IT-Recht: ein Zehn-Punkte-Plan für 2010

3. Datenlecks vermeiden

Eine weitere Neuerung des BDSG: Paragraf 42a normiert eine Pflicht für Unternehmen, die Öffentlichkeit über die unrechtmäßige Kenntnis personenbezogener Daten zu informieren, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Im Extremfall hat das betroffene Unternehmen durch halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen über ein Datenleck zu informieren. Dem sollten Unternehmen in jedem Fall vorbeugen, indem sie verlässliche Prozesse etablieren und Verantwortliche benennen, die einen unternehmensweiten Datenschutz effektiv stützen.

Was muss getan werden, um sich gesetzeskonform zu verhalten? Unternehmen sollten folgende Fragen antworten können: Sind alle relevanten Daten hinreichend geschützt? Hier steckt das Problem im Detail: Sind USB-Ports freigeschaltet oder sensible Daten auf Notebooks im Außeneinsatz verfügbar? Wie ist es um die Sicherheit weiterer mobiler Endgeräte wie Blackberrys bestellt?

Empfehlenswert ist es, durch Risikoanalysen zusammen mit der hauseigenen IT-Abteilung oder einem spezialisierten Dienstleister die Gefahr eines Datenverlustes einzuschätzen. Anschließend sollte eine umfassende „IT Security Policy“ formuliert werden, die als Handlungsanweisung dient.

4. Personenbezogene Daten sichern

Datenschutzrechtliche Fragen hängen in der Unternehmenspraxis stark mit den Anforderungen an die Datensicherheit zusammen. Ohne entsprechende technisch-organisatorische Maßnahmen kann der vorgesehene Schutz personenbezogener Daten kaum wirksam umgesetzt werden. Dementsprechend werden in einer Anlage zu Paragraf 9 Satz 1 BDSG Maßnahmen beschrieben, deren Umsetzung die Unternehmen bei der Verarbeitung personenbezogener Daten einhalten müssen.

5. Systematisches Archivieren und Löschen

Unternehmen bewegen sich im Spannungsfeld zwischen der Pflicht zur Aufbewahrung von Unterlagen aufgrund von handelsrechtlichen und steuerrechtlichen Vorgaben einerseits und der Verpflichtung zur Löschung und Vernichtung von Daten und Unterlagen aufgrund datenschutzrechtlicher Vorgaben (Grundsatz der Datenvermeidung und Datensparsamkeit) andererseits.

Wenn zusätzlich noch US-amerikanisch geprägte, sogenannte „Data Retention Policies“ zur Anwendung kommen, die – häufig unabhängig von den gesetzlichen Vorgaben in Deutschland – unternehmensspezifische Löschungszyklen für elektronische Daten vorschreiben, ist das Chaos perfekt. Daher sollten in diesem Jahr neben Richtlinien zur Archivierung auch Richtlinien zur systematischen Löschung von Dokumenten verabschiedet werden.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

2 Tagen ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

2 Tagen ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

2 Tagen ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

2 Tagen ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

2 Tagen ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

3 Tagen ago