Sorgfaltspflicht: Geschäftsführer haften für die Datensicherheit
Während etwa für den Fuhrpark regelmäßige Überprüfungen gesetzlich vorgeschrieben sind, fehlen entsprechende Vorgaben für die IT eines Unternehmens. Die Folge: Oft führen relativ banale Versäumnisse zu Datenverlust oder -missbrauch – mit Konsequenzen für die Geschäftsführung.
Ein Rechner, auf dem das Sicherheitsupdate nicht installiert wurde; ein verärgerter Ex-Mitarbeiter, dessen Zugriffsrechte nicht deaktiviert wurden; ein Ausfall des Backup Systems, der unbemerkt bleibt: Es muss nicht der großangelegte Hacker-Angriff sein – oft haben vergleichbar banale Versäumnisse weitreichende Folgen.
Nicht erst seit dem Inkrafttreten der DSGVO kommt dem Thema Datensicherheit große Bedeutung zu. In den meisten Unternehmen laufen heute komplexe Software, die Kundendaten speichert, Dokumentationen anlegt und Abläufe automatisiert. Der Schutz dieser Daten vor Verlust oder Missbrauch stellt die Geschäftsführung vor immer komplexere Aufgaben.
Mangelnder Überblick
Viele kleine und mittelständische Unternehmen verfügen über keine eigene IT-Abteilung, sondern kaufen lediglich bei Bedarf Leistungen zu. Oft fehlt es daher an einem lückenlosen Überblick über die eingesetzten Hard- und Software Lösungen. Eine vollständige Abbildung der Unternehmens-IT ist aber Voraussetzung, wenn neue Geräte oder neue Software implementiert oder Sicherheitsmaßnahmen umgesetzt werden müssen. Andernfalls besteht die Gefahr, dass etwa einzelne Geräte nicht upgedatet oder bestimmte Daten nicht vom Backup erfasst werden.
Meist wird der externe IT-Dienstleister auch erst dann gerufen, wenn ein Problem bereits manifest, der Schaden bereits eingetreten ist. Die Experten müssen dann oft feststellen, dass sich der Schaden hätte vermeiden lassen, wäre das IT-System besser gewartet worden. Und prompt stellt sich die Frage: Ist die Geschäftsführung ihrer Sorgfaltspflicht nachgekommen und hat alle Maßnahmen zur Risikominimierung gemäß Art. 32 der DSGVO getroffen?
Art. 32 der DSGVO
Artikel 32 der DSGVO beschreibt die technischen und organisatorischen Maßnahmen, die ergriffen werden müssen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Unter Berücksichtigung des Stands der Technik und des wahrscheinlichen Risikos bedeutet das unter anderem:
- Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Datenverarbeitung muss sichergestellt sein.
Die IT-Systeme sollte also auf dem aktuellen Stand der Technik und entsprechend gewartet sein. Der Zugang zu den Daten muss auf den kleinstmöglichen Personenkreis beschränkt werden. - Die Daten müssen bei einem physischen, technischen oder durch den Anwender verursachten Zwischenfall rasch wiederhergestellt werden können.
Das bedeutet: auf die Systeme zur Sicherung der Daten muss Verlass sein. - Die Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen muss regelmäßigen überprüft und evaluiert werden.
Dies lässt sich am besten durch regelmäßige IT-Audits nachweisen.
Nachweis der kaufmännischen Sorgfalt
Im Rahmen eines IT-Audits wird nicht nur ein umfassende Überblick und eine Analyse des Ist-Zustands aller eingesetzten PCs, Server, Netzwerke, Software und vielem mehr erstellt. Auch mögliche Schwachstellen und Mängel werden aufgedeckt und können in der Folge behoben werden. Damit wird die Sorgfaltspflicht erfüllt.
Diese Elemente müssen überprüft werden
Fazit
Regelmäßige IT-Audits in Unternehmen sind nicht nur ein stichhaltiger Nachweis einer sorgfältigen Geschäftsführung. Sie bewahren Unternehmen vor teuren Datenverlusten, Betriebsausfällen und deren rechtlichen Folgen. Je nach Anforderung gibt es IT-Analysen in unterschiedlichen Umfängen und für verschiedene Unternehmensgrößen. Die angebotenen Auswertungen reichen von einfachen Reports bis zu ausführlichen Berichten mit Empfehlungen für weitere Maßnahmen und Dokumentationen. Einfache IT-Checks sind schon ab 299 Euro, ausführliche, umfangreiche Gutachten ab 1399 Euro zu haben. Die Kosten-Nutzen-Rechnung dürfte also in jedem Fall aufgehen.
Du möchtest die Sicherheit deiner IT-Systeme überprüfen lassen?
Sehr gerne beraten wir dich unverbindlich von den Vorteilen eines IT-Checks und eines IT-Audits.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 1 3434333
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Florian Wolf
Leitung Kundenbetreuung
oder ein Account Manager aus seinem Team meldet sich umgehend.