1. Datensicherung und Notfallwiederherstellung - tomtec
1. Datensicherung und Notfallwiederherstellung - tomtec
1. Datensicherung und Notfallwiederherstellung - tomtec
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
IT Sicherheitshandbuch für KMU<br />
7. Einhaltung rechtlicher Vorgaben<br />
Eine Reihe von Gesetzen ist auch für den Informationssicherheitsbereich relevant: Das österreichische<br />
Unternehmensgesetzbuch <strong>und</strong> das GmbH-Gesetz, das Datenschutzgesetz etc. Verschiedene rechtliche<br />
Bestimmungen haben zusätzlich Auswirkungen z.B. auf die Festlegung von Aufbewahrungsfristen<br />
für Protokolle oder Daten.<br />
BESTIMMUNGEN ZUR GESCHÄFTSFÜHRERHAFTUNG<br />
(UGB, GMBH-GESETZ)<br />
Aus den Bestimmungen der oben angeführten Gesetze ergibt sich, dass die Verantwortung für<br />
Informationssicherheit gr<strong>und</strong>sätzlich immer bei der Unternehmensführung verbleibt. Sicherheitsrelevante<br />
IT-Aufgaben können im Rahmen formeller Festlegungen (z.B. einer IT-<br />
Sicherheitspolitik) an einzelne Mitarbeiter delegiert werden; das Management trägt dennoch<br />
insbesondere für die Einhaltung gesetzlicher Bestimmungen die Letztverantwortung.<br />
DAS ÖSTERREICHISCHE DATENSCHUTZGESETZ (DSG 2000)<br />
Das Datenschutzgesetz regelt den Umgang mit personenbezogenen, schutzwürdigen Daten. Zu<br />
„Personen“ sind auch juristische Personen <strong>und</strong> Personengemeinschaften zu zählen; bei den<br />
Daten wird u.a. zwischen sensiblen (z. B. Ges<strong>und</strong>heitsdaten, religiöse oder politische Überzeugung)<br />
<strong>und</strong> nicht-sensiblen Daten (Adressen, Geburtsdatum, K<strong>und</strong>endaten) unterschieden.<br />
Auch nicht-sensible Daten müssen – wenn auch in geringerem Ausmaß – geschützt werden.<br />
Daten dürfen nur für festgelegte, eindeutige <strong>und</strong> rechtmäßige Zwecke verwendet werden.<br />
Die Datenanwendungen, mit denen sie verarbeitet werden, müssen an das Datenverarbeitungsregister<br />
(DVR) gemeldet werden; allerdings zählt das DSG auch eine Reihe von Standardanwendungen<br />
auf, für die diese Meldung nicht nötig ist. Den Personen, deren Daten verwendet werden,<br />
stehen besondere Rechte (Auskunfts-, Richtigstellungs- <strong>und</strong> Löschungsrecht) zu.<br />
Zu den wichtigsten Inhalten des DSG zählt die Festlegung bestimmter Datensicherheitsmaßnahmen:<br />
Die Daten müssen vor Zerstörung <strong>und</strong> Verlust <strong>und</strong> vor ordnungswidriger oder unrechtmäßiger<br />
Verwendung geschützt werden.<br />
50