Rechtsgutachten. GFI MAX Backup. (Stand: ) Version 1.0

Transkript

1 Rechtsgutachten zu GFI MAX Backup (Stand: ) Version 1.0 Gutachter: Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Az: 286/13 Version 1.0 Seite 1 von 13 Begonnen am: Letzte Überarbeitung am: Dateiname: R:\RA\001\D\D DOC

2 Inhalt 1. Gutachtenauftrag Sachverhalt Vorstellung der Softwarelösung Erfordernis eines Datenschutzkonzepts Datensicherung und Archivierung Rahmenbedingungen im Rechenzentrum Rechtliche Grundlagen Grundsätzliche Anforderungen an die Datensicherung in Unternehmen Archivierung elektronischer Dokumente Rechtliche Prüfung GFI MAX Backup Ordnungsmäßigkeit des GFI MAX Backups Einhaltung des Datenschutzrechts Ergebnisse der rechtlichen Prüfung...12 Seite 2 von 13

3 1. Gutachtenauftrag Die Firma GFI MAX - HoundDog Technology Ltd., Vision Building, Suites 10 & 11, 20 Greenmarket, GB-DUNDEE, DD1 4QB, ist Herstellerin der Softwarelösung GFI MAX Backup, nachfolgend GFI MAX Backup genannt. Die GFI MAX - HoundDog Technology Ltd bat die Feil Rechtsanwaltsgesellschaft mbh, Hannover, um die rechtliche Beurteilung des GFI MAX Backups, um den Resellern die für einen rechtskonformen Einsatz beim Endkunden notwendigen Informationen zur Verfügung zu stellen. Die nachfolgenden Angaben zum Sachverhalt in diesem Gutachten basieren auf den Angaben der GFI MAX - HoundDog Technology Ltd. gegenüber dem Gutachter. Die Angaben werden für die nachfolgende rechtliche Beurteilung als gegeben vorausgesetzt. Das GFI MAX Backup ist eine Lösung für die externe Datensicherung in Unternehmen. Die Softwarelösung wird von der GFI MAX - HoundDog Technology Ltd. über Reseller Endkunden angeboten. Mit dem nachfolgenden Rechtsgutachten wird die Rechtslage in der Bundesrepublik Deutschland wiedergegeben. 2. Sachverhalt 2.1 Vorstellung der Softwarelösung Grundfunktionalitäten Das GFI MAX Backup ist eine Lösung für die externe Datensicherung in Unternehmen, sprich beim Endkunden. Vertragspartner des Endkunden ist jeweils ein Reseller, nicht direkt die GFI MAX - HoundDog Technology Ltd. Alle Rechte und Pflichten des Endkunden ergeben sich daher aus dem Vertragsverhältnis zwischen dem Reseller und dem Endkunden. Ein direktes vertragliches Rechtsverhältnis zwischen der GFI MAX - HoundDog Technology Ltd. und dem Endkunden besteht nicht. Das GFI MAX Backup kann je nach den vertraglichen Vereinbarungen auf einzelnen Servern und Workstations oder auf allen Servern und Workstations eines Endkunden bzw. an einem Standort aktiviert werden. Je nach den Anforderungen eines Endkunden können verschiedene Zeitpläne für die Datensicherung eingerichtet werden. Die Einzelheiten werden zwischen Reseller und Endkunden verabredet. Das GFI MAX Backup hat einen leistungsfähigen Algorithmus. Es werden nur die Daten gesichert, die sich im Vergleich zu früheren Backupvorgängen geändert haben. Die True-Delta -Technologie sucht nach Änderungen innerhalb der Dateien auf Blockebene, wo sich im Durchschnitt nur 0,1 0,5 % der gesicherten Datenmenge ändert. Die True-Delta -Technologie ist eine blockorientierte Hashwertprüfung, die bei unverändertem Inhalt der Ursprungsdatei keine Daten überträgt. Seite 3 von 13

4 Das GFI MAX Backup ist auf dem leistungsstarken IASO Backup aufgebaut. Alle Daten werden mittels AES-Technologie verschlüsselt. Der Advanced Encryption Standard (AES) ist ein symmetrisches Kryptosystem. Ein eigener LocalSpeedVault im Firmennetzwerk kann für den Endkunden eingerichtet werden. Der LocalSpeedVault ist die parallele Datensicherung zum GFI MAX Backup auf einem internen Datenträger. Dieser Dienst kann optional genutzt werden. In dem GFI MAX Backup ist eine tägliche Abfrage eines Sicherheits-Checks eingerichtet, die eine Meldung im Logfile prüft, ob die Datensicherung erfolgreich war Datenintegrität/Sicherungsintegrität durch Unveränderbarkeit Bei dem GFI MAX Backup werden die zu sichernden Daten automatisch verschlüsselt, bevor sie übertragen werden. Das GFI MAX Backup bietet zusätzlich dem Endkunden die Möglichkeit, die Verschlüsselung über ein personalisiertes Passwort zu schützen. Eine Entschlüsselung der Dateien und Dokumente durch den Reseller oder durch den Softwarehersteller GFI MAX - HoundDog Technology Ltd. ist nicht mehr möglich Zugriffe und Berechtigungskonzept Wenn der Endkunde sein personalisiertes Passwort vergisst oder auf das personalisierte Passwort nicht mehr zugegriffen werden kann, ist eine Entschlüsselung des Backups nicht mehr möglich. Die Daten sind dann verloren. Ein Berechtigungskonzept für den Zugriff auf das GFI MAX Backup ist zwischen Reseller und Endkunden zu vereinbaren Datenrücksicherung Der Endkunde kann eine Datenrücksicherung einzelner Dateien starten, wenn der lokale Backup- Manager des GFI MAX Backups für ihn freigeschaltet ist. Der Reseller und der Softwarehersteller GFI MAX - HoundDog Technology Ltd. kann im Auftrage des Endkunden eine Datenrücksicherung von einzelnen Dateien vornehmen. Voraussetzung ist die vorherige Installation des GFI MAX RM Agenten mit der vorherigen Genehmigung des Endkunden. Allerdings kann eine Datenrücksicherung nur vom Reseller und Softwarehersteller durchgeführt werden, wenn der Kunde kein eigenes personalisiertes Verschlüsselungspasswort vergeben hat. Bei einem Systemausfall beim Endkunden oder einer anderen Notsituation, in der der Endkunden nicht mehr auf seine anderen Datensicherung zugreifen kann, ist eine vollständige Datenrücksicherung durch den Kunden, den Reseller oder durch den Softwarehersteller GFI MAX - HoundDog Technology Ltd. möglich. Dann ist ebenfalls die vorherige Installation des GFI MAX RM Agenten mit der vorherigen Genehmigung des Endkunden Voraussetzung. Allerdings kann eine Datenrücksicherung auch hier vom Reseller und Softwarehersteller nur durchgeführt werden, wenn der Kunde kein eigenes personalisiertes Verschlüsselungspasswort vergeben hat. Seite 4 von 13

5 2.1.5 Protokollierung der Zugriffe Die Protokollierung der Zugriffe kann durch den Endkunden über den lokalen Backup Manager eingesehen werden. Der Reseller kann die Protokollierung über sein GFI MAX Backup Verwaltungsportal einsehen Mitwirkungspflichten der Kunden Der Endkunde vereinbart mit dem Reseller, welche Dateien und Daten im GFI MAX Backup gespeichert werden sollen. Der Kunde kann die Einstellungen des GFI MAX Backups übersteuern, sofern er Zugriffsberechtigungen zum Backup Manager hat. Der Kunde kann nicht die gespeicherten Daten und Dateien im Rechenzentrum löschen. Dies kann nur der Reseller im Auftrage des Endkunden. Das Online Backup ist eine rechtlich notwendige Ergänzung der primären Datensicherung, die beim Endkunden eingerichtet ist Sicherheitsmaßnahmen Die Datensicherung wird durch GFI MAX Backup verschlüsselt ins Rechenzentrum übertragen. Durch das GFI MAX Backup erfolgt eine automatische Überprüfung, ob die Datensicherung erfolgreich war und abgeschlossen wurde. Sollte beispielsweise ein Abbruch der Datenverbindung geschehen, wird das Backup automatisch fortgeführt, wenn die Verbindung wieder aktiv ist. Die Datenübertragung wird protokolliert. 2.2 Erfordernis eines Datenschutzkonzepts Der Endkunde speichert im GFI MAX Backup seine Daten und Dateien und damit auch personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) nur verschlüsselt. Der Reseller und der Softwarehersteller GFI MAX - HoundDog Technology Ltd. können auf das GFI MAX Backup zugreifen, soweit dies vom Endkunden wie unter dargestellt gestattet wird. In diesem Fall ist vom Endkunden mit dem Reseller oder - soweit der Softwarehersteller GFI MAX - HoundDog Technology Ltd. einem Datenzugriff erhält - auch mit diesem ein Vertrag über die Auftragsdatenverarbeitung gemäß 11 BDSG abzuschließen. Dies allerdings nur, soweit ein Zugriff auf unverschlüsselte personenbezogene Daten möglich ist. In diesem Fall sind im Datenschutzkonzept des Endkunden Einzelheiten des GFI MAX Backups mit aufzunehmen. 2.3 Datensicherung und Archivierung Nach der Initialsicherung, wird nur noch inkrementell gesichert, d.h. alle Daten die gesichert sind und sich auf dem zu sichernden Gerät nicht verändern, bleiben unendlich gespeichert. Seite 5 von 13

6 Alte Versionen von veränderten Daten werden nach 28 Tagen automatisch gelöscht. Vor Ende der 28-Tage-Frist können alte Versionen über das GFI MAX Backup-Portal als archiviert markiert werden, sodass diese unbegrenzt verfügbar bleiben Wiederherstellung von Dateien und Dokumenten Die Wiederherstellung von Dateien und Dokumenten im Krisenfall ist vom Endkunden regelmäßig, mindestens einmal pro Quartal zu überprüfen. Dadurch soll sichergestellt werden, dass die im GFI MAX Backup gespeicherten Daten und Dokumente für eine Datenrücksicherung und anschließende produktive Nutzung geeignet sind Verwaltung der Dateien und Dokumente Die Verwaltung der Dateien und Dokumente im GFI MAX Backup erfolgt ausschließlich durch den Endkunden. Die Administration erfolgt entweder durch den Endkunden oder durch den Reseller. 2.4 Rahmenbedingungen im Rechenzentrum Die über das GFI MAX Backup gespeicherten Daten werden im Rechenzentrum DU1 bei der Firma Equinix (Germany) GmbH in Düsseldorf gehostet. Das Rechenzentrum weist folgende Zertifizierung auf: ISO 9001:2008 Standard für Qualitätsmanagementsysteme, ISO / IEC 27001:2005 Standard für Systeme für das Informationssicherheitsmanagement, PCI-DSS Datensicherheitsstandard der Kreditkartenbranche. Die Zertifikate sind unter jederzeit abrufbar. 3. Rechtliche Grundlagen 3.1 Grundsätzliche Anforderungen an die Datensicherung in Unternehmen Zu den wesentlichen Pflichten der Unternehmensführung gehört die Pflicht zur Datensicherung. Dies ergibt sich insbesondere aus den gesetzlichen Anforderungen und der häufig starken Abhängigkeit eines Unternehmens von der IT- Infrastruktur Anforderungen für Aktiengesellschaften Für Aktiengesellschaften sieht 91 Abs. 2 Aktiengesetz (AktG) vor, dass geeignete Maßnahmen ergriffen werden müssen, um Risiken für das Unternehmen zu erkennen und diesen wirksam zu begegnen. Allerdings sieht 91 Abs. 2 AktG keine konkreten Handlungspflichten vor. Aus dieser Regelung wird zunächst für Aktiengesellschaften abgeleitet, dass eine Pflicht zur Einrichtung einer Datensi- Seite 6 von 13

7 cherung besteht. Hier trifft die Unternehmensführung zunächst eine Organisationspflicht, das heißt, das Unternehmen muss sicherstellen, dass eine regelmäßige und risikominimierende Datensicherung erfolgt. Ziel einer solchen Datensicherung muss sein, unternehmensgefährdende und damit mit finanziellen Einbußen versehene Störungen der IT-Infrastruktur zu vermeiden. Auch wenn 91 Abs. 2 AktG dem Wortlaut nach nur für Aktiengesellschaften gilt, wird diese gesetzliche Regelung auf andere Unternehmensformen, beispielsweise auf GmbHs oder Personengesellschaften übertragen. Aber nicht nur aus der gesetzlichen Perspektive ist eine regelmäßige Datensicherung in Unternehmen eine Notwendigkeit. Es liegen verschiedene gerichtliche Entscheidungen vor, die eine Pflicht zur Einrichtung einer Datensicherung festlegen. Wenn Daten nicht regelmäßig gesichert werden, kann in einem Schadensfall ein Schadensersatzanspruch gegen Dienstleister oder Dritte nicht oder nur teilweise durchgesetzt werden. Die Gerichte gehen bei einer nicht ordnungsgemäßen Datensicherung von einem Mitverschulden des Unternehmens nach 254 Bürgerliches Gesetzbuch (BGB) aus Datensicherungskonzept Um einem Datenverlust vorzubeugen, sollte ein Unternehmen ein Datensicherungskonzept erstellen. In einem solchen Datensicherungskonzept ist zu klären, in welchen Abständen eine vollständige Datensicherung aller im Unternehmen anfallenden Daten notwendig ist. Erforderlich ist eine regelmäßige, mindestens tägliche automatisierte Erstellung von Backups. Fallen in Unternehmen große Datenmengen an, genügt nicht nur eine tägliche Datensicherung, sondern die Datensicherungsfrequenzen müssen erhöht werden. Im Datensicherungskonzept ist weiterhin zu klären, wie Daten langzeitarchiviert werden können. Neben den steuerrechtlichen Vorschriften verlangen auch die handelsrechtlichen gesetzlichen Regelungen eine über Jahre dauernde Archivierung von Daten. Ein Datensicherungskonzept ist im Krisenfall ein wichtiger Nachweis, dass im Unternehmen die notwendigen Maßnahmen zur Datensicherung ergriffen worden sind. Aus Sicht des Managements und der Unternehmensleistung ist ein Datensicherungskonzept ein Nachweis, dass alle gesetzlichen Anforderungen umgesetzt worden sind. So wird eine persönliche Haftung der Geschäftsleitung vermieden Rechtsprechung zur Datensicherung Aus dem Jahre 2003 stammen zwei Entscheidungen zum Thema Schadensersatz bei Datenverlust. Das Oberlandesgericht Hamm hat in einem Urteil vom (Aktenzeichen 13 U 133/03) einen Schadensersatzanspruch eines Unternehmens zurückgewiesen, das nicht für eine ausreichende Datensicherung gesorgt hatte. Nach den Feststellungen eines EDV-Sachverständigen hatte das betroffene Unternehmen nicht für eine zuverlässige Sicherheitsroutine gesorgt, sondern diese grob vernachlässigt. Wörtlich heißt es in dem Urteil: Seite 7 von 13

8 Wie dargelegt, gehört es im gewerblichen Anwenderbereich heute zu den voraussetzenden Selbstverständlichkeiten, dass eine zuverlässige, zeitnahe und umfassende Datenroutine die Sicherung gewährleistet. Das Oberlandesgericht Hamm forderte, dass eine Datensicherung täglich erfolgen müsse, die Vollsicherung mindestens einmal wöchentlich. In dem Urteil des Oberlandesgerichts Hamm wurde der Schadensersatzanspruch zurückgewiesen, da diese Grundvoraussetzungen nicht eingehalten wurden. Das Unternehmen hatte noch nicht einmal eine monatliche Komplettsicherung durchgeführt. Dies hielt das Gericht für grob fahrlässig. In der zweiten Entscheidung des OLG Oldenburg aus dem Jahr 2003 ging es um die Pflicht eines Auftragnehmers im Zusammenhang mit der Einrichtung einer Datensicherung (Urteil vom , Aktenzeichen 9 U 10/03). Nach diesem Urteil wird von einem Auftragnehmer erwartet, dass er Vorsorge für Bedienfehler trifft. Der Auftragnehmer war nach Auffassung des Gerichts in der Pflicht, im Rahmen der Datensicherung dafür Sorge zu tragen, dass vor der Datensicherung in jedem Fall alle Verbindungen zur Datenbank beendet sind. Wichtig war nach Auffassung des Gerichts, dass auch bei der Datensicherung eine Datenbank im konsistenten Zustand hinterlassen wird. Aufgrund dieses Fehlers kam es dann zur Haftung des Auftragnehmers. In einer weiteren Entscheidung des Oberlandesgerichts Koblenz vom (Aktenzeichen 1 U 1492/09) ging es um die Haftung des Dienstleisters bei einem Datenverlust. Das Oberlandesgericht stellt in seinen Urteilsgründen fest, dass die Datensicherung originär dem Betreiber einer Computeranlage obliegt. In dem konkreten Fall wurde allerdings eine Festplatte vollständig formatiert. Hier formulierte das Oberlandesgericht Koblenz die Erwartungshaltung, dass der IT- Dienstleister die Datensicherung prüft und so einen unwiederbringlichen Datenverlust vermeidet. Weiterhin fordert das Oberlandesgericht eine aktuelle und einsetzbare Datensicherung. Diese sollte auch redundant angelegt sein. Es wird erwartet, dass ein Unternehmen überprüft, ob und gegebenenfalls welche Daten auf die Sicherungsbänder geschrieben werden oder nicht geschrieben werden. Werden diese Pflichten nicht eingehalten, so sieht das Oberlandesgericht Koblenz ein erhebliches Mitverschulden gem. 245 BGB bei einem Datenverlust Die Unternehmensentscheidung In einem Unternehmen muss organisatorisch sichergestellt sein, dass mindestens eine tägliche Datensicherung erfolgt, die im technischen Krisenfall eine kurzfristige Wiederherstellung der Daten ermöglicht. Ein Datensicherungskonzept, das die einzelnen Maßnahmen zur Datensicherung beschreibt, ist notwendig. Bei hohem Datenaufkommen muss sichergestellt sein, dass auch mehrmals täglich die Daten gesichert werden. Daneben muss ein Unternehmen regelmäßig überprüfen, ob die Datensicherung ordnungsgemäß funktioniert und ob die gespeicherten Daten für eine Rücksicherung und einen anschließenden produktiven Einsatz brauchbar sind. Eine solche Überprüfung sollte mindestens einmal im Quartal erfolgen. Seite 8 von 13

9 3.2 Archivierung elektronischer Dokumente Für die Archivierung elektronischer Dokumente werden sowohl im Handelsgesetzbuch (HGB) als auch in der Abgabenordnung (AO) Anforderungen definiert. Dabei beschränken sich die gesetzlichen Anforderungen des 257 Abs. 3 HGB und des 147 Abs. 2 AO auf elektronische Dokumente, die für den Jahresabschluss relevant sind. Solche elektronischen Dokumente sind nach den Grundsätzen der Ordnungsmäßigkeit aufzubewahren. Das Bundesfinanzministerium hat die Anforderungen an die elektronische Archivierung mit den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme und den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen konkretisiert. Internationale Anforderungen an eine ordnungsgemäße Archivierung ergeben sich durch Basel II und den US-Sarbanes-Oxley Act Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme Das Bundesfinanzministerium hat mit Schreiben vom die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) formuliert (BStBl 1995 I, S. 738). Diese allgemeingültigen Regelungen fordern für die rechtmäßige Archivierung den Einsatz ordnungsmäßiger Speichersysteme, die ordnungsmäßige Wiedergabe der Dokumente und die ordnungsgemäße Verfahrensdokumentation. Ordnungsmäßige Speichersysteme Nach den GoBS ist die Aufbewahrung von Unterlagen ordnungsmäßig und rechtskonform, wenn die gesicherte Aufbewahrung gewährleistet ist und für die Dauer der Aufbewahrung die Informationen auf dem Speichermedium jederzeit abrufbar erhalten bleiben. Dabei stellt das Bundesfinanzministerium nicht auf ein bestimmtes Speichermedium ab. Es können alle Speichermedien genutzt werden, die die handelsrechtlichen und steuerrechtlichen Aufbewahrungsvorschriften einhalten. Ein Speichermedium sollte dabei sowohl hardwaremäßig, als auch softwaremäßig Sicherheitsfunktionen enthalten. Weitere organisatorische Sicherheitsfunktionen ergeben dann insgesamt die Ausprägung für eine Ordnungsmäßigkeit. Die Aufbewahrungsfrist für empfangene und die Kopien abgesandter Handelsbriefe beträgt 6 Jahre und für Handelsbelege 10 Jahre ( 257 Abs. 4 HGB). Dokumente, deren Inhalt der vertraglichen oder deliktsrechtlichen Verjährung unterliegen, müssen für einen Zeitraum von mindestens 30 Jahre archiviert werden. Während dieses Zeitraums muss der Zugriff auf das Dokument möglich sein. Ordnungsgemäße Wiedergabe Nach 257 Abs. 3 HGB ist eine Wiedergabe von aufbewahrungspflichtigen Informationen ordnungsmäßig, wenn der Zugriff innerhalb einer angemessenen Frist möglich ist. 147 Abs. 3 AO fordert, dass ein Zugriff unverzüglich möglich ist. Nach den zivilrechtlichen Definitionen bedeutet unverzüglich ohne schuldhaftes Zögern. Hier wird in der Praxis eine Indexierung der Dokumente und Dateien notwendig sein, um diesen Zugriffsanforderungen gerecht zu werden. Analog zu 238 Abs. 2 HGB ist die Frist für das Lesbar-Machen jeweils nach den Verhältnissen des Einzelfalls zu bestimmen. Seite 9 von 13

10 Ordnungsmäßige Verfahrensdokumentation Die Anforderungen an die Verfahrensdokumentationen hat das Bundesfinanzministerium mit Schreiben vom in den Grundsätzen ordnungsmäßiger GV-gestützter Buchführungssysteme (GoBS) definiert (BStBl I 1995, S. 738 ff.). Nach der Textziffer 6 wird für eine Verfahrensdokumentation gefordert, dass daraus der Inhalt, der Aufbau und Ablauf des Verfahrens vollständig ersichtlich ist Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) muss ein originär elektronisches Dokument für den Datenzugriff im Originalformat maschinell von dem Steuerpflichtigen vorgehalten werden (BStBl 2001 I, S und Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung, Ziff. III. Nr. 8). Datenzugriff Im Rahmen der betrieblichen Außenprüfung darf oder dürfen die Finanzbehörden auf originär digitale Unterlagen in Form des unmittelbaren Datenzugriffs, des mittelbaren Datenzugriffs oder der Datenträgerüberlassung zugreifen. Bei einem unmittelbaren Datenzugriff muss der Steuerpflichtige den Finanzprüfern die erforderlichen Hilfsmittel zur Verfügung stellen, damit er selbständig auf die Daten zugreifen kann. Verlangt der Finanzprüfer und damit die Finanzbehörde einen mittelbaren Datenzugriff, hat der Steuerpflichtige entsprechend den Zugriff auf die Daten zu organisieren. Die Finanzbehörde kann statt eines unmittelbaren o- der mittelbaren Datenzugriffs auch verlangen, dass die Daten auf einem Datenträger zur Verfügung gestellt werden. Maschinelle Auswertbarkeit Nach 147 Abs. 2 Nr. 2 AO muss sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind und unverzüglich lesbar und maschinell ausgewertet werden können. Nur so kann ein Datenzugriff gesetzeskonform ermöglicht werden. Originär digitale Unterlagen sind daher während der gesamten Aufbewahrungsfrist auf maschinell verwertbaren Datenträgern zu archivieren. Nach Abschnitt III.1 Satz 2 GDPdU sind originär digitale Unterlagen, die in das Datenverarbeitungssystem eines Steuerpflichtigen in elektronischer Form eingehende Daten und die im Datenverarbeitungssystem erzeugten Daten. Dazu gehören beispielsweise die Daten aus einem DVgestützten Buchführungssystem oder s, die steuerlich relevant sind. Maschinell verwertbare Datenträger sind nur maschinell lesbare und auswertbare Datenträger. Die häufig in Unternehmen zu beobachtende Praxis, dass beispielsweise s in ausgedruckter Form oder auf Microfilm aufbewahrt werden, genügt nicht den steuerrechtlichen Anforderungen. Originär digitale Unterlagen können so nicht aufbewahrt werden. Seite 10 von 13

11 3.2.3 Basel II, Sarbens Oxley Act und Dokumentationspflicht Basel II und Sarbanes-Oxley-Act (SOA) wirken sich nicht direkt auf die Dokumentationspflichten aus. Allerdings können die Anforderungen von Basel II und SOA nur durch eine möglichst lückenlose Dokumentation der elektronischen Dokumente, die rechtlich bedeutsam sind, erfüllt werden. Mit der Internationalen Konvergenz der Kapitalmessung und Kapitalanforderung (Basel II) soll die wirtschaftliche Sicherheit von Kreditinstituten erreicht werden. Besonders betrachtet werden dabei die operationellen Risiken, das heißt die Gefahr von Verlusten, die durch Versagen interner Systeme oder durch externe Ereignisse eintreten. Zu solchen operationalen Risiken gehören beispielsweise Rechtsrisiken, die zu Bußgeldern, Geldstrafen oder Strafzahlungen führen können. Um solche Risiken abzuwehren, soll eine elektronische Dokumentation erstellt werden, die die Erfüllung der Pflichten in einem Streitfall beweisen kann. Dies ist allerdings ein genereller Grundsatz unternehmerischen Handelns und sollte nicht auf Kreditinstitute beschränkt sein. Letztendlich führt Basel II dazu, dass Kreditinstitute Anforderungen an Dokumentationspflichten von Unternehmen stellen. Diese Dokumentationspflichten betreffen auch die Organisation der Datensicherung. Sarbanes-Oxley-Act Mit dem Sarbanes-Oxley-Act wird von Unternehmen ein internes Kontrollsystem verlangt, das die Einhaltung rechtlicher Vorgaben des Finanz- und Rechnungswesens sicherstellt, um Investoren zu schützen. Die Prüfung des internen Kontrollsystems hat jährlich zu erfolgen. Über das Ergebnis ist im Anschluss zu berichten. In Deutschland sind Unternehmen von den Regelungen des Sarbanes- Oxley-Act betroffen, die aufgrund der Inanspruchnahme des US-amerikanischen Kapitalmarktes an US-amerikanischen Börsen registriert sind. Daneben sind auch deutsche Unternehmen betroffen, die in Geschäftsbeziehungen mit US- Unternehmen stehen. Da nach der US-amerikanischen Rechtsprechung schon geringere Voraussetzungen ausreichen, um deutsche Unternehmen, die Handelsbeziehungen mit US-Unternehmen haben, vor einem amerikanischen Gericht zu verklagen, sollten in solchen Konstellationen die Anforderungen des Sarbanes-Oxley-Act nicht außer Acht gelassen werden. Unternehmen, die Handelsbeziehungen mit den US pflegen, sollten sicherstellen, dass rechtserhebliche Dokumente vollständig elektronisch archiviert werden Ergebnis An die ordnungsgemäße Archivierung ergeben sich vor dem Hintergrund der obigen rechtlichen Ausführungen folgende Anforderungen: - Speichern der Dokumente in einem Archivsystem, - Datenzugriff auf Dateien und Dokumente, - Integrität der Dateien und Dokumente, - Ordnungsmäßige Speichersysteme, - Ordnungsmäßige Verfahrensdokumentation. Seite 11 von 13

12 4. Rechtliche Prüfung GFI MAX Backup 4.1 Ordnungsmäßigkeit des GFI MAX Backups Speichern von Daten und Dokumenten im GFI MAX Backup Die Dateien und Dokumente werden im GFI MAX Backup gespeichert. In dem Backup können die Dokumente nicht mehr bearbeitet werden. Durch die Benutzeroberfläche, auf der Reseller und der Endkunde Zugriff haben, kann keine Veränderung oder Manipulation der über das GFI MAX Backup gespeicherten Daten erfolgen. Über die Benutzeroberfläche sind nur Einstellungen zum Backup und zur Datenwiederherstellung möglich. Es sind keine technischen Möglichkeiten bekannt, die außerhalb der Benutzeroberfläche dem Reseller oder dem Endkunden die Möglichkeit geben, Daten zu verändern oder zu manipulieren. Während des Archivierungszeitraums können Dateien und Dokumente nur vom Reseller im Auftrage des Endkunden gelöscht werden Verfügbarkeit der Dateien und Dokumente Die Online-Backups sind 24 Stunden pro Tag, 7 Tage die Woche an 365 Tagen im Jahr durch den Reseller abrufbar, soweit in dem Vertrag zwischen Reseller und Endkunden entsprechende Leistungspflichten vereinbart sind. Es wird dann über die GFI MAX Backup-Verwaltungskonsole auf den jeweiligen Server zugegriffen wird. Voraussetzung für die Verfügbarkeit ist eine störungsfreie Internetverbindung. Optional ist über die Funktion local speed vault möglich, eine parallele Sicherung auf interne Datenträger beim Endkunden einzurichten Ordnungsmäßige Verfahrensdokumentation Eine ordnungsgemäße Verfahrensdokumentation ist je nach den vertraglichen Vereinbarungen vom Reseller oder Endkunden zu erstellen. 4.2 Einhaltung des Datenschutzrechts Für die Einhaltung des Datenschutzrechtes ist primär der Endkunde verantwortlich. Je nach den vertraglichen Vereinbarungen wird der Endkunde bei den datenschutzrechtlichen Aufgaben vom Reseller unterstützt. Bei einem verschlüsselten Speichern von personenbezogenen Daten liegt keine Auftragsdatenverarbeitung nach 11 BDSG vor. 5. Ergebnisse der rechtlichen Prüfung Nur wenn der Reseller Zugriffsmöglichkeiten auf personenbezogene Daten des Endkunden hat, ist nach 11 BDSG ein eigenständiger Vertrag über die Auftragsdatenverarbeitung zwischen Reseller und Endkunden abzuschließen. Soweit keine Zugriffsmöglichkeiten auf personenbezogene Daten des Endkunden Seite 12 von 13

13 bestehen, ergeben sich neben den unter anderem in diesem Gutachten beschriebenen vertraglichen Regelungen zwischen Reseller und Endkunden keine weitergehenden datenschutzrechtlichen Anforderungen. Der Endkunde muss, wie unter 3.1 beschrieben, die Datensicherung im eignen Unternehmen organisieren und ein Datensicherungskonzept erstellen. Zur Vermeidung von technischen und damit finanziellen Risiken muss sichergestellt sein, dass für einen Ausfall einer primären Datensicherung Vorsorge getroffen wird. Ein Unternehmen kann sich nicht darauf verlassen, dass eine primäre Datensicherung zu 100 % störungsfrei funktioniert. Störungsquellen können technischer Natur sein, ergeben sich aber häufig auch aus organisatorischen Schwächen o- der Fehlern von Mitarbeiterinnen und Mitarbeiter. Zur Absicherung der primären Datensicherung kann das GFI MAX Backup gut genutzt werden. So ist sichergestellt, dass bei einem Ausfall der aktiven IT- Infrastruktur und der primären Datensicherung Daten aus der sekundären Datensicherung durch das GFI MAX Backup zur Verfügung stehen. Mit einer solchen Organisation der Datensicherung werden unternehmensbedrohliche technische Situationen vermieden. Das Management und die Geschäftsleitung eines Unternehmens genügen damit den von Vorständen und Geschäftsführern geforderten Organisationspflichten zur Datensicherung. Hannover, den Unterschrift Rechtsanwalt Thomas Feil Seite 13 von 13