Wichtige Gesetze

Risiko-Management ist eine juristische Pflicht

07.11.2013
Von Dr. Kevin Max von Holleben und
Fabian Winters ist Rechtsanwalt in der Kanzlei Lexton Rechtsanwälte in Berlin.

Anschließend müssen operative Schritte unternommen werden. Hierzu gehört die Einrichtung von Virenschutz, Firewalls, Content-Filtern, Verschlüsselungen sowie Einbruchs- und Brandschutzvorrichtungen in den eigenen Rechenzentren, weiter Zugangsregelungen zu Systemen und Räumen sowie Sicherheitsüberprüfungen bei der Personalauswahl. Ein wichtiger Bestandteil der Risikostrategie ist auch die vertragliche Absicherung der Verfügbarkeit durch Service Level Agreements (SLAs). Darüber hinaus ist eine wirksame Fall-Back-Strategie für Systemausfälle empfehlenswert.

Die Funktionsfähigkeit des Risiko-Management-Systems muss ständig überwacht werden, um auf eventuell entstehende Sicherheitslücken schnell und flexibel reagieren zu können. Dafür wird ein Risiko-Monitoring-System installiert. Darüber hinaus ist eine fortwährende Anpassung der Sicherheitsmaßnahmen an die veränderten Rahmenbedingungen erforderlich.

Die Cloud als Herausforderung

Angesichts der fortschreitenden technischen Entwicklung ist gerade der letzte Punkt unerlässlich. Das wird am Beispiel Cloud ComputingCloud Computing deutlich: Der physische Standort der Rechenzentren, in denen die Daten gespeichert werden, muss ermittelbar sein - gerade bei der Verarbeitung personenbezogener Daten - da je nach Standort unterschiedliche gesetzliche Regelungen gelten. Es sollte geklärt sein, wer Zugriff auf die Daten erhält und wie die Rechenzentren gesichert sind. Zudem muss sichergestellt sein, dass die Daten in der Cloud nach Vertragsende gelöscht werden. Alles zu Cloud Computing auf CIO.de

Im Zweifel muss eine Vereinbarung zur Auftragsdatenverarbeitung gemäß den Anforderungen nach Paragraf 11 BDSG geschlossen werden, in der insbesondere ein Katalog der einzuhaltenden technischen und organisatorischen Maßnahmen zum DatenschutzDatenschutz definiert ist. Alles zu Datenschutz auf CIO.de

Bring your own Device

Ein weiteres Beispiel für den ständigen Anpassungsbedarf des Risiko-Managements bietet das Thema "Bring your own Device" (ByoD). Die Unternehmen müssen sich darüber im Klaren sein, dass auf den privaten Geräten relevante Unternehmensdaten verarbeitet werden. Vor dem Einsatz von ByoD sind daher unter anderem Regelungen zu folgenden Themen zu treffen: Der Einsatz muss datenschutzrechtlichen Anforderungen gerecht werden. Hierbei empfiehlt sich eine strikte Trennung von privaten und Unternehmensdaten, da Unternehmen grundsätzlich für dienstliche Daten, insbesondere personenbezogene Daten, die volle Verantwortung tragen. Unbedingt sollten Regelungen für den Fall des Ausscheidens aus dem Unternehmen getroffen werden. Der Einsatz muss lizenzrechtlichen Erfordernissen entsprechen. Oft ist auf den Geräten Software vorinstalliert, die ausschließlich für private Zwecke genutzt werden darf. In solchen Fällen ist eine gesonderte Lizenzvereinbarung mit dem Softwareanbieter zu schließen.

Das Arbeitsrecht ist ausreichend zu berücksichtigen. In der Regel geht es um das Mitbestimmungsrecht des Betriebsrats nach Paragraf 87 Absatz 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG).

Zur Startseite