IT-(Notfall-)Dokumentation

Transkript

1 IT-(Notfall-)Dokumentation TechDay Kramer & Crew 40 Minuten Stefan Fischerkeller Diplomverwaltungswirt (FH) Geprüfter, fachkundiger Datenschutzbeauftragter 1

2 Profil DDK Standorte: München, Bodensee, Stuttgart, Frankfurt a.m., Freiburg i. Br., Köln (im Aufbau) Einzugsgebiet: deutschlandweit + 10 Beschäftigte/Partner Bestandsaufnahmen / Auditierungen bspw. Workshops in Bezug auf Datenschutz / Archivierung Projektbezogen Initialer Aufbau eines Datenschutz-Konzepts Unterstützung von internen DSBs etc. Externe Datenschutzbeauftragte Fokus praktisch und anwendbar mehr als eine Insellösung (Teil der compliance-architektur) der DSB in der aktiven Rolle (Outsourcing) 2

3 Notwendiges Übel? Die einen sagen IT-Dokumentation Kostet Zeit & Geld, Gilt als Papiertiger, Mehr externe Vorgabe als Eigennutz, Nutzen und Ertrag in keinem Verhältnis. Die anderen sagen Absolutes Muss und Notwendig für IT-Betrieb, Absicherung (technisch & rechtlich), Bessere Zusammenarbeit. Fakt ist Die Gesetzgeber werden sich der Risiken beim IT-Einsatz vermehrt annehmen (IT) Risikomanagement wird daher für bestimmte Bereiche zur expliziten Pflicht werden: BDSG / sonstige datenschutzrechtliche Normen EU-DSGVO IT-SiG IT-Doku gewinnt an Gewicht in der compliance 3

4 Pflicht (I) Gibt es eine Pflicht zur IT-Dokumentation? Aus Spezialgesetz: GoBD (AO, HGB) Verfahrensdokumentation zur Archivierung, bspw. Fachliche und technische Beschreibung Arbeitsanweisungen IT-Infrastruktur IT-Sicherheit (u.a. Zugang/Zugriff) Kompetenzen/Verantwortlichkeiten Bilanz-Vorschriften fordern Anlageverzeichnis (Hard- und Software) KonTraG: System zur frühzeitigen Erkennung von Bedrohungen für AGs, teilweise auch GmbHs (bei Finanzbranche: MaRisk) SOX (bspw. bei amerikanischen Muttergesellschaften SEC) IT-Sicherheitsgesetz ( KRITIS ) 4

5 Pflicht (II) Gibt es eine Pflicht zur IT-Dokumentation? Aus Bundesdatenschutzgesetz (BDSG): Internes Verfahrensverzeichnis (IT-Infrastruktur, technischorganisatorische Maßnahmen) IT-Grundschutz (als Stand der Technik ) M 2.25 Dokumentation der Systemkonfiguration M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile M 2.34 Dokumentation der Veränderungen an einem bestehenden System M 6.37 Dokumentation der Datensicherung M 2.4 Regelungen für Wartungs- und Reparaturarbeiten + Fehlerbehebungen M 2.26 Ernennung eines Administrators und eines Vertreters M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen Erstellung eines Notfallkonzepts 5

6 Pflicht (III) Gibt es eine Pflicht zur IT-Dokumentation? Vertragliche (Neben-)Pflichten Nachweis von Verpflichtungen aus Vertragsverhältnissen, bspw. NDAs IT-Dokumentation kann auch als vertragliche Nebenpflicht ( 241 Abs. 2 BGB) bestehen Standards/Audits/Zertifizierungen: BSI Grundschutzkataloge, ITIL (Information Technology Infrastructure Library), DIN, ISO ff., DIN, ISO 9001 GmP CobIT (Control Objectives IT), BS (British Standard 15000), CC (Common Criteria, jetzt: ISO 15408), Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW PS-330), BaFin-Rundschreiben, etc. 6

7 Eigeninteresse?! Was haben Sie davon? (aus Sicht eines DSB) Übersichtliche Struktur vs. historisch gewachsen Persönliche Absicherung der IT-Administratoren (bspw. bei Verdächtigungen) Mittel-/langfristiges Einsparen von Zeit & Geld Zielgerichtes Handeln bei Anpassungen und Problemen Einarbeitung neuer Mitarbeiter Synergien zu anderweitigen Doku-Pflichten, bspw. aus Datenschutz, Archivierung, Zertifizierung etc. erhebliche Ressourcen-Einsparung 7

8 Risiken / Schäden Mögliche Schäden bei Datenverlust-/Abfluss Verlust von Unternehmens-Know-How, Ermittlungs-/Beseitigungskosten eines Cyberangriffs, Kosten für eine Daten-Versicherung, Kosten wegen fehlender Möglichkeit, IT weiter nutzen zu können, Schadensersatz für Datenverlust, Rechtsverfolgungskosten, Bußgelder/Strafen, Image-/Reputationsverlust,... Führen Sie eine Risikoanalyse durch (je nach Anspruch) FRAGEN SIE IHREN DSB! 8

9 Risiken / Schäden Haftung aus Datenverlust-/Abfluss Haftungsfälle Deliktsrecht, Geräte- und Produktsicherheitsgesetz, Patentrecht-/Markenrecht, Arbeitsrecht, Steuerrecht, Sozialversicherungsrecht, Insolvenzrecht (Insolvenzstraftaten), Handels- und Gesellschaftsrecht, Vertragsrecht, Wettbewerbsrecht, Datenschutzrecht,... 9

10 Haftung Wer haftet im Falle von Datenverlust-/Abfluss In erster Linie die juristische Person (GmbH, AG etc.) im Außenverhältnis Im Innenverhältnis Vorstand/GF Dieses insbesondere immer dann, wenn sie die Sorgfaltspflichten eines ordentlichen Kaufmanns verletzt haben auch die mit der Geschäftsleitung beauftragten Personen (arbeitsvertragliche Nebenpflicht) Hauptpflicht: Alles Notwendige zu unternehmen, um Schaden von Gesellschaft fernzuhalten bzw. um Unternehmen nicht in seinem Bestand zu gefährden! Hierzu ist es notwendig, die entsprechenden Compliance-Vorgaben und Risiken ganzheitlich zu betrachten Dokumentation essenziell, um sich zu exkulpieren 10

11 Datenschutz-Dokumentation Handbuch Vereinbarungen / Verträge Verzeichnisse Orientierungshilfen / Entscheidungs- Vorbereitung Arbeitgeber / Arbeitnehmer Auftraggeber / Auftragnehmer ö. VVZ i. VVZ Richtlinien Handlungshilfen BV / EV (private Nutzung) ÜV (mobile device) ADV NDA Systemkonfi guration (M 2.25) Zugänge und Zugriffe (M 2.31) Datenschutz / IT- Sicherheit IT-Admin 4a BDSG BV/EV (sonstige) SLA Fernwartung (M 2.4) Protokolle Administrati on (M 2.34) Datensicheru ng (M 6.37) Vernichtung / Weitergabe Personal Marketing Vertretung in Sicherheits- Vorfällen (M 6.59) Vertretungs- Regelungen (M 2.26) Vertragspflichten (M. 2.26) Standards (QM, 27001, VDA) Notfall- Richtlinie (M 6.114) Wiederanlau f-strategie (M 6.114) IT-Dokumentation 11

12 Datenschutz-Dokumentation Handbuch Vereinbarungen / Verträge Verzeichnisse Orientierungshilfen / Entscheidungs- Vorbereitung Arbeitgeber / Arbeitnehmer Auftraggeber / Auftragnehmer ö. VVZ i. VVZ Richtlinien Handlungshilfen BV / EV (private Nutzung) ÜV (mobile device) ADV NDA Systemkonfi guration (M 2.25) Zugänge und Zugriffe (M 2.31) Datenschutz / IT- Sicherheit IT-Admin 4a BDSG BV/EV (sonstige) SLA Fernwartung (M 2.4) Protokolle Administrati on (M 2.34) Datensicheru ng (M 6.37) Vernichtung / Weitergabe Personal Marketing Vertretung in Sicherheits- Vorfällen (M 6.59) Vertretungs- Regelungen (M 2.26) Vertragspflichten (M. 2.26) Standards (QM, 27001, VDA) Notfall- Richtlinie (M 6.114) Wiederanlau f-strategie (M 6.114) IT-Dokumentation 12

13 Praxis 1 Praxisbeispiel 1: Doku der Datensicherung Verfügbarkeitskontrolle ( 9 BDSG) Teil des i. VVZ nach BDSG Verfügbarkeit von Daten nach DIN 9001 (QM) Teil der Verfahrensdoku ( -Archivierung) Doku Datensicherung (M 6.37) Sonstige compliance : GmP, VDA, vertragl. Nebenpflichten Wiederherstellung Vertretung Reporting / Nachweis / Haftung 13

14 Praxis 2 Praxisbeispiel 2: Doku der Zugang-/Zugriffsrechte Zugangs- /Zugriffskontrolle ( 9 BDSG) Teil des i. VVZ nach BDSG Protokollierung von Zugängen/Zugriffen Doku Zugang- /Zugriff (M 6.37) Teil einer Verfahrens- Dokumentation ( - Archivierung, GoBD) Reporting / Nachweis / Haftung/ Übersicht IT-Forensik Wirtschafts- /Finanzamtsprüfung 14

15 Lösungen / Schritte Was kann man tun? Wie kann man es tun? Fragen Sie Ihren Datenschutzbeauftragten Bspw. Dokumentation der technisch-organisatorischen Maßnahmen nach 9 BDSG Zugang-/Zugriffsrechte Fernwartung / Dienstleister / SLAs Definieren Sie eigene Anforderungen (praktischer Nutzen) Teil der Risikoanalyse (Eintrittswahrscheinlichkeit * Schadenshöhe) Anforderungen externer Prüfer Gehen Sie priorisiert vor, bspw. Nachvollziehbare Doku der Datensicherung / Backup Vertretungsregelungen (funktionieren diese, schon getestet?) Risikoanalyse bspw. Ausfall einzelner Systeme/Anwendungen Stillstand der IT 15

16 Beispiel Notfall/Recovery Beispielhafter Inhalt einer Notfalldokumentation BIA (Business Impact Analyse) Identifikation kritischer Ressourcen Welche Prozesse sind als erstes wieder aufzubauen? Welche Zulieferer, Dienstleister, Partner sind einzubeziehen? Auswirkungen von Geschäftsunterbrechungen Anforderungen an Verfügbarkeit, max. tolerierbare Ausfallzeit Schutz von Vertraulichkeit der Daten, gesetzliche Vorgaben Maximal zulässiger Datenverlust (Klassifizierung) Wiederanlauf Sofortmaßnahmen / Krisenkommunikation / Rollenspezifikation Ersatzbeschaffung Wiederherstellung (Maßnahmenbeschreibung) Wiederanlaufzeiten Verschiedene Optionen 16

17 Beispiel IT-Administration Beispielhafter Inhalt einer Doku zur IT-Administration Aufteilung der Administrationstätigkeiten Definition von Verantwortlichkeiten Effektive Vertretungsregelungen Technische und manuelle Protokollierung Zeitressourcen Fortbildung-/Schulung Passwortregelungen (bspw. Supervisor-Passwort), hinterlegte Passwörter 17

18 Beispiel Datensicherung Beispielhafter Inhalt einer Doku zur Datensicherung Dateistrukturen Häufigkeit und Zeitpunkt von Sicherungen Anforderungen an Datensicherungsarchiv Eingesetzte Software zur Datensicherung Transportmodalitäten Reporting zur Datensicherung Eingesetzte Datenträger Bestandsverzeichnis Löschroutinen-/Art der Vernichtung von Datenträgern Betrifft auch den Einsatz von Dienstleistern! SLAs Meldewege Maßnahmenverfolgung / Tickets Dokumentation 18

19 FAZIT Zusammenfassung IT-Dokumentation ist Pflicht Anpassung an Gegebenheiten vor Ort, bspw. Gesetzliche oder externe Vorgaben Eigeninteresse! Risikoanalyse Eigene Vorteile Spart letztlich Zeit und Arbeit (wenn sie gut gemacht ist) Eigene Absicherung (Unternehmen und persönlich) Haftung auch für Missachtung von Sorgfaltspflichten-/Nebenpflichten IT-Dokumentation ist kein Hexenwerk Fragen Sie Ihren Datenschutzbeauftragten! 19

20 Deutsche Datenschutzkanzlei Vielen Dank für Ihre Aufmerksamkeit Stefan Fischerkeller Geprüfter, fachkundiger Datenschutzbeauftragter 20