Datenschutz in Unternehmen – Der Sicherheitsvorfall

 

Der Verlust von IT-Geräten ist unangenehm. Insbesondere dann, wenn sich sensible Kundendaten auf dem Gerät befinden. Deshalb gilt es einige Regeln zu beachten.

 

Neulich an der IT-Hotline:

„Hallo, hier ist Herr Schmidt aus dem Personalbereich“

„Hallo, was kann ich für sie tun?“

„Ich muss leider mein Notebook als gestohlen melden. Ich war im Zug nur kurz auf der Toilette.“

„Ich verstehe. Das ist natürlich ärgerlich. Ich schicke Ihnen unser Formblatt zur Verlustmeldung zu und leite dann die weiteren Schritte ein. Ein neues Laptop beantragen Sie bitte auf dem gewohnten Bestellweg.“

„Vielen Dank. Auf Wiederhören.“

 

Der Verlust eines IT-Geräts (z. B. Notebook, Smartphone oder USB-Stick) ist ein Sicherheitsvorfall, der in nahezu jedem Unternehmen vorkommt bzw. denkbar ist. Neben dem materiellen Schaden stellen sich dem Unternehmen eine Reihe von rechtlichen Fragen und nicht zuletzt die Frage, welches Knowhow möglicherweise verloren geht.

Überall dort, wo personenbezogene Daten verarbeitet werden, regelt das Bundesdatenschutzgesetz (BDSG) die Zulässigkeit der Erhebung, Verarbeitung und Speicherung dieser Daten. Neben den gesetzlichen Vorgaben, welche Daten wie und zu welchem Zweck verarbeitet werden dürfen, gibt das Gesetz Mindestanforderungen vor, wie der Zugriff auf Daten zu schützen ist. § 9 BDSG und die Anlage zu § 9 BDSG beschreiben Schutzziele, die durch technische und organisatorische Maßnahmen erreicht werden.

Das BDSG sieht bei Nichteinhaltung Strafen vor. Neben Bußgeldern besteht nach § 42a BDSG eine Informationspflicht durch Unternehmen, sofern bei besonderen personenbezogenen Daten nicht sichergestellt werden kann, dass Dritte unrechtmäßig keine Kenntnis von diesen Daten erlangen können.

Zu den Daten nach § 42a BDSG gehören u. a. Informationen über ethnische Herkunft, Religion oder dem Gesundheitsbereich. Ebenso fallen Bank- und Kontodaten sowie Daten, die einem Berufsgeheimnis unterliegen, darunter.

Die Pflicht zu Information entfällt, wenn angemessene Maßnahmen ergriffen werden, die eine Einsicht durch Dritte nur mit erheblich zeitlichem und monetärem Aufwand möglich machen.

Beim Verlust eines Geräts stellt sich die Frage, welche Daten auf dem Gerät gespeichert sind. Im lokalen Postfach des Mitarbeiters könnten sich E-Mails von Mitarbeitern befinden, die mitteilen, dass Sie eine neue Bankverbindung haben. In lokalen Ordnern sind eventuell Reports aus der Personalverwaltung gespeichert.

Zurück zu unserem Fall. Der Datenschutzbeauftragte (DSB) hat in Zusammenarbeit mit der IT-Abteilung und der Geschäftsleitung Vorgaben in Form von Richtlinien erarbeitet. Nach Inkraftsetzung durch die Unternehmensleitung sind diese für alle Mitarbeiter verpflichtend. Hierzu zählen u. a. Anweisungen zur Nutzung[nbsp] von mobilen Geräten und die Meldung von Sicherheitsvorfällen.

Nach eingehender Prüfung durch den DSB ist klar, dass das Unternehmen diesen Fall nicht der Behörde melden muss. Aufgrund der Vorgaben, dass alle mobilen Geräte im Unternehmen nach aktuellen Verfahren verschlüsselt sind, ist eine unerlaubte Kenntnisnahme nur sehr schwer möglich.

Nur wenn ein Unternehmen die Risiken kennt, kann es geeignete Maßnahmen ergreifen, diese Risiken zu minimieren. Dies ist eine der Aufgaben des Datenschutzbeauftragten, auf die Einhaltung des BDSG hinzuwirken.

Haben Sie Fragen zum Datenschutz oder der IT Sicherheit? Sprechen Sie uns an.