heise meets… Datenschutz- & Security-Compliance im Unternehmen
Unternehmen müssen immer mehr rechtliche Anforderungen zu Datenschutz & Security-Compliance umsetzen. Was dabei wichtig ist, erläutert der Anwalt Dr. Piltz.
Cyberangriffe treffen nicht nur Großkonzerne, auch kleine Unternehmen sind immer häufiger betroffen. Neben technischen Anforderungen sind auch rechtliche Richtlinien erforderlich, um Daten, Mitarbeiter, Kunden und das Unternehmen zu schützen. Die wichtigsten Gesetze und Richtlinien erläutern wir im Podcast und geben Hinweise, was Unternehmen zwingend beachten sollten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Unterschied zwischen Recht und Realität
IT Compliance besagt, dass jedes Unternehmen aus dem bestehenden Recht, seine eigene IT Richtlinien zusammenstellen, niederschreiben und regelmäßig prüfen muss. Enthalten sein müssen alle IT rechtlichen Anforderungen, an die sich Unternehmen rechtlich halten müssen; zum Beispiel Vertragsrecht, Datenrecht, Datenlöschungen und so weiter. Ein Bestandteil der IT Compliance ist unter anderem die Impressumspflicht. Sie gilt der Absicherung des Käufers und schafft Transparenz im Konfliktfall. Im Umfeld von Social Media sollten Unternehmen die Nutzungsbedingungen der Plattformen genauer betrachten, um in einer Risikoanalyse abschätzen zu können, was rechtlich auf sie etwa bei Bildrechten und der Wahrung der Urheberrechte zukommt.
"Im IT Onlinebereich unterscheiden sich Recht und Realität oft. Hier müssen Unternehmen oft mit Pragmatismus und einer Affinität zum rechtlichen Risiko ran gehen", rät der Anwalt Dr. Carlo Piltz.
Cookies
Cookies werden eingesetzt, um Daten von Webseiten- oder App-Nutzern zu erheben; erforderlich ist grundsätzlich die Einwilligung des Nutzers. Das Gesetz lässt aber auch Ausnahmen zu, in denen der Nutzer seine Einwilligung nicht erteilen muss, so zum Beispiel bei Warenkörben, Merklisten und der Sprachauswahl. Diese Daten können ohne Einwilligung beim Anbieter gespeichert werden.
Oft wird die ePrivacy Richtlinie erwähnt. Ein altes EU-Gesetz aus 2002, welches durch die Cookie-Diskussion wieder an Aktualität gewonnen hat. Zu beachten ist jedoch, dass die ePrivacy Richtlinie auch alle Daten schützt, die nicht personenbezogen sind (etwa technische Daten). Diese Regelungen entwickeln daher quasi eine Art Vorfeldschutz im Vergleich zur DSGVO. Hierunter fallen auch Daten aus Maschinen oder vernetzten Fahrzeugen. Also alles, was online und vernetzt Daten erzeugt. Diese Daten unterliegen einem besonderen Schutz.
DSGVO
Ein viel diskutiertes und geschultes Gesetz ist die DSGVO. Zwischenzeitlich wurden auch die ersten Strafen verhängt, und je nach Datenschutzbehörde eher viele kleinere oder große medienwirksame Strafen. Kann jemand die DSGVO überhaupt perfekt umsetzen? Carlo Piltz bemerkt: "Ich kenne kein Unternehmen, das die DSGVO 100 Prozent umsetzen kann." Es ist jedoch darauf zu achten, dass die wichtigsten Punkte rechtskonform erfolgen und sich auch alle Mitarbeiter an die Vorgaben halten. Sollten Mitarbeiter Vorgaben während oder auch im Zuge ihres Ausscheidens nicht beachten, müssen auch sie persönlich mit Bußgeldern rechnen. In der Praxis war dies bereits öfter bei Mitarbeitern im öffentlichen Dienst der Fall, die unzulässig Zugriff auf besonders schützenswerte Daten haben.
Parallel zur DSGVO gilt in Deutschland noch das Bundesdatenschutzgesetz. Hier wird beispielsweise der Einsatz von Datenschutzbeauftragten im Unternehmen geregelt. Das Gesetz schreibt vor, dass in der Privatwirtschaft jedes Unternehmen mit mehr als 20 Personen, die ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, einen Datenschutzbeauftragten benennen muss. Also auch die Friseurkette, die mehr als 20 Mitarbeiter beschäftigt, wenn diese etwa auch Kundendatenbanken verwalten.
IT-Sicherheitsgesetz 2.0
Im Umfeld von Unternehmen sind zusätzlich noch Regelungen aus dem sogenannten IT-Sicherheitsgesetz 2.0 und in der dazugehörenden KRITIS-Verordnung zu beachten, und im Strafgesetzbuch gibt es auch einige Bestimmungen, die IT-relevant sind, so etwa § 202a StGB, welcher das "Ausspähen von Daten" regelt. Zudem wird teilweise davon ausgegangen, dass Unternehmen, die ihren Mitarbeitern die private Nutzung von betrieblichen Kommunikationsmitteln (Telefon, dienstlicher Computer) erlauben, rechtlich wie ein Telekommunikationsanbieter behandelt werden. Was bedeutet, dass das Unternehmen nur mit Zustimmung des Mitarbeiters Daten anschauen darf, ansonsten hat das Unternehmen mit strafrechtlichen Konsequenzen zu rechnen.
Zusammenfassend ist zu sagen, dass Unternehmen im Zuge der IT Compliance folgende Themen im Blick haben sollten: Eine Datenflusslandkarte – organisatorisch zu wissen, welche Daten, auch technische Daten, gehen im Unternehmen rein und raus. Auch sollte eine Lieferanten- und Vertragsmanagement-Übersicht erstellt werden. Welche Verträge habe ich mit wem. Ganz wichtig sind die Sensibilisierung und Schulung der Mitarbeiter. Diese sollte auch regelmäßig erfolgen, um Vorfälle zu minimieren. Hilfreich könnten auch FAQ-Seiten im Intranet sein. Binden Sie Juristen frühzeitig ein, wenn Sie unsicher sind, nicht erst, wenn das Kind in den Brunnen gefallen ist.
(bme)