Die Regelungen der Datenschutz-Grundverordnung (DSGVO) über die Datensicherheit sind zum Gutteil den inländischen Regelungen des Bundesdatenschutzgesetzes nachempfunden. Verlangt wird unter anderem ein angemessenes Datenschutzkonzept. Der Verantwortliche muss durch technisch-organisatorische Strategien und deren Umsetzung sicherstellen und nachweisen können, dass er die Verordnung einhält. Es besteht die Möglichkeit eines solchen Nachweises durch Zertifizierung oder die behördliche Genehmigung von Binding Corporate Rules (BCR).
Die technischen und organisatorischen Maßnahmen für die Datensicherheit sollen grundsätzlich auf Basis einer Risikobewertung erfolgen. Ähnlich wie im bereits aus dem Aktien- und Handelsrecht bekannten Teilbereich der "Corporate Governance" mit den dortigen Rechtspflichten für ein effizientes Risikomanagement (und ein hierauf bezogenes internes Kontrollsystem) soll diese Risikobewertung dokumentiert sein. Gleiches gilt für die hieraus abgeleiteten Maßnahmen in Bezug auf die IT-Sicherheit und insbesonere für von der IT ausgehende unternehmensgefährdende Risiken durch Datenverlust oder Verletzungen des Datengeheimnisses und des geschäftlichen Geheimnisschutzes.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.