Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Kundendaten speichern?

Daten von Kunden dürfen nach § 28 Absatz 1 Nummer 1 BDSG nur für den jeweiligen Vertrag gespeichert werden oder soweit besondere Steuer- oder Archivierungsvorschriften eine Speicherung vorsehen. Diese Daten dürfen aufgrund der engen Zweckbindung jedoch nicht zur Fehlerbehebung im Netzwerk ausgewertet oder gar dafür gespeichert werden. Der Kunde müsste dafür im Vorfeld der Speicherung seiner Daten zustimmen. Dem Unternehmer könnte bei der Speicherung von weiteren Kunden- und Arbeitnehmerdaten zur Fehlerbeseitigung aber je nach Sachverhalt gegebenenfalls § 28 Absatz 1 Nummer 2 BDSG helfen. Darin heißt es: "Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, ……2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt,…."

Zunächst muss die Datenerhebung erforderlich sein. Dies ist der Fall, wenn es keine objektiv zumutbare Alternative dazu gibt. An zweiter Stelle steht eine Abwägung zwischen den Interessen des Unternehmens und denen der von der Speicherung betroffenen Personen. Ein zulässiger Netzwerkscan setzt voraus, dass die Interessen des Unternehmers im Einzelfall ebenso wichtig sind, wie die des Betroffenen. Überwiegen schutzwürdige Interessen des Betroffenen, dessen Daten gespeichert werden, ist die Maßnahme nicht erlaubt. Dies könnte der Fall sein, wenn dessen Recht auf informationelle Selbstbestimmung etwa durch eine Profilbildung besonders stark tangiert wird. Wiegen die Interessen gleich schwer, wäre die technische Maßnahme erlaubt. Eine sehr vage Vorschrift zu der gleichzeitig wenig Rechtsprechung existiert. Kann der Unternehmer gewährleisten, dass die personenbezogenen Daten bei ihm sicher aufbewahrt werden, wäre dies ein Pluspunkt für den Unternehmer und könnte dazu führen, dass die Interessenabwägung zugunsten des Unternehmers ausfällt. Zur IT-Sicherheit ist jedes Unternehmen ohnehin verpflichtet, mithin ein guter Grund, das Unternehmen mal wieder einem IT-Sicherheits-Check-Up zu unterziehen.

IT-Sicherheit gewährleisten

Der Unternehmer muss sich um die IT-Sicherheit in seinem Betrieb kümmern. Er ist sogar nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ausdrücklich zur IT-Sicherheit verpflichtet, umgesetzt ist das etwa im Aktiengesetz in § 91 Absatz 2: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden."

Der Vorstand muss dies mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters tun, § 93 Aktiengesetz. Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft fünf Jahre lang zum Ersatz des daraus entstehenden Schadens verpflichtet, § 93 Absatz 2 Aktiengesetz. Ein Beispiel: Der Vorstand unterschreibt einen Fernwartungsvertrag ohne die IT-Sicherheit zu gewährleisten und Dritte greifen daraufhin illegal auf Daten zu. Ist streitig, ob der Vorstand die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat, trifft ihn die Beweislast, § 93 Absatz 2 Aktiengesetz. Die Vorschrift gilt entsprechend für andere Gesellschaftsformen wie GmbHs, also nicht nur für Aktiengesellschaften.

Dies bedeutet: Jedes Unternehmen muss sich um die IT-Sicherheit zwingend kümmern. Sie ist Prüfungsinhalt der Wirtschaftsprüfer. Das Datenschutzrecht regelt in § 7 BDSG: "Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat." Die Haftung scheidet nur aus, wenn das Unternehmen die Integrität und Vertraulichkeit der gespeicherten personenbezogenen Daten gewährleistet und dies belegen kann, etwa durch eine Zertifizierung oder durch Dokumente des Datenschutzbeauftragten.

In § 9 BDSG heißt es zur IT-Sicherheit: "Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten."

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020