IT Sicherheit Teil 5/1 Rechtliche Vorgaben
4. Rechtliche Vorgaben zur IT-Security
Längst ist IT-Security zu einem rechtlich äußerst relevanten Thema geworden, vergleichbar mit der Verkehrs- oder der Bausicherheit. Dennoch wird ihr in der Praxis noch lange nicht die notwendige Aufmerksamkeit geschenkt, was erhebliche rechtliche Konsequenzen nach sich ziehen kann. Die Kenntnis und Einhaltung der IT-Sicherheitsvorschriften ist daher für jeden Unternehmer erforderlich.
4.1 Die Vorschriften im Überblick
§ 2 Abs. 2 des Gesetzes über das Bundesamt für die Sicherheit in der Informationstechnik (BSI) definiert den Begriff IT-Security wie folgt:
„Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen.“
Aus dieser, eher generalklauselartigen Definition, hat der Gesetzgeber eine Reihe von konkretisierenden Gesetzen geschaffen.
Hierzu zählen beispielsweise das Informations- und Kommunikationsdienste-Gesetz (IuKDG), das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG), sowie auch im Besonderen das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). All diese Gesetze enthalten einzelne Schutzvorschriften, deren Einhaltung für die Vermeidung von Haftungsfällen von enormer Wichtigkeit ist.
Eine entscheidende Bedeutung haben in letzter Zeit auch die Vorschriften des Bundesdatenschutzgesetzes (BDSG) erhalten. Sie geben genaue Anweisungen und Richtlinien bei der Erhebung, Nutzung oder Verarbeitung von personenbezogenen Daten vor. (vgl. Kapitel I)
4.2 Die Inhalte im Einzelnen
4.2.1 Das Informations- und Kommunikationsdienste – Gesetz (IuKDG)
Hierbei handelt es sich um ein Rahmengesetz des Bundestages von 1997, welches eigentlich Vorgaben für mehrere Gesetze beinhaltet.
Es enthält Sicherheitsvorschriften für die Nutzung von Telefondiensten, die im Teledienstegesetz (TDG) eingearbeitet wurden. Gleichwohl enthält es Datenschutzvorschriften, die bei der Nutzung von Telekommunikationsdiensten einzuhalten sind. Im Wesentlichen wurden diese im Teledienstedatenschutzgesetz (TDDSG) konkretisiert. Auch wurden im Rahmen des IuKDG die Vorschriften des Signaturgesetzes (SigG) entsprechend angepasst. Ferner wurden auf diesem Wege Vorgaben des europäischen Gesetzgebers, wie etwa die Richtlinie des Europäischen Parlaments und des Rates über Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften umgesetzt.
4.2.2 Das Bundesdatenschutzgesetz (BDSG)
Haben Sie einen Datenschutzbeauftragten? Sind Sie sicher, dass Sie keinen bestellen müssen?
Gemäß den Vorschriften des Bundesdatenschutzgesetzes haben Unternehmen, die mehr als zehn Mitarbeiter ständig mit der Erhebung, Nutzung oder Verarbeitung von personenbezogenen Daten beschäftigen, einen Datenschutzbeauftragten zu bestellen. Hierbei ist es unerheblich, ob die Mitarbeiter ständig mit diesen personenbezogenen Daten arbeiten müssen. Entscheidend ist allein, ob sie dies könnten. Haben in einem Unternehmen also mehr als zehn Mitarbeiter Zugriff auf personenbezogene Daten, so muss dieses Unternehmen einen Datenschutzbeauftragten bestellen. Dieser Datenschutzbeauftragte kann intern bestimmt werden oder extern beauftragt; Hauptsache, der Verantwortungs- und Aufgabenbereich ist klar definiert.
§ 4f BDSG Beauftragter für den Datenschutz
Abs. 1 Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen
Der Begriff der personenbezogenen Daten im Sinne dieses Gesetzes ist sehr weit zu verstehen. Es ist unerheblich, ob es sich hierbei um Personaldaten der Mitarbeiter oder beispielsweise um Kundenlisten handelt. Personenbezogene Daten sind alle Arten von Informationen, die über Personen gegeben werden können. Hierbei ist nicht erforderlich, dass die Daten in elektronischer Form vorliegen. Auch ein Unternehmen, dass eine Kartei von sämtlichen Privatkunden und Auftraggebern führt und mehr als zehn Mitarbeiter theoretisch zu dieser Kartei Zugang haben, hat einen Datenschutzbeauftragten zu bestellen.
Werden diese Vorgaben nicht eingehalten, oder wird ein nicht ausreichend qualifizierter Datenschutzbeauftragter bestellt, so drohen dem Unternehmen empfindliche Sanktionen, von Bußgeldern bis hin zu Geld- oder gar Freiheitsstrafen.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie IT-Sicherheit
Stand: 03/07
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Das Referat IT-Recht wird bei Brennecke Rechtsanwälte betreut von:
Tilo Schindele, Rechtsanwalt, Stuttgart
Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.
Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.
Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:
- Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
- Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
- Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: tilo.schindele@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ IT-Recht/ TelekommunikationRechtsinfos/ Datenschutzrecht/ IT-Security
Rechtsinfos/ Telekommunikationsrecht
Rechtsinfos/ Wirtschaftsstrafrecht
Rechtsinfos/ IT-Recht/ IT-Security/ Datenschutzrecht/ Datenschutzbeauftragter