Klaus Reinhard
Datenschutzbeauftragter
Unternehmen sehen sich im globalen Wettbewerb gesteigerten Anforderungen in Bezug auf den Schutz und die Vorhaltung ihres geistigen Eigentums ausgesetzt, angesichts steigender Risiken von Datenverlust und dem Diebstahl von Daten.
Im Unterschied zu früher, als das (auch geistige) Eigentum, Rohstoffe, Auftragslage etc. über das Schicksal eines Unternehmens entschieden, stellt die Verfügbarkeit und der Schutz von Informationen heute die betriebswichtigste Ressource im unternehmerischen Organismus dar.
Vor diesem Hintergrund arbeiten heutzutage die Abteilungen IT und Recht zusammen an der Schaffung und Implementierung neuer Policies und technisch-organisatorisch abgesicherter Geschäftsprozesse. Hier geht es vornehmlich um die Vermeidung von Betriebsausfallzeiten, Auftragsverluste, Reputationsschäden und weitere finanzielle Einbußen, wenn vertrauliche Daten verloren gehen, gestohlen werden oder kompromittiert werden. Wie Statistiken belegen, müssen 70% der Unternehmen, bei denen es zu katastrophalen Datenverlusten kommt, innerhalb von 18 Monaten aufgeben.
Aus der Erkenntnis heraus, dass der Schutz und die Verfügbarkeit von Daten mithin ein Extensibles Kriterium in der Wirtschaft ist, besteht von Gesetzes wegen die Verpflichtung zu einem effektiven Risiko- und Informationsmanagement. Deren Einhaltung gehört zu den unternehmerischen Lenkungs- und Leitungsaufgaben.
Die Pflicht zur Gewährleistung von Datenschutz und Datensicherheit betrifft regelmäßig personenbezogene und steuerrelevante Daten, Berufs- und Geschäftsgeheimnisse (wie etwa Forschungs- und Entwicklungsdaten), Kundendaten, Mitarbeiterdaten etc.
Verletzungen des Personendatenschutzes können hohe direkte Strafsanktionen von in Deutschland bis zu 300 TEUR für jeden Einzelfall zur Folge haben. In schweren Fällen, etwa planmäßigen Datenschutzverletzungen aus kommerziellem Interesse, besteht die Möglichkeit des Abschöpfens eines etwaigen finanziellen Vorteils des Datenschutzverstoßes durch die Strafe (zusätzlich zum Geldstrafen- bzw. Bußgeldsanktionsmittel).
In Deutschland finden sich derlei Regelungen verteilt über diverse Spezialgesetze, an zentraler Stelle im Bundesdatenschutzgesetz (§ 9 BDSG) sowie in den Artikeln 5f, Artikel 24 Abs. 1 und dem Artikel 25 der EU-Datenschutzgrundverordnung. So sind alle Stellen, die personenbezogene Daten verarbeiten, erheben oder nutzen verpflichtet, technische und/oder organisatorische Maßnahmen zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen erfüllt sind. Es muss sichergestellt werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden. Als Maßnahme dafür ist u.a. das Vorhandensein eines Desaster- bzw. Backup-Konzepts („Disaster Recovery“/DR) vorgesehen um sicherzustellen, dass Daten nicht verloren gehen, selbst wenn sie versehentlich gelöscht oder zerstört werden. Den Vorgestellt ist vor allem der Artikel 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, der explizit auf den „Stand der Technik“ verpflichtet.
Mittels zeitgemäßer Backup- und Recovery-Systeme, deren Funktionalität durch regelmäßige Überprüfungen zu gewährleisten und gegebenenfalls an veränderte Bedrohungsszenarien anzupassen ist, ist gegen Verlust oder Kompromittieren von Daten Vorsorge zu treffen. Die Aufgabe des Managements ist es mithin, technisch-organisatorisch und rechtlich durch effiziente Maßnahmen der IT-Sicherheit, den Schutz unternehmenskritischer und personenbezogener Daten gegen Verlust, Störung der Verfügbarkeit oder ungewollte Offenlegung zu gewährleisten.
Die Maßnahmen sollen dabei den aktuellen Stand der Technik „für bestimmte Sektoren und Datenverarbeitungssituationen“ sowie die technologische Entwicklung berücksichtigen. Eine frühzeitige und regelmäßige Soll-/ Ist-Analyse mit Risikobewertung und mit einer entsprechenden Datenschutz-/ Datensicherheits-Folgeabschätzung ist aus diesem Grunde dringend anzuraten.
Es lässt sich sonach festhalten, dass sich das Vorhandensein eines dokumentierten, stets auf aktuellem Stand gehaltenen effektiven Risikomanagementsystems mit internem Kontrollsystem inzwischen zu einem zentralen Grundsatz ordnungsgemäßer Geschäftsführung etabliert hat. Diese Sorgfaltspflichten beinhalten – über die Einhaltung der zwingenden Aufbewahrungsvorschriften hinaus – eine allgemeine organisatorische Obliegenheit, kritische Daten geordnet und lückenlos dokumentiert aufzubewahren und jederzeit einem möglichen „Verlust“ dieser Daten entgegen zu wirken.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!