11 Datenschutz und andere Rechtsfragen des IT-Einsatzes Datenschutz Mitbestimmungsrechte Finanzbuchhaltung bei Einsatz der IT Rechtsgrundlagen der Telekommunikation Signaturgesetz Andere Rechtsfragen des IT-Einsatzes 11-10
Datenschutz Definition: Bewahrung der schutzwürdigen Belange von Betroffenen vor Beeinträchtigungen durch die Verarbeitung ihrer Daten BDSG - Bundesdatenschutzgesetz (2001-05-23) (auf Basis der EU Datenschutzrichtlinie) Im Einzelnen handelt es sich um das Recht auf Benachrichtigung bei erstmaliger Speicherung personenbezogener Daten, auf unentgeltliche Auskunft über gespeicherte Daten, auf Berichtigung unrichtiger Daten auf Löschung bzw. Sperrung unzulässiger und strittiger, nicht beweisbarer Daten. 11-20
Behandlung personenbezogener Daten nach 3 BDSG Behandlung personenbezogener Daten Erheben Verarbeiten Nutzen Pseudonymisieren Anonymisieren Speichern Verändern Übermitteln Sperren Löschen Erfassen Aufnehmen Aufbewahren Weitergeben Einsehen 11-30
Kontrollmaßnahmen (Anlage zu 9 BDSG) Zutrittskontrolle zu DV-Anlage Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot 11-40
Mitbestimmung Gesetzliche Grundlagen BetrVG - Betriebsverfassungsgesetz (Juli 2001) BPVG - Bundespersonalvertretungsgesetz Arbeitsschutzgesetz Arbeitszeitgesetz... Mitbestimmung, Mitwirkung, Unterrichtung, Gemeinsame Beratung, Anhörung 11-50
Beispiele für verschiedene Gegenstände der Mitsprache Personelle Einzelmaßnahmen Gestaltung von Arbeitsplätzen (Hardware-Ergonomie, Telearbeit) Gestaltung von Arbeitsverfahren (Einführung von Standardsoftware, Workflowmanagement) Schichtbetrieb Überstunden bei Projektverzug Betriebsänderungen (Outsourcing, Insourcing) Überwachung der Mitarbeiter Aus- und Fortbildung 11-60
Finanzbuchhaltung bei Einsatz der IT Gesetze, Verordnungen: HGB, Abgabenordnung, ESt-Richtlinien... GOB: Grundsätze ordnungsmäßiger Buchführung GOS: Grundsätze ordnungsmäßiger Speicherbuchführung (1978) GoBS: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (Schreiben des Bundesministeriums der Finanzen vom 7. November 1995) GDPdU: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (Anwendungsschreiben des BMF, anzuwenden seit Januar 2001) 11-70
Verlautbarungen des IDW Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) Entwurf: Grundsätze ordnungsmäßiger Buchführung bei Einsatz elektronischer Archivierungsverfahren (IDW ERS FAIT 3) IDW - Institut der Wirtschaftsprüfer FAIT- Fachausschuss für Informationstechnologie 11-80
GDPdU: : Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Am 1. Januar 2002 in Kraft getreten Direkter Datenzugriff des Finanzamtes im Rahmen einer Außenprüfung Prüfer kann Übergabe von Datenträgern verlangen Originär digitale Daten dürfen nicht ausschließlich in ausgedruckter Form aufgewahrt werden!!! Bei elektronischen Signaturen und kryptografischen Verfahren auch Schlüssel aufbewahren 146 (5), 147 (2), (5), (6), 200 (1) AO sowie 14 (4) UStG 11-90
Prüfung der Buchführung Einzelprüfung oder Systemprüfung ex post (vorherrschend) oder ex ante Systemprüfung erstreckt sich vorrangig auf die Korrektheit (Funktionserfüllung) der Programme, die Dokumentation der Datenorganisation und der Programmabläufe, die Sicherheit der Arbeitsabläufe die Gewährleistung der Datenschutzes Prüfprogramme und Prüfsprachen werden in der Praxis wenig genutzt 11-100
Rechtsgrundlagen der Telekommunikation TKG - Telekommunikationsgesetz TDSV - Telekommunikationsdatenschutzverordnung IuKDG - Informations- und Kommunikationsdienstegesetz TDG - Teledienstegesetz TDDSG - Teledienstedatenschutzgesetz SigG - Signaturgesetz (2001-05-22)... 11-110
Signaturgesetz Grundlage elektronisch abgeschlossener Verträge Integrität der elektronischen Dokumente Sicherstellung der Identität der Vertragsparteien (Authentizität) Elektronische Signatur: verschlüsselte Bitfolge Elektronische und handschriftliche Signaturen sind gleichgestellt Asymmetrische Verschlüsselungsverfahren 11-120
Sicherheits-,, Nachweis- und Kontrollniveaus Elektronische Signatur: nur Authentifizierung Fortgeschrittene elektronische Signatur Ausschließlich dem Inhaber zugeordnet Identifizierung Inhaber hat Werkzeuge unter alleiniger Kontrolle Verknüpfung mit den Daten Qualifizierte elektronische Signatur Fortgeschrittene elektronische Signatur Auf gültigem Zertifikat beruhend Mit einer sicheren Einheit erzeugt Weitere Untergliederung: - Einfache qualifizierte Signatur - Qualifizierte elektronische Signatur mit Anbieter-Akkreditierung 11-130
Andere Rechtsfragen des IT-Einsatzes Computerkriminalität Vertragsgestaltung einschließlich der Gewährleistungsansprüche Produkthaftung für Software Urheber-, Titel- und Patentschutz 11-140