computerwoche.de

Compliance & Recht

Das neue Datenschutzrecht

Was der CIO zu tun hat

30.07.2009
Von    und Silvia C. Bauer
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alle Posts des Autors Email:

Archivierung von E-Mails

Trotz der Datenschutzrechts-Novelle gibt es für die Archivierung von geschäftlichen E-Mails weiterhin keine konkreten gesetzlichen Vorgaben. Handelsrecht und Steuergesetzbuch machen den Blick in die E-Mail-Fächer notwendig, dennoch müssen die Unternehmen die strengen Vorgaben des TK-Gesetzes (TKG) und des Bundesdatenschutzgesetzes (BDSG) beachten. Dürfen Mitarbeiter E-Mails privat verschicken, ist der Arbeitgeber also weiterhin ein "Telefonanbieter".

Was der CIO beachten muss

  • Die Mitarbeiter des CIO dürfen keine Postfächer ohne Einwilligung der Besitzer einsehen. Damit könnten sie gegen das Fernmeldegeheimnis verstoßen und sich strafbar machen.

  • Zur Einführung eines Archivierungssystems sollten der Betriebsrat und der Datenschutzbeauftragte ins Boot geholt werden.

  • Die Geschäftsleitung und nicht der CIO hat darüber zu entscheiden, welche Archivierungskonzepte implementiert werden sollen. Der IT-Abteilung kann nicht zugemutet werden, über Aufbewahrungs- und Verjährungsfristen zu entscheiden.

  • Trotz hartnäckiger Gerüchte: Der Gesetzgeber verlangt kein Echtzeit-Journalling, ein Spam-Filter ist also zulässig.

Auftragsdatenverarbeitung

Für die Auftragsdatenverarbeitung (ADV) gibt es jetzt einen aus zehn Punkten bestehenden Katalog an gesetzlich festgelegten Mindestangaben. Fehlen sie, begehen die Unternehmen eine Ordnungswidrigkeit. Gleiches gilt, wenn der Auftraggeber es versäumt, vor der Datenverarbeitung zu prüfen, ob der Auftragnehmer den gesetzlichen technischen und organisatorischen Anforderungen genügt.

Was der CIO beachten muss

  • Der CIO sollte vorhandene Vereinbarungen (Outsourcing, Dienstleistungsvereinbarungen) daraufhin prüfen, ob sie die die geforderten Mindestangaben enthalten (siehe Kasten).

    Das gehört in den Vertrag zur Auftragsdatenverarbeitung

    - Gegenstand und Dauer des Auftrags;

    - Umfang, Art und Zwecke der Datenerhebung sowie Art der Daten und der Kreis der von der Erhebung Betroffenen;

    - die erforderlichen technischen und organisatorischen Maßnahmen (Paragraf 9 BDSG);

    - Regelungen zur Berichtigung, Löschung und Sperrung von Daten;

    - datenschutzrechtliche Pflichten des Auftragnehmers;

    - Weitergabe von Aufgaben an Subunternehmen;

    - Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers;

    · Mitteilungspflichten des Auftragnehmers bei Verstößen;

    · Weisungsbefugnisse des Auftraggebers;

    · Rückgabe und Löschung der Datenträger.