Kanzlei Lachenmann Onlinerecht IT-Recht

Praktische Umsetzung einer IT-Notfallplanung im Unternehmen

Jedes Unternehmen sollte ein Programm zur IT-Notfallplanung einrichten, das angesichts der Risiken bei mangelnder IT-Compliance und der Vielzahl von betroffenen haftenden Personen, für Rechtssicherheit im Unternehmen sorgt. Die spezielle IT-Notfallplanung sollte in das Gesamtkonzept des Risikomanagements eingebettet werden.

Dabei ist zu Beginn der IT-Notfallplanung unerlässlich die Risikoerfassung:

  • Erkennung der Risiken in IT-Systemen
  • Und deren Systematisierung, sowie

die nachfolgende Risikoanalyse:

  • Prüfung der Ursachen der Risiken
  • Wahrscheinlichkeit ihrer Verwirklichung
  • Mögliche Schwere ihrer Folgen bei deren Verwirklichung
  • Abschluss mittels einer Gesamtbetrachtung.

Hohe Relevanz bei der IT-Notfallplanung hat die dahingehende Prüfung des Vertragsmanagements: Die Verträge, die die Erbringung von IT-Dienstleistungen regeln sollten überprüft werden bezüglich deren Kritikalität für den Betrieb des Unternehmens und den Folgen des Ausfalls der Systeme. Dabei sind auch die Service Level Agreements einzubeziehen im Hinblick auf schnelle Reaktionen bei Fehlern. Gegebenenfalls müssen die Verträge nachverhandelt werden. Auch die technisch-organisatorischen Maßnahmen (§ 9 BDSG) müssen sauber geregelt sein (eine Wiedergabe des Gesetzestextes ist nicht ausreichend). Zwingend nötig sind Vereinbarungen zur Auftragsdatenverarbeitung, insbesondere falls diese nicht existieren, müssen diese nachverhandelt werden.

Die IT-Notfallplanung ist zu dokumentieren. Dabei ist sowohl auf Ebene des Vorstands/Geschäftsführung ein Verantwortlicher festzulegen, als auch auf den unteren Ebenen zur Umsetzung. Ein Datenschutzbeauftragter ist bei Unternehmen ab 10 Mitarbeitern zu bestellen. Die IT-Notfallplanung muss regelmäßig überprüft werden, da sich Technik und Verantwortungen regelmäßig ändern, hier sollte ein System festgelegt werden. Alle diese Maßnahmen sollten klar dokumentiert werden.

Da kaum konkrete Rechtsprechung zur IT-Notfallplanung vorliegt, sollte eine Orientierung an Branchenstandards oder Handlungsempfehlungen der Interessengruppen gefolgt werden. Hier kann ein (externer) Datenschutz- und Datensicherheitsbeauftragter gute Dienste leisten, der hier spezielles Know-How hat und vor allem kleinere Unternehmen in der Praxis unterstützen kann. Möglich ist auch eine Orientierung bzw. Umsetzung von Standards wie IDW PS-330 (Institut der Wirtschaftsprüfung) oder der BSI-Grundschutzkataloge, ITIL, COBIT od.ä. (Überblick dazu im Beitrag zur IT-Compliance im Unternehmen).

Folgen für die IT-Notfallplanung im Unternehmen

Solche Beiträge wie die hier vorliegenden können zwar Grundlagen der IT-Notfallplanung aufzeigen, jedoch vor allem ein Risikobewusstsein im Unternehmen schaffen, angesichts drohender Nachteile bei bestehenden Mängeln im IT-Bereich. Wenn ein Unternehmen hier noch nicht umfassend aufgestellt ist und kein Konzept zur IT-Notfallplanung vorliegt, sollte ein externer Berater zugezogen werden. Ein solcher Datenschutzbeauftragter, Datensicherheitsbeauftragter und/oder Rechtsanwalt kann eine Einzelfalluntersuchung des Unternehmens vornehmen und daraus den Handlungsbedarf bemessen. Hierzu arbeite ich zusammen mit Gerd Schramm von <Data S>, Ulm, um durch die Verbindung von technischer und rechtlicher Beratung die optimale IT-Notfallplanung für Unternehmen sicherstellen zu können.

Dieser Beitrag wurde in Blog, Compliance, Datenschutzrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.

Ein Kommentar

  1. WordPress › Fehler

    Es gab einen kritischen Fehler auf deiner Website.

    Erfahre mehr über die Problembehandlung in WordPress.