BDSG-Novelle II: Verschärfte Pflichten für die Datensicherheit

Die Meldungen über Datenschutzpannen reißen nicht ab. Oftmals resultieren Datenverluste aus Nachlässigkeit, aber auch kriminelles Vorgehen kann nicht ausgeschlossen werden. Neue Compliance-Vorschriften sollen den Datenschwund eindämmen und die Bürger schützen. Zahlreiche Unternehmen sind nun in der Pflicht, rechtssichere IT-Strukturen schaffen zu müssen.

Am 1. September trat die Datenschutz-Novelle II in Kraft. Diese hat mehrere Stoßrichtungen: Sie soll den Datenschutz verbessern, die Nutzung von Personendaten für Werbezwecke einschränken sowie eine Melde- und Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten installieren. Letzteres sieht § 42a des Bundesdatenschutzgesetzes (BDSG) vor.

Besonders die Meldepflicht schreckt Unternehmen. Für Fälle, in denen eine individuelle Information aller Betroffenen nicht möglich ist, soll die Allgemeinheit von der Datensicherheitsverletzung erfahren. Dies muss durch eine mindestens halbseitige Anzeigen in zwei bundesweit erscheinenden Tageszeitungen oder auf andere, ebenso geeignete Weise geschehen. Abgesehen vom finanziellen Schaden wäre der Imageverlust enorm.

Die Meldepflicht gilt unter anderem dann, wenn folgende Daten verschwinden: Daten zu Bank- und Kreditkartenkonten, Bestands-, Nutzungs- und Verkehrsdaten nach dem Telemedien- und Telekommunikationsgesetz, Informationen, die einem Berufsgeheimnis unterliegen und auch alle anderen besonders sensiblen Informationen. Betroffen sind also praktisch alle Firmen, die mit Kunden- und Mitarbeiterdaten zu tun haben. Was können diese tun, um sich gesetzeskonform zu verhalten und sich vor Bußgeldern zu schützen?

Die erste Frage richtet sich an Sicherheitsverantwortliche in den Unternehmen: Sind alle relevanten Daten hinreichend geschützt? Hier steckt das Problem im Detail: Sind USB-Ports freigeschaltet oder sensible Daten auf Notebooks im Außeneinsatz verfügbar? Wie ist es um die Sicherheit weiterer mobiler Endgeräte wie Blackberrys bestellt? Empfehlenswert ist es, durch Risikoanalysen zusammen mit der hauseigenen IT-Abteilung oder einem spezialisierten Dienstleister die Gefahr eines Datenverlustes einzuschätzen. Anschließend sollte eine umfassende "IT Security Policy" formuliert werden, die als Handlungsanweisung dient.

Sind potenzielle Datenlecks identifiziert, folgt die Festlegung interner Ve…