Ab Juli gültig

Neues Datenschutzrecht nimmt Unternehmen in die Pflicht

03.04.2009
Von 
Dr. Flemming Moos ist Fachanwalt für IT-Recht bei der Wirtschaftskanzlei Osborne Clarke in Hamburg.

Der Schaden wird oft zu spät bemerkt

Ein typisches Problem des digitalen Zeitalters: Datenverluste sind nicht auf den ersten Blick erkennbar, denn die ursprünglichen Daten bleiben unangetastet - eine Kopie genügt ja. Im schlimmsten Fall bemerkt ein Unternehmen erst viel zu spät, dass es Opfer einer Datenschutzverletzung geworden ist. Unternehmen, die sensible Daten ihrer Kunden bereithalten, müssen also Sicherheitsvorkehrungen ergreifen. Dazu gehören die folgenden:

  1. Empfehlenswert ist es, zunächst durch Risikoanalysen die Gefahr eines Datenverlustes einzuschätzen. Der erste Schritt sollte ein Blick auf die internen Prozesse zusammen mit der hauseigenen IT oder einem auf dieses Thema spezialisierten IT-Dienstleister sein.

  2. Sind die potenziellen Datenlecks identifiziert, so müssen in einem zweiten Schritt interne Verfahren zur Aufdeckung von Sicherheitsverstößen festgelegt und eingeführt werden. Welche Möglichkeiten sich hier jeweils eignen, hängt von der Organisationsstruktur des Unternehmens ab. Sicher spielen Zugangsbeschränkungen und Verschlüsselungstechniken eine entscheidende Rolle, aber auch organisatorische Fragen wie beispielsweise. "Wer darf welche Daten wohin mitnehmen?" (Siehe auch: "So setzt die IT den Basisschutz durch".)

  3. In einem dritten Schritt empfiehlt es sich, eine "Security Breach Notification Management Policy" auszuarbeiten. Sie soll regeln, welche Schritte im Falle eines Sicherheitsverstoßes zu unternehmen sind, wie die Meldepflichten erfüllt werden können und welche Verantwortlichkeiten gelten. (Siehe auch: "Verbinden Sie Compliance- und Risiko-Management".) Börsennotierte Unternehmen müssen zudem die allgemeinen Publizitätsrichtlinien beachten. Damit die Verantwortlichkeiten im Falle eines Falles klar geregelt sind, empfiehlt sich die Einrichtung eines speziellen Gremiums, dem unter anderem ein IT-Verantwortlicher und der betriebliche Datenschutzbeauftragte angehören sollten.

  4. Schließlich folgt die Feinarbeit: Musterdokumente helfen, den Umgang mit Datenverlusten im Unternehmen transparent und gesetzeskonform abzuwickeln. Welche Vorfälle werden wie an wen gemeldet? - Diese Antworten auf diese Fragen müssen sich auch im Nachhinein noch nachvollziehen lassen. Hier müssen Rechtsabteilung, IT-Abteilung und Unternehmenskommunikation eng zusammenarbeiten. Auch To-do- und Checklisten sowie Dienstanweisungen zum Umgang mit Datenverlusten unterstützen die Verantwortlichen dabei, möglichst reibungslos und auf einer rechtlich abgesicherten Basis alle notwendigen Informationen an Betroffene und Aufsichtsbehörden zu übermitteln.