Datenschutz benötigt Datensicherheit
Dass sich nicht nur internationale Technologiekonzerne mit Fragen des Datenschutzes befassen müssen, ist spätestens seit der Datenschutz-Grundverordnung (DSGVO) und der medialen Berichterstattung über ihre Einführung bekannt. Kaum ein Unternehmen kommt heutzutage noch ohne personenbezogene Daten aus.
So finden sich beispielsweise auch im Personalakt jedes Mitarbeiters personenbezogene Daten, die tagtäglich verarbeitet werden. Verarbeiten Unternehmen personenbezogene Daten, müssen sie nicht nur für die Vertraulichkeit der verarbeiteten Daten (also den Datenschutz im rechtlichen Sinne), sondern auch für die technische und organisatorische Sicherheit der Datenverarbeitung sorgen. Welche Sicherheitsmaßnahmen im jeweiligen Unternehmen ergriffen werden müssen, ist abhängig von der jeweiligen Datenverarbeitung und dem davon ausgehenden Risiko einzelfallbezogen zu beurteilen. Besondere Sorgfalt ist dabei immer dann geboten, wenn sogenannte sensible Daten, wie etwa Gesundheitsdaten, verarbeitet werden.
Welche Sicherheitsmaßnahmen gibt es?
Die Datensicherheit beginnt bei einfachen Vorkehrungen. Dazu zählen beispielsweise der Schutz vor unbefugtem Zugriff mit Passwörtern und eine Verschlüsselung beim Versenden von E- Mails. Darüber hinaus ist Datensicherheit aber kein rein technisches Thema. Notwendig sein können u.a. auch physische Zugangskontrollen (organisatorische Maßnahmen). Auch rechtliche Maßnahmen sind geboten. Darunter fallen beispielsweise entsprechende Verschwiegenheitsvereinbarungen vor allem mit den Mitarbeitern, die auch auf Datensicherheit sensibilisiert und diesbezüglich geschult werden sollten.
Sofern Dritte mit der Verarbeitung von Daten beauftragt bzw. diesen Daten anvertraut werden (z.B. bei externer Aktenvernichtung) sind Verträge abzuschließen, die sicherstellen, dass auch die beauftragten Dritten die Sicherheitsmaßnahmen einhalten (Auftragsverarbeitungsvereinbarungen). Die getroffenen Maßnahmen müssen zudem geeignet dokumentiert werden. Beachten Sie in diesem Zusammenhang bitte auch, dass es abhängig von der Datenverarbeitung in Ihrem Unternehmen vorgeschrieben sein kann, einen Datenschutzbeauftragten zu bestellen.
Was droht bei fehlender Beachtung?
Wie auch bei Verstößen gegen den Datenschutz kann die fehlende Beachtung der gebotenen Datensicherheit mitunter erhebliche Geldstrafen nach sich ziehen! Sofern man beispielsweise Opfer eines Hackerangriffs wird und personenbezogene Daten von z.B. Kunden „gestohlen“ werden, können zudem u.a. Schadenersatzansprüche hinzukommen. Näheres zu den rechtlichen Konsequenzen eines Hackerangriffes erfahren Sie in unserem Beitrag zum Thema Hackerangriff.
Auch bei der Arbeit im Homeoffice ist auf die Einhaltung der Sicherheitsmaßnahmen und Vermeidung von Sicherheitslücken zu achten. Die dezentrale Organisation der Abläufe kann hier besonders schnell zu Sicherheitslücken führen, weshalb besondere Sorgfalt auf Seiten des Unternehmens und Sensibilität auf Seiten der Arbeitnehmer gefordert ist. Bei der Eruierung der notwendigen Schutzmaßnahmen sowie beim Erstellen der notwendigen Vereinbarungen kann anwaltliche Beratung hilfreich sein.
Bei Fragen wenden Sie sich bitte uns. Sie erreichen sie unter law@raits-bleiziffer.at.