Rechtliche Grundlagen für Datensicherheit – Teil 2

Im ersten Teil der rechtlichen Grundlagen für die Datensicherheit wurde das Thema der Geschäftsführerhaftung und Datenschutzgesetz behandelt, während im zweiten Teil vor allem die Aufbewahrungspflichten  und Bestimmungen im Arbeitsrecht beleuchtet werden.


Im Verbandsverantwortlichkeitsgesetz wird die Verfolgung von juristischer Personen (auch Unternehmen) für Straftaten, die ihre Entscheidungsträger oder Mitarbeiter begangen haben. Es findet Anwendung, wenn eine Straftat zugunsten des Verbands begangen hat oder aufgrund durch die Unterlassung bestimmter Sorgfaltspflichten ermöglicht oder wesentlich erleichtert wurde. Letzteres kommt zur Anwendung, wenn Straftaten nicht durch technische, organisatorische oder personelle Maßnahmen verhindert wurde.  Als Strafen sind Geldbußen vorgesehen, die nach Ertragslage des Verbandes und der schwere des Vergehens bis 1,8 Millionen Euro betragen kann.

Wie breits aus dem DSG ergeben sich auch durch den VbVG verstärkte Anforderungen an die IT-Sicherheitsmaßnahmen einens Unternehmens
. Wenn ein MitarbeiterIn eine Straftat unter der Verwendung von IT-Systemen des Unternehmens begangen wurden und das Unternehmen die gebotene Sorgfalt zur Verhinderung dieser Tat außer Acht gelassen hat, kann man das Unternehmen abstrafen.

Um diese strafrechtliche Verfolgung abzuwähren, muss das Unternehmen nachweißen, dass es seiner Sorgfaltspflicht nachgekommen ist. Dies kann man durch einen gut dokumentierte straffe Unternehmensorganisation erfolgen. Bei unternehmenstypischen Unternehmensrisiken sollten eigene Verantwortliche eingesetzt und ein Risikomanagement eingeführt werden

. Bei IT-Risken bedeutet dies die Ernenneung eines IT-Sicherheitsbeauftragten sowie die Erstellung von IT-Sicherheitsrichtlinien bzw. einer IT-Sicherheitspolitik.


Zur Archivierung von Daten gibt es zahlreiche Vorschriften. Das DSG schreibt vor, dass Protokolle, die die Nachverfolgung von Datenzugriffen ermöglichen, drei Jahre aufbewahrt werden müssen. Die Bundesabgabenordnung schreibt jedoch für Buchhaltungsunterlagen eine Aufbewahrungspflicht von Datenträger müssen regelmäßig geprüft werden. Optimal ist es wen auch eine Kopie dieser Daten vorliegt.  Bei derLangzeitarchivierung muss darauf geachtet werden, dass die Daten auch in einigen Jahren noch verwendet werden können.

Bestimmungen im Arbeitsrecht

Die Nutzung der IT-Infrastruktur durch Angestellte sollte geregelt werden. Diese Regelung dient den Umgang und der Einschränkung der privaten und dienstrechtlichen Nutzung des Internets und der Email-Infrastruktur sowie der korrekten Nutzung der betrieblichen IT und des angemessenen Umgangs mit Unternehmens- und Kundendaten. Die Maßnahmen können einzelvertraglich oder durch Betriebsvereinbarungen geregelt werden.