Artikel erschienen am 07.02.2023
E-Paper

Notfallkonzepte als Anforderung des Datenschutzes

Business Continuity Management ist wichtiger denn je

Von M.A., LL.B. Fabian Hientz, Hannover

Wenn im Unternehmen diese Systeme ausfallen, gleich ob durch technische Probleme oder Angriffe von außen, herrscht sofort Alarmstimmung, da der Geschäftsbetrieb oftmals empfindlich gestört ist oder sogar komplett eingestellt werden muss.

Der hundertprozentig sichere Schutz vor solchen Vorfällen durch technische und organisatorische Maßnahmen ist eine Utopie. Ein gut durchdachtes und vollständig implementiertes Notfallkonzept hilft jedoch, bei einem eingetretenen Notfall die Handlungsfähigkeit im Unternehmen schnell und strukturiert wiederherzustellen. Die schnelle Wiederherstellung des normalen Betriebsablaufs wird auch als Business Continuity Management bezeichnet und ist in der digitalisierten Arbeitswelt eine zentrale Anforderung.

Ein Notfallkonzept enthält Vorgaben, wie in bestimmten Situationen zu agieren ist, es klärt Zuständigkeiten und ist eng mit den implementierten technischen und organisatorischen Maßnahmen verzahnt und ein elementarer Teil dieser. Damit ist das Konzept ein wichtiger Bestandteil des Datenschutzes im Unternehmen. Dies ist in der EU Datenschutz-Grundverordnung (DSGVO) verankert, denn Art. 32 Abs. 1 lit. b) DSGVO definiert die Schutzziele des Datenschutzes als Vertraulichkeit, Integrität und Verfügbarkeit. Ein funktionierendes Notfallkonzept hilft dabei, alle drei Schutzziele so gut wie möglich zu gewährleisten.

Klare ablauforganisatorische Vorgaben sollen dabei helfen, schnelle Entscheidungen über das weitere Vorgehen herbeizuführen. Dabei werden verschiedene Szenarien mit den entsprechenden Handlungsabläufen dargestellt. Was ist beispielsweise zu tun, wenn Malware im System aktiv ist und es offensichtlich einen Datenabfluss an Hacker gibt? Welches Vorgehen greift, wenn Ransomware Server und andere IT-Komponenten sperrt?

Notfälle beschränken sich jedoch nicht nur auf Angriffe von außen, sondern können auch durch physische Schäden, beispielsweise durch Defekte an der Hardware oder durch Naturkatastrophen, wie Überschwemmungen oder Brände, ausgelöst werden.

Notfallkonzepte sind stets an den individuellen Anforderungen des Unternehmens auszurichten, um die dargestellten Szenarien passgenau auf die Gegebenheiten im Unternehmen abzustimmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Januar 2021 seinen BSI-Standard 200-4 zum Notfallmanagement veröffentlicht, der wertvolle Hinweise und Herangehensweisen enthält. Es lohnt sich für Unternehmen, sich mit diesem Thema zu befassen, um auf den Ernstfall bestmöglich vorbereitet zu sein.