IT-Recht: ein Zehn-Punkte-Plan für 2010

3. Datenlecks vermeiden

Eine weitere Neuerung des BDSG: Paragraf 42a normiert eine Pflicht für Unternehmen, die Öffentlichkeit über die unrechtmäßige Kenntnis personenbezogener Daten zu informieren, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Im Extremfall hat das betroffene Unternehmen durch halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen über ein Datenleck zu informieren. Dem sollten Unternehmen in jedem Fall vorbeugen, indem sie verlässliche Prozesse etablieren und Verantwortliche benennen, die einen unternehmensweiten Datenschutz effektiv stützen.

Was muss getan werden, um sich gesetzeskonform zu verhalten? Unternehmen sollten folgende Fragen antworten können: Sind alle relevanten Daten hinreichend geschützt? Hier steckt das Problem im Detail: Sind USB-Ports freigeschaltet oder sensible Daten auf Notebooks im Außeneinsatz verfügbar? Wie ist es um die Sicherheit weiterer mobiler Endgeräte wie Blackberrys bestellt?

Empfehlenswert ist es, durch Risikoanalysen zusammen mit der hauseigenen IT-Abteilung oder einem spezialisierten Dienstleister die Gefahr eines Datenverlustes einzuschätzen. Anschließend sollte eine umfassende „IT Security Policy“ formuliert werden, die als Handlungsanweisung dient.

4. Personenbezogene Daten sichern

Datenschutzrechtliche Fragen hängen in der Unternehmenspraxis stark mit den Anforderungen an die Datensicherheit zusammen. Ohne entsprechende technisch-organisatorische Maßnahmen kann der vorgesehene Schutz personenbezogener Daten kaum wirksam umgesetzt werden. Dementsprechend werden in einer Anlage zu Paragraf 9 Satz 1 BDSG Maßnahmen beschrieben, deren Umsetzung die Unternehmen bei der Verarbeitung personenbezogener Daten einhalten müssen.

5. Systematisches Archivieren und Löschen

Unternehmen bewegen sich im Spannungsfeld zwischen der Pflicht zur Aufbewahrung von Unterlagen aufgrund von handelsrechtlichen und steuerrechtlichen Vorgaben einerseits und der Verpflichtung zur Löschung und Vernichtung von Daten und Unterlagen aufgrund datenschutzrechtlicher Vorgaben (Grundsatz der Datenvermeidung und Datensparsamkeit) andererseits.

Wenn zusätzlich noch US-amerikanisch geprägte, sogenannte „Data Retention Policies“ zur Anwendung kommen, die – häufig unabhängig von den gesetzlichen Vorgaben in Deutschland – unternehmensspezifische Löschungszyklen für elektronische Daten vorschreiben, ist das Chaos perfekt. Daher sollten in diesem Jahr neben Richtlinien zur Archivierung auch Richtlinien zur systematischen Löschung von Dokumenten verabschiedet werden.

Themenseiten: Big Data, Compliance, Datenschutz, Gastbeiträge, IT-Business, Mittelstand, Strategien

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu IT-Recht: ein Zehn-Punkte-Plan für 2010

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *