Während der Bundestag in Minimalbesetzung mit einer Handvoll Abgeordneten das neue Meldegesetz, genauer: Das Gesetz zur Fortentwicklung des Meldewesens, durchgewinkt hat, welches -verkürzt dargestellt- den Meldebehörden unter bestimmten Voraussetzungen die Möglichkeit einräumen soll, persönliche Daten ihrer Bürger entgeltlich an Adresshändler, Inkassofirmen oder die Werbewirtschaft weiterzugeben und damit wesentliche Grundlagen des Datenschutzes „ad absurdum“ führt, sehen sich Unternehmen der Privatwirtschaft im Bereich des Datenschutzes und der IT-Sicherheit zunehmend strengeren Kontrollen ausgesetzt.

Wie dem Newsticker von heise online am 27.06.2012 zu entnehmen war, hat sich die US-Handelsaufsicht FTC (Federal Trade Commission) dazu veranlasst gesehen, die Hotelkette Wyndham sowie drei ihrer Tochterfirmen aufgrund erheblicher Sicherheitslücken bei der Datenerhebung und –Verarbeitung zu verklagen. Hintergrund der Klage ist, dass aufgrund der Sicherheitslücken offenbar die Daten von mehr als 600.000 Bezahlkarten bekannt geworden sind, welche von Kriminellen auf eine in Russland registrierte Domain gespeichert und von dort aus für illegale Transaktionen genutzt wurden. Den Schaden schätzt die FTC auf rund 10,6 Millionen US-Dollar (8,5 Millionen EURO).

Ein wesentlicher Vorwurf in der Klageschrift ist die Tatsache, dass Wyndham in seiner Datenschutzerklärung suggeriere, besonders sorgfältig mit den persönlichen Daten seiner Kunden umzugehen, ohne jedoch die dafür technischen IT-Sicherheitsstandards einzuhalten. Wenn man der Klageschrift Glauben schenkt, kam weder eine Firewall zum Einsatz noch wurden personenbezogene Daten anonymisiert gespeichert oder verschlüsselt. In der Folge kam es zu drei schwerwiegenden Hackerangriffen, im deren Rahmen Zugriff auf den zentralen Server der Hotelkette genommen wurde.

Mangelnde IT–Sicherheit ist ein unter Firmen weit verbreitetes und gerne verschwiegenes Problem. Während das Bundesdatenschutzgesetz neben Meldepflichten (§ 42 a BDSchG) auch erhebliche Bußgelder und sogar Strafverfolgung vorsieht, gibt  es für Hackerangriffe ohne datenschutzrechtliche Auswirkungen bzw. Verluste keine generelle Meldepflicht. In dieser Verschwiegenheit sehen sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der IT-Branchenverband BITCOM ein wesentliches Problem und Hindernis im Kampf gegen Cyberkriminalität. Beide Organisationen wollen einem Bericht der Financial Times Deutschland (FTD) sowie der gemeinsamen Pressemitteilung von BSI und BITKOM zufolge ihre Kräfte im Rahmen deiner Zusammenarbeit von Staat und Wirtschaft bündeln und haben eine „Allianz für Cybersicherheit“ ins Leben gerufen. In diesem Zusammenhang soll eine Meldestelle eingerichtet werde, wo Unternehmen anonym Informationen über Hacker-Attacken mitteilen können.

Wie das oben genannte Beispiel zeigt, darf sich Datenschutz nicht in toll klingenden Datenschutzerklärungen erschöpfen, vielmehr muss hinter einer solchen Erklärung ein IT-Sicherheitskonzept stehen, das dem aktuellen Stand der Technik entspricht. Andernfalls drohen weitreichende rechtliche Konsequenzen für das Unternehmen, die operative Geschäftsführung und in bestimmten Fällen sogar für den einzelnen verantwortlichen Mitarbeiter.

Auf die gesetzlichen Grundlagen und die daraus resultierenden rechtlichen Folgen gehen wir in einem Folgeartikel näher ein.

WK LEGAL verfügt über fundierte Kenntnisse im Bereich des Datenschutzes und berät Unternehmen sowohl bei der wirtschaftlich effizienten Nutzung von Daten unter Einhaltung der gesetzlichen Vorgaben als auch im Bereich der rechtlichen Anforderungen an effiziente IT-Sicherheitskonzepte. Darüber hinaus bietet WK LEGAL auch Vorträge und Seminare zum Thema Datenschutz und IT-Sicherheit an. Weitere Informationen hierzu erfahren Sie auch unter www.wklegal.de. Sollten Sie zu diesem Thema weitere Fragen haben, stehen wir Ihnen gerne auch per E-Mail oder telefonisch unter 030-692051750 zur Verfügung.