In einer völlig digitalisierten Welt ist aus betriebswirtschaftlicher Sicht der Datenbestand Teil des immateriellen Vermögens eines Unternehmens. Die Datensicherheit stellt hierbei einen wettbewerbskritischen Erfolgsfaktor dar. Kunden und Partner von heute sind mündig und anspruchsvoll. Das bedeutet, dass Sicherheitsmängel zum Vertrauenverlust führen können und im Zweifel die Kundenbindung darunter leidet. Massive Folgen sind auch im Marketing zu erwarten – sinkt das Image doch erheblich, wenn die Presse von Datenverlusten berichtet. Die Datensicherheit eines Unternehmens liegt nicht nur im eigenen Interesse der Firma, sondern ist darüber hinaus sogar Pflicht. Der Schutz personenbezogener Daten fällt unter das Datenschutzrecht; Verstöße können geahndet werden. Gesetzliche Regelungen wie Basel II oder KonTraG legen eindeutig fest, dass das Geschäftsrisiko durch Sicherheitslücken beim Unternehmer liegt.
Datenschutz- & Compliance-Anforderungen (zu § 9 BDSG):
„Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, so ist die […] innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.“
Das bedeutet folgende Sicherheitsmerkmale:
1. Zugriffsschutz und Eingabekontrolle
- Authentifizierung und Verschlüsselung sofern Daten direkt auf Endgeräten gespeichert sind
- Authentifizierung und verschlüsselte Verbindungen (SSL/VPN/AppConnect)
- Passwortschutz des Endgeräts (§ 202a Strafgesetzbuch verbietet den Zugriff auf fremde Daten, wenn dabei Sicherheitsmechanismen (z.B. Passwörter) überwunden werden)
2. Trennungsgebot
- Abschottung von Anwendungen und Daten mittels Sandboxing (Trennung privater und dienstlicher Daten z.B. bei BYOD)
- Die Regelung zum Arbeitnehmerdatenschutz in § 32 Bundesdatenschutzgesetz setzt in den meisten Fällen eine grundsätzliche Trennung der Unternehmens- und Privatdaten voraus
3. Verfügbarkeitskontrolle
- Schutz vor Angriffen von außen: Anti-Malware, Spyware, App Management
- Manipulationskontrolle (z.B. durch Jailbreak/Root)
4. Weitergabekontrolle
- Verhinderung des unkontrollierten Abflusses von Informationen durch DLP (Data Loss oder Leakage Prevention)
Haftungsrisiken für Unternehmen und Beschäftigte
Geschäftsführer (GF) trifft die Pflicht zum Risikomanagement und zur Risikovorsorge im Hinblick auf bestandsgefährdende Risiken (§ 91 AktG i.V.m. § 43 GmbHG). Bedeutet auch, dass die Rechtsmäßigkeit des Umgangs mit z.B. mobilen Endgeräten aller im Unternehmen tätigen Personen sicherzustellen ist. Für Compliance Officer/Datenschutzbeauftragte besteht die Strafrechtliche Verantwortlichkeit bei der Garantenpflicht (BGH v. 17.7.2009).
Verantwortlich für die Einhaltung des Datenschutzes ist das Unternehmen, § 3 Abs. 7 BDSG. Dazu gehört die Wahrung des Datengeheimnisses durch die Beschäftigten, § 5 BDSG. Der Datenschutzbeauftragte hat die Pflicht zur Hinwirkung auf die Einhaltung des Datenschutzes. Verantwortlichkeit für Datenschutzverstöße nach §§43, 44 BDSG, u.a. Bußgeld bis zu 300.000 € pro Datenschutzverstoß.
- Haftung des Managements für Umsetzung (Compliance)
- Haftung des Personals für Verstöße (nach Verschuldensgrad)
Weitere Informationen:
Sie haben bereits ein Mobile Device Management im Einsatz oder überlegen eines einzuführen? Wir unterstützen Sie bei der Prüfung zur Einhaltung der “Sicherheitsmerkmale” (Punkt 1 bis 4) und Erarbeitung von Maßnahmen.