Kategorien
Volkelt-Briefe

Daten-Diebe: Welche Vorkehrungen müssen Sie als Geschäftsführer treffen

Ob die Wiki­leaks-Doku­men­ta­ti­on des Juli­an Assan­ge oder der NSA-Abhör­skan­dal um Whist­leb­lower Edward Snow­den: Öffent­lich­keit und Unter­neh­men sind sen­si­bi­li­siert was den Umgang mit Daten betrifft. Kun­den legen mehr Wert auf Daten­schutz und Ver­trau­lich­keit und sind bei der Her­aus­ga­be per­sön­li­cher Daten zurück­hal­ten­der als frü­her. Auch vie­le Geschäfts­füh­rer sind ver­un­si­chert, wel­che Pflich­ten für sie gelten.

Wich­tig: In der Regel dro­hen straf­recht­li­chen Kon­se­quen­zen bei einer unzu­läs­si­gen Daten­wei­ter­ga­be nur gegen den ver­ur­sa­chen­den Mit­ar­bei­ter, nicht aber für das Unter­neh­men. Der Ent­wurf eines Unter­neh­mens­straf­rechts liegt zwar vor­be­rei­tet in den Schub­la­den des Bun­des­jus­tiz­mi­nis­te­ri­ums. Eine Umset­zung wird vor­aus­sicht­lich in die­ser Legis­la­tur­pe­ri­ode aber nicht mehr kom­men (vg. Nr. 31/2014).

Betrof­fe­ne Kun­den kön­nen aber Scha­dens­er­satz­an­sprü­che gegen das Unter­neh­men stel­len – selbst dann, wenn zur Daten­ver­wal­tung ein exter­nes Unter­neh­men beauf­tragt wird. Nur wenn der Geschäfts­lei­ter selbst vor­sätz­lich oder grob fahr­läs­sig Pflich­ten ver­letzt hat, kann er per­sön­lich vom Unter­neh­men in die Haf­tung für Scha­dens­er­satz­an­sprü­che genom­men wer­den. Als Geschäfts­füh­rer müs­sen Sie „mit der gebo­te­nen Sorg­falt­pflicht“ vor­ge­hen. Fehlt das ent­spre­chen­de Fach­wis­sen, muss sich der Geschäfts­füh­rer ent­spre­chen­des Wis­sen ein­holen bzw. sich bera­ten lassen.

 Stel­len Sie sich dar­auf ein, dass noch in die­sem Jahr stren­ge­re Vor­schrif­ten für den Daten­schutz in Unter­neh­men kom­men wer­den, z. B. Min­dest­stan­dards und Mel­de­pflich­ten (IT Sicher­heits­ge­setz). Wir hal­ten Sie auf dem Lau­fen­den. Als ver­ant­wort­li­cher Unter­neh­mens­lei­ter müs­sen Sie in Ihrem Unter­neh­men auf jeden Fall die­se Maß­nah­men umsetzen:
  • Sie müs­sen kon­kre­te Sicher­heits­maß­nah­men tref­fen (z. B. Zutritts‑, Zugangs- und Auf­trags­kon­trol­len im IT-Bereich, Ver­schlüs­se­lung der Daten).
  • Die ein­zel­nen Kon­troll­maß­nah­men müs­sen kon­kret beschrie­ben wer­den und in der Pra­xis auch tat­säch­lich über­wacht wer­den (Pro­to­kol­le).
  • Die Kon­troll­in­stru­men­te müs­sen regel­mä­ßig über­prüft wer­den (emp­foh­len: GF-Rou­ti­ne unter Hin­zu­zie­hung des Lei­ters IT und des Daten­schutz­be­auf­trag­ten ein­mal pro Halbjahr).

Schreibe einen Kommentar