Pflichten: Hardware
Die Einhaltung der rechtlichen Vorschriften ist besonders im IT-Hardwarebereich relevant, wo es sowohl um die Verarbeitung von - ggf. personenbezogen - Daten geht als auch die Sicherheit des gesamten IT-Systems auf dem Spiel steht. Auf dieser Seite geht es um Pflichten beim Umgang mit Computern, Servern und sonstigen Geräten der IT-Landschaft.
Technische Maßnahmen zum Datenschutz
Regelungen zum ordnungsgemäßen Umgang mit IT-Hardware finden sich insbesondere im Datenschutzgesetz. Nach § 9 BDSG ist jedes Unternehmen, das personenbezogene Daten erhebt, verarbeitet oder nutzt, dazu verpflichtet, die technischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG zu gewährleisten.
Insbesondere sind hiernach Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
- Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
- zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
- zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
- zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
- zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
- zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
- zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
- zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Verstöße gegen das BDSG können nach §§ 6, 7, 34 und 35 BDSG u.a. Schadensersatzansprüche auslösen oder nach § 43 und 44 BDSG sogar Bußgelder bis zu EUR 250.000,00 oder eine Freiheitsstrafe bis zu 2 Jahren nach sich ziehen.
Sorgfaltspflichten beim IT-Outsourcing
Wer personenbezogene Daten von einem Vertragspartner verarbeiten lässt (z.B. im Rahmen des IT-Outsourcing), so ist zudem § 11 BDSG zu beachten. Hiernach ist der Vertragspartner unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Wichtig ist hierbei, dass der Auftraggeber sich von der Einhaltung der beim Vertragspartner getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat.
Verstöße haben obige Sanktionen (siehe Technische Maßnahmen) zur Folge.
Insbesondere Wertpapierdienstleistungsunternehmen müssen beim Outsouring weitere, besondere Anforderungen erfüllen. Nach § 33 WpHG sind hier bespielsweise die Anforderungen nach § 25a Abs. 2 des Kreditwesengesetzes einzuhalten. Darüber hinaus darf die Auslagerung nicht die Rechtsverhältnisse des Unternehmens zu seinen Kunden und seine Pflichten, die nach diesem Abschnitt gegenüber den Kunden bestehen, verändern.
Einrichtung eines Überwachungssystems
Weiterhin zu beachten ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Gemäß diesem Gesetz wurde z.B. § 91 II AktG geändert. Hiernach hat der Vorstand geeignete Maßnahmen zu treffen, damit die erforderlichen Handelsbücher geführt werden. Ausdrücklich wird hier die Pflicht statuiert, ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Nach herrschender Ansicht ist diese Pflicht analog auch auf den GmbH-Geschäftsführer zu übertragen. Auch der Pflicht zur Einrichtung eines Überwachungssystems ergibt sich, dass zur Vermeidung von wirtschaftlichen Schäden auf im Hinblick auf die IT-Infrastruktur ein sicheres Abwehr- und Datensicherungssystem zu schaffen ist, welches den Verlust und die ungewollte Veränderung - sei es durch unbefugte Dritte oder fahrlässige Mitarbeiter - frühzeitig verhindern kann. Relevant ist bei §91 AktG zudem, dass eine Kontrolle obiger Umsetzungsmaßnahmen durch den Abschlussprüfer nach § 317 IV HGB im Rahmen der Jahresabschlussprüfung erfolgen kann, was bei Fehlverhalten des Vorstandes zur Entlassung durch den Aufsichtsrat führen könnte.
Zuwiderhandlungen gegen die Pflicht zur Einrichtung eines Überwachungssystems können mit Schadensersatzansprüchen gegen Vorstand bzw. Geschäftsführung nach § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG (persönliche Haftung!) geahndet werden. Hinzu kommen weitere Risiken: So kann der Versicherungsschutz entfallen, wenn etwa auf notwendige Kontroll- oder Erkennungssysteme verzichtet wurde. Auch besteht die Gefahr, dass öffentliche Aufträge deshalb nicht erteilt werden, weil ein ordnungsgemäßes Überwachungssystem zur Sicherung der Behördendaten fehlt. Hier werden nicht selten Zertifikate zur IT-Sicherheit verlangt. Schließlich kann die Nachlässigkeit bei der Einrichtung eines Überwachungssystems dazu führen, dass das eigene Unternehmensrating schlechter ausfällt, was unmittelbare Wirkung auf die Konditionen der Fremdmittelvergabe hat.