Kategorien
Volkelt-Briefe

CMS: Die wichtigsten Unternehmens-Leitlinien für Ihre IT (II)

Als Geschäfts­füh­rer sind Sie auch für die tech­ni­sche Sicher­heit und die recht­lich kor­rek­te Nut­zung der IT in Ihrem Unter­neh­men ver­ant­wort­lich. Die tech­ni­schen Stan­dards sind bestimmt nach der DIN ISO 27001. Dazu zäh­len z. B. The­men wie der Frei­ga­be von Gast­zu­gän­gen, die Aus­ge­stal­tung der Fire­wall oder ent­spre­chen­der Con­tent-Fil­ter, auch Benut­zer­richt­li­ni­en, Ver­pflich­tungs­er­klä­run­gen zum Daten­schutz und Vor­ga­ben zur Doku­men­ta­ti­on. Die meis­ten Geschäfts­füh­rer sind dazu auf den Report der Fach­abteilung angewiesen.

Ande­re Maßstäbe …

gel­ten für den Geschäfts­füh­rer bei der Ein­hal­tung und Umset­zung der recht­li­chen Ver­pflich­tun­gen aus dem Bun­des­da­ten­schutz­ge­setz und ande­ren recht­li­chen Vor­ga­ben zur Nut­zung der IT (z. B. Pflicht zur Auf­be­wah­rung elek­tro­ni­scher Daten nach GoB). Eine Pflicht zur Ein­hal­tung der Geset­ze bzw. zur Sicher­stel­lung der Com­pli­ance ergibt sich aus dem Gesetz über Ord­nungs­wid­rig­kei­ten (§§ 9, 30, 139 OWiG), aus dem Akti­en- und dem GmbH-Gesetz (§ 43 GmbHG). Danach sind Sie ver­pflich­tet, wirt­schaft­li­chen Scha­den abzu­wen­den – also: Geset­zes­ver­stö­ße inkl. Stra­fen und Buß­gel­der nicht zu dul­den. Für den IT-Bereich müs­sen Sie Vor­ga­ben für die fol­gen­den, auch gesetz­lich fixier­ten The­men­be­rei­che machen und deren Durch­füh­rung und Ein­hal­tung kontrollieren:

  • Daten­schutz (Bestel­lung des Daten­schutz­be­auf­trag­ten, Vor­ga­ben zur Nut­zung von Kunden­daten, Wei­ter­ga­be von Daten an Drit­te, EU Daten­schutz Grundverordnung)
  • Daten­si­cher­heit (Bestel­lung eines Sicher­heits­be­auf­trag­ten, Fire­wall und Viren­schutz­pro­gram­me, tech­ni­sche Vor­keh­run­gen wie Siche­rung der Strom­ver­sor­gung, Nut­zung von Cloud-Com­pu­ting-Diens­ten, Abschluss einer Betriebsunterbrechungsversicherung)
  • Arbeits­si­cher­heit (Ergo­no­mie gemäß Bild­schirm­ar­beits­ver­ord­nung, Gesund­heits­­­vor­sor­ge-Unter­su­chun­gen durch den Arbeits­me­di­zi­ni­schen Dienst)
  • Zugangs­be­rech­ti­gun­gen (Defi­ni­ti­on, Kon­trol­len, Zugangs­kon­trol­len, Pass­wör­ter, Änderungsberechtigungen)
  • Inter­net (Vor­ga­ben zur pri­va­ten Nut­zung, Impres­sums­pflicht /Anbieter­kennung, Hin­weis auf Wider­rufs­rech­te und Infor­ma­ti­ons­pflich­ten gemäß § 312g BGB, Hin­weis auf die Online-Schlichtungsstelle)
  • Vor­ga­ben zur Nut­zung von mobi­len Gerä­ten (Note­book, Tablet, Smart­phone) durch die Mit­ar­bei­ter (aktu­el­le Sicher­heits-Soft­ware, Vor­ga­be zur Nut­zung von Apps, Beach­tung von Auszeiten)
Wich­tig sind aus Geschäfts­füh­rer-Per­spek­ti­ve 2 Din­ge: Die Geschäfts­füh­rer sind gemein­sam zustän­dig dafür, dass All­ge­mei­ne Leit­li­ni­en zur Ein­hal­tung von Recht und Gesetz durch die Mit­ar­bei­ter vor­ge­ge­ben wer­den. Res­sort-ver­ant­wort­li­che Geschäfts­füh­rer soll­ten dar­über hin­aus zusätz­li­che Leit­li­ni­en vor­ge­ben, die spe­zi­ell – wie hier für den Bereich IT – zu beach­ten sind. Kon­kret kön­nen die ein­zel­nen Punk­te betriebs-indi­vi­du­ell in einer „Mit­ar­bei­ter­ver­pflich­tun­gen zum Umgang mit der IT“ umge­setzt wer­den. Die­se soll­ten in einer Betriebs­ver­ein­ba­rung bzw. in den Arbeits­ver­trä­gen als ver­pflich­tend ein­ge­führt wer­den und mit ent­spre­chen­den Sank­tio­nen bedroht sein. Damit ist sicher­ge­stellt, dass Sie Ihre Com­pli­ance-Ver­pflich­tun­gen kor­rekt erfüllen.

Schreibe einen Kommentar