Software für den Datenschutz im Unternehmen

Sich im Rahmen der gesetzlichen Vorschriften zu bewegen, kann für Unternehmen überlebenswichtig sein. Da das Dickicht der Bestimmungen aber in allen Bereichen immer mehr zunimmt, wird diese Aufgabe zu einer immer anspruchsvolleren Herausforderung.

Unternehmen, in denen die Finanzbuchhaltung elektronisch erledigt wird, müssen sich beispielsweise mit den „Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GPDdU) auseinandersetzen und zwingend Programme einsetzen, die den Ansprüchen dieser Grundsätze genügen.

Programme für die IT-Compliance versprechen, die Unternehmen bei der Einhaltung dieser Vorschriften zu unter­stützen. Schwerpunkte der Compliance für IT-Systeme sind die Datensicherheit, die Verfügbarkeit von Informationen und die Aufbewahrung von Daten.

Eines der Vorschriftenwerke, ist das Bundesdatenschutzgesetz (BDSG). Es bleibt in seiner Ausgestaltung jedoch so vage, dass Unternehmen sich schnell in dessen Fallstricken verfangen können. So fordert das BDSG auf der einen Seite die Einhaltung von technischen und organisatorischen Maßnahmen, mit denen ein Unternehmen seine Daten schützen muss. Andererseits schweigt sich der Gesetzgeber allerdings da­rüber aus, wie die einzelnen Maßnahmen denn konkret aussehen sollen beziehungsweise wann ein Unternehmen genug getan hat.

Angaben des Statistischen Bundesamts zufolge gibt es über 260.000 Unternehmen in Deutschland, die mehr als zehn Mitarbeiter beschäftigen. Diese müssen – sofern regelmäßig personenbezogene Daten verarbeitet werden – einen Datenschutzbeauftragten haben. Bezieht man Mehrfachmandate externer Datenschutzbeauftragter in die Rechnung mit ein, so dürfte es in Deutschland an­nähernd 20.000 Personen geben, die sich um den Datenschutz in Unternehmen kümmern.

Der Gesetzgeber schreibt unter anderem vor, dass die Änderungen von personenbezogenen Daten nachvollziehbar bleiben müssen. Auf die Daten dürfen außerdem lediglich Personen zugreifen, die dazu berechtigt sind. Und: Verlust und Manipulation der Daten müssen ausgeschlossen werden.

Aus diesen Forderungen ergeben sich Maßnahmen, die ein Unternehmen ergreifen muss, um dem Gesetz Genüge zu tun. Diese reichen vom Backup der Daten über das Absichern des Netzwerks gegen Eindringlinge bis hin zur Protokollierung beziehungsweise zum Schutz gegen Datenverluste durch Unbefugte, Stichwort Data Loss Prevention.

Eine der größten Herausforderungen besteht in der lückenlosen Dokumentation der laufenden Prozesse, damit Aufsichtsbehörden sich über den aktuellen Stand informieren können. Das geschieht mit einem sogenannten Verfahrensverzeichnis. Werden die Buchstaben des Gesetzes wörtlich ausgelegt, überwacht der Datenschutzbeauftragte nur die rechtskonforme Pflege des Verzeichnisses.

In der Praxis liegt die Aufgabe, das Verzeichnis zu erstellen und aktuell zu halten, aber meist ebenfalls beim Datenschutzbeauftragten. Er ist der erste Ansprechpartner für Aufsichtsbehörden und betroffene Personen, die ein Auskunftsrecht haben.

In vielen Fällen fällt darüber hinaus auch noch die Schulung der Mitarbeiter in Sachen Datenschutz in dessen Auf­gabenbereich.