Umgang mit sensiblen Daten

Compliance gegen Datenspionage

Datenspionage und -verluste stellen aufgrund des finanziellen und des Imageschadens für Unternehmen ein Risiko dar. Deshalb sind sie gesetzlich dazu verpflichtet, technische und organisatorische Maßnahmen zur Sicherung personenbezogener Daten gegen den Zugriff Dritter zu treffen.

  • Weil Datenspionage und -verluste für Unternehmen einen finanziellen sowie Imageschadens bergen, sind sie gesetzlich dazu verpflichtet, technische und organisatorische Maßnahmen zur Sicherung personenbezogener Daten zu treffen.

  • Rechtsanwalt Christian Solmecke von der Kölner Kanzlei Wilde Beuger Solmecke hat sich auf die Beratung der Onlinebranche spezialisiert. In den vergangenen Jahren hat Solmecke den Bereich Internetrecht/E-Commerce stetig ausgebaut, so betreut er beispielsweise zahlreiche Medienschaffende und Web-2.0-Plattformen.

Erst kürzlich hat die Bundesregierung den Entwurf zum IT-Sicherheitsgesetz verabschiedet, welches Unternehmen verpflichtet, für ein Mindestmaß an IT-Sicherheit zu sorgen und Angriffe oder andere Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Kritische Infrastrukturen – Betriebe, die maßgeblich an der Versorgung der Bevölkerung beispielsweise mit Strom oder Wasser beteiligt sind, sind – neben mittelständischen Betrieben – ein beliebtes Ziel. Cyberattacken haben entsprechend gravierende Konsequenzen. Im Folgenden werden zwei Gefahrenquellen beschrieben, denen in Bezug auf den Schutz sensibler Daten besondere Aufmerksamkeit zuteil werden sollte.

Erhöhte Gefahr durch BYOD
Für den Verlust von Daten besteht dadurch, dass viele Arbeitsprozesse über die Smartphones und Laptops der Mitarbeiter (Bring your own device) ausgeführt werden, ein erhöhtes Risiko. Bei der Nutzung privater Geräte werden automatisch sensible Unternehmensdaten verarbeitet. Unweigerlich stellt sich die Frage, inwieweit die Mitarbeiter bei der Nutzung von Privatgeräten für Datenmissbrauch oder -verlust haften.

Sensible Daten müssen vor einem Zugriff von außen geschützt werden, beispielsweise durch die Nutzung geeigneter Verschlüsselungsmethoden beim Schreiben von E-Mails oder Speichern von Dokumenten. Zudem sollten private und betriebliche Daten getrennt werden. Dies ist ein wichtiger Punkt, denn auch wenn private E-Mails mit geschäftlichen vermischt werden, ist es dem Arbeitgeber verboten diese ohne Erlaubnis des Arbeitnehmers zu lesen. Das wäre ein Verstoß gegen das Fernmeldegeheimnis. Schließlich sollten weder Kinder, noch die Lebenspartner auf die Daten zugreifen können. Es obliegt dem Unternehmer, ein entsprechendes Verbot gegenüber den Mitarbeitern auszusprechen und diese zum Einhalten von Sicherheitsmaßnahmen anzuhalten.

Um den Datenschutz zu sichern, ist die Kontrolle entsprechender Daten notwendig. Zu diesem Zweck sind Zugriffe auf die privaten Geräte der Mitarbeiter unvermeidbar. Dieser muss allerdings über die Art und die Häufigkeit der Zugriffe in Kenntnis gesetzt werden und einwilligen. Zudem darf die Kontrolle nicht in einem unverhältnismäßigen Maße erfolgen. Stets muss hier eine Abwägung mit dem Persönlichkeitsrecht erfolgen und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme geachtet werden. Nach einer Kündigung ist der Arbeitnehmer verpflichtet alle unternehmensbezogenen Daten zu löschen.

Erhöhte Gefahr durch Cloud Computing
Die Cloud-Nutzung ist für viele Unternehmen eine unkomplizierte und kostensparende Lösung, um Daten zu speichern, zu nutzen und zu verarbeiten. Diese Auslagerung von Daten ist mit Einsparungen von Kapazitäten und Ausgaben für unternehmensinterne Rechen- und IT-Zentren verbunden. Somit entfallen auch die Wartung der Hardware und die Sicherung sowie die regelmäßigen Updates von Software. Die Auslagerung birgt aber auch rechtliche Probleme im Hinblick auf den Datenschutz. Denn in der Regel werden personenbezogene Daten – neben Informationen zu den eigenen Mitarbeitern auch solche der Kunden – verarbeitet. Für die Auslagerung solcher Daten normiert das Bundesdatenschutzgesetz strenge Voraussetzungen. Insbesondere die Inanspruchnahme ausländischer Cloud-Dienste wird durch deutsches Recht weitestgehend eingeschränkt.

Haftung bei Datenverlust

Ein Problem stellt die Haftung im Falle eines Datenverlusts dar, denn der vollständige Haftungsausschluss ist in den AGB des Cloud-Anbieters nach deutschem Recht ausgeschlossen. Allerdings stellt sich die Frage, ob ein möglicher Anspruch praktisch überhaupt durchsetzbar wäre. Ein durch Datenverlust entstandener Schaden ist schwer zu beziffern und je nachdem in welchem Land der Anbieter sitzt, muss ein Rechtsstreit in einem fremden Land mit einem anderen Rechtssystem geführt werden. An dieser Stelle werden die Vorteile der Nutzung eines deutschen Cloud-Anbieters deutlich.

Rechtliche Probleme können durch eine ausführliche und sorgfältige Vertragsgestaltung ausgeräumt werden. Hier sollten Haftungsfragen eindeutig geklärt werden. Bei internationalen Verträgen ist zudem eine Schiedsklausel in Betracht zu ziehen. Zu empfehlen ist darüber hinaus die vertragliche Festlegung des anwendbaren Rechts. Auch der Einsatz von möglichen Subunternehmern, vor allem auf Seite des Cloud-Anbieters, sollte vertraglich geregelt sein.

Von großer Wichtigkeit ist zudem die Regelung des Vertragsendes. Hier müssen auf beiden Seiten Vorkehrungen getroffen werden, um eine sichere Rückübertragung der Daten zu gewährleisten. Für große Diskussionen sorgt daher auch die Frage nach den Folgen einer Insolvenz des Cloud-Anbieters.

Gutes Sicherheitssystem allein reicht nicht aus

Ein guter Schutz kann durch ausgeklügelte IT-Sicherheitssysteme herbeigeführt werden. Doch das beste System bringt nichts, wenn sowohl die Geschäftspartner als auch die Mitarbeiter über den Umgang mit sensiblen Daten nicht aufgeklärt werden. Dabei gilt es auch zwischen den Mitarbeitern verschiedene Geheimhaltungsstufen aufzubauen, sodass nur wenige Zugriff auf sensible Daten haben. Nur auf diese Weise lässt sich sowohl ein Angriff von außen als auch von innen heraus verhindern.

Unternehmen, die sich mit dem Thema auseinandersetzen und IT-Richtlinien nicht nur auf Papier drucken, sondern auch ihren Mitarbeitern und Geschäftspartnern vermitteln, haben den wichtigsten Schritt zu mehr Sicherheit bereits getan. Auch die Wahl der richtigen Cloud trägt viel zur Sicherheit des Unternehmens bei.
 
Bildquelle: Thinkstock/ iStock




©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok