Die IHK Schwaben hat in Zusammenarbeit mit dem aitiRaum e. V. einen wertvollen Leitfaden herausgebracht, in dem typische Haftungsrisiken dargestellt werden, die man üblicherweise im Bereich IT antrifft. Der Leitfaden richtet sich dabei vor allem an Unternehmensinhaber, Geschäftsführer und IT-Verantwortliche und ist insbesondere im Kontext der DSGVO höchst interessant.

HAFTUNGSRISIKEN

Wenn man über Haftungsrisiken durch den Einsatz von Informationstechnologie und deren Absicherung nachdenkt, ist es von größter Bedeutung, eine klare Gliederung der Verantwortungsbereiche und Handlungsfelder festzulegen, mit der Haftungsrisiken bestmöglich reduziert werden können. Dies ist auch ein zentrales Thema der anstehenden Datenschutzgrundverordnung. Die Absicherung von IT-Haftungsrisiken obliegt dabei dem Vorstand bzw. der Geschäftsführung. Im schlimmsten Fall kann sogar eine persönliche Verantwortung und Haftung möglich sein.

STRATEGISCHE AUFGABEN

Der Leitfaden stellt klar, dass die

„1. Sicherstellung einer bedarfs- und rechtskonformen IT-Nutzung (…), zudem
2. die Einführung einer Datenschutzorganisation mit Bestellung eines betrieblichen Datenschutzbeauftragten nach den Vorgaben des      Bundesdatenschutzgesetzes und ab Mai 2018 nach den Vorgaben der Europäischen Datenschutz-Grundverordnung (EU-DS-GVO)“

als strategische Aufgabe zu betrachten ist. Wenn dann das Unternehmen entschieden hat, IT-Haftungsrisiken strategisch abzusichern, sind als nächstes konzeptionelle Aufgaben im Unternehmen abzuarbeiten. Somit ist die Erstellung eines Sicherheits- und eines Datenschutzkonzeptes erforderlich. Im Rahmen dessen widmet sich der Leitfaden auch den Vorgaben, die sich aus der DSGVO ergeben. Eine Checkliste für die Umsetzung der Vorgabe der Europäischen Datenschutz Grundverordnung (DSGVO) rundet den Leitfaden ab.

CHECKLISTE

Die Checkliste enthält dreizehn Punkte und klopft die verschiedenen Vorgaben aus der DSGVO systematisch ab:

1. Rechtsgrundlagen für Datenverarbeitungsvorgänge
2. Informationspflichten
3. Rechte der Betroffenen
4. Recht auf Datenübertragbarkeit
5. Automatisierte Entscheidungen/Profiling
6. Umgang mit Daten Verurteilungen/Straftaten
7. Implementierung der TOM, Dokumentation über Compliance Programme, BEstellung eines DSB,…
8. Datenschutz durch Technikgestaltung
9. Auftragsverarbeiter
10. Verzeichnis der Verarbeitungstätigkeiten
11. Meldung von Datenpannen
12. Datenschutz-Folgenabschätzung
13. Internationale Datenübermittlung