-
Datensicherheit und Datenschutzmanagement
Es macht Sinn, die gespeicherten Firmendaten vor Verlust zu schützen. Zugleich ist es eine gesetzliche Pflicht des Datenschutzes, personenbezogene Daten sicher aufzubewahren. So sicher, dass Sie im „worst case“, wiederhergestellt werden können. Der Daten-GAU (größter anzunehmender Unfall) kann aus allen möglichen Richtungen kommen: ganz klassisch als Brandschaden, Hochwasser, Einbruchsvandalismus oder sonstiges physisches Gebäude-Trauma oder modern als Viren- oder Trojaner-Befall Ihrer IT.
Eine aktuell gehaltene Kopie aller Daten, die außerhalb des Betriebs „aufbewahrt“ wird, hat den Vorteil, trotz Totalschadens in den Firmenräumlichkeiten die Daten weiter nutzen zu können. Neben der Erfüllung der gesetzlichen Aufgabe der Datensicherung (Art. 32 Abs. 1 lit. b) DSGVO) und dem Gebot der Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c) DSGVO) hat dies auch den Vorteil, nicht mühselig die Daten mit Hilfe von Dritten zusammensuchen zu müssen, wenn dies denn überhaupt vollständig funktioniert. Außerdem wird der laufende Betrieb nicht allzu lange unterbrochen. Bei Daten-GAUs gibt es meist – neben anderen Schäden – das Problem, dass keine Rechnungen mehr geschrieben werden können. Die Liquidität leidet und irgendwann fragt die Hausbank, ob Sie Ihr Business noch im Griff haben.
Der Nachteil der externen Datensicherung besteht allerdings darin, dass die Daten auch in Form von Kopien verwundbar sind. Sie können „gestohlen“, kopiert, verfälscht oder sonst missbraucht werden. Es braucht daher jeweils mindestens eine auf Ihre Firma zugeschnittene Lösung für diese Aufgabe. Dies können datenschutzkonforme Cloud-Lösungen sein, die tägliche Übertragung der Daten an ein externes Rechenzentrum, physische Kopien auf Festplatten oder sonstige Kopier-Systems.
Dabei helfe ich Ihnen als Ihr Externer Datenschutzbeauftragter.
Ein Datenschutzmanagement klingt für kleine Unternehmen nach „over the top“, also zu viel für so ein als lästig empfundenes Thema. Aber auch für kleinere Unternehmen ist es essentiell, Zuständigkeiten festzulegen. Dies gilt natürlich auch für IT- und Datenschutz. Sich auf irgendjemand zu verlassen, der intern oder extern als IT-Beauftragter zuständig ist, reicht nicht aus.
Die Verantwortlichkeit für den Datenschutz ist und bleibt immer bei der „verantwortlichen Stelle“, also dem Unternehmen selbst. Die gesetzlichen Vertreter sind damit für die Einhaltung der Datensicherheit verantwortlich, denn sie ist ein Baustein des Datenschutzes. Durch geeignete „technische und organisatorische Maßnahmen“ (kurz: TOM) ist sicherzustellen, dass die Verantwortlichkeiten geregelt sind, funktionieren und kontrolliert werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu sehr gute Konzepte erarbeitet und stellt diese kostenfrei zur Verfügung. Auch wenn Sie als Unternehmer*in vielleicht wenig Motivation verspüren, sich durch das Grundschutz-Kompendium durchzuarbeiten, hilft schon ein Blick in die Übersichten, um die eigenen Verbesserungspotentiale zu erkennen. Als Beispiel nenne ich nur die Einführungshilfe zum Thema Sicherheitsmanagement (ISMS 1: Sicherheitsmanagement).