Archivierung von E-Mails
Trotz der Datenschutzrechts-Novelle gibt es für die Archivierung von geschäftlichen E-Mails weiterhin keine konkreten gesetzlichen Vorgaben. Handelsrecht und Steuergesetzbuch machen den Blick in die E-Mail-Fächer notwendig, dennoch müssen die Unternehmen die strengen Vorgaben des TK-Gesetzes (TKG) und des Bundesdatenschutzgesetzes (BDSG) beachten. Dürfen Mitarbeiter E-Mails privat verschicken, ist der Arbeitgeber also weiterhin ein "Telefonanbieter".
Was der CIO beachten muss
-
Die Mitarbeiter des CIO dürfen keine Postfächer ohne Einwilligung der Besitzer einsehen. Damit könnten sie gegen das Fernmeldegeheimnis verstoßen und sich strafbar machen.
-
Zur Einführung eines Archivierungssystems sollten der Betriebsrat und der Datenschutzbeauftragte ins Boot geholt werden.
-
Die Geschäftsleitung und nicht der CIO hat darüber zu entscheiden, welche Archivierungskonzepte implementiert werden sollen. Der IT-Abteilung kann nicht zugemutet werden, über Aufbewahrungs- und Verjährungsfristen zu entscheiden.
-
Trotz hartnäckiger Gerüchte: Der Gesetzgeber verlangt kein Echtzeit-Journalling, ein Spam-Filter ist also zulässig.
Auftragsdatenverarbeitung
Für die Auftragsdatenverarbeitung (ADV) gibt es jetzt einen aus zehn Punkten bestehenden Katalog an gesetzlich festgelegten Mindestangaben. Fehlen sie, begehen die Unternehmen eine Ordnungswidrigkeit. Gleiches gilt, wenn der Auftraggeber es versäumt, vor der Datenverarbeitung zu prüfen, ob der Auftragnehmer den gesetzlichen technischen und organisatorischen Anforderungen genügt.
Was der CIO beachten muss
-
Der CIO sollte vorhandene Vereinbarungen (Outsourcing, Dienstleistungsvereinbarungen) daraufhin prüfen, ob sie die die geforderten Mindestangaben enthalten (siehe Kasten).
Das gehört in den Vertrag zur Auftragsdatenverarbeitung
- Gegenstand und Dauer des Auftrags;
- Umfang, Art und Zwecke der Datenerhebung sowie Art der Daten und der Kreis der von der Erhebung Betroffenen;
- die erforderlichen technischen und organisatorischen Maßnahmen (Paragraf 9 BDSG);
- Regelungen zur Berichtigung, Löschung und Sperrung von Daten;
- datenschutzrechtliche Pflichten des Auftragnehmers;
- Weitergabe von Aufgaben an Subunternehmen;
- Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers;
· Mitteilungspflichten des Auftragnehmers bei Verstößen;
· Weisungsbefugnisse des Auftraggebers;
· Rückgabe und Löschung der Datenträger.