IT und rechtliche Notwendigkeiten

Transkript

1 GELSEN-NET Trends vor Ort, IT und rechtliche Notwendigkeiten Rechtsanwalt Julius Oberste-Dommes LL.M. Fachanwalt für IT-Recht WERNER Rechtsanwälte Informatiker, Oppenheimstr. 16, Köln, Tel: + 49 (0) 221 / , info@werner-ri.de

2 Inhalt Archivierung von elektronischen Dokumenten Lizenzmanagement Datensicherheit und Datenschutz - 2 von 19 -

3 Einleitung Sie wollen zufriedene Kunden, Mitarbeiter und Lieferanten Sie wollen nicht: - Schadensersatz bezahlen - Unterlassungserklärungen abgeben - Ihre Kunden über Sicherheitsverstöße informieren - Bußgelder bezahlen - Ins Gefängnis - 3 von 19 -

4 Einleitung Keine einheitliche Rechtsvorschrift für Risiken mit IT Bezug vorhanden Stattdessen: - Spezialgesetzliche Regelungen: BDSG/DSGVO, IT-SicherheitsG (einschl. BSI- KritisV), UrhG, GoBD, AO - Allgemeine Vorschriften: BGB, StGB - 4 von 19 -

5 Archivierung von elektronischen Dokumenten Warum sind Dokumente zu archivieren? Gesetzliche Anordnung in 147 AO und in 257 HGB Was ist zu archivieren? Bücher und Aufzeichnungen, empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, Buchungsbelege Wer ist verantwortlich? Steuerpflichtiger, Kaufleute - 5 von 19 -

6 Archivierung von elektronischen Dokumenten 147 Abs. 2 AO als Zentralvorschrift Archivierung auf einem Bildträger oder anderem Datenträger ist möglich, wenn die Wiedergabe oder die Daten - mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, [und] - während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können. Weiterer Grundsatz entsprechend 146 Abs. 4 AO: Veränderungen müssen nachvollziehbar sein! - 6 von 19 -

7 Archivierung von elektronischen Dokumenten Ausgewählte Problemkreise - Die maschinelle Auswertbarkeit muss gewährleistet sein bzw. bleiben - Scans von Papierdokumenten müssen beherrscht werden - Migration und Systemwechsel sind anspruchsvoll - Eine Verfahrensdokumentation ist unabdingbar - Zuverlässigkeit des Hard- und Softwareanbieters (Testate, Zertifikate) prüfen - 7 von 19 -

8 Archivierung von elektronischen Dokumenten Sonderfall: Archivierung - Keine Aufbewahrungspflicht bei reinem Transportmittel ( Briefumschlag ) - Der Header muss in der Regel mit aufbewahrt werden - Erlaubte Privatnutzung eines dienstlichen Accounts ist problematisch ( 88 TKG) - Interessenabwägung im Rahmen des 32 BDSG (Beschäftigtendatenschutz) erforderlich - Gesetzliche Aufbewahrungspflichten von s sind gegenüber Dritten Erlaubnistatbestände nach 28 Abs. 1 BDSG - 8 von 19 -

9 Lizenzmanagement Lizenz = ein geschütztes Werk in bestimmtem Umfang nutzen zu dürfen (Nutzungsrecht, vgl. 31 UrhG) Konsequenzen eines Lizenzverstoßes - (Kostenpflichtige) Abmahnung nach 97a UrhG - Unterlassungsanspruch nach 97 Abs. 1 UrhG - Schadensersatzanspruch nach 97 Abs. 1 UrhG Fiktive Lizenzgebühr, Verletzergewinn, konkrete Schadensberechnung - Anspruch auf Vernichtung, Rückruf und Überlassung nach 98 UrhG - Strafbarkeit nach b UrhG; Ordnungswidrigkeit nach 111a UrhG - 9 von 19 -

10 Lizenzmanagement Warum ein Lizenzmanagement? - Umfang des Nutzungsrechts muss der Nutzer dem Urheber nachweisen (können); Reduzierung von Haftungsrisiken - Ermitteln von Lizenzüber- oder -unterdeckung - Planbarkeit von Lizenzkosten - Bedarfsgerechte Verteilung von Software - 10 von 19 -

11 Lizenzmanagement Das Lizenzmanagement unterscheidet zwischen - Art der Lizenz: Volumenlizenz, Standortlizenz, Unternehmenslizenz - Lizenzklasse: Vollversion, Upgrade, Update, Add-On, Client-Access-License - Lizenztyp/Lizenzmetrik: Faktoren, nach denen der Lizenzbedarf ermittelt wird z.b. Anzahl der Installationen, Anzahl an Nutzern, Anzahl der eingesetzten Prozessoren - 11 von 19 -

12 Lizenzmanagement Stufen des Lizenzmanagements: - Installierte Software (auch Open-Source oder Freeware) ermitteln - Vorhandene Lizenzen ermitteln - Vergleich der installierten Software mit den vorhandenen Lizenzen - Lizenzüberdeckung (Überlizenzsierung) oder - Lizenzunterdeckung (Unterlizenzsierung) Umfang von Audit-Rechten prüfen (Haftungsfalle!) Einsatz von Software Asset Management Software (SAM) erwägen - 12 von 19 -

13 Datensicherheit und Datenschutz Gesetzliche Verpflichtungen - 8a BSI-Gesetz i.v.m. BSI-KritisV (Betreiber kritischer Infrastrukturen) - 13 Abs. 7 TMG (Diensteanbieter für geschäftsmäßig angebotene Telemedien) - 9 S. 1 BDSG (Datenverarbeitende Stelle) - Weitere Vorschriften denkbar - Sanktionen: Maßnahmen zur Abhilfe, Bußgeld Vertragliche Verpflichtungen (evtl. auch Sanktionen) Im Übrigen zivil- und strafrechtlicher Verschuldensmaßstab - 13 von 19 -

14 Datensicherheit und Datenschutz 8a BSI-Gesetz i.v.m. BSI-KritisV - Betreiber kritischer Infrastrukturen (Energie, IuK, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen); Ausnahme: Kleinstunternehmen, kleine und mittlere Unternehmen nach 2003/361/EG - Angemessene organisatorische und technische Vorkehrungen - Der Stand der Technik soll eingehalten werden (DIN, ISO/IEC, BSI-Grundschutz) - Nachweis im 2-Jahres-Rhythmus - Einrichtung einer Kontaktstelle, ggf. einer übergeordneten Ansprechstelle - Pflicht zur Meldung von Ausfällen oder Beeinträchtigungen - 14 von 19 -

15 Datensicherheit und Datenschutz 13 Abs. 7 TMG - Diensteanbieter für geschäftsmäßig angebotene Telemedien - Organisatorische und technische Vorkehrungen - Stand der Technik muss eingehalten werden (DIN, ISO/IEC) - Technisch möglich und wirtschaftlich zumutbar - Schutz vor: unerlaubtem Zugriff, Verletzung personenbezogener Daten, Störungen - 15 von 19 -

16 Datensicherheit und Datenschutz 9 BDSG incl. dessen Anlage (soweit erforderlich): - Nr. 1: Zutrittskontrolle - Nr. 2: Zugangskontrolle - Nr. 3: Zugriffskontrolle - Nr. 4: Weitergabekontrolle - Nr. 5: Eingabekontrolle - Nr. 6: Auftragskontrolle - Nr. 7: Verfügbarkeitskontrolle - Nr. 8: Trennungskontrolle - 16 von 19 -

17 Datensicherheit und Datenschutz Wichtige Einrichtungen oder Funktionen - 4f BDSG: Beauftragter für den Datenschutz (intern/extern) - 4g Abs. 2 BDSG: Errichtung eines Verfahrensverzeichnisses - 5 BDSG: Datengeheimnis - 17 von 19 -

18 Datensicherheit und Datenschutz Sonderthema: Auftragsdatenverarbeitung (ADV) - Praktische Relevanz: Cloud-Dienste, Call-Center, Lohnabrechnungen - Lösung: Vertrag über die Auftragsdatenverarbeitung nach 11 BDSG; damit ist die Datenverarbeitung durch den Diensteanbieter zulässig - Voraussetzungen der Wirksamkeit: - Diensteanbieter muss vor Vertragsschluss überprüft werden - Vertrag muss schriftlich abgeschlossen werden - Vertragsinhalt ist weitgehend gesetzlich vorgegeben ( 9, 11 Abs. 2 BDSG) - Diensteanbieter darf die Daten nur nach Weisung verwenden - 18 von 19 -

19 Ihr Referent Julius Oberste-Dommes LL.M. (Informationsrecht) Rechtsanwalt Fachanwalt für IT-Recht Oppenheimstraße 16, Köln Telefon / Telefax / julius.oberste-dommes@werner-ri.de von 19 -