Bundesdatenschutzgesetz
Rechtsbruch wider Willen
Verstößt eine Firma gegen das Bundesdatenschutzgesetz, muss sie dafür gerade stehen, unter Umständen sogar der Inhaber des Unternehmens. Vielen ist jedoch nicht bewusst, welche Vorschriften es gibt und verletzen damit unabsichtlich geltendes Recht.
Das Bundesdatenschutzgesetz (BDSG) regelt die Erhebung, Nutzung und Weitergabe personenbezogener Daten. Die Basis für dieses Recht ist bereits im Grundgesetz verankert. Nahezu alle Unternehmen sind hiervon betroffen, denn es richtet sich an jede Firma, die personenbezogene Daten nutzt und damit unter anderem an:
- Unternehmen, die bestimmte Leistungen an Endverbraucher vertreiben (z.B. Online-Shop)
- Leistungen, die gewerblichen Kunden verkauft werden, die keine »juristische Person« sind (z.B. Freiberufler)
- Firmen, die Leistungen bei Lieferanten einkaufen, die keine juristischen Personen sind (z.B. Einzelunternehmer)
- Unternehmen, die Mitarbeiter beschäftigen und deren Daten speichern und verarbeiten beziehungsweise Stellen ausschreiben und Bewerbungen erhalten.
Damit sind fast alle großen und mittelständischen Firmen betroffen. Schon auf den bloßen Verdacht hin, es könnten Daten in falsche Hände geraten, wird die verantwortliche Aufsichtsbehörde aktiv. Firmen wecken bereits Misstrauen, wenn sie es versäumen, an geeigneter Stelle ihren Datenschutzbeauftragten zu nennen.
»Verstoßen Firmen gegen das BDSG drohen Bußgelder bis zu 300.000 Euro, auch wenn kein konkreter Datenverlust vorliegt. Es kann aber auch die persönliche Haftung der Geschäftsführung oder der IT-Leiter zur Folge haben«, warnt Stephan Schmidt, Fachanwalt für IT-Recht bei TCI Rechtsanwälte. »Für jedes Unternehmen ist es unerlässlich, bei der Pflege und Aufbewahrung seiner digitalen Unterlagen einen lückenlosen Schutz der IT-Systeme zu gewährleisten. Es ist erschreckend zu sehen, wie viele Firmen sich ihrer Verantwortung nicht bewusst sind und kaum ahnen, welchen Risiken sie sich und ihre Kunden dadurch aussetzen.«
Das BDSG gibt auch bezüglich der technischen Anforderungen ganz konkrete Handlungsanweisungen, wie Daten korrekt zu verarbeiten sind. Aus diesen Anforderungen des Gesetzes lassen sich unter anderem die fünf technischen Punkte ableiten, die jedes Unternehmen beachten sollte:
- Zugriffskontrollen die beschränken, wer, wann und unter welchen Umständen Einblick in personenbezogene Daten hat
- Verschlüsselungslösungen nach dem aktuellen Stand der Technik
- Protokollierungen mit deren Hilfe sich im Schadensfall prüfen lässt, von wem, wann und in welchem Umfang auf personenbezogene Informationen zugegriffen wurde
- ein effektiver Schutz gegen Schadsoftware
- strenge Kriterien für Cloud-Dienste - hier sind die Auflagen derart streng, das viele gängige Cloud Services für die Speicherung und Übermittlung personenbezogener Daten eigentlich gar nicht in Frage kommen.
Damit dies nicht zu einem Riesenprojekt für die IT-Abteilungen wird, gibt es bereits Anbieter für Lösungspakete. So bietet beispielsweise EgoSecure mit »Endpoint-Security« ein Konzept, das alle Endgeräte und Datenwege berücksichtigt und durch ein intelligentes und zentrales Management dafür sorgt, dass die Funktionen leicht zu installieren und zu administrieren sind. Die Schutzmaßnahmen finden für den Benutzer zwar transparent aber dennoch weitgehend im Hintergrund statt, so dass die gewohnten Arbeitsabläufe nicht gestört werden - ein wichtiger Faktor für die Akzeptanz eines Sicherheitskonzeptes. Nach Herstellerangaben besteht ein Grundschutz bereits nach einer 20 minütigen Basisinstallation.
Jobangebote+ passend zum Thema
