IT-Governance und Datenschutz

 

Geschäftsprozesse basieren zunehmend auf Informationstechnologien. Datenschutz und Datensicherheit tragen zur Minimierung der Risiken im Unternehmen bei. Eine einheitliche Struktur ist für größtmögliche Datensicherheit innerhalb der IT-Systeme und zur Vermeidung datenschutzrechtlicher Verstöße anzuraten. Effizienter Datenschutz und ein hohes Maß an Datensicherheit dienen der Vermeidung operativer Risiken und Imageschäden sowie der Einsparung vermeidbarer Kosten. Operative Risiken sind z.B. der Verlust von Unternehmens- und Kundendaten, Zugriffe auf Betriebsgeheimnisse durch Unbefugte und Störungen von Geschäftsprozessen. Datenschutzrechtliche Verstöße können mit hohen Bußgeldern geahndet werden, Schadensersatzansprüche nach sich ziehen oder sogar strafbar sein. Zusätzlich riskiert die Geschäftsführung auch eine eigene Haftung bei unzureichender IT Governance. Es lohnt sich daher in jedem Fall für die Geschäftsleitung, derartige Folgen bereits präventiv durch ein angemessenes Risiko-Management zu vermeiden.

 

Wichtig für die Datensicherheit sind Berechtigungsmodelle zur Datenverwendung. Die Managementebene hat letztlich zu verantworten, welche Mitarbeiter Zutritt zu Datenverarbeitungszentren haben, wer sich in die IT-Systeme einloggen kann und wer auf welche Laufwerke Zugriff erhält. Zu achten ist auch auf eine geeignete Verschlüsselung während des Transfers, eine Protokollierung und eine ausreichende Back-Up-Sicherung. Eine Verwendung von Virenschutz- und Firewall-Lösungen muss gleichermaßen gewährleistet sein. Ebenfalls ist es sinnvoll, die IT-Systeme so auszugestalten, dass eine direkte Trennung von zu unterschiedlichen Zwecken erhobenen Daten erfolgt und die Daten nur zu Auftragszwecken verwendet werden.

 

Um Missstände aufzudecken, können in regelmäßigen Abständen Risikoanalysen stattfinden, z.B. durch IT-Sicherheits-Audits. Notfallpläne sorgen für maximale Schadensbegrenzung, wenn „das Kind” - trotz Sicherheitsvorkehrungen – einmal „in den Brunnen gefallen” ist.

 

Für eine Best-Practice-Wirkung ist die Einhaltung nicht verbindlicher, aber empfohlener Sicherheitsstandards anzuraten. Für das Unternehmen kann dies Imagegewinn und Schutz vor Gefährdungen der IT-Systeme durch Dritte bedeuten. Die Sicherheitsstandards ergeben sich z.B. aus ISO-Standards und DIN-Normen.

 

Datenschutzrechtliche Aspekte sind insbesondere beim IT-basierten Datenaustausch zu berücksichtigen. Dieser hat essenzielle Bedeutung für den Großteil der Unternehmen. Nach datenschutzrechtlichem Grundsatz dürfen personenbezogene Daten nur verwendet werden, wenn eine Erlaubnis besteht. Eine Möglichkeit stellt die Einwilligung des Betroffenen dar. Er muss sie informiert und freiwillig abgeben. Hierzu muss er von Unternehmensseite genau unterrichtet werden, wie und zu welchem Zweck die Datenverarbeitung erfolgt. Ein Haken ist die jederzeitige Widerrufsmöglichkeit. Erfolgen Datenverwendungen auf Grund von Einwilligungen, sollte die Geschäftsleitung die jederzeitige Widerrufbarkeit und ihre Auswirkungen bereits im Vorfeld bedenken.

 

Zudem gibt es datenschutzrechtliche Erlaubnistatbestände für Kunden-, Geschäfts- und Beschäftigtendaten. Sie greifen, wenn die Verwendung dieser Daten für die Begründung, Durchführung oder Beendigung eines Vertrags- oder Beschäftigtenverhältnisses erforderlich ist.

 

Hohe Relevanz für die Unternehmenspraxis haben Datenübermittlungen an Dritte. Entgegen des weit verbreiteten Irrtums gibt es derzeit kein Konzernprivileg. Vielmehr stellen verbundene Unternehmen keine Einheit dar, sondern gelten jeweils als selbständige Dritte. Im Fall des Datentransfers an verbundene Unternehmen und externe Dienstleister kann Abhilfe aber über sog. Auftragsdatenverarbeitungsverträge geschaffen werden. Voraussetzung ist hier stets, dass die Datenverarbeitung im Auftrag und nach Weisung des beauftragenden Unternehmens erfolgt.

 

Beim Datentransfer ins Ausland ist zusätzlich immer daran zu denken, das hiesige Datenschutzniveau zu wahren. Dafür bieten sich insbesondere die EU-Standardvertragsklauseln an. Hierbei gilt es insbesondere, die Vertragsanlagen rechtswirksam zu gestalten.
 
Änderungen dieser Grundzüge des Datenschutzes ergeben sich aus der europäischen Datenschutz-Grundverordnung. Sie wird europaweit einheitlich ab Mai 2018 anzuwenden sein und enthält für Unternehmen sowohl Erleichterungen (wie beispielsweise das Anerkennen eines berechtigten Interesses für eine konzernweite Datenverarbeitung) als auch Erschwerungen (etwa im Bereich des Datenschutzmanagements).

 

Die Relevanz von Datenschutz und Datensicherheit in der IT-Governance ist nicht zu unterschätzen. Die Entwicklung guter Konzepte lohnt sich für Unternehmen. Sie profitieren in zweierlei Hinsicht: durch Imagegewinn und Kundenzufriedenheit sowie sichere IT-Systeme, die vor Angriffen Unbefugter geschützt sind und so einwandfrei ablaufende Geschäftsprozesse gewährleisten.