenbezogene Daten elektronisch verarbeiten (bei Adresshändlern ab einer Person – also immer). Das ist aber keineswegs ein Freifahrschein für kleinere Firmen, sorglos mit Informationen zu hantieren. „Die Anforderungen bestehen genauso, nur dass Sie keine Person einstellen müssen, die das kontrolliert“, erklärt Dr. Thomas Krätzig von der Hagener KJ-NetworX GmbH. Solche personenbezogenen Daten häufen sich typischerweise z. B. in der Lohnbuchhaltung, die gerade bei kleinen Unternehmen oft im Haus gemacht wird. Diese Daten sind zugleich besonders schutzwürdig, da sie u. a. das Gehalt der Mitarbeiter verraten. Sie müssen in jedem Fall dafür sorgen, dass solche und andere sensible Daten, z. B. die Bankverbindungen oder Krankheitsinformationen, nicht an Unbefugte weitergegeben werden. Die Sicherheit beginnt prinzipiell beim Gebäude- und Einbruchsschutz. Auf IT-Ebene startet sie mit einer guten Authentifizierung. Davon ist die digitronic computersysteme gmbh überzeugt. Nach Angaben der Chemnitzer bieten Systeme, die auf einem USB-Token oder einer Smartcard basieren, ein besonders hohes Sicherheitsniveau. Sie setzen nämlich für eine erfolgreiche Anmeldung „Besitz und Wissen“ voraus – den Besitz des Hardwareschlüssels und das Wissen von der speziellen PIN. Nur wenn eine Person beides hat, kann sie sich anmelden und ins System gelangen. Das schützt nicht nur vor Hackern und Dieben, die es auf den Laptop des Außendienstmitarbeiters abgesehen haben, sondern auch der Chef- und der Kollegen- PC bleibt so vor allzu neugierigen Blicken von Mitarbeitern sicher.

Sortiert, markiert, abgesperrt

Wenn der Wirtschaftsprüfer vom Finanzamt elektronisch verarbeitete Daten sehen möchte, sollte man ihm schon aus eigenem Interesse ausschließlich die Informationen zukommen lassen, die er sehen möchte. Und entsprechend vorsortieren. „So kann er z. B. einsehen, dass ein Mitarbeiter häufig krank war“, erklärt Dr. Krätzig. „Aus diesen Unterlagen darf aber nicht der Grund für die Krankmeldung hervorgehen.“ Diese Informationen müssen getrennt aufbewahrt werden. Wie aber die entsprechenden Daten herausfiltern? Hier kommen Dokumentenmanagementsysteme (DMS) ins Spiel. Dr. Thomas Krätzig setzt auf ELO, dessen Kosten etwa zwischen 1000 und 1500 Euro liegen. „Sie können sich das System wie einen Schrank mit verschiedenen Ordnern vorstellen, die Sie einzeln abschließen und an die Sie bestimmte Berechtigungen knüpfen können“, erläutert der Firmengründer. „Dann können Sie einen Nutzer, in diesem Fall den Wirtschaftsprüfer, anlegen, der nur verschiedene Ordner und Schrankabschnitte sehen darf, je nachdem, welche Daten sein Auftrag umfasst.“ Anders als etwa bei einem alkoholkranken Mitarbeiter kann der Prüfer dabei durchaus die Lohnpfändung eines Mitarbeiters einsehen. „Wenn er die Daten im Rahmen seines Auftrags sehen und verarbeiten muss, dann ist das auch in Ordnung“, sagt Dr. Krätzig. Auch wenn der Mitarbeiter ein besonders großes Problem damit hat, weil der Prüfer zufällig ein Bekannter ist. „Als Arbeitgeber müssen Sie den Prüfer eine Vereinbarung unterschreiben lassen, dass er die Infos geheim hält. Wenn der Prüfer dann in einer Bierlaune auf einem Nachbarschaftsfest von den Geldproblemen des Mitarbeiters erzählt, muss dieser das mit dem Wirtschaftsprüfer ausmachen.“ Ein anderes Problem ergibt sich in der Praxis, sobald Sie Ihren Mitarbeiter erlauben, privat zu surfen.

Privatkram in der Firmenpost

„Sie sind dazu verpflichtet, das ursprüngliche und unverfälschte Dokument innerhalb einer möglichst kurzen Zeit nach dem Eingang zu archivieren“, erklärt Andreas Göbel von der Kanzlei WOLFF GÖBEL Rechtsanwälte Fachanwälte. Das können Sie bei Mails mit Archivierungssystemen auf zweierlei Methoden lösen: Bei Methode eins entscheidet der Mitarbeiter, ob er die Mail archiviert – was den Vorteil hat, dass er Spam herausfiltern kann. Der Fachanwalt für ITRecht und für Arbeitsrecht warnt aber zugleich: Das Finanzamt sieht diese Herangehensweise ungern, weil die Mail manipuliert werden könnte. „Bei dieser Methode muss daher eine Information an das Dokument angebracht werden, wer dieses Dokument wann angefasst und wie geändert hat.“ Außerdem könne der Mitarbeiter z. B. die Wichtigkeit einer Post unterschätzen und die Mail versehentlich löschen. Sicherer sei die zweite Lösung, bei der alle eingehenden Dokumente automatisch archiviert werden, noch bevor der Mitarbeiter sie gelesen hat. Allerdings könnten Sie hier Probleme mit dem Datenschutz bekommen – wenn Sie nämlich Ihren Mitarbeitern erlauben, private Mails zu schreiben bzw. solche nicht ausdrücklich verbieten. Dann entsteht eine „betriebliche Übung“, d. h. der Mitarbeiter erwirbt das Recht, private Mails von seinem Arbeitsplatz zu schreiben. Gleichzeitig werden Sie zum Telekommunikationsanbieter und unterliegen dem Fernmeldegeheimnis. Die Mails Ihrer Mitarbeiter sind dann für Sie tabu. „Am besten schreiben Sie gleich in den Arbeitsvertrag, dass privates Mailen und Surfen verboten ist“, rät Göbel. „Dann kann keine betriebliche Übung entstehen – wenn Sie regelmäßige Kontrollen durchführen und erwischte Mitarbeiter abmahnen.“ Sollte das Kind schon in den Brunnen gefallen sein, ist es sicher das Beste, den Mitarbeiter ein Formular unterzeichnen zu lassen, auf dem Sie darauf hinweisen, dass das private E-Mailen verboten ist, und um eine schriftliche Bestätigung bitten. Damit wird der Arbeitsvertrag geändert. „Änderungskündigungen, bei denen das Arbeitsverhältnis gekündigt und unter neuen Bedingungen fortgeführt werden, sind teuer“, gibt Andreas Göbel zu bedenken. „Wenn der Mitarbeiter aber die Unterschrift verweigert, führt kein Weg daran vorbei. Und die Klage werden Sie gewinnen.“ Nun wollen Mitarbeiter aber nun einmal privat surfen. Wie das Problem also lösen? „Auf keinen Fall, indem Sie Mails von kostenlosen Internet-Konten erlauben“, warnt Göbel. „Damit unterlaufen Sie den Virenschutz, weil Sie die Firewall umgehen.“ Der Lehrbeauftragte für IT-Recht der FH Südwestfalen rät dazu, einen Rechner, der nicht an das Netzwerk angeschlossen ist, für solche Zwecke freizugeben. „Ansonsten sind Geschäftsmails keine datenschutzrechtlich schützenswerten Dokumente, da es sich ja nicht um personenbezogene Daten handelt“, sagt Göbel. „Der Kauf von teuren Maschinen durch einen Einzelunternehmer leistet zwar eine persönliche Aussage über ihn, die der Prüfer aber einsehen darf.“

Kunden machen Druck

Es gibt Firmen, die das Fehlen eines Datenschutzbeauftragten ausnutzen, um aus Altverträgen zu kommen bzw. um günstigere Konditionen herauszuschlagen, wie Dr. Thomas Krätzig zu erzählen weiß: „Ein Zulieferer bekam von seinem wichtigsten Kunden ein kurzes Anschreiben mit dem nach der aktuellen Gesetzgebung abgeänderten Vertrag. Den sollte er unterschrieben zurückschicken, damit er auch in Zukunft als rechtsgültig angesehen werden könne. In einer Zeile hieß es: ‚Wir bestätigen, dass sich unser Betrieb in allen Belangen der EDV und IT compliant verhält.‘ Als der Großkunde kurz darauf vorbeikam, um die Compliance zu überprüfen, konnte das Unternehmen trotz sicherem Serverraum mit allen Schikanen nicht überzeugen. Denn er hatte keinen Datenschutzbeauftragten. EDV-compliant heißt nämlich, dass man alle geltenden Gesetze einhält. Und dazu gehört auch die Bestellung eines Datenschutzbeauftragten ab einer bestimmten Größe.“ Der Kunde konnte nur durch Zugeständnisse beim Preis gehalten werden. Aber nicht nur Kunden machen Druck. In einzelnen Bundesländern gibt es seit Kurzem außerdem verstärkt Außenprüfungen. So hat die Landesdatenschutzbehörde NRW, die bis 2008 nur 35 Prüfer entsandte, die Zahl verdoppelt. Sie sollen nun erstmals nicht nur auf Anzeigen reagieren, sondern auch von sich aus agieren. Dabei untersuchen die Datenschützer verschiedene Branchen. Im Augenblick, so Göbel, nehmen sie sich die Headhunter vor. Von Dr. Krätzigs Klienten hatten schon zwei Kunden eine solche Überprüfung erlebt. Hinzu kommt noch eine Verschärfung des Bundesdatenschutzgesetzes (BDSG) durch die Datenschutznovelle vom September 2009. Dadurch, berichtet Anwalt Göbel, habe er zwar nicht mehr Fälle, aber mehr Kunden, die von sich aus sauberen Datenschutz sich einführen möchten. „Es machen sich tatsächlich mehr Menschen Gedanken darüber, wie sie die Daten ihrer Mitarbeiter schützen können. Dabei fängt es schon im Kleinen an: mit einer gut gesicherten Haustür.“

Schutzklassen in fünf Stufen

„Sie sollten sich immer fragen, wer an Ihre Hardware und somit an Ihre Daten kommen kann“, betont Andreas Göbel. „Wenn Sie einen Server mit Krankendaten ebenerdig vor einem gitterlosen, einfach verglasten Fenster deponieren und der Rechner geklaut wird, haben Sie ein richtiges Problem. Sie müssen den Raum mit Gitter, Alarmanlage und Videoüberwachung schützen. Denn Datenschutz beginnt als Einbruchschutz.“ Allerdings gilt für Sicheitsmaßnahmen das gesetzliche Prinzip der Verhältnismäßigkeit: „Kleine Unternehmer im Home Office müssen ihre Fenster meist nicht vergittern, denn es gibt abgestufte Sicherheitsniveaus“, beruhigt Andreas Göbel. „Die Verhältnismäßigkeit orientiert sich aber nicht an den finanziellen Verhältnissen den Betroffenen, sondern an der Wichtigkeit der Daten.“ Der Landesbeauftragte für den Datenschutz Niedersachsen unterscheidet fünf Stufen:

• Stufe A enthält frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsicht Nehmende ein berechtigtes Interesse geltend machen muss, z. B. Adressbücher, Mitgliederverzeichnisse oder Benutzerkataloge in Bibliotheken.
• Stufe B betrifft personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsicht Nehmenden gebunden ist, z. B. beschränkt zugängliche öffentliche Dateien oder Verteiler für Unterlagen.
• Stufe C umfasst personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Ansehen), z. B. Informationen zu Einkommen, Sozialleistungen, Grundsteuer oder Ordnungswidrigkeiten.
• Stufe D meint personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (Existenz), z. B. Informationen zur Unterbringung in Anstalten, Straffälligkeit, zu Ordnungswidrigkeiten schwer wiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen oder Konkurse.
• Auf Stufe E schließlich befinden sich Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z. B. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können.

Als Vorteil betrachtet

Gerade in Krisenzeiten wird Datenschutz oft als unnötiger Kostentreiber gesehen. Versuchen Sie das Beste daraus zu machen, indem Sie nach außen dokumentieren, dass Sie den Umgang mit Informationen ernst nehmen. Falls Ihnen Daten von Kundenseite anvertraut werden, wird sich Ihr Geschäftspartner ohnehin alle vorgeschriebenen Maßnahmen genauestens garantieren lassen. Wie gesagt: Der Druck kommt momentan von Kundenseite. Aber auch sonst werden Sie bemerken, dass das Thema momentan rasant Fahrt aufnimmt und die Unternehmen in die Offensive gehen, so dass sich sauberer Datenschutz mehr und mehr als Wettbewerbsvorteil erweisen wird. Mit Blick auf die Datenschutznovelle ist wichtig, dass der Beauftragte in der Firma spätestens jetzt sämtliche Abläufe den neuen Pflichten anpasst, bis hin zur Verfahrensdokumentation. Von vielen Maßnahmen – einer sauberen Rechteverteilung im Netzwerk, einer sicheren Authentifizierung und einem guten Dokumentenmanagement oder der Aufstellung von klaren Unternehmensregeln – profitieren Sie nicht zuletzt auch intern.

Dr. Thomas Krätzig
kommt ursprünglich selbst aus dem ISO-Management. Er gründete 2006 die KJ-NetworX GmbH, weil er mit seinen bisherigen IT-Dienstleistern schlechte Erfahrungen gemacht hatte. Dementsprechend wird Kundenorientierung bei ihm jetzt großgeschrieben. Der promovierte Wirtschaftsingnieur und geprüfte Datenschutzbeauftragte berät u. a. in den Bereichen Netzwerksicherheit und IT-Security.

Andreas Göbel
ist Inhaber der Hagener Kanzlei WOLFF GÖBEL Rechtsanwälte Fachanwälte sowie Spezialist für ITRecht und Arbeitsrecht. Der Jazzliebhaber berät auch rund um den Datenschutz und ist Dozent bei der Deutschen Sachverständigen Akademie (DSA) ebenso wie bei der comTeam-Akademie Datenschutz. 2007 wurde Göbel zum Lehrbeauftragten für IT- Recht an der Fachhochschule Südwestfalen ernannt.