Was der CIO zu tun hat

Das neue Datenschutzrecht

Archivierung von E-Mails

Trotz der Datenschutzrechts-Novelle gibt es für die Archivierung von geschäftlichen E-Mails weiterhin keine konkreten gesetzlichen Vorgaben. Handelsrecht und Steuergesetzbuch machen den Blick in die E-Mail-Fächer notwendig, dennoch müssen die Unternehmen die strengen Vorgaben des TK-Gesetzes (TKG) und des Bundesdatenschutzgesetzes (BDSG) beachten. Dürfen Mitarbeiter E-Mails privat verschicken, ist der Arbeitgeber also weiterhin ein "Telefonanbieter".

Was der CIO beachten muss

  • Die Mitarbeiter des CIO dürfen keine Postfächer ohne Einwilligung der Besitzer einsehen. Damit könnten sie gegen das Fernmeldegeheimnis verstoßen und sich strafbar machen.

  • Zur Einführung eines Archivierungssystems sollten der Betriebsrat und der Datenschutzbeauftragte ins Boot geholt werden.

  • Die Geschäftsleitung und nicht der CIO hat darüber zu entscheiden, welche Archivierungskonzepte implementiert werden sollen. Der IT-Abteilung kann nicht zugemutet werden, über Aufbewahrungs- und Verjährungsfristen zu entscheiden.

  • Trotz hartnäckiger Gerüchte: Der Gesetzgeber verlangt kein Echtzeit-Journalling, ein Spam-Filter ist also zulässig.

Auftragsdatenverarbeitung

Für die Auftragsdatenverarbeitung (ADV) gibt es jetzt einen aus zehn Punkten bestehenden Katalog an gesetzlich festgelegten Mindestangaben. Fehlen sie, begehen die Unternehmen eine Ordnungswidrigkeit. Gleiches gilt, wenn der Auftraggeber es versäumt, vor der Datenverarbeitung zu prüfen, ob der Auftragnehmer den gesetzlichen technischen und organisatorischen Anforderungen genügt.

Was der CIO beachten muss

Der CIO sollte vorhandene Vereinbarungen (Outsourcing, Dienstleistungsvereinbarungen) daraufhin prüfen, ob sie die die geforderten Mindestangaben enthalten