Datenschutzprüfung im Unternehmen nur alle 39.400 Jahre

Wenn es um den Umgang mit vertraulichen Daten geht, handeln viele Unternehmen nachlässig und alles andere als rechtskonform. Kein Wunder, stellten die Autoren des Datenschutzbarometers 2009 (PDF-Datei) der Xamit Bewertungsgesellschaft fest. Denn auf 100.000 Unternehmen kommen bundesweit gerade einmal zwei Kontrolleure. Rein rechnerisch heißt das etwa für Baden-Württemberg, dass ein Unternehmen nur alle 39.400 Jahre mit einer Überprüfung seines Datenschutzverhaltens durch Behörden rechnen muss.

Um das aktuelle Datenschutzniveau in Deutschland zu bestimmen, untersuchte Xamit die Webseiten von Unternehmen. Bisher behandelten die Studien der Firma den Umgang mit den personenbezogenen Daten sowie die Transparenz der Datenerhebung und -weiterverarbeitung. Diesmal kamen als weitere Aspekte das gesetzlich vorgeschriebene öffentliche Verfahrensverzeichnis und die Kontrolle der Unternehmen durch die Aufsichtsbehörden hinzu.

Als Grundlage der Studie diente die maschinelle Quellcode-Analyse von circa 24.000 deutschen Webpräsenzen mit 1,6 Millionen Webseiten, darunter Gemeinden, politische Organisationen, Vereine sowie Unternehmen verschiedener Branchen. Konkret überprüft wurde außer den genannten Neuerungen die Einbindung von Google AdSense und Statistiktools auf den Webseiten nebst das Vorhandensein eines entsprechenden Nutzerhinweises, außerdem die Abfrage persönlicher Daten bei Kontaktformularen und die zugehörige Datenschutzerklärung für die Nutzer. Bei Shops versuchte das Analysetool, Shop-Software und Version zu ermitteln.

Die Autoren zählten sämtliche Webpräsenzen, die gegen den Datenschutz verstießen - etwa durch Einsatz des in einem Gutachten (PDF-Datei) des Datenschutzbeauftragten Schleswig-Holsteins als rechtswidrig eingestuften Google Analytics oder fehlende Datenschutzerklärungen für Nutzer - und gewichteten die Branchen nach Vertraulichkeit der dort anfallenden Informationen. Zusammengefasst ergaben sich folgende Ergebnisse: Auf 61 von 100 Webpräsenzen fanden sich datenschutzrechtliche Verstöße - das bedeutet eine Steigerung um 11 Prozent im Vergleich zum vergangenen Jahr.

Noch schlimmer sieht die Situation in Sachen Verfahrensverzeichnis aus. Laut § 4e BDSG muss jedermann auf Verlangen ein öffentliches Verfahrensverzeichnis zugänglich gemacht werden, das beschreibt, welche Daten ein Unternehmen oder eine Institution erhebt und für welche Zwecke es sie nutzt. Im Rahmen der Studie haben Testpersonen 395 der untersuchten Organisationen per Mail um Zusendung des öffentlichen Verfahrensverzeichnisses gebeten, 17 Mails waren unzustellbar. Von den verbleibenden Angeschriebenen schickten 5 Prozent ein Verfahrensverzeichnis zu. 4 Prozent verstanden die Anfrage nicht, 1 Prozent stellte zahlreiche Gegenfragen, ein Steuerberater verweigerte die Einsichtnahme und satte 90 Prozent reagierten gar nicht. Mithin verstießen insgesamt 95 Prozent gegen das geltende Einsichtsrecht.

Die vollständige 47-seitige Studie ist ebenso wie alle bisher erschienenen Xamit-Studien auf der Website des Unternehmens kostenlos herunterzuladen. (ur)