Statistisch gesehen stehen 100.000 Unternehmen zwei Mitarbeiter einer Datenschutz-Aufsichtsbehörde gegenüber. Damit müsste ein Unternehmen nur alle 39.400 Jahre mit einer Datenschutzprüfung rechnen. Das ist das Ergebnis des Xamit-Datenschutz-Barometers 2009. Xamit ist eine Bewertungsgesellschaft mit Sitz in Düsseldorf. "Da verwundert es nicht, dass der 'Mut zur Lücke' hierzulande vorherrscht", schreiben die Autoren.

Zu dem Ergebnis kamen sie aufgrund einer simplen Nachfrage: Sie baten die Unternehmen um das sogenannte "Verfahrensverzeichnis". Ein solches Verzeichnis muss gemäß Bundesdatenschutzgesetz jeder führen, der personenbezogene Daten verarbeitet – auch die Betreiber von Internetseiten.

Nun baten Testpersonen insgesamt 395 Webseitenbetreiber darum. 90 Prozent der E-Mails blieben unbeantwortet. Vier Prozent der Mails kamen mit dem Vermerk "unzustellbar" zurück. Daraus zieht Xamit den Schluss, dass die zu diesem Zweck hinterlegte Mailadresse nicht funktionierte – das wiederum wäre laut Studie ein Verstoß gegen das Telemediengesetz. Ein Prozent der Adressaten hätte mit – so Xamit – "unnötigen Gegenfragen" reagiert. Nur fünf Prozent hätten sich korrekt verhalten und das Verfahrensverzeichnis anstandslos zugeschickt. "Es steht also zu befürchten, dass dieses elementare Datenschutz-Werkzeug in den meisten Organisationen schlicht und einfach nicht existent ist", schreiben die Autoren. Und weiter: "Ohne ein Verfahrensverzeichnis fehlt der Überblick, welche personenbezogenen Daten verarbeitet werden. Damit sind Zweckänderungen, ausbleibende Löschungen, Sicherheitsprobleme und weitere Datenschutzverstöße vorprogrammiert."

Darüber hinaus hat Xamit 24.000 Webpräsenzen auf Sicherheitslücken hin überprüft. So kann etwa veraltete Software zum Risiko werden, weil die darin enthaltenen Sicherheitslücken per Suchmaschine gefunden und "vollautomatisch" angegriffen werden könnten. 61 Prozent hätten gegen den Datenschutz verstoßen, mehr als im Jahr zuvor (55 Prozent). 2009 verwendeten sogar 35 Prozent mehr Seiten veraltete Shopsoftware als im Vorjahr.

Die Verwendung von Google Analytics (GA) ist um über 30 Prozent gestiegen. Der Einsatz wird von den Aufsichtsbehörden als "unzulässig" eingestuft. Weitere 20 Prozent erstellen ihre Webstatistiken heimlich, ohne den Internetsurfer darauf hinzuweisen. Damit verstoßen die Seiten dann – etwa im Fall von Google Analytics – nicht nur gegen geltendes Recht, sondern auch gegen die Lizenzbestimmungen des Entwicklers. Besonders Datenschutzkonform sind die Seitenbetreiber (5 Prozent) im Saarland. Am meisten Internetseiten (knapp 20 Prozent) haben in Hamburg Probleme mit dem Datenschutz-Recht.

Weiter dokumentieren die Autoren die Kapazität der Aufsichtsbehörden in den Bundesländern: "Demnach verfügen die antwortenden Behörden 2009 über knapp 271 Stellen. Davon entfallen 255 auf das Kernpersonal, 12 auf Praktikanten und Referendare und vier auf Auszubildende und Trainees." Aufgefallen ist Xamit ein Missverhältnis zwischen öffentlichem und nicht öffentlichem Bereich: Während der öffentliche Bereich bei den Datenschützern teilweise sogar mit mehr als zehn Personen besetzt ist, führt der nicht öffentliche Bereich ein Schattendasein.

"Fehlende Kontrollen begünstigen Unternehmen, die systematisch Datenschutzgesetze verletzen. Denn diese sparen die Ausgaben für einen wirksamen Datenschutz und können wertvolle Daten nutzen, an die sie auf legalem Wege – zumindest nicht ohne erheblichen Aufwand – schlichtweg nicht herankommen", sagt Xamit-Geschäftsführer Niels Lepperhoff. "Unternehmen, die sich an die Gesetze halten, haben einen handfesten Wettbewerbsnachteil", sagt er und fordert von der Politik "für einen geeigneten Wettbewerbsrahmen zu sorgen und diesen zu schützen. Die Unternehmen alleine können das nicht leisten".