Für die Sicherheit in Unternehmen ist die Geschäftsführung verantwortlich, dies gilt auch für den IT-Bereich.
Die Geschäftsführung entscheidet, welche Maßnahmen erforderlich sind.
Entscheidungsbefugnisse können auch an Mitarbeiter des Unternehmens delegiert werden.
In manchen Unternehmen bestehen besondere Geheimhaltungspflichten. Dies könnte zum Beispiel die ärztliche oder rechtsanwaltliche Schweigepflicht oder das Telekommunikationsgeheimnis sein.
Grundlagen
Wichtig ist, zwischen sensiblen bzw. besonders schutzwürdigen Daten (ethnische Herkunft, Gesundheitsinformationen, politische Meinung, religiöse Überzeugung, Sexualleben) und nicht sensiblen Daten (Adresse, Geburtsdatum) zu unterscheiden. Beide Arten müssen geschützt werden. Dennoch bestehen bei sensiblen Daten Besondere Anforderungen an die Sicherheit im Umgang mit diesen Daten.
Datenschutz
Zur Gewährleistung der Daten-Sicherheit ist auch das Datenschutzrecht zu berücksichtigen.
Dabei geht es um das Recht der Geheimhaltung, das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Richtigstellung falscher Informationen sowie das Recht auf Löschung der Daten.
Das Datenschutzgesetz 2000 verteilt die Kompetenzen und Aufgaben zwischen Auftraggeber und Dienstleister (z.B.: EDV Firma).
Der Auftraggeber darf dem Dienstleister nur rechtmäßig ermittelte Daten überlassen. Eine schriftliche Vereinbarung zwischen beiden, die die Verpflichtung zur rechtmäßigen und sicheren Datenverwendung durch den Dienstleister enthält sollte Voraussetzung sein..
Der Dienstleister darf die ihm überlassenen Daten nur im Rahmen des ihm erteilten Auftrages verwenden und Datenbestände nicht weitergeben. Er muss alle erforderlichen Maßnahmen treffen und insbesondere auf das Datengeheimnis verpflichtete Dienstnehmer einsetzen.
Datengeheimnis
Auftraggeber, Dienstleister und ihre Mitarbeiter haben Daten aus Datenanwendungen, zu welchen sie ausschließlich auf Grund ihrer beruflichen Tätigkeit Zugang haben, unbeschadet und geheim zu halten. Auftraggeber und Dienstleister müssen Mitarbeiter vertraglich zu verpflichten, dass sie Daten aus Datenanwendungen nur auf Anordnung übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses eingehalten wird. Bei Beendigung des Auftragsverhältnisses zwischen Auftraggeber und Dienstleister, muss der Dienstleister alle Unterlagen, Datenbestände und Datenverarbeitungsergebnisse dem Auftraggeber zurückgeben. Der Auftraggeber hat für die sichere Verwahrung oder ggf. Zerstörung der Daten zu sorgen.
Haftung und Strafen
Der Dienstleister haftet bei schuldhafter und gesetzwidriger Datenverwendung. Datenschutzverletzungen können verwaltungsrechtliche (bis 25.000 Euro Verwaltungsstrafen) aber auch strafrechtliche (bis zu 1 Jahr Freiheitstrafe) Konsequenzen haben. Dies geschieht allerdings nur unter gewissen Voraussetzungen.