Das neue Datenschutzrecht

Mitteilungspflichten

Der Paragraf 42 a des Bundesdatenschutzgesetzes verlangt, dass bestimmte Verstöße gegen das Datenschutzrecht gemeldet sowie die Betroffenen informiert werden müssen. Geschieht dies nicht, droht ein Bußgeld. Die Pflicht ist allerdings auf die unrechtmäßige Verarbeitung besonders sensibler, personenbezogener Daten wie Gesundheitsdaten oder Bank- sowie Kreditkartendaten beschränkt.

Was der CIO beachten muss

Wichtig ist, dass die vorgeschriebenen internen Prozesse implementiert wurden. Der CIO sollte sich vergewissern, ob sein Unternehmen in der Lage ist, Verstöße an die zuständigen Stellen zu melden.

Die nächste Novelle kommt bestimmt.

Weitere Änderungen des Datenschutzrechtes sind schon in Vorbereitung. Dazu zählt etwa das Datenschutz-Auditgesetz mit zusätzlichen Anforderungen an die IT-Sicherheit. Die internen Datenverarbeitungs-Vorgänge und die oft in die Jahre gekommenen IT-Richtlinien sollten daher vom CIO schon jetzt auf den Prüfstand gestellt werden. Der IT-Chef sollte dabei der Geschäftsleitung die Konsequenzen darstellen, falls er Lücken im Datenschutz und der IT-Compliance entdeckt. Neben schlechter Presse drohen behördliche Kontrollen und Sanktionen wie Bußgelder. Im schlimmsten Fall kann es auch zu einer persönlichen Haftung der Geschäftsführung kommen. Entsprechende Beispiele gibt es in der Rechtssprechung. Beispielsweise hat das Landgericht Karlsruhe im Falle einer Unterlizenzierung so entschieden. (Urteil vom 23. April 2008, Haftung für Unterlizenzierung von Software).