Ferner haben Betriebe zu gewährleisten, dass ihre Mitarbeiter ausschließlich auf Daten zugreifen können (etwa im CRM-System), die sie tatsächlich für ihre Arbeit benötigen. Daneben sind die Übertragung oder der Transport personenbezogener Informationen so zu sichern, dass sich die Daten nicht unbefugt einsehen, kopieren, verändern oder löschen lassen.

Alles in allem umfasst der technisch-organisatorische Maßnahmenkatalog acht Regeln, an die sich Unternehmen zu halten haben. Da sich aber die Gegebenheiten in den Firmen und Organisationen stark unterscheiden, lässt der Gesetzgeber Freiheiten in der Umsetzung. "Die angemessene Ausgestaltung ist unter anderem Aufgabe des Datenschutzbeauftragten", erklärt Hülsmann. Allerdings warnt der Consultant davor, sich auf die einzelnen Maßnahmen zu beschränken. Nur mit einem stimmigen Gesamtkonzept ließen sich die gesetzlichen Forderungen nach einer datenschutzkonformen innerbetrieblichen Organisation erfüllen.

Datenschutz - ein Randthema?

Was den gesetzeskonformen Umgang mit Kunden- und Mitarbeiterdaten betrifft, hält sich das Engagement der Firmen in Grenzen. "Für die meisten Unternehmen betrifft das Thema Datenschutz die Personalabteilung - der Bereich Vertrieb wird selten als Problem angesehen", berichtet Berater Lüllemann. Nach Erfahrungen von Wolfram Funk, Senior Advisor ICT-Service bei der Experton Group, schrecken die Betriebe angesichts des erforderlichen Erstaufwands häufig davor zurück, das Thema Datenschutz auf ein breiteres Fundament zu stellen. Grundsätzlich sähen sich Datenschutzbeauftragte und Sicherheitsverantwortliche meist mit derselben Argumentation konfrontiert: "Wenn nichts passiert, dann heißt es, die ergriffenen Maßnahmen seien unnötig. Oder es passiert etwas, dann werden sie als sinnlos angesehen", erläutert Funk.