IT - Compliance Alter Wein in neuen Schläuchen?

Ähnliche Dokumente
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

ITIL V3 zwischen Anspruch und Realität

GÖRG Wir beraten Unternehmer.

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Ausgewählte Rechtsfragen der IT-Security

Teil I Überblick... 25

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB /Geschäftsführer Thomas Michel FBCS

Informations- / IT-Sicherheit Standards

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

ITIL V3 Basis-Zertifizierung

Der Schutz von Patientendaten

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

ITIL Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

GPP Projekte gemeinsam zum Erfolg führen

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management


Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Informationssicherheitsmanagement

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

«Zertifizierter» Datenschutz

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

IT-Revision als Chance für das IT- Management

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Rechtliche Aspekte der IT-Security.

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

ITIL & IT-Sicherheit. Michael Storz CN8

Sicherheitsnachweise für elektronische Patientenakten

ITSM Executive Studie 2007

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN:

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

IT-Governance und COBIT. DI Eberhard Binder

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Vorlesung Hochschule Esslingen IT-Winter School 2013

Datenschutz als Qualitäts- und Wettbewerbsfaktor

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Rollenspezifische Verhaltenstrainings

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Der Blindflug in der IT - IT-Prozesse messen und steuern -

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

Cloud Computing mit IT-Grundschutz

Informationssicherheit als Outsourcing Kandidat

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

IT-Grundschutz: Cloud-Bausteine

Modul 5: Service Transition Teil 1

Dieter Brunner ISO in der betrieblichen Praxis

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt,

Dirk Hartmann Dipl.-Kfm. zertifizierter Auditor für IT-Sicherheit

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Kirchlicher Datenschutz

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Einführung in die Datenerfassung und in den Datenschutz

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

IT-Aufsicht im Bankensektor

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Nischendisziplin Configuration Management?

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

IT Service Management

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum bis Köln Dr.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

Prüfung und Zertifi zierung von Compliance-Systemen. Risiken erfolgreich managen Haftung vermeiden

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

DIN EN ISO 9000 ff. Qualitätsmanagement. David Prochnow

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, , Steffen Müter

Wissensmanagement. Thema: ITIL

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Datenschutz und Informationssicherheit

Wissensmanagement. Thema: ITIL

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Modul 3: Service Transition

Compliance aus organisatorischer Sicht

Transkript:

IT Compliance Alter Wein in neuen Schläuchen? Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte DGRI Fachausschuss Vertragsrecht Frankfurt 8. Mai 2009

Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen 3.1. 91 Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 2

Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen 3.1. 91 Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 3

1. Begriff und rechtliche Grundlagen der IT Compliance (1) IT IT Compliance Compliance Befolgung Befolgung Einhaltung Einhaltung von von Gesetzen, Gesetzen, Richtlinien Richtlinien und und anderen anderen Verhaltensmaßregeln Verhaltensmaßregeln IT IT Compliance ITCompliance ITCompliance bedeutet bedeutet generell generell die die Einhaltung Einhaltung der der rechtlichen rechtlichen Anforderungen, Anforderungen, die die sich sich auf auf den den Einsatz Einsatz von von Informationstechnologie Informationstechnologie beziehen. beziehen. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 4

1. Begriff und rechtliche Grundlagen der IT Compliance (2) IT IT Compliance ist ist eine eine Querschnittsmaterie Gesetzliche Gesetzliche Grundlagen Grundlagen Z.B: Z.B: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) KonTraG KonTraG TMG TMG TKG TKG UWG UWG StGB StGB Abgabenordnung Abgabenordnung (AO) (AO) HGB HGB Verwaltungsvorschriften Verwaltungsvorschriften Z.B: Z.B: Ministerialerlasse, Ministerialerlasse, Verfügungen, Verfügungen, Richtlinien Richtlinien oder oder Anordnungen. Anordnungen. Z.B: Z.B: GoB, GoB, GoBS GoBS GDPdU GDPdU Rundschreiben/Verlautbarungen Rundschreiben/Verlautbarungen der der BaFin BaFin MaRisk, MaRisk, RS RS 05/2007 05/2007 MaRisk MaRisk VA, VA, RS RS 03/2009 03/2009 Richtlinien, Richtlinien, Standards Standards und und Referenzmodelle Referenzmodelle Z.B: Z.B: DIN, DIN, ISO ISO Normen. Normen. Z.B. Z.B. ISO ISO 2700x 2700x Reihe Reihe CobiT, CobiT, ITIL ITIL IDW IDW Prüfungsstandards Prüfungsstandards / / Stellungnahmen/Checklisten Stellungnahmen/Checklisten BSI BSI Standards Standards und und Grundschutzkataloge Grundschutzkataloge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 5

1. Begriff und rechtliche Grundlagen der IT Compliance (3) IT IT Compliance Anforderungen IT IT Compliance Compliance Anforderungen Anforderungen im im engeren engeren Sinn Sinn Regelkonforme Regelkonforme ITSysteme ITSysteme ITSysteme ITSysteme müssen müssen geltenden geltenden Vorgaben Vorgaben genügen genügen IT IT Compliance Compliance Anforderungen Anforderungen im im weiteren weiteren Sinn Sinn Compliance Compliance mit mit Hilfe Hilfe von von ITSystemen ITSystemen Abbildung Abbildung von von Unternehmensfunktionen Unternehmensfunktionen mit mit ITSystemen ITSystemen z.b: z.b: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) TMG, TMG, TKG TKG StGB StGB GDPdU, GDPdU, GoBS GoBS Nationale Nationale und und internationale internationale Qualitätsstandards Qualitätsstandards (CobiT, (CobiT, ITIL, ITIL, ISO ISO 27001 27001 etc.) etc.) BSI BSI Grundschutzkataloge Grundschutzkataloge Basel Basel II II Solvency Solvency II II SarbanesOxley SarbanesOxley Act Act 93 93 Abs.3 Abs.3 Nr. Nr. 6 AktG 6 AktG 239, 239, 257 257 HGB HGB 147 147 AO AO z.b: z.b: Übergreifende Anforderung: 91 Abs. 2 AktG DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 6

Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen 3.1. 91 Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 7

2. Warum IT Compliance? (1) / Haftungsrisiken Haftungsrisiken der Unternehmensleitung bei mangelhafter IT Compliance Die Verpflichtung rechtskonform zu handeln trifft zunächst das Unternehmen als solches Aber: Darüber hinaus gem. 93 Abs. 1 AktG und 43 Abs. 1 GmbHG auch die Unternehmensleitung Pflichtverletzung kann zu Schadensersatz führen, 93 Abs. 2 AktG, 43 Abs. 2 GmbHG Bei 93 Abs. 2 AktG ggf. Beweislastumkehr Strengere Rechtsprechung zu 93 Abs. 2, 116 S.1 AktG seit BGH: ARAG / Garmenbeck, in NJW 1997, 1966 ff. Pflicht zur Durchsetzung von Ansprüchen der Gesellschaft gegen die Geschäftsführung, falls erfolgversprechend) Aktuell: Telekom fordert von Zumwinkel und Ricke Schadensersatz wegen Spitzelaffäre Siemens fordert Schadensersatz von ehemaligen Vorständen, darunter Ex Siemens Chef Heinrich von Pierer DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 8

2. Warum IT Compliance? (2) Imageschäden des Unternehmens Evtl. erhöhte Kosten bei Nichtbeachtung; Ratingrisiko bei Finanzierung (Basel II) Bei Nichtbeachtung unter Umständen Versagung des Wirtschaftsprüfertestats Nichteinhaltung der IDW Prüfungsstandards Gem. 317 Abs. 4 HGB bzgl. Frühwarnsystem bei börsennotierter AG Schätzung der Besteuerungsgrundlagen durch Finanzbehörden ( 162 AO) Evtl. strafrechtliche Folgen ITbezogene Straftatbestände im StGB: Ausspähen/Unterdrücken von Daten ( 202a StGB), besondere Geheimhaltungspflichten ( 203 StGB), Datenveränderung ( 303a StGB), Verletzung von Buchführungspflichten ( 283 b StGB) weitere Straftatbestände z.b. im BDSG ( 44), KWG ( 54 ff.), AktG ( 399 ff.), HGB ( 331 ff.); insbesondere unrichtige Darstellung, Überschuldung Vorliegen einer Ordnungswidrigkeit (z.b. 43 BDSG) Nach der geplanten BDSG Novelle Bußgeldhöhe nunmehr: Im Fall von 43 Abs. 1 BDSG max. 50.000 Im Fall von 43 Abs. 2 BDSG max. 300.000 DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 9

2. Warum IT Compliance? (3) Aufsichtsrechtliche Maßnahmen möglich BaFin: z.b. 6 Abs. 3 KWG: Anordnungsbefugnis; 35 KWG : Aufhebung der Erlaubnis; 36 KWG: Abberufung des Geschäftsleiters Maßnahmen der Datenschutzbehörden gem. 38 Abs. 5 BDSG (Anordnungsbefugnis) Der Ausschluss von der Vergabe öffentlicher Aufträge droht ITStandards, Zertifizierungen werden immer häufiger als Wertungskriterien und Vertragsbestandteile verwendet Dadurch faktische Bindungswirkung Gesetzliche und vertragliche Obliegenheiten Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können (z. B. 254 BGB) Insbesondere im Versicherungsvertragsrecht (VVG): z.b. Pflicht, bedeutende Umstände anzuzeigen, 19 VVG z.b. Pflicht, keine Gefahrerhöhung nach Vertragsschluss vorzunehmen oder dies zuzulassen, 23 VVG Verletzung von Obliegenheit kann zu Verlust von Versicherungsschutz führen DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 10

Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen 3.1. 91 Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 11

3.1. 91 Abs. 2 AktG: Einrichtung eines Überwachungssystems Risikofrüherkennung ist Teil des gesamten Risikomanagementsystems Risikofrüherkennung beinhaltet: Definition/Erkennung von möglichen Risiken Analyse der Risiken (Beurteilung der Tragweite der erkannten Risiken) Rolle der IT bei Risikofrüherkennung? Maßnahmen bestimmen sich nach Rolle der IT im Unternehmen: IT lediglich zur Unterstützung (MS Office / ERP) IT zur Steuerung von Geschäfts/Produktionsprozessen (produzierende Industrie/ Banken, Finanzdienstleister) IT als Geschäftsgegenstand (ITDienstleister) IT als Mittel für Risikofrüherkennungssystem Schaffung/Fortentwicklung eines Risikobewusstseins Berichtswesen, Kommunikation (wer wird wann wie über welche Risiken informiert) Eskalationsprozesse 317 Abs. 4 HGB: Abschlussprüfer hat das Vorhandensein eines geeigneten Überwachungssystems zu prüfen (Dokumentation! Siehe LG München, Urt. v. 5.4.2007, CR 2007, 423 f.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 12

3.2. MaRisk und MaRisk VA (1) Mindestanforderungen an Risikomanagement (MaRisk) Rundschreiben 05/2007 v. 30.10.2007 Mindestanforderungen an das Risikomanagement in deutschen Versicherungsunternehmen (MaRisk VA) Rundschreiben 03/2009 v. 22.01.2009 MaRisk enthalten: flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements Präzisierung der Anforderungen an ordnungsgemäße Geschäftsorganisation für ausgelagerte Prozesse Adressaten: Kredit und Finanzdienstleistungsinstitute ( 1 Abs. 1b KWG, 53 Abs. 1 KWG) Für Versicherungsunternehmen: MaRisk VA ( 64a, 104s VAG) Aber: Anforderungen lassen sich teilweise unter dem Aspekt ordnungsgemäßer Geschäftsführung auf andere Unternehmen übertragen Übertragbarkeit gilt insbesondere für Vorgaben zur Ausstattung von ITSystemen (MaRisk AT 7.2) und Notfallvorsorge (MaRisk AT 7.3), sowie entsprechend bei MaRisk VA für betriebliche Anreizsysteme und Ressourcen (MaRisk VA 7.2.2.2 Nr. 3, Nr. 4) und Notfallplanung (MaRisk VA 9.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 13

3.2. MaRisk und MaRisk VA (2) MaRisk AT 7.2 ( Technischorganisatorische Ausstattung ) / MaRisk VA 7.2.2.2 Nr. 3, Nr. 4 ( Betriebliche Anreizsysteme und Ressourcen ): ITSysteme und zugehörige ITProzesse müssen die Integrität, die Verfügbarkeit, die Authentizität, sowie die Vertraulichkeit der Daten sicherstellen Bei der Ausgestaltung der ITSysteme und der zugehörigen ITProzesse ist grds. auf gängige Standards abzustellen (ITGrundschutzkataloge des BSI, Normenreihe ISO 2700x, etc.) Maßnahmen, die sicherstellen, dass ITSysteme vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen von den technisch zuständigen Mitarbeitern abzunehmen sind Trennung von Produktions und Testumgebung MaRisk AT 7.3 ( Notfallkonzept ) / MaRisk VA 9. ( Notfallplanung ): Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept) Maßnahmen müssen geeignet sein, das Ausmaß möglicher Schäden zu reduzieren Notfallkonzept muss Geschäftsfortführungs und Wiederanlaufpläne umfassen; abhängig von Bedeutung der IT Regelmäßige Überprüfung durch Notfalltests Bei Outsourcing aufeinander abgestimmte Notfallkonzepte (nur MaRisk AT 7.3) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 14

3.3. Datenschutzauditgesetz (RegE v. 10.12.2008) Hintergrund Erfüllung der Ankündigung eines Datenschutzauditgesetzes in 9a S.2 BDSG Datenskandale mit Fällen des rechtswidrigen Handels mit personenbezogenen Daten Gesetzgeberische Intention Förderung des Datenschutzes in Unternehmen allgemein Wettbewerbsvorteil derjenigen Unternehmen, die sich einem Datenschutzaudit unterziehen Dadurch Marktorientierung zugunsten datenschutzgerechter Produkte, bzw. Dienstleistungen Wesentlicher Regelungsgehalt Einführung eines freiwilligen, gesetzlich geregelten Datenschutzaudits Verantwortliche Stellen (nichtöffentliche Stellen) können ihr Datenschutzkonzept sowie Anbieter von DV Anlagen und Programmen (informationstechnische Einrichtungen) durch zugelassene Prüfunternehmen auditieren lassen. Datenschutzauditierung erfolgt durch private Kontrollstellen Bildung eines Datenschutzauditausschusses, welcher die zu erfüllenden Richtlinien zur Verbesserung des Datenschutzes erlässt Reaktionen Ziel des Gesetzes wird weitgehend begrüßt Aber: Teilweise erhebliche Kritik; siehe bspw. Kritik des unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) https://www.datenschutzzentrum.de/bdsauditg/20081029stellungnahmedsage.html DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 15

3.4. Richtlinien, Standards, Referenzmodelle (1) Gesetzliche IT Compliance Anforderungen sind teils vage und legen das WAS und WIE nicht genau fest Im ITBereich i.d.r. keine technische Gesetzgebung, anders z.b. im Bauordnungsrecht Richtlinien, Standards, Referenzmodelle sind teilweise wesentlich konkreter haben keinen unmittelbaren Rechtscharakter und sind nicht unmittelbar durchsetzbar können bei der Ausgestaltung des WAS und des WIE helfen und als Orientierungshilfe dienen Ausgewählte Richtlinien, Standards, Referenzmodelle: 6. IDW Prüfungsstandards Checklisten und Stellungnahmen 1. ISO 27001 2. IT Grundschutz & 3. BSI Standards 5. CobiT Ausgewählte Standards, Richtlinien und Referenzmodelle 4. ITIL DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 16

3.4. Richtlinien, Standards, Referenzmodelle (2) 1. ISO 27001 (Information technology Security techniques Information security management systems Requirements ) ISO 27001 wurde entwickelt, um eine Anleitung für den Aufbau und den Betrieb eines Informationssicherheits Managementsystems (ISMS) bereitzustellen Die Norm wurde aus dem britischen Standard BS 77992:2002 entwickelt und als internationale Norm erstmals am 15.10.2005 veröffentlicht Die Einhaltung von ISO 27001 kann durch entsprechend akkreditierte Unternehmen geprüft und zertifiziert werden 2. IT Grundschutzkataloge des BSI Sammlung von Dokumenten des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), die der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in ITUmgebungen dienen ITGrundschutz geht von einer üblichen generalisierten Gefährdungslage aus, die in 80 % der Fälle zutreffend ist und empfiehlt hierzu adäquate Gegenmaßnahmen BSI ITGrundschutz umfasst StandardSicherheitsmaßnahmen für typische ITSysteme mit normalem Schutzbedarf DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 17

3.4. Richtlinien, Standards, Referenzmodelle (3) Aufbau der IT Grundschutzkataloge Aufbau der IT Grundschutzkataloge Bausteine Gefährdungskataloge Maßnahmenkataloge Übergeordnete Aspekte der der IT IT Sicherheit Höhere Gewalt Höhere Gewalt Infrastruktur Sicherheit der Infrastruktur Sicherheit der Infrastruktur Organisatorische Mängel Organisatorische Mängel Organisation Sicherheit der IT Systeme Sicherheit der IT Systeme Menschliche Fehlhandlungen Personal Sicherheit im Netz Sicherheit im Netz Technisches Versagen Technisches Versagen Hard und Software Hard und Software Sicherheit in Anwendungen Sicherheit in Anwendungen Vorsätzliche Handlungen Vorsätzliche Handlungen Kommunikation Notfallvorsorge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 18

3.4. Richtlinien, Standards, Referenzmodelle (4) 3. BSI Standards Enthalten Empfehlungen des Bundesamts für Sicherheit in der Informationstechnologie (BSI) zu Methoden, Prozessen und Verfahren, sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit BSI Standards BSI Standards BSI Standard 100 1 Managementsysteme für für Informationssicherheit (ISMS) Definiert allg. allg. Anforderungen an an ein ein ISMS Kompatibel zu zu ISO ISO 27001 Berücksichtig ferner die die Empfehlungen der der anderen ISO ISO Standards BSI Standard 100 2 IT IT Grundschutz Vorgehensweise beschreibt wie wie ein ein ISMS in in der der Praxis aufgebaut und und betrieben werden kann kann be Sicherheitsmanagement und und der der Aufbau von von Organisationsstrukturen für für IT IT Sicherheitwerden erörtert heit BSI Standard 100 3 Risikoanalyse auf auf der der Basis von von IT IT Grundschutz Richtet sich sich an an Anwender die die mit mit dem dem IT IT Grundschutz Ansatsatzarbeiten Standard zur zurrisikoanalyse auf auf der der Basis von von ITGrundschutz An BSI Standard 100 4 Notfallmanagement Zeigt Zeigt einen systematischen Weg Weg auf, auf, wie wie ein ein Notfallmanagement in in einer einer Behörde oder oder einem Unternehmen aufzubauen ist, ist, um um Be die die Kontinuität des des Geschäftsbetriebs sicherzustellen Ge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 19

3.4. Richtlinien, Standards, Referenzmodelle (5) 4. ITIL (IT Infrastructure Library) Sammlung von Best Practice Ansätzen im Hinblick auf ITProzesse Seit Mai 2007 überarbeiteten Version (ITIL V3), die sich am sog. Lebenszyklus von Services orientiert (Strategie/Design/Überführung/Operations/Verbesserung, Stilllegung) Verbreitung: Laut einer von der Materna GmbH in Auftrag gegebenen Studie griffen bereits im Jahr 2007 76 % aller befragten Unternehmen in Deutschland Ansätze von ITIL auf Nach einer weiteren Studie aus dem Jahr 2008, welche von Dimension Data in Auftrag gegeben wurde, setzen 87 % der Unternehmen mit über 10.000 Mitarbeitern ITIL bereits ein, während es bei Unternehmen mit weniger als 100 Mitarbeitern laut dieser Studie kaum Beachtung findet Bedeutung bei ITVerträgen: wachsende Bedeutung bei Erstellung von Leistungsbeschreibungen (z. B. Change Management, Service Desk, Incident Management, Problem Management); Aber: häufig uneinheitliche Verwendung von Definitionen im Vertragswerk, mangelnde Abstimmung zwischen technisch getriebenen Begriffen von ITIL und rechtlich getriebenen Begriffen des übrigen Vertragswerks DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 20

3.4. Richtlinien, Standards, Referenzmodelle (6) Aufbau von ITIL V3 ITIL V3 V3 Publikationen Service Strategy Service Strategy Service Design Service Design Service Transition Service Transition Service Operation Service Operation Continual Service Improvement (CSI) Zugehörige Prozesse: 1. 1. Strategy Generation 2. 2. Financial Management 3. 3. Service Portfolio Management 4. 4. Demand Management Zugehörige Prozesse: 1. 1. Service Level Managemenment 2. 2. Service Catalogue Management 3. 3. Information Security Management 4. 4. Supplier Management 5. 5. IT IT Service Continuity Management 6. 6. Availability Managemenment 7. 7. Capacity Management Zugehörige Prozesse: 1. 1. Knowledge Managemenment 2. 2. Change Management 3. 3. Service Asset and and Configuration Management 4. 4. Transition Planning and and Con Support 5. 5. Release and and DeploymentManagement 6. 6. Service Validation and and ment Testing 7. 7. Evaluation Funktionen: 1. 1. Service Desk 2. 2. Technical Management 3. 3. IT IT Operations Management 4. 4. Application Managemenment 5. 5. Incident Management 6. 6. Request Fullfillment 7. 7. Event Management 8. 8. Access Management 9. 9. Problem Management 1. 1. The The7Step ImprovementProcess 2. 2. Service Reporting 3. 3. Measurement 4. 4. Business Questions for for ment CSI CSI 5. 5. Return on on Investment for for CSI CSI DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 21

3.4. Richtlinien, Standards, Referenzmodelle (7) 5. CobiT (Control Objectives for Information and Related Technologies) Framework zur ITGovernance; gliedert sich in Prozesse und Control Objectives Ursprünglich Prüfungstools für ITAuditoren, heute Steuerungstool für Unternehmensführung Weniger Definition des WIE, als vielmehr Definition des WAS CobiT definiert für jeden ITProzess sowohl die Geschäftsziele, die durch diesen Prozess unterstützt werden sollen, als auch die Kontroll und Steuerungsziele für diesen Prozess Bindeglied zw. allgemeinen ProzessFrameworks und spez. ITModellen (ITIL, ISO 2700xReihe) 6. IDW Prüfungsstandards, Stellungnahmen und Checklisten IDW PS 330 (Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PH 9.330.1 (Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PS 340 (Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB) IDW PS 850 (Projektbegleitende Prüfung bei Einsatz von IT) IDW PS 880 (Erteilung und Verwendung von Softwarebescheinigungen) IDW RS FAIT 1 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von IT) IDW RS FAIT 2 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce) IDW RS FAIT 3 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz elektronischer Archivierungsverfahren) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 22

3.4. Richtlinien, Standards, Referenzmodelle (8) Die praktische Bedeutung von IT Compliance Standards für Juristen (1): IT Verträge: Standards sind meist gut strukturiert und übersichtlich Standards liefern wichtige Hinweise für die praktische Umsetzung von IT Compliance Anforderungen Damit können sie zu einer höheren Qualität und Präzision beitragen Aber:» Kein Ersatz für eine detaillierte und präzise Leistungsbeschreibung im Vertrag, da Standards meist keine konkreten vertraglichen Regelungen treffen (bsp. ITIL), sondern Prozessabläufe und Mindeststandards definieren» Sind in der Regel generalisierend; Analyse des Einzelfalls bleibt weiterhin ratsam» Zertifizierungen sind zudem i.d.r. stichtagsbezogen => Änderungen werden ggf. nicht ausreichend berücksichtigt Bestimmung des Sorgfaltsmaßstabes: Standards können den Sorgfaltsmaßstab bestimmen, BGH Urteil v. 03.11.2004, NJW RR 2005, 386 ff; BGHZ 103, 341; BGHZ 139, 17 DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 23

3.4. Richtlinien, Standards, Referenzmodelle (9) Die praktische Bedeutung von IT Compliance Standards für Juristen (2): Haftung Die Abweichung von Standards führt zu einer Umkehr der Beweislast. Für DINNormen = BGH Urteil v. 19.04.1991, BB 1991, 1149; OLG München Urteil v.08.11.1991, NJW RR 1992, 1523 ff. Objektiver Fehlerbegriff Die Abweichung von Standards wie bsp. DIN Normen, kann einen Sachmangel darstellen, muss dies aber nicht. Es kommt vorwiegend auf die konkreten Vereinbarungen zwischen den Parteien an, OLG München Urteil v. 08.11.1991, NJWRR 1992, 1523 Ausfüllen von lückenhaften Leistungsbeschreibungen Mangels Pflichtenheft oder anderer konkreter Absprachen ist ein Ergebnis geschuldet, das dem Stand der Technik bei einem mittleren Ausführungsstandard entspricht, BGH Urteil v. 24.09.1991, CR 1992, 543 f. ( Zugangskontrollsystem, das vergessene Pflichtenheft ) Ausschreibungen Bei Nichterfüllung bzw. Nichtbeachtung droht der Ausschluss von öffentlichen Ausschreibungen Zumindest für den Bieter entfalten Standards dadurch einen faktischen Bindungszwang DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 24

3.5. Das neue IT Grundrecht des BVerfG (1) BVerfG, Urteil vom 27.02.2008, NJW 2008, 822 ff. Begründung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ; Herleitung aus dem allgemeinen Persönlichkeitsrecht (Art. 2 I i.v.m. Art. 1 I GG.) Neues Grundrecht ist subsidiär zu Fernmeldegeheimnis (Art. 10 GG), Unverletzlichkeit der Wohnung (Art. 13 GG) und Recht auf informationelle Selbstbestimmung (Art. 2 I i.v.m. Art. 1 I GG) Anwendungsbereich lückenschließende Gewährleistung, um den neuartigen Gefährdungen durch tech. Fortschritt/ Wandel der Lebensverhältnisse zu begegnen. wenn Zugriff auf ITSysteme es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild zu erhalten. (Gefahr der Profilbildung) Weites Verständnis von informationstechnischen Systemen, Zugriff (muss wohl nicht heimlich sein) Einschränkung durch Gesetz in engen Grenzen und nur unter Richtervorbehalt möglich. Erforderlich sind a) tatsächliche Anhaltspunkte einer konkreten Gefahr für b) überragend wichtiges Rechtsgut. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 25

3.5. Das neue IT Grundrecht des BVerfG (2) Auswirkungen auf einzelne IT Compliance Anforderungen 1. Beispiel: Bundesdatenschutzgesetz BDSG 9 9 BDSG BDSG Regelt Regelt die die Anforderungen Anforderungen an an die die erforderlichen erforderlichen technischorganisatorischetorischenmaßnahmen zur zur Datensicherheit technischorganisa Datensicherheit 9 9 S. S. 2 2 BDSG BDSG = = Abwägung Abwägung Maßnahmen Maßnahmen sind sind nur nur erforderlich, erforderlich, wenn wenn ihr ihr Aufwand Aufwand in in einem einem angemessenen angemessenen Verhältnis Verhältnis zum zum angestrebten angestrebten Schutzzweck Schutzzweck steht. steht. 1. 1. Durch Durch das das IT IT Grundrecht Grundrecht ist ist der der Datensicherheit Datensicherheit ein ein größerer größerer Stellenwert Stellenwert beizumessen. beizumessen. 2. 2. Das Das kann kann dazu dazu führen, führen, dass dass im im Rahmen Rahmen einer einer Abwägung Abwägung i.s.d. i.s.d. 9 S. 9 S. 2 BDSG 2 BDSG zukünftig zukünftig Maßnahmen Maßnahmen verhältnismäßig verhältnismäßig sind, sind, die die es es früher früher nicht nicht waren. waren. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 26

3.5. Das neue IT Grundrecht des BVerfG (3) 2. Beispiel: Private EMail Nutzung am Arbeitsplatz VG Frankfurt, Urteil vom 14.11.2008 1 K 628/08 F.) Hintergrund» Möglichkeit des Zugriffs des Arbeitgebers auf EMails der Mitarbeiter bei zulässiger privater Nutzung des Firmenaccounts wegen 88 II TKG (Verletzung Fernmeldegeheimnis) strittig» VG Frankfurt hatte Fall zu entscheiden, in dem BaFin von einem Unternehmen E Mails herausverlangte, weil Verdacht auf Inssiderhandel vorlag» Besonderheit: Teilweise EMails betroffen, die Mitarbeiter selber archivieren/speichern konnten Entscheidung» BVerfG, Urt. v. 02.03.2006 BvR 2099/04: Schutz des Fernmeldegeheimnisses endet in dem Moment, in dem die Nachricht bei dem Empfänger angekommen und der Übertragungsvorgang beendet ist» Spezifische Gefahren der räumlich distanzierten Kommunikation bestehen im Bereich des Empfängers, der eigene Schutzvorkehrungen treffen kann, nicht mehr» VG Frankfurt: basierend auf Urteil des BVerfG v. 02.03.2006 Fernmeldegeheimnis nicht tangiert DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 27

3.5. Das neue IT Grundrecht des BVerfG (4) 2. Beispiel: Private EMail Nutzung am Arbeitsplatz (2) Bewertung:» Mögliche Verletzung des neuen IT Grundrechts wurde nicht geprüft (!!!)» Unzulässigkeit des Zugriff auf private Emails auch bei Nichteingreifen des Fernmeldegeheimnisses wegen ITGrundrecht zumindest denkbar; Abwägungsfrage 3. Beispiel: Auswirkungen auf 91 Abs. 2 AktG? Drittwirkung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wirkt möglicherweise auch über 91 Abs. 2 AktG Nicht nur Vorkehrungen gegen wirtschaftliche Schäden und Risiken, sondern auch Vorkehrungen zur Gewährleistung der Vertraulichkeit und Integrität der IT Systeme (???) Aber: ursprünglicher Schutzzweck von 91 Abs. 2 AktG, ist der Schutz vor den Fortbestand der Gesellschaft gefährdenden Entwicklungen, also der Schutz vor bestandsgefährdenden und damit vorwiegend wirtschaftlichen Risiken DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 28

Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen 3.1. 91 Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 29

4. Fazit Zunehmende Regelungs und Regulierungsdichte, Komplexität: ITCompliance ist aufgrund der zunehmenden Regelungsdichte, sowie dem stetigen Wandel der Anforderungen komplexes Thema Insbesondere Auswirkungen des ITGrundrechts auf ITCompliance Anforderungen wirft spannende Fragen auf Komplexität erfordert eine kontinuierliche, enge Zusammenarbeit aller Einheiten des Unternehmens (und ggf. Externer), um eine möglichst umfassende Abdeckung des (rechtlich) Erforderlichen durch das (technisch) Machbare und (wirtschaftlich) Vernünftige zu gewährleisten Verstärkte Inanspruchnahme der Unternehmensleitung: Unternehmensleitung muss sich aufgrund der drohenden Nachteile mit Fragen der IT Compliance befassen (Chefsache) Zunehmende Bedeutung von (IT)Standards, Richtlinien, Referenzmodellen (IT)Standards, Richtlinien, Referenzmodelle erlauben eine systematische Vorgehensweise Aber: Hilfsmittel, kein Allheilmittel! DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 30

Literaturhinweise Thümmel, Persönliche Haftung von Managern und Aufsichtsräten, 3. Aufl. 2003 Rodewald/Unger, Corporate Compliance Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, BB 2006, 113 ff. Hauschka, Compliance: Geeignete Reaktion auf gestiegene Haftungsrisiken für Manager?, NJW 2004, 257 ff. Hauschka, Corporate Compliance Unternehmensorganisatorische Ansätze zur Erfüllung der Pflichten von Vorständen und Geschäftsführern, AG 2004, 461 ff. DSRI, ITCompliance als RisikomanagementInstrument, OlWIR Verlag Lensdorf/Steger, IT Compliance im Unternehmen, ITRB 2006, 206 ff. Lensdorf, ITCompliance Maßnahmen zur Reduzierung von Haftungsrisiken von IT Verantwortlichen, CR 2007, 413 ff. Nolte/Becker, ITCompliance, BB Special 5 (zu BB 2008, Heft 25), S. 23 BITKOM Kompass der ITSicherheitsstandards, Hrsg. BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v.) und DIN (Deutsches Institut der Normung e.v.), Version 3.0., 10/2007 Stögmüller, Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen, CR 2008, 435 ff. Hoppen/Frank, ITIL Die IT Infrastructure Library, CR 2008, 199 ff. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am 08.05.2009 Seite 31

Vielen Dank! Kontakt: Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte Taunusanlage 1 60329 Frankfurt am Main Tel. 0697680630 l.lensdorf@heylaw.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback