Die Meldungen über Datenschutzpannen reißen nicht ab. Oftmals resultieren Datenverluste aus Nachlässigkeit, aber auch kriminelles Vorgehen kann nicht ausgeschlossen werden. Neue Compliance-Vorschriften sollen den Datenschwund eindämmen und die Bürger schützen. Zahlreiche Unternehmen sind nun in der Pflicht, rechtssichere IT-Strukturen schaffen zu müssen.
Am 1. September trat die Datenschutz-Novelle II in Kraft. Diese hat mehrere Stoßrichtungen: Sie soll den Datenschutz verbessern, die Nutzung von Personendaten für Werbezwecke einschränken sowie eine Melde- und Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten installieren. Letzteres sieht § 42a des Bundesdatenschutzgesetzes (BDSG) vor.
Besonders die Meldepflicht schreckt Unternehmen. Für Fälle, in denen eine individuelle Information aller Betroffenen nicht möglich ist, soll die Allgemeinheit von der Datensicherheitsverletzung erfahren. Dies muss durch eine mindestens halbseitige Anzeigen in zwei bundesweit erscheinenden Tageszeitungen oder auf andere, ebenso geeignete Weise geschehen. Abgesehen vom finanziellen Schaden wäre der Imageverlust enorm.
Die Meldepflicht gilt unter anderem dann, wenn folgende Daten verschwinden: Daten zu Bank- und Kreditkartenkonten, Bestands-, Nutzungs- und Verkehrsdaten nach dem Telemedien- und Telekommunikationsgesetz, Informationen, die einem Berufsgeheimnis unterliegen und auch alle anderen besonders sensiblen Informationen. Betroffen sind also praktisch alle Firmen, die mit Kunden- und Mitarbeiterdaten zu tun haben. Was können diese tun, um sich gesetzeskonform zu verhalten und sich vor Bußgeldern zu schützen?
Die erste Frage richtet sich an Sicherheitsverantwortliche in den Unternehmen: Sind alle relevanten Daten hinreichend geschützt? Hier steckt das Problem im Detail: Sind USB-Ports freigeschaltet oder sensible Daten auf Notebooks im Außeneinsatz verfügbar? Wie ist es um die Sicherheit weiterer mobiler Endgeräte wie Blackberrys bestellt? Empfehlenswert ist es, durch Risikoanalysen zusammen mit der hauseigenen IT-Abteilung oder einem spezialisierten Dienstleister die Gefahr eines Datenverlustes einzuschätzen. Anschließend sollte eine umfassende "IT Security Policy" formuliert werden, die als Handlungsanweisung dient.
Sind potenzielle Datenlecks identifiziert, folgt die Festlegung interner Verfahren zur Aufdeckung von Verstößen und Reaktion auf diese. Ein typisches Problem bei der Aufdeckung: Datenverluste sind oft nicht sofort erkennbar, die ursprünglichen Daten bleiben unangetastet – es genügt eine Kopie. Im schlimmsten Fall bemerkt ein Unternehmen zu spät, dass es zum Opfer geworden ist.
Wie Sicherheitsverletzungen identifiziert werden können, hängt von der Struktur des Unternehmens ab. Hier spielen Zugangsbeschränkungen, Verschlüsselungstechniken und organisatorische Fragen eine Rolle. Eine "Data Breach Management Policy" muss außerdem regeln, welche Schritte im Falle eines Verstoßes unternommen werden, wie Meldepflichten erfüllt werden und welche Verantwortlichkeiten gelten. Börsennotierte Konzerne müssen zudem Publizitätsrichtlinien beachten: viel Arbeit, die ein Zusammenwirken von IT-Spezialisten und Rechtsabteilung erfordert. Firmen sollten daher zügig rechtssichere Strukturen schaffen, um Imageverlusten und Bußgeldern vorzubeugen.