Datenverlust: Meldepflicht und Haftung

Sicherheitsexperte Utimaco fordert: Firmen müssen für Datenverluste haften
Ziel dieses Vorstoßes ist es, dass Unternehmen und Organisationen die notwendigen Maßnahmen ergreifen, um Kundendaten wirksam vor Verlust und Missbrauch zu schützen

(08.09.08) - Die Ergebnisse von Innenminister Schäubles zum Datengipfel am 4. September 2008 greifen nach Ansicht von Utimaco zu kurz. Der Sicherheitsexperte fordert: "Datentransfers transparent machen und Unternehmen bei Datenverlusten in die Pflicht nehmen. Datensicherheit soll zum Wettbewerbsvorteil werden."

Die Skandale um eine illegale Nutzung persönlicher Daten von Kunden häufen sich. Nahezu täglich gibt es neue Berichte über den Missbrauch von Kundendaten. Viele Vorkommnisse haben dazu geführt, dass sich Fachpolitiker aus Bund und Ländern bei Bundesinnenminister Wolfgang Schäuble zu einem "Datenklau"-Gipfel getroffen haben. Notwendig wurde die Konferenz deshalb, weil die Politik dem Treiben zu lange zugeschaut hat. Das Ergebnis: schärfere Gesetze, die die Zustimmung der Bürger zur Datenweitergabe und höhere Bußgelder vorsehen.

Dabei liegt eine deutlich wirkungsvollere Lösung auf der Hand. Nach amerikanischem Vorbild fordert Datensicherheits-Experte Utimaco:
1. Unternehmen und Organisationen müssen verpflichtet werden, Datenverluste den Betroffenen und der Öffentlichkeit sofort mitzuteilen.
2. Betroffene sollen die Möglichkeit haben, den erlittenen Schaden in Regress zu stellen.

Ziel dieses Vorstoßes ist es, dass Unternehmen und Organisationen die notwendigen Maßnahmen ergreifen, um Kundendaten wirksam vor Verlust und Missbrauch zu schützen. Wer keine Maßnahmen ergreift, muss bei Datenverlusten auch mit hohem Imageverlust rechnen - und dass Kunden massiv abwandern (Untersuchung von Ponemon-Institute, "The Consumer's Report Card on Data Breach Notification ", April 15, 2008). Datensicherheit wird somit zu einem direkten Wettbewerbsvorteil. Utimaco begrüßt deshalb auch das während des Datengipfels vorgeschlagenene "Datenschutz-Gütesiegel" für Unternehmen.

Ergänzend dazu sollten Unternehmen aber protokollieren, welcher Mitarbeiter zu welchem Zeitpunkt auf Kundendaten zugreift. So lässt sich sehr wirksam die berechtigte Nutzung der Kundeninformationen vom absichtlichen Missbrauch trennen. Die technischen Möglichkeiten dazu sind längst vorhanden.

"Die USA haben es vorgemacht: Dort sind Unternehmen verpflichtet, Bürger und die Öffentlichkeit zu informieren, wenn persönliche Daten verloren oder entwendet wurden. Das sollte auch in Deutschland eingeführt werden", sagt Martin Wülfert, Vorstandsvorsitzender der Utimaco Safeware AG. "Unternehmen müssen die Konsequenzen eines leichtfertigen Umgangs mit Daten zu spüren bekommen. Dies ist eine Maßnahme, um verlorenes Vertrauen der Bürger in die Sicherheit ihrer persönlichen Daten wieder herzustellen." (Utimaco: ra)