Datenschutz – Handlungsbedarf bei Smartphones und Mitarbeitergeräten
Sowohl in der täglichen Beratungspraxis als auch über die Studien und die Medien ist zu beobachten, dass die Unternehmens IT sich noch lange nicht auf alle Anforderungen der heutigen Informations- und Kommunikationsgesellschaft eingestellt hat.
Datenskandale in Form von abhanden gekommenen Kundendaten, Bankverbindungsdaten oder sonstigem KnowHow scheinen die Bereitschaft zum Umdenken und zur strategischen Ausrichtung der IT- und TK-Infrastruktur noch nicht ausreichend herbeigeführt zu haben.
Steuer CD’s – wie geht das?
Die Welt berichtet über eine Studie im Auftrage der Telefonica, wonach die privaten TK- und IT-Geräte inzwischen eines der größten Sicherheitsrisiken in den Unternehmen darstellen würde.
Man fragt sich, wie das sein kann. Denn der Umstand, dass private Geräte im Unternehmensumfeld auftauchen, ist nicht per se mit einem Sicherheitsrisiko gleichzusetzen. Offenbar fehlt es an den Grundlagen – erforderlichen Regulierungen.
Dass Daten in großem Stil aus Datenbanken ausgelesen werden und in Umlauf gelangen, ist aus datenschutzrechtlicher Sicht der größte anzunehmende Unfall. Ganz offenbar wurden nicht die erforderlichen technischen und organisatorischen Maßnahmen im Sinne des § 9 BDSG (bzw. der Anlage zu § 9 BDSG) ergriffen. Dort ist die Rede von wirksamen Zutrittsbeschränkungen bis hin zu den Zugangsbeschränkungen, etwa durch Login und Benutzerkennwort.
Die Konsequenzen können drastisch sein, das betroffene Unternehmen riskiert,
- betroffene Kunden zu verlieren,
- die Einleitung von datenschutzrechtlichen Verfahren durch die Betroffenen,
- insoweit Schadensersatz- und Rechtsverfolgungskosten,
- vor allem aber auch aufsichtsrechtliche Verfahren (Ordnungswidrigkeiten- oder sogar strafrechtliche Verfahren),
- sowie unter Umständen Abmahnverfahren durch Mitbewerber und hierzu berechtigten Vereinigungen.
Hinzu kommt der Renommeeverlust, der sich im Falle öffentlicher Darstellungen solcher Pannen ergeben kann. Beispiele gibt es von der Deutschen Bahn, der Postbank oder aber über den Fall Sony Networks.
Handelt es sich um ein Versagen des Datenschutzbeauftragten?
Sofern ein solcher bestellt ist, könnte man meinen, dass dieser auch für derartige Pannen verantwortlich ist. Andererseits spricht der Gesetzgeber im BDSG nicht davon, dass der Datenschutzbeauftragte gewährleisten muss, dass das Unternehmen sich an den Datenschutz hält, sondern dass er auf die Einhaltung des Datenschutz hinwirken soll.
Entscheidend und damit primär in der Haftung steht die Geschäftsleitung als durch das Gesetz berufene Vertreter der jeweiligen Daten verarbeitenden verantwortlichen Stelle.
Aufgrund der erhöhten personellen Ausstattungen und damit zunehmender datenschutzrechtlicher Aufsichtsverfahren dürfte auch die Wahrscheinlichkeit spürbar zunehmen, infolge derartiger Pannen von Pflichtverletzungen und damit persönlichen Haftungen auszugehen.
Was ist zu tun?
Datenschutz und insoweit ganzheitlich verstanden, IT Compliance, ist Chefsache und sollte entsprechend mit Ressourcen ausgestattet, als laufender Prozess verstanden und evaluiert werden.
In Bezug auf die Unternehmens-IT und -TK einerseits, sowie die „privat mitgebrachten“ Geräte der Mitarbeiter andererseits sollte es aktuelle Richtlinien bzw. Betriebsvereinbarungen geben. Sicherheitsbereiche sind zu schaffen, als solche zu kennzeichnen und – wirksam (!) – zu überwachen. All diese Maßnahmen bedingen einander und bauen aufeinander auf.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!