17. Datenschutz- und Informationsfreiheitsbericht
17. Datenschutz- und Informationsfreiheitsbericht
17. Datenschutz- und Informationsfreiheitsbericht
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Technik<br />
unterschiedlichen Ergebnissen. Überwiegend gab es keine verbindlichen<br />
Anweisungen <strong>und</strong> keine Kontrollen.<br />
So war beispielsweise die Verpflichtung zur Bestellung einer oder eines<br />
betrieblichen <strong>Datenschutz</strong>beauftragten in einem Unternehmen mit etwa 100<br />
Beschäftigten gänzlich unbekannt. Andere Unternehmen hatten zwar<br />
Datensicherheitsmaßnahmen getroffen, die allerdings wegen des Fehlens<br />
einer ganzheitlichen Betrachtung Lücken aufwiesen. Insgesamt konnte<br />
folgendes Resümee gezogen werden:<br />
• Auffallend unzureichend waren Datensicherheitsmaßnahmen insbesondere<br />
dann, wenn sie stark in den täglichen Arbeitsablauf hinein gereicht<br />
hätten <strong>und</strong> hierdurch vermeintlich ein Spannungsfeld zwischen Funktionalität<br />
<strong>und</strong> Sicherheit entstanden wäre.<br />
• Zu trennende Betriebsbereiche waren selten mittels Einsatz technischer<br />
Hilfsmittel wie Zugangskontrollsystemen oder organisatorischer<br />
Regelungen wie dokumentierter Schlüsselverwaltung geschützt.<br />
• Nur selten war ein <strong>Datenschutz</strong>- oder ein Sicherheitskonzept vorhanden.<br />
• Entgegen der im öffentlichen Bereich durchgängigen Praxis, technische<br />
<strong>und</strong> organisatorische Maßnahmen schriftlich zu fixieren, wurde dies in<br />
den Unternehmen vernachlässigt.<br />
• Fast vorbildlich eingehalten <strong>und</strong> auch durch interne <strong>und</strong> externe<br />
Institutionen kontrolliert waren diejenigen Datensicherheitsmaßnahmen<br />
(insbesondere die der Eingabekontrolle), die eine Schnittmenge mit den<br />
gesetzlich vorgegebenen buchhalterischen, finanzrechtlichen <strong>und</strong><br />
geschäftsinternen Anforderungen an DV-gestützte Systeme bilden.<br />
Die Ergebnisse der Kontrollbesuche zeigen, dass dem Thema <strong>Datenschutz</strong><br />
<strong>und</strong> Datensicherheit in einer Reihe von mittelständischen Unternehmen ein<br />
zu geringer Stellenwert eingeräumt wird. Eine diesbezügliche Veränderung<br />
kann oft schon durch vermehrte Information bewirkt werden. Positiv können<br />
ebenfalls die Zusagen der aufgesuchten Unternehmen gewertet werden, den<br />
ausgesprochenen Empfehlungen zur Verbesserung der Datensicherheit<br />
uneingeschränkt folgen zu wollen. Auch die Sensibilisierung der<br />
Geschäftsleitungen zur Erstellung von Datensicherheitskonzepten konnte<br />
häufig erreicht werden.<br />
Die Qualität der Datensicherheit steht <strong>und</strong> fällt mit den verbindlich<br />
vorgegebenen organisatorischen <strong>und</strong> technischen Maßnahmen. Das<br />
22<br />
LDI NRW <strong>17.</strong> <strong>Datenschutz</strong>bericht 2005