Datenschutz: sind Sie auf dem Laufenden?
(veröffentlicht in der Ausgabe 02/2010 vom "Storage-Magazin.de" auf Speicherguide.de)
Durch die Novellierung am 01.09.2009 erfuhr das Bundesdatenschutzgesetz eine Verschärfung in der Anwendung und in der Sanktionierung. Abwarten ist keine Alternative mehr. Kluge Firmen untersuchen ihre Prozesse und IT gleichzeitig auf Compliance und Datenschutz.
Nach § 1 BDSG muss jede Organisation den Datenschutz im Betrieb sicherstellen. Ob mithilfe eines Datenschutzbeauftragten (DSB) ist, unter anderem, von Mitarbeiteranzahl und Geschäftsfeld abhängig. Dabei steht es Unternehmen frei, ob ein interner oder externer DSB bestellt wird (meist eine wirtschaftliche Frage). Sinn und Zweck des Datenschutzes ist es, den Einzelnen, durch den Umgang mit seinen (personenbezogenen) Daten vor einer Beeinträchtigung in seinem Persönlichkeitsrecht (siehe Art. 2 Grundgesetz) zu schützen.
Wozu der Aufwand?
Jeder entscheidet grundsätzlich selbst, wem wann und welche seiner persönlichen Daten zugänglich sind. Somit müssen Unternehmen auf Anfragen »Betroffener« reagieren, bestimmte Prozesse den Aufsichtsbehörden melden (sofern kein DSB bestellt wurde), die IT-Sicherheit darauf ausrichten, Prozesse anpassen und Mitarbeiter/innen auf das Datengeheimnis verpflichten.
Meldungen über Datenpannen aus Telekommunikation und Verkehrs-/Finanzwesen machen deutlich, dass die automatisierte Datenverarbeitung die Gefahr durch Verlust, Manipulation, Missbrauch und Diebstahl erhöht hat. Dabei sorgen nicht erst Gerichte oder die Presse für peinliche Aufmerksamkeit. Jeder Betroffene kann die Aufsichtsbehörden (auch anonym) aktivieren.
Gibt es einen "Königsweg"?
Isoliert betrachtet stehen Aufwand und Nutzen von Datenschutz bei vielen Firmen noch in einem eher ungünstigen Verhältnis. Weil die meisten täglichen Abläufe ohnehin IT-unterstützt sind, sollte Datenschutz als Bestandteil von IT-Compliance gesehen werden. Jedes Unternehmen unterliegt verschiedenen Auflagen aus Handels- und Steuerrecht, muss bei der Kommunikation UWG, TKG, TMG beachten. Die Sorgfaltspflichten aus HGB, GmbHG / AktG nebst Risikovorsorge sind durch das KonTraG bereits seit 1998 verpflichtend.
Und die IT?
Die Speicherumgebung, respektive die Informationen, stellen nach den Mitarbeiter/innen das wichtigste Kapital einer Organisation dar. Diese gilt es durch besondere Maßnahmen zu schützen – zur Not durch Erfüllung gesetzlicher Auflagen. Dabei müssen nicht gleich das BSI Grundschutzhandbuch oder ISO 27001-Normen eingeführt werden, um einen Mindestschutz und Compliance zu gewährleisten.
Klug ist es, Prozesse und IT-Landschaft unter mehreren Aspekten gleichzeitig auf Compliance und Datenschutz zu untersuchen und »feinzujustieren«. Die Einhaltung mehrerer Auflagen erfolgt somit wirtschaftlicher und es werden zusätzliche Nutzfaktoren für die Sicherheit gezogen. Es ist keine Frage, ob aktiver Datenschutz zu betreiben ist, sondern nur wie dieser vernünftig umzusetzen ist. Wer wartet, bis etwas passiert, verursacht einen vielfach höheren Schaden durch Bußgelder, Schadensersatzansprüchen und Reputationsverlust, als eine sinnvolle Einführung je kosten könnte!
Es gibt bestimmt Angenehmeres, das man in der Presse über sich lesen will.