IT Sicherheit Teil 15/3 IT Security Policy


Die Einführung einer IT-Security-Policy ist das „Herzstück“ der IT-Sicherheit im Unternehmen. In einer solchen Vereinbarung verpflichten sich alle Betriebsangehörigen noch einmal gesondert und persönlich zum Thema IT-Sicherheit im Unternehmen. Darin enthalten sind klare Regeln für den Umgang mit der Hard- und Software, mobilen Geräten, Passwörtern etc..

Die Ausgestaltung der IT-Security-Policy kann je nach Unternehmensphilosophie und Schutzbedürfnis etwa enthalten:

- Die ausschließliche Verwendung der dienstlich gelieferten Hard- und Software
- Der Umgang mit externer Hard- und Software
- Das Verbot der missbräuchlichen Verwendung aller technischen Einrichtungen
- Der Hinweis darauf, dass die Weitergabe sämtlicher betrieblicher Daten verboten ist und unter Umständen auch strafbar sein kann.
- Die Verpflichtung auf das Datenschutzgesetz
- Die Verpflichtung, an regelmäßigen Schulungen und Fortbildungen teilzunehmen.
- Die Pflicht, zur Gewährung von IT-Sicherheit im ganzen Unternehmen beizutragen
- Verhalten in kritischen Situationen
- Benennung des IT-Verantwortlichen

Neben der Übertragung von Verantwortung auf einen IT-Verantwortlichen und die einzelnen Mitarbeiter obliegt der Unternehmensleitung natürlich weiterhin die Aufsicht. Hierzu zählen insbesondere regelmäßige Bereichte des Datensicherheits- und des Datenschutzbeauftragten. Ein Teil dieser Aufsichtspflicht bedeutet etwa, die zugewiesenen Aufgaben auf ihre Umsetzung hin zu überprüfen.

Je nach Art und Größe des Unternehmens und der verwendeten Technik kann es auch empfehlenswert sein, die jeweiligen Hersteller und Lieferanten in den Sicherheitsprozess mit einzubeziehen, in dessen Rahmen eine Überprüfung sowohl der Gewährleistung, als auch der eigenständig übernommenen Hersteller-Garantien sinnvoll ist.

Hat ein Unternehmen nicht die benötigte Zahl an Mitarbeitern, um alle diese Maßnahmen in eigener Regie durchzuführen, kann der Datenschutz oder die Datensicherheit auch an ein privates Unternehmen abgegeben werden. Inzwischen existieren auf dem Markt eine Vielzahl von kompetenten Anbietern, die Unternehmen in Fragen der IT-Sicherheit verantwortungsvoll betreuen und die Kontrolle der Updates, Patches und Protokolle als Dienstleistung anbieten.

Dies kann beispielsweise durch den Abschluss eines Wartungsvertrages erfolgen. Auch oder gerade dann, wenn es keinen IT-Verantwortlichen im eigenen Unternehmen gibt, bleibt die Pflicht zur Sorge im Umgang mit den Daten dennoch bestehen. Dieses Unternehmen muss zur Vorbeugung des Organisationsverschuldens ebenfalls wieder gut ausgesucht sein. Insbesondere ist der externe IT-Verantwortliche wiederum zur Wahrung der Daten- und Geschäftsgeheimnisse zu verpflichten. Im Übrigen kann ein solcher Wartungsvertrag ganz nach den individuellen Bedürfnissen ausgestaltet werden.

Die hierfür notwendigen Voraussetzungen und die rechtlichen Schritte sollten auf jedem Fall mit hierfür spezialisierten Juristen besprochen und umgesetzt werden. Der Aufwand für eine derartige Prüfung ist auf jeden Fall geringer als die Schadenswiedergutmachung in technischer und rechtlicher Hinsicht.

Nur wenn alle diese Gruppen erfolgreich zusammenarbeiten, kann die Herausforderung IT-Sicherheit erfolgreich gewährleistet werden.


 

Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches

Links zu allen Beiträgen der Serie IT-Sicherheit


Kontakt: info@brennecke-rechtsanwaelte.de
Stand: 03/07


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Das Referat Datenschutzrecht wird bei Brennecke & Partner Rechtsanwälte betreut von:

Portrait Harald-Brennecke Harald Brennecke, Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz

Rechtsanwalt Harald Brennecke ist im Datenschutzstrafrecht als Strafverteidiger tätig.

Rechtsanwalt Brennecke hat zum Datenschutzrecht veröffentlicht:

  • „17 UWG – Betriebsgeheimnisse und Verrat durch (ehemalige) Mitarbeiter“, 2015, Verlag Mittelstand und Recht, ISBN 978-3-939384-38-0
  • "Einführung in das Datenschutzrecht", Kapitel im E-Business Handbuch für Entscheider, 2. Aufl., ISBN 3.540-43263-9, 2002, Springer-Verlag

Folgende Veröffentlichung von Rechtsanwalt Brennecke ist in Vorbereitung:

  • Einführung in das Datenschutzstrafrecht

Rechtsanwalt Brennecke war an der IHK Karlsruhe als Dozent für Datenschutzrecht tätig. Er ist Dozent für Datenschutzrecht an der DMA Deutsche Mittelstandsakademie.

Er bietet Schulungen, Vorträge und Seminare zu den Themen:

  • Schutz von Kundenadressen und Geschäftsgeheimnissen – 17 UWG in Theorie und Praxis
  • Datenschutzstrafrecht
  • Datenschutz in Franchisesystemen – Die unterschätzte Gefahr für Franchisesysteme

Kontaktieren Sie Rechtsanwalt Harald Brennecke unter:
Mail: brennecke@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28

 

Portrait Tilo-Schindele Tilo Schindele, Rechtsanwalt

Rechtsanwalt Schindele ist seit vielen Jahren im IT-Recht für einen weltbekannten IT-Konzern tätig.  
Er berät seit vielen Jahren Unternehmen auf dem Gebiet des Datenschutzrecht.
Er prüft und erstellt Datenschutzhinweise, Datenverarbeitungsvereinbarungen und Einwilligungserklärungen zwischen Unternehmen und Kunden. Er schult Datenschutzbeauftragte und Geschäftsleitungen in allen Fragen des Datenschutzrechtes. Er berät und prüft Datenschutzrechtsfragen in Bezug auf Auslagerungen und Austausch von Daten im internationalen Verkehr (safe harbour u.a.).

Rechtsanwalt Schindele ist Dozent für Arbeitsrecht an der Dualen Hochschule Stuttgart und Dozent für Datenschutzrecht und Arbeitsrecht an der DMA Deutsche Mittelstandsakademie.

Er bietet Schulungen, Vorträge und Seminare unter anderem zu den Themen:

  • Telematik – Rechtliche Probleme des Datenschutzes
  • Datenverarbeitungsverträge
  • Datenschutz in Arbeitsverhältnissen: Arbeitnehmerüberwachung, Arbeitnehmerdatenspeicherung etc.

Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:  
Mail: schindele@brennecke-rechtsanwaelte.de  
Telefon: 0711-896601-24

 

Portrait Guido-Friedrich-Weiler Guido Friedrich-Weiler, Rechtsanwalt, Fachanwalt für Arbeitsrecht

Rechtsanwalt Weiler berät und schult Arbeitgeber und Betriebsräte in allen Fragen des Arbeitnehmerdatenschutzes. Seine umfassende Lehrerfahrung ermöglicht es ihm, Fachanwälte für Arbeitsrecht in Spezialthemen wie der Arbeitnehmerüberwachung fortzubilden.

Als Trainer ist Guido-Friedrich Weiler bei diversen Dax-30-Unternehmen anerkannter Spezialist, wenn es um arbeitsrechtliche Fragen von Datenschutz, Innenrevision oder Compliance geht. In Kooperation mit IT-Sicherheitsunternehmen und Herstellern von Antivirenprogrammen hält er regelmäßig Vorträge zu rechtskonformem Einsatz von IT-Security.

Er publiziert regelmäßig zu arbeitsrechtlichen Themen, insbesondere zu Fragen der Arbeitnehmerüberwachung.

Von 1999 bis 2006 war Guido-Friedrich Weiler bei der Ernst & Young AG Wirtschaftsprüfungsgesellschaft tätig.

Guido Friedrich-Weiler ist

  • Lehrbeauftragter an der Verwaltungs- und Wirtschaftsakademie Hellweg-Sauerland in Soest
  • Lehrbeauftragter an der F.O.M. Fachhochschule für Ökonomie und Management in Bonn, Köln und Aachen
  • Lehrbeauftragter an der Rheinische Fachhochschule Köln
  • Dozent an der DMA Deutsche Mittelstandsakademie
  • Dozent bei EIDEN JURISTISCHE SEMINARE
  • Vorstand des Bundesverbandes Deutscher Interimmanager und Consultants
  • Lehrbeauftragter bei dem Bildungszentraum der Bundeswehr Mannheim

Ferner ist Herr Weiler Referent für

  • Management Circle
  • Haub & Partner
  • IMW Bildungsinstitut der Mittelständischen Wirtschaft
  • W.A.F. Betriebsrätefortbildung

Er bietet Schulungen, Vorträge und Seminare zu den Themen:

  • Datenschutz und Compliance
  • Arbeitnehmerdatenschutz
  • Überwachung von Arbeitnehmern: Möglichkeiten und Grenzen
  • Kontroll- und Überwachungsmöglichkeiten durch interne Revision
  • Recht für Revisoren
  • Persönliche Haftung des Risikomanagers
  • Betriebsvereinbarungen zum Thema Datenschutz und Videokameras
  • BYOD – Herausforderungen für Arbeitgeber
  • Emailarchivierung

Kontaktieren Sie Rechtsanwalt Guido-Friedrich Weiler unter:
Mail: weiler@brennecke-rechtsanwaelte.de
Telefon: 0221-165377-85

 


Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosIT-RechtSoftwareWartungsvertrag
RechtsinfosDatenschutzrechtIT-Security