Kontrollen in Firmen Datenschutz: Fehlanzeige

Firmen in Deutschland können beim Datenschutz nachlässig sein: Mit Überprüfungen müssen sie kaum rechnen, wie das aktuelle Datenschutz-Barometer belegt.

Statistisch gesehen stehen 100.000 Unternehmen zwei Mitarbeiter einer Datenschutz-Aufsichtsbehörde gegenüber. Damit müsste ein Unternehmen nur alle 39.400 Jahre mit einer Datenschutzprüfung rechnen. Das ist das Ergebnis des Xamit-Datenschutz-Barometers 2009. Xamit ist eine Bewertungsgesellschaft mit Sitz in Düsseldorf. "Da verwundert es nicht, dass der 'Mut zur Lücke' hierzulande vorherrscht", schreiben die Autoren.

Zu dem Ergebnis kamen sie aufgrund einer simplen Nachfrage: Sie baten die Unternehmen um das sogenannte "Verfahrensverzeichnis". Ein solches Verzeichnis muss gemäß Bundesdatenschutzgesetz jeder führen, der personenbezogene Daten verarbeitet – auch die Betreiber von Internetseiten.

Nun baten Testpersonen insgesamt 395 Webseitenbetreiber darum. 90 Prozent der E-Mails blieben unbeantwortet. Vier Prozent der Mails kamen mit dem Vermerk "unzustellbar" zurück. Daraus zieht Xamit den Schluss, dass die zu diesem Zweck hinterlegte Mailadresse nicht funktionierte – das wiederum wäre laut Studie ein Verstoß gegen das Telemediengesetz. Ein Prozent der Adressaten hätte mit – so Xamit – "unnötigen Gegenfragen" reagiert. Nur fünf Prozent hätten sich korrekt verhalten und das Verfahrensverzeichnis anstandslos zugeschickt. "Es steht also zu befürchten, dass dieses elementare Datenschutz-Werkzeug in den meisten Organisationen schlicht und einfach nicht existent ist", schreiben die Autoren. Und weiter: "Ohne ein Verfahrensverzeichnis fehlt der Überblick, welche personenbezogenen Daten verarbeitet werden. Damit sind Zweckänderungen, ausbleibende Löschungen, Sicherheitsprobleme und weitere Datenschutzverstöße vorprogrammiert."

Darüber hinaus hat Xamit 24.000 Webpräsenzen auf Sicherheitslücken hin überprüft. So kann etwa veraltete Software zum Risiko werden, weil die darin enthaltenen Sicherheitslücken per Suchmaschine gefunden und "vollautomatisch" angegriffen werden könnten. 61 Prozent hätten gegen den Datenschutz verstoßen, mehr als im Jahr zuvor (55 Prozent). 2009 verwendeten sogar 35 Prozent mehr Seiten veraltete Shopsoftware als im Vorjahr.

Die Verwendung von Google Analytics (GA) ist um über 30 Prozent gestiegen. Der Einsatz wird von den Aufsichtsbehörden als "unzulässig" eingestuft. Weitere 20 Prozent erstellen ihre Webstatistiken heimlich, ohne den Internetsurfer darauf hinzuweisen. Damit verstoßen die Seiten dann – etwa im Fall von Google Analytics – nicht nur gegen geltendes Recht, sondern auch gegen die Lizenzbestimmungen des Entwicklers. Besonders Datenschutzkonform sind die Seitenbetreiber (5 Prozent) im Saarland. Am meisten Internetseiten (knapp 20 Prozent) haben in Hamburg Probleme mit dem Datenschutz-Recht.

Weiter dokumentieren die Autoren die Kapazität der Aufsichtsbehörden in den Bundesländern: "Demnach verfügen die antwortenden Behörden 2009 über knapp 271 Stellen. Davon entfallen 255 auf das Kernpersonal, 12 auf Praktikanten und Referendare und vier auf Auszubildende und Trainees." Aufgefallen ist Xamit ein Missverhältnis zwischen öffentlichem und nicht öffentlichem Bereich: Während der öffentliche Bereich bei den Datenschützern teilweise sogar mit mehr als zehn Personen besetzt ist, führt der nicht öffentliche Bereich ein Schattendasein.

"Fehlende Kontrollen begünstigen Unternehmen, die systematisch Datenschutzgesetze verletzen. Denn diese sparen die Ausgaben für einen wirksamen Datenschutz und können wertvolle Daten nutzen, an die sie auf legalem Wege – zumindest nicht ohne erheblichen Aufwand – schlichtweg nicht herankommen", sagt Xamit-Geschäftsführer Niels Lepperhoff. "Unternehmen, die sich an die Gesetze halten, haben einen handfesten Wettbewerbsnachteil", sagt er und fordert von der Politik "für einen geeigneten Wettbewerbsrahmen zu sorgen und diesen zu schützen. Die Unternehmen alleine können das nicht leisten".

Mehr zum Thema

[zum Ressort Datenschutz]

Google Analytics

Datenschützer wollen Einsatz von Analytics verhindern
Google hilft Websitebetreibern, mehr über ihre Nutzer zu erfahren. Datenschützer aber fürchten Sammelwut und fordern Aufklärung. Im Zweifel mit Androhung von Bußgeldern. [weiter…]
iPhone-Apps

Der Spion im Telefon
Im Netz ist nichts umsonst. Bezahlt wird zwar oft nicht mit Geld, dafür aber mit privaten Daten. Wie im Fall von iPhone-Apps. Die spähen gern mal ihre Anwender aus. [weiter…]
Arbeitnehmerdatenschutz

Zentralregister für Streikende
Der Entgeltnachweis ELENA erfasst künftig neben dem Gehalt der Mitarbeiter auch Fehlverhalten und Streiks. Gewerkschaften und Datenschützer sind alarmiert. Von Tina Klopp [weiter…]

Leser-Kommentare

Kommentarseite 1 / 1

- könig von deutschland
- 02.12.2009 um 15:39 Uhr
1. HER MIT DEN PIRATEN
Wen wunderts? Damit hätte ja wohl schon Kohl anfangen müssen. Doch der dachte bei der Frage nach der neuen Datenautobahn nicht ans Internet, sondern an die A1. Die Gesetzgebung wird mindesten noch zwanzig Jahre lang um zwanzig Jahre hinterherhinken. Außer die Piraten gewinnen an Einfluss.

Kommentar als bedenklich melden
- octopus_vulgaris
- 02.12.2009 um 17:27 Uhr
2. Forderung an die Politik...
"...und fordert von der Politik "für einen geeigneten Wettbewerbsrahmen zu sorgen und diesen zu schützen."
----
Schön wär's ja, aber dazu müsste selbige erst mal zumindest grundlegende Ahnung vom Internet haben. Und davon sind wir momentan weiter entfernt als Osama Bin Laden von der Heiligsprecheng...

Kommentar als bedenklich melden
- octopus_vulgaris
- 02.12.2009 um 17:32 Uhr
3. Frage an zeit.de
Umgang mit Daten auf Ihrer Site???
- warum muss ich googleapis.com zulassen um mich einzuloggen und Kommentare zu schreiben. Wo finde ich auf Ihrer Site Informationen über diesen Dienst (welche Daten werden wozu erhoben????
- dito: ivwbox.de; nuggad.net; doubleclick.net ????

Kommentar als bedenklich melden
- DetlevCM
- 03.12.2009 um 17:30 Uhr
4. ??
Wie soll jeder Mensch mit einer Privaten Internetseite ein Verfahrensverzeichnis unterhalten?
Dazu muss man erstmal wissen das so etwas gibt und was es denn überhaupt ist - mir sagt der Wikipedia Link nicht sehr viel aus...

Das ist für kleine private, nicht komerzielle Seite nahezu unmöglich.

(Emailadresse zur Kontaktaufnahme mit dem Administrator - name Emailadresse = Personenbezogene Daten?)

Kommentar als bedenklich melden
- Till Cologne
- 04.12.2009 um 2:01 Uhr
5. Google Analytics - wirklich unzulässig?
GA, Webalizer o.ä. Webanalysesoftware sind für die Kontrolle und den Etat für bspw. Anzeigenschaltungen unumgänglich und seit Jahren ein professioneller Standard in der Werbebranche. Die Software als "unzulässig" zu bezeichnen könnte man als "weltfremd" beschreiben und würde damit wohl zu einem wirtschaftlichen Gau beitragen. Zugriffe auf Webseiten nicht zu erfassen gleicht der digitalen Steinzeit. Der Sinn der Software liegt letztlich darin, dem User passende Inhalte zu präsentieren und diesen eben nicht mit unerwünschten Inhalten zu überfluten. Wer Google als bekannte Datenkrake nicht mag, der könnte auch auf alternativen Zugreifen - http://tinyurl.com/yjcnhyp

Natürlich sollten keine personenbezogenen Daten gespeichert werden, aber dies ist - wenn man sich an die Gesetze hält - auch nicht der Fall. Zudem hat der BVDW (Bundesverband Digitale Wirtschaft) darauf hingewiesen, dass der Einsatz von Google Analytics im Impressum angegeben werden sollte. So wird es von seriösen Firmen gehandhabt und ich denke das ist auch der richtige Weg. Auch "Zeit Online" nutzt GA bei dem Angebot "Reisen" und andere Tracking-Software im übrigem Angebot - was nicht verwerflich gemeint ist.

// Links
/ Datenschutz "Zeit Online"
http://tinyurl.com/ygykrhg

/ GOOGLE ANALYTICS BEDINGUNGEN
http://tinyurl.com/yft3fhz

Wer will kann GA, wie auch AdBanner, einfach bloggen - das Selbstbestimmungsrecht gilt schließlich immer.
http://tinyurl.com/llwc7n
http://tinyurl.com/ype633

Greetz
Till

Kommentar als bedenklich melden