IT-Sicherheit: Neue Pflichten für das Management

Datenschutzrecht

Weitere rechtliche Anknüpfungspunkte der IT-Sicherheit finden sich im Datenschutzrecht. Entsprechendes enthält vor allem das Bundesdatenschutzgesetz (BDSG), aber auch branchenspezifische Datenschutzsonderregelungen wie im Telekommunikationsbereich das Teledienste-Datenschutzgesetz.

Gemäß Paragraf 7 des BDSG haftet ein Unternehmen verschuldensunabhängig für die Schäden, die Dritten durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zugefügt werden. Diese Ersatzpflicht entfällt nur, wenn das Unternehmen die nach den Umständen des Einzelfalls gebotene Sorgfalt beachtet hat.

Dabei ist Paragraf 9 BDSG als Maßstab heranzuziehen. Dieser Abschnitt regelt die zum Schutz persönlicher Daten erforderlichen technischen und organisatorischen Maßnahmen bei Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen.

Die "8 goldenen Regeln zur IT-Datensicherheit", die in der Anlage zum Paragraf 9 BDSG aufgeführt sind, sehen unter anderem zum Schutz von Daten vor: Kontrollmaßnahmen bei Zutritt, Zugang, Zugriff, Weitergabe, Eingabe und Verfügbarkeit der Daten. Dass hierfür ein einfacher Passwortschutz, der leicht umgangen werden kann, nicht ausreicht, sollte hinlänglich bekannt sein.

Somit können mangelhafte IT-Sicherheitsmaßnahmen insbesondere für Unternehmen, die personenbezogene Daten speichern und verarbeiten, aus datenschutzrechtlichen Gründen zu einem unmittelbaren Haftungsrisiko führen.