Datenpannen (§ 42a BDSG) (data breach) können jedes Unternehmen treffen. Dies sind Fälle wie Datendiebstahl z.B. durch raffinierte Hacker oder sogar durch eigene Mitarbeiter. Zudem kommen erschwerende Umstände in Betracht, denn nicht immer werden Datenpannen erkannt. In den meisten Fällen bleiben sie unentdeckt oder können nicht rückverfolgt werden. Teils müssen die Unternehmen fatale Folgen, wie hohe Schadenbeträge, aber auch den Verlust des Ansehens, hinnehmen. Dabei liegen Datenpannen nicht gänzlich außerhalb unseres Einflussbereichs. Für nähere Informationen lesen Sie unseren Beitrag „Datenpannen nach § 42a BDSG“.
Um gegen einen derartigen Schaden gewappnet zu sein, möchten wir Sie daher gerne darüber informieren, was Sie für den sicheren Umgang mit Unternehmensdaten tun können.
Das Bundesministerium für Wirtschaft und Energie schlägt dazu folgendes vor:
- Stets Aktualität der IT-Systeme wahren und auf Viren überprüfen.
- Sicherheitsrichtlinien (für Datenträger, Schnittstellen, etc.) und Notfallpläne für Ihr IT-System erstellen; festlegen welche Daten und Apps auf mobile Geräte übernommen werden dürfen.
- Elektrische Signatur nutzen, sensible Daten verschlüsseln; besondere Vorsicht beim Speichern und Verschicken dieser Daten.
- Berechtigungskonzept für die IT-Systeme erstellen, in denen der Mitarbeiterzugriff geregelt ist.
- Daten regelmäßig sichern und archivieren, die Datenträger für die Sicherung räumlich getrennt halten.
- Auf die Vertrauenswürdigkeit der IT-Dienstleister und Softwareanbieter achten; auf ihre AGB achten.
- Für besonders kritische Daten eine Organisationsform der Cloud (z.B. Private Cloud) nutzen, die eine hohe Sicherheit bietet und die nach EU-Datenschutzgrundsätzen handelt. Bei Cloud-Service-Providern außerhalb der EU darauf achten, dass mindestens die Teilnahme am Safe-Harbor-Programm vorliegt. Je nach Betriebsform die Daten zusätzlich verschlüsseln.
- Stets verschlüsselte Übertragungswege nutzen, wie VPN, ggf. Metasuchen und Proxy-Server, die keine Nutzerdaten speichern.
- Für Mitarbeiter Richtlinien im Umgang mit sozialen Netzwerken aufstellen, vor allem welche Daten veröffentlicht werden dürfen.
- Schulen und Sensibilisierung der Mitarbeiter für IT-Systeme.
Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht