Jedes dritte Unternehmen stand laut dem IT-Branchenverband BITKOM in Deutschland bereits im Fadenkreuz von Cyberkriminalität. Der Schaden geht in die Milliarden. Datenlecks werden allerdings oftmals auch hausgemacht. Nicht nur wandern zahlreiche Notizen, Kopien und Akten in Papierform in den Müll, auch Smartphones und Tablet-PCs werden ausgetauscht ohne Datenvernichtung. Führend in der Disziplin Datenleck sind dabei kleinere und mittelständische Unternehmen: „Digitale Sorglosigkeit kann sehr teuer werden. Immer dann, wenn Daten von Kunden betroffen sind, tritt die Unternehmerhaftung ein. Und das kann einen Unternehmer die Existenz kosten“, warnt Dirk Ulrich. Sein Münchener Unternehmen Teqcycle Solutions hat gemeinsam mit der Deutschen Telekom einen Prozess entwickelt, der aussortierte Smartphones von Datenresten reinigt und weiterverwertet.
Bei Verstößen gegen die Vorschriften des Bundesdatenschutzgesetzes drohen den Unternehmen und Unternehmern Bußgelder bis zu 50.000 Euro. Schadenersatzansprüche von Kunden, deren Daten dabei betroffen wurden, oder Mitarbeitern sind hier noch nicht eingerechnet. „Ein Unternehmen haftet gegenüber einem geschädigten Dritten, sofern ein Verschulden nachzuweisen ist. Bei einem Altgerät, das im Elektroschrott entsorgt oder einem Mitarbeiter überlassen wurde und dann auf einem Flohmarkt oder auf einem Internet-Auktionsportal landet, tritt der Verursacher in die Haftung ein“, erklärt Dirk Ulrich. Einen wirklichen Prozess zur Datenlöschung hat nur ein knappes Viertel der Unternehmen, ergab eine Studie im Rahmen der IT-Sicherheitsmesse it-sa in Nürnberg.
Ein Abtreten der Verantwortung im eigenen Unternehmen gilt im Übrigen nicht als Freibrief. Auch ein Entsorgungsauftrag an die IT-Abteilung ohne klare Prozessstruktur befreit nicht von der Haftung, die der Arbeitgeber im Normalfall trägt. Die Beweislast, ob ausschließlich ein Angestellter hier fahrlässig gehandelt hat, liegt bei dem Arbeitgeber. „Dies kann sich zur Zeitbombe entwickeln, vor allem, wenn Mitarbeiter relativ frei entscheiden dürfen, welche Daten auf dem mobilen Device sein können. Ein Prozess, der das Gerät komplett löscht, ist unbedingt nötig“, so Dirk Ulrich.