Datenschutzgesetz und Co

Die CIO-Agenda 2010 aus juristischer Sicht

20.01.2010
Von  und
Dr. Jan Geert Meents ist Managing Partner bei der Wirtschaftskanzlei DLA Piper.
Dr. Thomas Jansen ist IT-Anwalt und Partner bei der Wirtschafskanzlei DLA Piper in München.

Datenlecks unter allen Umständen vermeiden

Eine weitere Neuerung des BDSG: Dessen Paragraf 42a normiert für Unternehmen die Pflicht, die Öffentlichkeit über die unrechtmäßige Kenntnis personenbezogener Daten zu informieren. Das gilt zumindest dann, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Im Extremfall hat das betroffene Unternehmen durch halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen über ein Datenleck zu informieren.

Dem sollte das Unternehmen in jedem Fall vorbeugen. Dazu muss es verlässliche Prozesse etablieren und Verantwortliche benennen, die einen unternehmensweiten Datenschutz effektiv stützen.

Die Unternehmen sollten folgende Fragen beantworten können: Was muss getan werden, um sich gesetzeskonform zu verhalten? Sind alle relevanten Daten hinreichend geschützt? Hier steckt das Problem im Detail: Sind USB-Ports freigeschaltet oder sensible Daten auf Notebooks im Außeneinsatz verfügbar? Wie ist es um die Sicherheit weiterer mobiler Endgeräte, beispielsweise Blackberrys, bestellt?

Empfehlenswert ist es, zusammen mit der hauseigenen IT-Abteilung oder einem spezialisierten Dienstleister Risikoanalysen vorzunehmen, um die Gefahr eines Datenverlustes einzuschätzen. Anschließend sollte eine umfassende "IT Security Policy" formuliert werden, die als Handlungsanweisung dient.

Personenbezogene Daten nachweislich sichern

Datenschutzrechtliche Fragen hängen in der Unternehmenspraxis stark mit den Anforderungen an die Datensicherheit zusammen. Ohne entsprechende technisch-organisatorische Maßnahmen lässt sich der vorgesehene Schutz personenbezogener Daten kaum wirksam umsetzen.

In einer Anlage zu Paragraf 9 Satz 1 BDSG sind solche Maßnahmen beschrieben. Die Unternehmen müssen diese Vorgaben umsetzen und bei der Verarbeitung personenbezogener Daten einhalten.

Dokumente systematisch archivieren und löschen

In Sachen Dokumenten-Management bewegen sich die Unternehmen in einem Spannungsfeld: Zum einen besteht die Pflicht zur Aufbewahrung von Unterlagen aufgrund handels- und steuerrechtlicher Bestimmungen. Zum anderen müssen bestimmte Daten und Unterlagen aufgrund datenschutzrechtlicher Vorgaben (Grundsatz der Datenvermeidung und Datensparsamkeit) gelöscht und vernichtet werden.

Kommen noch US-amerikanisch geprägte Data Retention Policies zur Anwendung, die - häufig unabhängig von den gesetzlichen Vorgaben in Deutschland - unternehmensspezifische Löschungszyklen für elektronische Daten vorschreiben, so ist das Chaos perfekt. Daher sollten in diesem Geschäftsjahr neben Richtlinien zur Archivierung auch solche zum systematischen Löschen von Dokumenten verabschiedet werden.