Die betriebliche Datenschutzkontrolle kann auch nach außen vergeben werden - eine Option, die sich nicht zuletzt für kleinere und mittelständische Betriebe anbietet. "Je kleiner das Unternehmen, desto schwieriger kann es sein, eine geeignete Person mit der erforderlichen Fachkunde in den Bereichen Organisation, Recht und Technik zu finden", behauptet Hülsmann, der selbst als externer Datenschutzbeauftragter unterwegs ist. Voraussetzung für ein gelungenes Outsourcing dieser Position sei allerdings ein direkter Ansprechpartner im Unternehmen, der die internen Anfragen für ihn bündelt.

Mit dem Bestellen einer geeigneten Person ist es nicht getan: Unternehmen müssen gemäß Paragraf 9 des Bundesdatenschutzgesetzes "geeignete technische und organisatorische Maßnahmen" treffen, um die Einhaltung des Datenschutzes sicherzustellen. In diesem Zusammenhang sind Grundregeln zu beachten. So haben Firmen beispielsweise dafür zu sorgen, dass ihre Datenverarbeitungsanlagen für Unbefugte nicht zugänglich sind, sprich: die Server-Räume müssen verschlossen sein. "Wenn der Server in einem Kellerraum steht, zu dem man sich vom Hof aus mal eben mit Glasschneider und Gummiteller Zutritt verschaffen kann, ist dies unbedingt nicht gegeben", berichtet Hülsmann aus der Praxis.

Verbindliche Maßnahmen

Zu den weiteren Pflichtmaßnahmen gehört es, die firmeneigenen Systeme vor unberechtigten Zugriffen zu schützen. Auch hier haben die Unternehmen Nachholbedarf: Dem Hamburgischen Datenschutzbeauftragten zufolge wiesen die Passwort-Konventionen der in den vergangenen beiden Jahren kontrollierten Betriebe zahlreiche Mängel auf: Dazu zählten häufig Defizite im Hinblick auf Zeichenlänge und -mix sowie die geringe Anzahl von Passwort-Generationen, deren zu lange Gültigkeit sowie eine unzulängliche Sperrung bei wiederholter Fehleingabe.

Darüber hinaus schreibt das Gesetz vor, personenbezogene Daten vor Zerstörung oder Verlust zu schützen. Auch hier liegt einiges im Argen. So erinnert sich Hülsmann an Szenarien, "wo sich im Server-Raum auch gleich noch das Archiv nebst Grill mit Anzünder befunden haben" - bei stets geöffneten Brandschutztüren.