Kein Unternehmen kommt heutzutage umhin, sich mit dem Themengebiet IT- und Informationssicherheit auseinanderzusetzen. Dies betrifft eine Reihe von Themenfeldern, wie die Sicherung der IT-Systeme oder den Schutz sensibler personenbezogener Daten. Dabei müssen insbesondere die rechtlichen Rahmenbedingungen beachtet werden, die Unternehmen erfüllen müssen.

Für das Bundesministerium für Wirtschaft und Energie (BMWi) ist die Weiterentwicklung von Rechtsgrundlagen für die digitale Wirtschaft eine Kernaufgabe. Die digitale Wirtschaft ist von fast allen Rechtsbereichen betroffen. Dabei werden wichtige Weichen auf europäischer Ebene gestellt. Dies ist auch richtig so, da das Internet vor nationalen Grenzen keinen Halt macht, was sich derzeit auch im Rahmen des Themas „Blockchain“ zeigt. Unter diesem europäischen Dach schafft der deutsche Gesetzgeber Normen, die dem schnellen technologischen Fortschritt Rechnung tragen, Innovationen voranbringen und gleiche Wettbewerbschancen sicherstellen sollen.

Pflicht zur Datenspeicherung

Mit der Nutzung des elektronischen Geschäftsverkehrs müssen Unternehmen viele rechtliche Rahmenbedingungen berücksichtigen. Ein Teil davon lässt auf den ersten Blick nicht unbedingt Verpflichtungen im Bereich IT-Sicherheit erkennen. Handelsrechtliche und steuerrechtliche Bestimmungen beispielsweise verpflichten Unternehmen zur sicheren Aufbewahrung von Handelsbriefen, die jederzeit vorlegbar sein müssen. Diese Aufbewahrungspflicht erstreckt sich auf alle Schriftstücke, die das Handelsgeschäft betreffen und gilt sowohl für althergebrachte Briefe als auch für E-Mails. Da die Korrespondenz eines Unternehmens hauptsächlich über E-Mail-Verkehr erfolgt, müssen heutzutage anstelle von Briefen überwiegend E-Mails sicher archiviert werden. Weitere Verpflichtungen ergeben sich bei der Nutzung datenverarbeitungsgestützter Buchführung. Auch hier gelten die gleichen Archivierungspflichten, wie bei der traditionellen Buchführung in Papierform.

Schutz von personenbezogenen Daten

Aus den Regelungen des Datenschutzrechts (insbesondere dem Bundesdatenschutzgesetz (BDSG) und der Datenschutz-Grundverordnung (DSGVO)) ergibt sich die Pflicht zum Schutz personenbezogener Daten. Insoweit müssen vor allem Kundendaten besonders gesichert werden. Ihre Verarbeitung ist nur unter bestimmten Voraussetzungen rechtmäßig, beispielsweise wenn die betroffenen Kunden hierzu wirksam eingewilligt haben.

Datenverarbeitende Stellen, also auch die allermeisten Unternehmen, müssen zudem laut dem BDSG und der DSGVO organisatorische, physische und technische Maßnahmen ergreifen, um den Datenschutz zu garantieren. So dürfen zum Beispiel Unbefugte keinen Zugang zu den betreffenden Rechnern bzw. Dateien haben. Die Datenverarbeitung darf nur für Berechtigte möglich sein und es darf nur so viele Berechtigte geben, wie unbedingt notwendig.

Um personenbezogene Daten der eigenen Mitarbeiterinnen und Mitarbeiter zu schützen, sollte eine Person als Datenschutzbeauftragte/r zur Verfügung stehen. Nach dem BDSG sind Unternehmen mit mindestens zehn Beschäftigten, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, sogar verpflichtet, eine solche Ansprechperson zu benennen.

Weniger bekannte Verpflichtungen

Die Pflichten gehen über die Sicherung von Daten und die Gewährleistung von Datenschutz hinaus. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich schreibt in Unternehmen ab gewissen Bilanzsummen, Umsätzen oder Beschäftigten die Einrichtung eines Risikofrüherkennungssystems vor. Die Verantwortungsträger dieser Betriebe müssen sicherstellen, dass bedrohliche Entwicklungen, die auch die IT-Systeme betreffen können, frühzeitig erkennbar sind.

Zu berücksichtigen ist weiterhin: Dürfen Mitarbeiterinnen und Mitarbeiter den Arbeitsplatzrechner nutzen, um im Internet zu surfen oder private E-Mails abzurufen, sehen einige Datenschutzaufsichtsbehörden den Arbeitgeber als Telekommunikationsanbieter an, sodass ihn die Verpflichtungen aus dem Telekommunikationsgesetz treffen können. Unabhängig von der Einordnung als Telekommunikationsanbieter muss der Arbeitgeber außerdem grundsätzlich sicherstellen, dass die Kommunikation der Beschäftigten nicht durch Außenstehende einsehbar ist. Ob und wie weit dies auch für die Einsicht durch andere Beschäftigte und/oder die Unternehmensführung gilt, ist einzelfallabhängig.

Kleine und mittlere Unternehmen, die auf der sicheren Seite sein möchten, sollten sich deshalb umfassend über ihre rechtlichen Verpflichtungen informieren.