computerwoche.de

Compliance & Recht

Das neue Datenschutzrecht

Was der CIO zu tun hat

30.07.2009
Von    und Silvia C. Bauer
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alle Posts des Autors Email:

Mitteilungspflichten

Foto:

Der Paragraf 42 a des Bundesdatenschutzgesetzes verlangt, dass bestimmte Verstöße gegen das Datenschutzrecht gemeldet sowie die Betroffenen informiert werden müssen. Geschieht dies nicht, droht ein Bußgeld. Die Pflicht ist allerdings auf die unrechtmäßige Verarbeitung besonders sensibler, personenbezogener Daten wie Gesundheitsdaten oder Bank- sowie Kreditkartendaten beschränkt.

Was der CIO beachten muss

  • Wichtig ist, dass die vorgeschriebenen internen Prozesse implementiert wurden. Der CIO sollte sich vergewissern, ob sein Unternehmen in der Lage ist, Verstöße an die zuständigen Stellen zu melden.

Die nächste Novelle kommt bestimmt

Weitere Änderungen des Datenschutzrechtes sind schon in Vorbereitung. Dazu zählt etwa das Datenschutz-Auditgesetz mit zusätzlichen Anforderungen an die IT-Sicherheit. Die internen Datenverarbeitungs-Vorgänge und die oft in die Jahre gekommenen IT-Richtlinien sollten daher vom CIO schon jetzt auf den Prüfstand gestellt werden. Der IT-Chef sollte dabei der Geschäftsleitung die Konsequenzen darstellen, falls er Lücken im Datenschutz und der IT-Compliance entdeckt. Neben schlechter Presse drohen behördliche Kontrollen und Sanktionen wie Bußgelder. Im schlimmsten Fall kann es auch zu einer persönlichen Haftung der Geschäftsführung kommen. Entsprechende Beispiele gibt es in der Rechtssprechung. Beispielsweise hat das Landgericht Karlsruhe im Falle einer Unterlizenzierung so entschieden. (Urteil vom 23. April 2008, Haftung für Unterlizenzierung von Software).