Konfessioneller Datenschutz - Maßnahmen zur Risikobewältigung bei der Verwaltung personenbezogener Daten von Klienten und Mitarbeitern

Transkript

1 Konfessioneller Datenschutz - Maßnahmen zur Risikobewältigung bei der Verwaltung personenbezogener Daten von Klienten und Mitarbeitern Tagung des Bundesverbandes Evangelische Behindertenhilfe Christoph Lützenkirchen, CIA

2 Agenda 1 Datenschutz in Staat und Kirche 2 Datenschutzbeauftragte und Datenschutzsystem 3 Risiken und Datenpannen 4 Arbeitnehmerdatenschutz 5 Arbeitsprogramm Datenschutz Folie 2

3 Agenda 1 Datenschutz in Staat und Kirche 2 Datenschutzbeauftragte und Datenschutzsystem 3 Risiken und Datenpannen 4 Arbeitnehmerdatenschutz 5 Arbeitsprogramm Datenschutz Folie 3

4 Gesellschaftliche Bedeutung des Datenschutzes Verstoß Bußgeld Skandale wie bei Lidl, Telekom und Deutscher Bahn zeigen: Datenschutz wird immer wichtiger, weil immer mehr Daten in elektronischer Form vorhanden sind! Schon der öffentliche Verdacht, dass ein Unternehmen gegen den Datenschutz verstoßen hat, führt zu einer erheblichen Imageschädigung! Drastische Ausweitung der Bußgeldtatbestände im Gesetz Korruptions- und Kriminalitätsprävention wurde erheblich erschwert Durch die NSA-Affäre erfährt das Thema Datenschutz außerdem momentan ein großes öffentliches Interesse! Folie 4

5 Abgrenzung und Überschneidungen: Bundesdatenschutzgesetz Kirchlicher Datenschutz Getrennte Rechtsbereiche Bundesdatenschutzgesetz Gilt bundesweit Das Bundesdatenschutzgesetz wurde 2009 novelliert Kirchlicher Datenschutz Gilt im Bereich staatlicher anerkannter Kirchen und ihnen angeschlossene Einrichtungen und Unternehmen Die kirchlichen Regelungen sind zunächst unverändert geblieben Zahlreichende fließende Übergänge beider Richtlinien Professionelle Aktenvernichtung im Auftrag Kauf von Adressmaterial für Spendenwerbung Softwarewartung Outsourcing der Personal- oder Leistungsabrechnung Folie 5

6 Wie gehen wir selbst mit Daten um? Telefon Internet Streetview Rabattkarten Folie 6

7 Grundlagen der Datenspeicherung Auf Grund eines Vertrages Das Speichern von Daten erfolgt nur aus den folgenden Gründen: Auf Grund der Einwilligung des Betroffenen Auf Grund einer anderen Rechtsvorschrift!! Verbotsgrundsatz mit Erlaubnisvorbehalt, d. h.: Die Verarbeitung personenbezogener Daten (Daten von natürlichen Personen) ist verboten, sofern sie nicht durch ein Datenschutzgesetz oder eine andere Vorschrift oder durch eine ausdrückliche Einwilligung des Bürgers erlaubt ist. Folie 7

8 Datenschutzgrundsätze Wenn Regelungen in das Recht auf informationelle Selbstbestimmung des einzelnen eingreifen, gelten folgende Grundregeln: Datensparsamkeit Nur das erforderliche Minimum an Daten kann verlangt werden. Keine Datenspeicherung, wenn sich der Zweck auch ohne erreichen lässt. Wenn Daten gebraucht werden, dann so wenig wie möglich persönliche Daten verarbeiten. Zweckbindung Die Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben oder erfasst wurden. Verhältnismäßigkeit Auch bei der Organisation und dem Verfahren des Umgangs mit personenbezogenen Daten muss auf die Rechte des einzelnen Rücksicht genommen werden. Folie 8

9 Agenda 1 Datenschutz in Staat und Kirche 2 Datenschutzbeauftragte und Datenschutzsystem 3 Risiken und Datenpannen 4 Arbeitnehmerdatenschutz 5 Arbeitsprogramm Datenschutz Folie 9

10 Der Datenschutzbeauftragte Evangelische Kirche Bundesdatenschutzgesetz Die jeweiligen Landeskirchen berufen einen Datenschutzbeauftragten. Die Untergliederungen (Örtliche Kirchenämter, Diakonische Betriebe) bestellen nur einen Betriebsbeauftragten für den Datenschutz und melden die Bestellung an den Datenschutzbeauftragten der jeweiligen Landeskirche. Kündigungsschutz im DSG-EKD bisher nicht übernommen. Aber: neue Fassung der KDO für die katholische Kirche bereits an BDSG angepasst! Privatfirmen müssen immer einen Datenschutzbeauftragten bestellen, wenn personenbezogene Personaldaten oder gewerbsmäßig Adressmaterial automatisiert verarbeitet werden. Der angestellte Datenschutzbeauftragte ist seit dem grundsätzlich unkündbar. Gibt der angestellte Datenschutzbeauftragte sein Amt selbst auf, darf ihm ein Jahr lang danach überhaupt nicht gekündigt werden. Wer trägt die Verantwortung für den Datenschutz im Unternehmen? Im öffentlichen und kirchlichen Bereich die Geschäftsleitung (nicht der Datenschutzbeauftragte) Folie 10

11 Aufgaben des Betriebsbeauftragten für den Datenschutz Beratung Mitarbeiter Fachliche Stellungnahmen Optimierung Datenschutz Unterstützung der Einarbeitung neuer MA Datenschutz-Audits Planung und Steuerung Durchführung Dokumentation, Bericht Analyse und Konzeption DS-Analyse Konzeption Umsetzung Datenschutz Planung und Steuerung der Maßnahmen Dokumentation Verfahrensverzeichnis DS-Regelungen im Datenschutzhandbuch oder QM-System Datenschutz-Jahresbericht IT-Projekte Vertretung der DS-Aspekte bei der Einführung und Weiterentwicklung der IT- Anwendungssysteme Mitarbeit bei Rechtekonzeptionen Unterstützung IT-Revision Organisationsprojekte Vertretung der der DS-Aspekte bei der bei der Prozessoptimierung Datenschutz im im QM-System Folie 11

12 System Datenschutz Ermittlung der Prüffelder anhand einer Risikomatrix mit drei Kriterien Wann zuletzt geprüft Klassifizierung nach Datenschutz Unternehmensforderung Folie 12

13 Themenfelder Datenschutz Lfd. Nr. Themenfelder Datenschutz Zuletzt geprüft Priorität Unternehmensanforderung Rangfolge Auswahl 1 Verfahrensverzeichnis Auftragsdatenverarbeitung X 3 Soziale Netzwerke X 4 Internet, Nutzung mobiler Datenträger Home Office X 7 Auskünfte (Kostenträger, Angehörige usw.) Videobeobachtung Verpflichtung zur Verschwiegenheit Datenzugriff, Datenverschluss Zugriffe durch Fremdfirmen auf die IT Vernichtung von Daten Nutzung von Fotos Zugang Datenräume Brand-, Wasserschutz in Datenräumen Sicherungs-, Backup-System, Disaster Recovery X 17 Berechtigungskonzepte Netzwerk, Software X 18 Firewall, Virenschutz X 19 Updates, Testumgebung Überwachung Netzauslastung Auslagerung IT Quelle: Eigene Darstellung Folie 13

14 Wie läuft ein Datenschutzaudit ab? Mehrjahresplanung Datenschutz Planung Datenschutzaudit Datenschutzaudit vor Ort Berichterstattung Monitoring Risikoorientierte Planung: Datum des letzten Audits, Ergebnis letztes Audit, Komplexität des Prüffelds, Bedeutung des Prüffelds für den Datenschutz im Unternehmen Einholen von Vorinformationen Risikoorientierte Einzelplanung jedes Audits Abstimmung der Auditplanung mit Kunden Interviews Soll-Ist-Abgleich des Prozesses Stichproben Schnittstellen Dokumentation Empfehlen von Prozessverbesserungen Berichtsentwurf Schlussgespräch mit Kunden auf Basis des Entwurfes Vereinbarung von Maßnahmenverbesserungen Überwachung der Umsetzung der Empfehlungen im nächsten Bericht Einjährige Planung zur Abstimmung und Genehmigung durch die Geschäftsführung Folie 14

15 Agenda 1 Datenschutz in Staat und Kirche 2 Datenschutzbeauftragte und Datenschutzsystem 3 Risiken und Datenpannen 4 Arbeitnehmerdatenschutz 5 Arbeitsprogramm Datenschutz Folie 15

16 (Bußgeldbewährte) Risiken 43 BDSG führt Ordnungswidrigkeiten auf, u. a. einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt zu haben sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt zu haben sich nicht an die Vorgaben zu Datenerhebung und -speicherung zu halten Auskunftsverlangen nicht richtig behandelt zu haben unbefugt personenbezogene Daten erhoben oder verarbeitet zu haben Eine Ordnungswidrigkeit kann je nach Schweregrad mit einer Geldbuße von bis zu geahndet werden. Eine vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Merke: die Verantwortung liegt bei der Geschäftsführung! Folie 16

17 Datenpanne Um welche Daten geht es? Ethnische Herkunft, pol. Meinung, Gesundheitsdaten, Sexualleben Personenbezogene Daten, die einem Berufsgeheimnis unterliegen Personenbezogene Daten aus strafbaren Handlungen/Ordnungswidrigkeiten Personenbezogene Daten von Kreditkarten und Bankkonten Definition Datenpanne Wenn eine unrechtmäßige Übermittlung stattgefunden hat. Wenn Daten auf sonstige Weise Dritten bekannt wurden. Es drohen schwerwiegende Beeinträchtigungen für die Rechte Betroffener oder für das schutzwürdige Interesse der Betroffenen. Folie 17

18 Datenpanne Vorgehen 42a BDSG Benachrichti gungspflicht 1. Melde-Weg im Unternehmen unter Einbeziehung des Datenschutzbeauftragten/ Betriebsbeauftragten festlegen. Meldung an Aufsichtsbehörde 2. Einschätzung des Vorfalls anhand einer Checkliste. Meldung an den Betroffenen Folie 18

19 Datenpanne Datenpanne Ad-Hoc Maßnahmen treffen, Meldung an Aufsichtsbehörde und Betroffenen oder Zeitungsanzeige Betroffenen informieren Keine Datenpanne Ursachenanalyse Maßnahmen, die eine Wiederholung verhindern Dokumentation Ursachenanalyse, Vorbeugung Dokumentation Folie 19

20 Datenpanne Checkliste Datenpanne Ereignis Fehlübermittlung an Behörde besondere personenbezogene Daten personenbezogene Daten mit Berufsgeheimnis personenbezogene Daten, die aus Straftaten oder Ordnungswidrigkeiten herrühren personenbezogene Daten aus Kreditkarten oder Bankverbindungen Einstufung Konsequenz Folie 20

21 Agenda 1 Grundlagen des Datenschutzes in Staat und Kirche 2 Der Datenschutzbeauftragte und das Datenschutzsystem 3 Umgang mit Risiken und Datenpannen 4 Arbeitnehmerdatenschutz 5 Arbeitsprogramm Datenschutz Folie 21

22 Arbeitnehmerdatenschutz Zahlreiche Vorschriften regeln die Speicherung von Daten der Mitarbeitenden: ESTR, SGB, DEÜV, Betr. Altersvers., Schwerbehindertenrecht Bescheinigungs- und Meldewesen Andere Rechtsvorschriften gehen dem BDSG voran Folie 22

23 Arbeitnehmerdatenschutz BDSG: bezogen auf das Individuum Betriebsverfassungsrecht: Kollektivrecht, Individualrecht in spez. Fällen Personalvertretungsgesetze im öffentlichen Bereich Tarifverträge Betriebs- und Dienstvereinbarungen Rechtsprechung Folie 23

24 Arbeitnehmerdatenschutz Definition des Beschäftigten Arbeitnehmer Auszubildende Rehabilitanden Beschäftigte von WfbM Heimarbeiter usw. Bewerber Beamte, Soldaten, Bufdis Folie 24

25 Arbeitnehmerdatenschutz Bedeutung des 32 Bundesdatenschutzgesetz Stand 1. September 2009 Bisher galt 28: Arbeitnehmer wurden wie Kunden behandelt; das hatte zur Folge, dass die Arbeitgeber bei AN-Daten sog. Interessenabwägung machen konnten Regelt die Erhebung/Nutzung/Verarbeitung von Beschäftigtendaten während des Arbeitsprozesses 32 BDSG als alleinige Vorschrift Jedes Medium mit Beschäftigtendaten fällt unter 32 Unklare Regelung zur Prävention von Straftaten: Beteiligung der BR und MAV Aufdeckung von Straftaten nur bei dokumentierten Anhaltspunkten, die einen Verdacht begründen Arbeitnehmerdatenschutz im konfessionellen Bereich: Katholische Kirche: in 2014 Anpassung analog zu 32 BDSG 10a KDO Evangelische Kirche: Anpassung hat noch nicht stattgefunden, wird aber erfolgen Folie 25

26 BR/MAV und Datenschutz Wünschenswert: vertrauensvolle Zusammenarbeit zwischen Datenschutzbeauftragtem und BR / MAV, da Arbeitnehmerdatenschutz von beiden vertreten wird. BR / MAV Einschaltung der Aufsichtsbehörde Anrufung der Gerichte Unterliegt nicht der Kontrolle durch den Datenschutzbeauftragten, hat aber die Datenschutz- und -sicherungsanweisungen des Unternehmens zu erfüllen Meldet Vorhaben der automatisierten Datenverarbeitung an den Datenschutzbeauftragten Verpflichtung aller Mitglieder des BR / MAV auf das Datengeheimnis, wenn personenbezogene Daten verarbeitet werden Ist nicht fremder Dritter, sondern Teil des Unternehmens Folie 26

27 Agenda 1 Datenschutz in Staat und Kirche 2 Datenschutzbeauftragte und Datenschutzsystem 3 Risiken und Datenpannen 4 Arbeitnehmerdatenschutz 5 Arbeitsprogramm Datenschutz Folie 27

28 Arbeitsprogramm Datenschutz Inhaltliche Ausrichtung Datenschutz und Datensicherheit sind zwei Seiten einer Medaille Exemplarische Aufgabenfelder Einführung neuer Software, Vorabkontrolle Datensicherheit Berechtigungskonzepte, Netzwerk, Software Zugriffe durch Fremdfirmen Auftragsdatenverarbeitung Öffentlichkeitsarbeit Soziale Plattformen Auskunftsrechte Verfahrensverzeichnis Nutzung mobiler Datenträger Nutzung Internet und Aktenvernichtung Folie 28

29 Arbeitsprogramm Datenschutz Einführung neuer Software: Vorabkontrolle Sicherstellung der Zuverlässigkeit der Erhebung, Verarbeitung und Nutzung durch die verantwortliche Stelle Prüfung des Datenschutzbeauftragten, ob Vorabkontrolle nach 4 d Abs. 5 BDSG erforderlich insbesondere bei bes. Art der Daten (Gesundheitsdaten usw.) bei Daten, die zur Bewertung der Betroffenen dienen Anwendungsbeispiele in der Behindertenhilfe: Programme zur Verwaltung der Menschen mit Behinderung, Arzneimittelverwaltung, Pflegedokumentation, Leistungsabrechnungsprogramme, Videoüberwachung Folie 29

30 Arbeitsprogramm Datenschutz Thema Datensicherheit IT-Grundschutz nach den Vorschlägen des Bundessicherheitsamtes für Informationstechnik: Schutz von Räumen z. B.: Klimaanlage, Schließungssysteme Schutz von Verbindungen z. B.: Internet usw. Datensicherung z. B.: Konzepte für Unterbrechungsfreie Stromversorgung (USV), Backup Disaster Recovery z. B.: Dokumentation Folie 30

31 Arbeitsprogramm Datenschutz Berechtigungskonzepte Netzwerk, Software Austausch IT-Abteilung Personalabteilung bei Ausscheiden? Single-Sign-On User im Netzwerk eindeutig identifizierbar? Funktionsuser? Verfällt das Passwort? Standardvorgaben? Wie merke ich mir ein sicheres Passwort? Folie 31

32 Arbeitsprogramm Datenschutz Zugriffe durch Fremdfirmen Unkontrolliert? Formvorschriften beachtet? Eingriffe direkt in die Produktivdatenbank Anwendungsbeispiele in der Behindertenhilfe: Wartungen der Software, Updates, Fehlerbehebungen Folie 32

33 Arbeitsprogramm Datenschutz Auftragsdatenverarbeitung Formvorschriften beachten Bußgeldbewehrt Vorabkontrolle Anwendungsbeispiele in der Behindertenhilfe: Software für die Behindertenhilfe (z. B. ProfSys, Life Plus, Connext Vivendi), Outsourcing von Datenverarbeitung u. a. Personal, CRM-Systeme, Leistungsabrechnung (z. B. Fakturierung der WfBM), Buchhaltung, Werbebriefe, Aktenvernichtung, Archivierung Folie 33

34 Arbeitsprogramm Datenschutz Öffentlichkeitsarbeit Ist Zustimmung zur Datennutzung vorhanden? Auswertungen von Hits auf Seiten der Homepage mittels Google Analytics Weitergabe / Kauf von Adressen für Werbezwecke Anwendungsbeispiele in der Behindertenhilfe: Nutzung von Fotos in Broschüren (besonders sensibel in der Behindertenhilfe, daher möglichst schriftliche Zustimmung einholen), Spendenaufrufe Folie 34

35 Arbeitsprogramm Datenschutz Soziale Plattformen Social Media Richtlinie Rahmenbedingungen festlegen Vorgabe zu Inhalten machen Folie 35

36 Arbeitsprogramm Datenschutz Auskunftsrechte Ist im Unternehmen geregelt, an wen welche Auskunft erteilt werden darf? Richtlinie? Anwendungsbeispiele in der Behindertenhilfe: Auskünfte an Bewohner, öffentliche Dienststellen, Betreuer, Familienangehörige Folie 36

37 Arbeitsprogramm Datenschutz Verfahrensverzeichnis Gesetzliche Grundlagen Inhalte nach 14 DSG-EKD Name der verantwortlichen Stelle 14 Datenschutzgesetz der EKD Bezeichnung und Art der Datenverarbeitungsprogramme deren Zweckbestimmung Art der gespeicherten Daten betroffener Personenkreis 4g Abs. 2 BDSG in Verbindung mit 4d und e BDSG Art der regelmäßig übermittelten Daten Regelfristen für die Löschung der Daten zugriffsberechtigte Personengruppen oder Personen, die allein zugriffsberechtigt sind Rechtsgrundlage der Datenverarbeitung Folie 37

38 Arbeitsprogramm Datenschutz Nutzung mobiler Datenträger USB-Sticks, mobile Festplatten, Kameras, Handhelds, Smartphones Risiken: Verlust, Diebstahl, Vireninfektion Anwendungsbeispiele in der Behindertenhilfe: Handhelds im ambulanten Dienst, Verlust von Smartphones Folie 38

39 Arbeitsprogramm Datenschutz Nutzung Internet und Bei fehlendem Verbot des Betrachtens oder Herunterladens strafwürdiger Inhalte Konsequenzen nach dem Telemediengesetz. Private Nutzung erlaubt: Brief- und Postgeheimnis für fächer bei Abwesenheit oder Kündigung. Fehlende Betriebsvereinbarung macht Arbeitgeber zum Provider: Vorratsdatenspeicherung usw. Anwendungsbeispiele in der Behindertenhilfe: private Nutzung des Internets durch die Heimbewohner Folie 39

40 Arbeitsprogramm Datenschutz Aktenvernichtung Berichtigung, Löschung und Sperrung von Daten ( 20 und 35 BDSG) Keine Vorgaben des BDSG zur Aktenvernichtung, aber DIN Büro- und Datentechnik Vernichtung von Datenträgern gilt als Standard Ersetzt die vorherige DIN auf Grund der heutigen Datenträgervielfalt Anforderungen an die ordnungsgemäße Datenvernichtung 3 Teile: Grundlagen und Begriffe, Anforderungen an Maschinen zur Vernichtung von Datenträgern, Technische und organisatorische Anforderungen an die Prozesse der Datenträgervernichtung Kategorien: 3 Schutzklassen von Daten, 6 Gruppen von Datenträgern, 7 Sicherheitsstufen Maßnahmen des Bundesamtes für Sicherheit in der Informationstechnik (IT- Grundschutzkataloge), z. B.: M Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten und M Auswahl geeigneter Aktenvernichter Anwendungsbeispiele in der Behindertenhilfe: personenbezogene Daten von Bewohnern und Mitarbeitern, Aktenvernichtung als Dienstleistung einer WfBM, Festplatten in Druckern und Kopierern Folie 40

41 Fazit: Datenschutz geht jeden an! Allgemeine Grundsätze beachten, u. a. Datensparsamkeit, Einwilligung Datenschutzregelungen unter Berücksichtigung der Trägervielfalt und des Konkurrenzverhältnisses der Regelungen Einhaltung der Datenschutzregelungen, um Verstößen vorzubeugen Kenntnis der (bußgeldbewährten) Risiken Aufbau eines Datenschutzsystems im Unternehmen und stringente Abarbeitung eines Arbeitsprogramms, u. a. Hinweis auf Datenverarbeitung, Verfahrensverzeichnis, Auftragsdatenverarbeitung, Aktenvernichtung, Datenschutz-Audits Der Betriebsbeauftragte für den Datenschutz ist Ansprechpartner im Unternehmen, aber die Verantwortung für den Datenschutz liegt bei der Geschäftsführung! Folie 41

42 Ihr Ansprechpartner Christoph Lützenkirchen, CIA Leiter Geschäftsfeld Unternehmenssteuerung Prüfungsnahe Beratung Curacon GmbH Wirtschaftsprüfungsgesellschaft Scharnhorststraße Münster Telefon 0251 / Fax 0251 / Mobil 0151 / christoph.luetzenkirchen@curacon.de Folie 42

43 Wichtige Hinweise zu Haftungsverhältnissen und Allgemeinen Auftragsbedingungen Diese Ergebnispräsentation wurde ausschließlich für eingangs genannten Auftraggeber erstellt. Diese Ergebnispräsentation darf nur mit vorheriger schriftlicher Zustimmung von Curacon anderen Personen zugänglich gemacht, im Ganzen oder teilweise zitiert oder veröffentlicht werden. Curacon übernimmt für diese Ergebnispräsentation keine Verpflichtung und Haftung gegenüber anderen Personen als dem Auftraggeber. Wir weisen explizit darauf hin, dass im Falle der nicht autorisierten Verwendung der Ergebnispräsentation durch Dritte wir diesen gegenüber keinerlei Verpflichtung und Haftung übernehmen und die Verantwortung ausschließlich bei diesen Dritten liegt, ob sie Informationen, die ihnen zugänglich gemacht werden, als für ihre Zwecke tauglich erachten. Die Verwendung unserer beruflichen Äußerungen zu Werbezwecken ist unzulässig. In den Fällen, in denen unsere Ergebnispräsentation mit anderen Berichten oder Aussagen verbunden wird, übernehmen wir keine Verpflichtung und Haftung für Berichte oder Aussagen anderer Personen. Die vorliegende Ergebnispräsentation ist unabhängig vom Inhalt solcher und anderer, vom Auftraggeber beauftragter Untersuchungen oder Darstellungen zu sehen. Unsere Analysen und Untersuchungen auf Basis der uns im Rahmen des Beratungsprojektes vorgelegten Dokumente und uns erteilten Auskünfte sind unter folgenden Voraussetzungen bzw. Annahmen erfolgt: Sofern nicht ausdrücklich angegeben bzw. aus den Informationen selbst ersichtlich, gehen wir davon aus, dass sämtliche von uns untersuchten Dokumente und uns erteilten Auskünfte zutreffend, vollständig und nicht irreführend sind, Fotokopien dem jeweiligen Original entsprechen und uns keine Dokumente oder Informationen von Bedeutung vorenthalten wurden. Verträge oder Vereinbarungen können nach ihrem Abschluss mündlich oder anderweitig von den Parteien abgeändert worden sein, ohne dass wir davon Kenntnis haben oder dies den vorgelegten Dokumenten zu entnehmen wäre. Es kann darüber hinaus Verträge oder Dokumente geben, von denen Curacon keine Kenntnis hat. Wir gehen weiter davon aus, dass die Verträge und Vereinbarungen ordnungsgemäß von den darin aufgeführten Parteien unterzeichnet wurden und die Parteien sowie die unterzeichnenden Personen hierzu berechtigt waren. Vorgänge und Hintergründe, die sich nicht aus den Dokumenten und uns erteilten Auskünften ergeben, sind nicht Gegenstand der Untersuchung. Wir weisen darauf hin, dass die Verantwortung für die erfolgreiche Umsetzung und Leitung des Gesamtprojektes allein bei dem Auftraggeber verbleibt. Die Curacon GmbH Wirtschaftsprüfungsgesellschaft darf aus berufsrechtlichen Gründen nicht die Rolle eines unternehmerischen Entscheiders übernehmen. Im Übrigen gelten für diesen Auftrag, auch im Verhältnis zu Dritten, die Allgemeinen Auftragsbedingungen für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften in der Fassung vom 1. Januar Folie 43 Folie 43