IT im Unternehmen: Alles im Griff? 18. November 2010

Transkript

1 IT im Unternehmen: Alles im Griff? 18. November 2010

2 Inhalt Unternehmen und IT Umgang und Sicherheit mit Internet und s Cloud Computing IT-Verträge: Do s and Don ts Fragen und Diskussion Apéro pestalozzilaw.com 2

3 Unternehmen und IT Dr. Peter Pestalozzi Dr. Lorenza Ferrari Hofer

4 Unternehmen und IT IT: Begriff und Bedeutung Information Technology = Gesamtheit aller technischen Mittel zur Übertragung und Speicherung von Information IT in allen Unternehmensbereichen Kommunikation (intern und extern) Führungsmittel Geschäftsverkehr (Verträge) Finanzen (Buchhaltung, Steuern) Know-how (z.b. Forschungsergebnisse) Personal (Datenschutz) Archivierung (Datensicherung) Ohne funktionierende IT kein Unternehmenserfolg pestalozzilaw.com 4

5 Unternehmen und IT IT- Verantwortung Corporate Governance (Swiss Code of Best Practice)? Informationsrecht der Aktionäre (nicht nur an GV) OR 716a: Nicht delegierbare VR-Verantwortung Oberleitung, Organisation, Finanzkontrolle CIO = Computer in Ordnung? (Verantwortliche Führungsperson) Bei Delegation: OR 754 II: Auswahl, Instruktion (Pflichtenheft) und Überwachung z.b. des CIO IT ist und bleibt Chefsache pestalozzilaw.com 5

6 Unternehmen und IT IT- Reglemente Bereiche E-Policy (Internet) Datensicherung, Bearbeitung und Speicherung Zugriff (wer auf was, z.b. Finanzdaten) Zuständig für Erlass VR CIO / IT Rechtsdienst Inhalte geschäftlich / privat Internetnutzung Softwarebenutzung (IT Freaks!) Überwachung der Mitarbeiter Periodische Wartung der IT-Reglemente Einhaltung (Kenntnis!) (internes Kontrollorgan: CIO, usw.) Aktualisierung pestalozzilaw.com 6

7 Unternehmen und IT Datenverwaltung - Datenaustausch Unternehmens- gesellschaten Datenaustausch DriRe, Internet Datenverwaltung im Unternehmen GeschäTs- partner pestalozzilaw.com 7

8 Unternehmen und IT Datenkategorien Geschäftliche Daten Firmenintern frei zugänglich Gemeingut Personendaten (Persönlichkeit) Angestellte Geschäftspartner / Dritte Vertrauliche Informationen Vertraglich vereinbarte Vertraulichkeit Anvertraute Arbeitsergebnisse Akten aus Rechtsverfahren Geschäfts- und Fabrikationsgeheimnisse Gesellschaftsunterlagen (Bilanzen, Budgets, usw.) Klientenlisten Know-How pestalozzilaw.com 8

9 Unternehmen und IT Datenverwaltung I Datenschutz Bearbeitung von Personendaten nach Treu und Glauben, verhältnismässig und nur zu dem Zweck, der bei der Beschaffung angegeben wurde Datensicherheit Passwörter, Virenscanner, Firewalls, PC-Konfiguration und Browser- Einstellungen, usw. Beschränkter Zugriff auf Daten - nicht generell, sondern bedürfnisgerecht Archivierung / Back-Up Vertraulichkeit bzw. Geheimhaltung der Daten Beschränkter Zugang zu vertraulichen Daten und Bearbeitung bei Bedarf pestalozzilaw.com 9

10 Unternehmen und IT Datenverwaltung II Sorgfaltsplichten des Unternehmens Sicherstellung einer elektronischen Datenverwaltung Reglemente über die Verwaltung von elektronischen Daten (inkl. Notfall und IT-Zuständigkeiten) zur Durchsetzung des Datenschutzes, der Datensicherheit und der Datenvertraulichkeit Überwachung und Durchsetzung der Reglemente zur Datenverwaltung pestalozzilaw.com 10

11 Unternehmen und IT Datenaustausch I Datenschutz Austausch von Personendaten Datenaustausch setzt insb. Kenntnisnahme seitens der Betroffenen, voraus Datenempfänger im Ausland untersteht einer Gesetzgebung mit angemessenem Datenschutz, oder: Einwilligung der Betroffenen im Einzelfall und nach angemessener Information Vereinbarung von Datenschutzklauseln oder Beitritt zu freiwilligen Regelwerken (z.b. Safe Harbour) Schutz durch Datenschutzregeln, welche für sämtliche Unternehmensgesellschaften verbindlich sind Datensicherheit Massnahmen zur Datensicherheit (vgl. Datenverwaltung) pestalozzilaw.com 11

12 Unternehmen und IT Datenaustausch II Vertraulichkeit bzw. Geheimhaltung Wahrung der Vertraulichkeit und Integrität bei der Datenübertragung Technischer Schutz gegen Vernichtung, Fälschung, Diebstahl, unbefugtes Bearbeiten Protokollierungen bei besonders wichtigen Dokumenten Sorgfaltspflichten des Unternehmens Datenbearbeitungsreglemente zur Durchsetzung des Datenschutzes, der Datensicherheit und der Datenvertraulichkeit Technisch sichere Datenübertragung Durchsetzung der Vertraulichkeit bzw. Geheimhaltung und Integrität der Daten beim Empfänger (als Vertragsverpflichtung) Sicherstellung der Aufbewahrung und des Archivierens von s pestalozzilaw.com 12

13 Umgang und Sicherheit mit Internet und E- Mails Dr.iur. Michael Reinle, LL.M.

14 Umgang und Sicherheit Ausgangslage I: Grosses Schadenspoten[al Kosten durch Cyberattacken rund 2 Mio. USD pro Unternehmen in 2009 (Produktivitätsverlust, entgangene Einnahmen, Verlust des Kundenvertrauens) 72% der Unternehmen 2005 Vorfall in der IT-Sicherheit (Studie der ETHZ) Volkswirtschaftlicher Schaden eines IT-Blackouts von einer Woche rund CHF 5.83 Mrd. allein in der Schweiz Grösstes Sicherheitsrisiko ist der Arbeitnehmer. Aber: Fehlendes Problembewusstsein Nur für 32% Surfen im Internet generell Sicherheitsrisiko (Umfrage Juli 2010) Cookies sind keine Kekse pestalozzilaw.com 14

15 Umgang und Sicherheit Ausgangslage II: Zunahme privater IT- Gebrauch Neue Konzepte der Unternehmensführung Auflösung Grenze Arbeit und Freizeit Vorteil: Mehr Mobilität bei Arbeitserledigung Nachteil: Zunahme privater Verrichtungen während Arbeit Umfrage bei Berufseinsteigern 55% während Arbeitszeit charen 45% Nutzung soziales Netzwerk (z.b. Facebook) Risiken des privaten Gebrauchs der GeschäTs- IT- Infrastruktur Technische Risiken (Viren) Übermässige Beanspruchung Speicherplatz (durch private Downloads) Reduk[on der effek[ven Arbeitszeit Datenschutz, GeschäTsgeheimnisse und Reputa[on Smartphone, GeschäTsnotebook, USB- S[cks pestalozzilaw.com 15

16 Umgang und Sicherheit IT- Sicherheitsmanagement Keine detaillierten rechtlichen Anforderungen (nur ausnahmsweise branchenspezifische Regelungen, z.b. Banken) IT- Sicherheits- Policy Keine technischen Formulierungen Grundlegende Sicherheitsprinzipien und ziele (Zuständigkeiten, Verfügbarkeit, Vertraulichkeit, Integrität von Daten, Erfüllung rechtlicher Anforderungen) IT- Sicherheitskonzept Konkrete technische Vorgaben für GeschäTsprozesse Allgemein und unternehmensweit (Risikoanalyse, daraus abgeleitete Sicherheitsanforderungen) IT- Sicherheitsrichtlinien Bereichsspezifische Sicherheitsmassnahmen IT- Sicherheits- Zer[fizierungen ISO/IEC17799, ISO/IEC27001, usw pestalozzilaw.com 16

17 Umgang und Sicherheit Internet- und E- Mailüberwachung im Besonderen Ausgangslage zeigt: Sicherheitsmassnahmen im Bereich Internet und E- Mail zwingend notwendig Präven[ve technische Schutzmassnahmen (Passwortschutz, Zugriffsschutz, Verschlüsselung, An[virusprogramme, Sperrung bes[mmter Webseiten, Diskquota- Manager, Backup, Firewalls) Repressive technische Überwachungsmassnahmen Präven[ve technische Schutzmassnahmen ohne Bedenken, repressive technische Überwachungsmassnahmen nur teilweise zulässig Nutzungs- und Überwachungsreglement wich[g zur Regelung der privaten Nutzung und Überwachung pestalozzilaw.com 17

18 Umgang und Sicherheit Internet- und E- Mailüberwachung im Besonderen Wich[g: Nutzungsreglement und Überwachungsreglement gegen EmpfangsquiRung Vollständiger Ausschluss der privaten Nutzung wahrscheinlich unverhältnismässig Aber: Arbeitgeber kann Nutzung über privates Mailkonto verlangen Anonyme Überwachung des Surfverhaltens für Sta[s[ken zulässig Personenbezogene, heimliche und permanente Überwachung verboten (ArGV3 26) Vorübergehende, personenbezogene Überwachung zulässig falls Missbrauchsverdacht und vorgängige Informa[on Informa[on durch Vorbehalt in Überwachungsreglement möglich pestalozzilaw.com 18

19

20

21

22

23 Infrastructure-as-a-Service (IaaS): Virtuelle Server mit eigenen IP Adressen und Speicherblöcken werden nach Bedarf in der Wolke zur Verfügung gestellt. Bsp: BPOS; Windows Azur; Amazon Web Services. => Der Server wird also vom Keller in die Wolke verbannt Platform-as-a-Service (PaaS): Eine Palette von Software und Entwicklungs-Tools werden nach Bedarf zur Verfügung gestellt. Entwickler können Applikationen mit den vom Provider zur Verfügung gestellten API s kreieren. Bsp: Windows Azur; Google App. Engine => Lego-Spielen in der Wolke Software-as-a-Service (SaaS): Programmpakete werden in der Wolke zur Verfügung gestellt, so dass keine Installation auf dem Rechner notwendig ist. Beispiele: BPOS, Google Docs, Hotmail, Twitter etc. => Die Software wird von der Hardware geschieden, und vergnügt sich in der Wolke.

24

25

26

27

28 Mehrere Kunden, eine Architektur Kosteneffizienz als Hauptfokus Rasches Deployment Für 5 bis seats 5 seat minimum Ein Kunde pro Architektur Mind seats (normalerweise ab ca seats) Microsoft Confidential

29 Geographisch verteilte und sich gegenseitig absichernde Rechenzentren (in Europa: Dublin & Amsterdam) Redundante Systeme innerhalb der Rechenzentren 9 Ebenen von Datensicherheit Verschlüsselte Datenkommunikation über SSL Betriebsprozesse an etablierten Konzepten (ITIL) ausgerichtet und laufend überprüft Physische Sicherheit (Biometerische Zugangskontrollen, Videoüberwachung etc.) CyberTrust, ISO 27001, SAS 70 Typ I + II Zertifizierung Safe Harbour Zertifizierung 29

30 1. Online Services sind preiswert: keine Vorinvestitionen, kein Eigenaufwand für IT-Betrieb (Server, Strom, Personal, Updates etc.), ein niedriger Preis für das gesamte Paket bzw. die Einzeldienste. 2. Online Services bieten Ihnen hohe Flexibilität: Abrechnung pro Nutzer pro Monat, schnelle und genaue Anpassung der Kapazitäten an den realen Bedarf, flexibler Mischbetrieb mit Ihren eigenen Servern. 3. Online Services sind (zukunfts-)sicher: hoher Sicherheitsstandard der Rechenzentren (SAS 70 Typ I + II, ISO und Cybertrust), garantierte SLAs mit >99,9 % Verfügbarkeit, sofort neue Funktionen nutzen. 4. Online Services sind sofort und einfach nutzbar: innerhalb weniger Stunden, die Einrichtung erfordert kein IT-Wissen. 5. Online Services steigern die Produktivität: optimierte Kommunikation und einfachere Zusammenarbeit, Verwendung vertrauter Microsoft-Programme (z.b. Outlook und Office Communicator). 30

31

32 IT- Verträge: Do's and Don'ts Clara- Ann Gordon, LL.M.

33 Übersicht IT-Projekte: Anforderungen und Risiken Ausgewählte Aspekte bei Outsourcing Verträgen und SLA pestalozzilaw.com 33

34 IT-Verträge IT- Projekte: Anforderungen und Risiken Projektmisserfolge sind häufig Komplexität Hohe Anforderungen an Leistungserbringer und Kunde Problem: Dynamik und starke Vernetzung der Anforderungen Genaue Abgrenzung und Definition der Leistungen Strikte Kontrolle und Koordination während Projekt Codes of Best Practice im IT Bereich (ITIL, RUP, MOF, usw.) pestalozzilaw.com 34

35 IT-Verträge Was ist ein IT- Vertrag? IT-Vertrag Lieferung von Produkten (Hard- und Software) Erbringung von Dienstleistungen (Wartung, Customizing, Consulting, usw.) im Bereich IT Innominatkontrakt mit Elementen von Kaufvertrag Mietvertrag / Lizenzvertrag Auftrags- und Werkvertragsrecht Arbeitsvertrag Gesellschaftsrecht usw pestalozzilaw.com 35

36 IT-Verträge Ausgewählte Aspekte: Outsourcing Verträge / SLA I Struktur: Outsourcing Vertrag / Service Level Agreements (SLA) Auslagerungstypen Drittanbieter Gruppengesellschaft Joint Venture Gesellschaft SLA Detaillierte Beschreibung der Leistungen Level: Quantität und Qualität der Leistungen Messung der Erreichung der Levels Konsequenzen der Nichterreichung pestalozzilaw.com 36

37 IT-Verträge Ausgewählte Aspekte: Outsourcing Verträge / SLA II Ziele / Interessen des Kunden? Kostensenkung Geringe Kapitalbindung Qualität, Compliance Flexibilität Steuerplanung Verschiedene Phasen bedingen verschiedene Regelungen Verhandlungsphase Übergangsphase Betriebsphase pestalozzilaw.com 37

38 IT-Verträge Ausgewählte Aspekte: Outsourcing Verträge / SLA III Gewährleistungen Klare Abgrenzung der Verantwortlichkeiten/Schnittstellen/Vorbehalte Messbarkeit der Leistungsmerkmale auf den Erfüllungsgrad Sicherstellung der Qualität v.a. in den SLAs (Verfügbarkeit, Reaktions-, Problemlösungszeiten, usw.) Messzeiträume, Reporting, Audits pestalozzilaw.com 38

39 IT-Verträge Ausgewählte Aspekte: Outsourcing Verträge / SLA IV Leistungsstörungen und Absicherung Bonus - / Malusregelungen Zahlungsrückbehalte In Rechnungsstellung von Mehrkosten Vorzeitige Kündigungsrechte mit Entschädigung für Ausstiegs- und Migrationskosten Vertragsanpassungsklauseln Step-in Rechte pestalozzilaw.com 39

40 IT-Verträge Ausgewählte Aspekte: Outsourcing Verträge / SLA V Massnahmen gegen Ausfallrisiko Escrow Regelungen für Software und Betriebshandbücher, usw. Recht zur Ersatzvornahme Beendigungsklauseln (Nichterfüllung, Konkurs) Parallele Daten- und Programmhaltung Disaster Recovery bei Alternativprovider Konkursresistente SPVs pestalozzilaw.com 40

41 IT-Verträge Ausgewählte Aspekte: Outsourcing Verträge / SLA VI Rechtswahl Grundsätzlich frei wählbar Ausschluss UN-Kaufrecht? Streiterledigung Eskalationsverfahren Mediation Staatliches Gericht / Schiedsgericht Einheitlichkeit des Gerichtsstands pestalozzilaw.com 41

42 Vielen Dank!