Auch vor einer strafrechtlichen Verfolgung des IT-Chefs macht das Gesetz nicht halt. Das gilt zum Beispiel, wenn ihm Verstöße gegen das Bundesdatenschutzgesetz oder das Fernmeldegeheimnis anzulasten sind, wie sie auch im Zuge von Sicherheitsvorkehrungen vorkommen können, wenn also beispielsweise personenbezogene Daten der Mitarbeiter gespeichert oder private E-Mails kontrolliert werden, obwohl der private E-Mail-Verkehr ausdrücklich von der Unternehmensleitung erlaubt wurde.
"Schon den Einsatz einer Überwachungssoftware sollte der CIO mit der Rechtsabteilung seines Unternehmens oder einem externen Berater abstimmen", rät Anwalt Wolhändler, "denn auch hier kann er unwissentlich mit dem Gesetz in Konflikt geraten." Vordergründig sinnvolle, in Wahrheit aber unbefugte Überwachungsmaßnamen greifen möglicherweise in das Telekommunikationsgeheimnis ein. Ähnliche Reibereien erwachsen eventuell aus unbefugtem Löschen von Daten, etwa einer nicht zulässigen E-Mail-Filterung.
Unkenntnis der Gesetzeslage
Dass den IT-Verantwortlichen in Sachen Security trotz drohender Sanktionen Fehler unterlaufen und sich die Absicherung der Unternehmenssysteme oft als lückenhaft erweist, resultiert vielfach aus Unwissenheit. Dazu Horst Speichert, Buchautor ("IT-Recht in der Praxis", Vieweg Verlag, 2004) und Anwalt in der Stuttgarter Kanzlei ESB: "Den IT-Sicherheitsverantwortlichen ist oft nicht bewusst, dass sie gesetzlich dazu verpflichtet sind, geeignete Maßnahmen zu ergreifen, damit die IT-Infrastruktur im Unternehmen sicher betrieben werden kann."
Acht Schritte in die richtige Richtung
-
Technische Rahmenbedingungen auf Basis eines dynamischen Sicherheitskonzeptes schaffen (IT-Security-Lösungen wie Firewall, Viren- und Spamschutz etc.), moderne Techniken nutzen und von geschulten Experten implementieren lassen.
-
Risikofrüherkennungs-System implementieren (für Aktiengesellschaften zwingend erforderlich!).
-
Einen Datenschutzbeauftragten bestellen (unter den Voraussetzungen des Datenschutzrechts zwingend!), im Idealfall auch einen IT- Sicherheitsbeauftragten bestimmen (nicht gesetzlich vorgeschrieben).
-
Die Verantwortung für IT- Sicherheitsaufgaben eindeutig delegieren (beispielsweise an Administratoren), dabei die Personen sorgfältig auswählen und regelmäßig kontrollieren.
-
IT-Sicherheitsverantwortliche technisch gut ausstatten und regelmäßig schulen.
-
Schriftliche, fortlaufende Dokumentation des Konzepts und aller Maßnahmen einfordern und nachverfolgen.
-
Private E-Mail Nutzung untersagen beziehungsweie eine IT-Nutzungsordnung im Betrieb einführen.
-
Vertragliche Regelungen mit dem Arbeitgeber treffen und möglichst von rechtlicher Seite überprüfen lassen.
Unkenntnis herrsche bisweilen auch darüber, welche rechtlichen Gesichtspunkte neben Basel II und Arbeitsvertragsregelungen eine Rolle spielen, so der auf neue Medien, DV-Recht und IT-Vertragsgestaltung spezialisierte Anwalt. Beispielsweise verpflichte schon das Wirtschaftsverwaltungsrecht die Unternehmen - aus gewerbeordnungsrechtlichen Gründen - dazu, ihre IT-Infrastruktur sicherheitstechnisch und organisatorisch so zu gestalten, wie es für eine "ordentliche Durchführung des Geschäfts" erforderlich sei.
Unternehmen, die dem Telekommunikationsgesetz unterstellt sind, zum Beispiel die Betreiber von Telekommunikationsanlagen, müssen mittels angemessener technischer Vorkehrungen den Schutz des Telekommunikationsgeheimnisses und der personenbezogenen Daten gewährleisten. Deshalb sind ihre Systeme gegen unerlaubte Zugriffe, äußere Angriffe und Störungen zu schützen.
Das deutsche Datenschutzrecht schreibt im Rahmen der Weitergabekontrolle zum Beispiel vor, dass eine unbefugte Übertragung personenbezogener Daten durch eine Verschlüsselungs- und Überwachungssoftware verhindert und dass diese Daten gegen zufällige Zerstörung oder Verlust geschützt werden müssen. Ähnliche Richtlinien gelten auf europäischer Ebene.