Rechtliche Grundlagen für Datensicherheit – Teil 1
Datenschutz
Im österreichischen Recht hat jeder Unternehmer die Sorgfalt eines ordentlichen Kaufmanns walten zu lassen und dazu gehört auch die Beachtung der Rechtsvorschriften und Normen. Deshalb ist es auch die Pflicht der Geschäftsleitung alle Gesetze, Vorschriften und Normen bezüglich Datensicherheit kennen muss. Jedes Unternehmen muss in Übereinstimmung dieser Vorgaben handeln können.
Dazu muss jede Unternehmensleitung immer ein genaues Bild der Lage des Unternehmens haben. Deshalb ist es empfehlenswert, dass jedes Unternehmen eine Struktur mit klaren Verantwortlichkeiten und Berichtspflichten vorsieht. Diese Strukturen ermöglichen es dem Unternehmern Geschäftsabläufe zu steuern.
Dies gilt aber auch in der IT-Sicherheit, da die IT-Infrastruktur die Grundlage von vielen Geschäftsbetrieben darstellt. In dem aktuellen Blog wir eine Übersicht über die Rechtsfragen geboten:
Geschäftsführerhaftung
Die Verantwortung für die Informationssicherheit hat grundsätzlich immer die Unternehmensführung. Sicherheitsrelevante IT-Aufgaben können aufgrund von formalen Festlegungen an einzelne MitarbeiterInnen delegiert werden – wobei die Unternehmensführung immer noch die Letztverantwortung trägt.
Datenschutzgesetz (DSG 2000)
Im Datenschutzgesetz ist der Umgang mit personenbezogenen, schutzwürdigen Daten geregelt. Unter „Personen“ versteht man auch juristische Personen und Personengesellschaften. Die Daten kann man nach
- sensiblen Daten (z.B. Gesundheitsdaten, religiöse und politische Ansichten,…)
- nicht-sensiblen Daten (z.B. Adressen, Geburtsdatum, Kundendaten, …)
unterscheiden.
Auch nicht-sensible Daten sind zu schützen, aber nicht im selben Umfang wie sensible Daten. Im Datenschutzgesetz (DSG) werden bestimmte Datensicherheitsmaßnahmen festgelegt.
§14 DSG 2000 führt hier explitzt an:
- ausdrückliche Festlegung der Aufgaben einzelner Mitarbeiter
- Bindung der Datenverwendung an einen bestimmten Auftrag (z.B. durch Vorgesetzten)
- Regelung der Zugangsberechtigungen zu Räumen in denen Daten verarbeitet werden
- IT-Systeme und Datenträger vor unberechtigten Zugriff schützen
- IT-System vor unbefugter Inbetriebnahme schützen
- Protokolierung der Datenverwendung
- Dokumentation der angeführten Sicherheitsmaßnahmen in Form eines Datensicherheitshandbuchs
Aus den Vorschriften des DSG ergeben sich typische Anforderungen für den Umgang mit den personenbezogenen Daten: Alle MitarbeiterInnen sind dazu verpflichtet eine Geheimhaltungserklärung zu unterfertigen, in dem sie auf das Datenschutzgeheimnis verpflichtet werden. Eine Schulung in Form von Seminaren oder Richtlinien sind notwendig. Zutritte müssen zum Schutz protokolliert werden.
Das DSG regelt den Umgang mit personenbezogenen Daten, aber haben inzwischen auch Bedeutung für andere Bereiche erlangt. Das bildet einen Mindeststandard für die Verwendung von Finanzdaten, Geschäftsprozessen u.ä., der nicht unterschritten werden darf.
Im zweiten Teil werden das nächste Mal Aufbewahrungsfristen und Vorschriften für den Datenschutz auf Basis des Arbeitsrecht erläutert.
Comments are closed