Im Team für mehr Datenschutz
Mit rechtlichem oder organisatorischem Sachverstand allein, ist die Sache nicht getan. Das betroffene Unternehmen braucht beides. Um entsprechend vorzubeugen, sollte das Unternehmen ein internes Verfahren zur Aufdeckung und Meldung von Sicherheitsverstößen etablieren. Die "data breach policy" beispielsweise legt fest, welche Schritte im Fall einer Datenpanne unternommen werden müssen (z.B. welche Zuständigkeiten gelten). Für den Ernstfall sollten außerdem Richtlinien in der Schublade liegen, die darüber informieren, auf welche Weise und mit welchen Inhalten Mitteilungen an Kunden und Aufsichtsbehörden gehen sollen.
Dafür müssen alle Unternehmensbereiche, die so eine Panne angeht schon im Vorfeld gut zusammenarbeiten. Der Justiziar klärt über die Vorschriften auf, der IT-Sicherheitsbeauftragte kontrolliert die Sicherheit des Datenverkehrs, der Datenschutzbeauftragte verabschiedet die Regeln und der Kommunikationsverantwortliche steuert die Kommunikation nach außen. Würden sich alle aber nur auf diesen einen Vorfall rüsten, wäre das zu kurz gegriffen. Vielmehr sollten sie ihre Sache ganzheitlich verstehen und intensiv durchleuchten, welche Kundendaten überhaupt von wem für welche Zwecke erhoben werden? In welchen Abteilungen und vertrieblichen Schnittstellen muss eine Einwilligung des Kunden abgefragt werden? Welche Arbeitsabläufe im gesamten Unternehmen hantieren mit den sensiblen Kundendaten? Denn jede Information, die gar nicht erst erhoben wird, verringert die Gefahr einer Datenpanne, auch wenn dies im Informationszeitalter manchmal unrealistisch erscheint.
Nie die Daten horten
Schon bei der Erhebung der Daten ist deshalb ein kritischer Blick angebracht. Denn nach dem datenschutzrechtlichen Grundsatz der Erforderlichkeit, muss eine Firma den Umfang der Datensammlung auf dessen wirklichen Verwendungszweck begrenzen. Andere Angaben, die etwa in einem Formular abgefragt werden, sollten vermieden oder jedenfalls ausdrücklich als "freiwillig" bezeichnet werden. Auch das Einholen von Einwilligungen hilft nur begrenzt weiter. Wichtig ist in diesem Zusammenhang das datenschutzrechtliche Koppelungsverbot: danach verbietet der Gesetzgeber - unter bestimmten Voraussetzungen - , den Vertragsschluss von einer Einwilligung des Kunden in eine Verwendung seiner Daten zu Werbezwecken abhängig zu machen, also etwa die Zustimmung zu dem regelmäßigen Erhalt eines Newsletters.