GELSEN-NET Trends vor Ort, 09.03.2017 IT und rechtliche Notwendigkeiten Rechtsanwalt Julius Oberste-Dommes LL.M. Fachanwalt für IT-Recht WERNER Rechtsanwälte Informatiker, Oppenheimstr. 16, 50668 Köln, www.werner-ri.de Tel: + 49 (0) 221 / 97 31 43-0, E-Mail: info@werner-ri.de
Inhalt Archivierung von elektronischen Dokumenten Lizenzmanagement Datensicherheit und Datenschutz - 2 von 19 -
Einleitung Sie wollen zufriedene Kunden, Mitarbeiter und Lieferanten Sie wollen nicht: - Schadensersatz bezahlen - Unterlassungserklärungen abgeben - Ihre Kunden über Sicherheitsverstöße informieren - Bußgelder bezahlen - Ins Gefängnis - 3 von 19 -
Einleitung Keine einheitliche Rechtsvorschrift für Risiken mit IT Bezug vorhanden Stattdessen: - Spezialgesetzliche Regelungen: BDSG/DSGVO, IT-SicherheitsG (einschl. BSI- KritisV), UrhG, GoBD, AO - Allgemeine Vorschriften: BGB, StGB - 4 von 19 -
Archivierung von elektronischen Dokumenten Warum sind Dokumente zu archivieren? Gesetzliche Anordnung in 147 AO und in 257 HGB Was ist zu archivieren? Bücher und Aufzeichnungen, empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, Buchungsbelege Wer ist verantwortlich? Steuerpflichtiger, Kaufleute - 5 von 19 -
Archivierung von elektronischen Dokumenten 147 Abs. 2 AO als Zentralvorschrift Archivierung auf einem Bildträger oder anderem Datenträger ist möglich, wenn die Wiedergabe oder die Daten - mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, [und] - während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können. Weiterer Grundsatz entsprechend 146 Abs. 4 AO: Veränderungen müssen nachvollziehbar sein! - 6 von 19 -
Archivierung von elektronischen Dokumenten Ausgewählte Problemkreise - Die maschinelle Auswertbarkeit muss gewährleistet sein bzw. bleiben - Scans von Papierdokumenten müssen beherrscht werden - Migration und Systemwechsel sind anspruchsvoll - Eine Verfahrensdokumentation ist unabdingbar - Zuverlässigkeit des Hard- und Softwareanbieters (Testate, Zertifikate) prüfen - 7 von 19 -
Archivierung von elektronischen Dokumenten Sonderfall: E-Mail Archivierung - Keine Aufbewahrungspflicht bei reinem Transportmittel ( Briefumschlag ) - Der E-Mail Header muss in der Regel mit aufbewahrt werden - Erlaubte Privatnutzung eines dienstlichen E-Mail Accounts ist problematisch ( 88 TKG) - Interessenabwägung im Rahmen des 32 BDSG (Beschäftigtendatenschutz) erforderlich - Gesetzliche Aufbewahrungspflichten von E-Mails sind gegenüber Dritten Erlaubnistatbestände nach 28 Abs. 1 BDSG - 8 von 19 -
Lizenzmanagement Lizenz = ein geschütztes Werk in bestimmtem Umfang nutzen zu dürfen (Nutzungsrecht, vgl. 31 UrhG) Konsequenzen eines Lizenzverstoßes - (Kostenpflichtige) Abmahnung nach 97a UrhG - Unterlassungsanspruch nach 97 Abs. 1 UrhG - Schadensersatzanspruch nach 97 Abs. 1 UrhG Fiktive Lizenzgebühr, Verletzergewinn, konkrete Schadensberechnung - Anspruch auf Vernichtung, Rückruf und Überlassung nach 98 UrhG - Strafbarkeit nach 106 108b UrhG; Ordnungswidrigkeit nach 111a UrhG - 9 von 19 -
Lizenzmanagement Warum ein Lizenzmanagement? - Umfang des Nutzungsrechts muss der Nutzer dem Urheber nachweisen (können); Reduzierung von Haftungsrisiken - Ermitteln von Lizenzüber- oder -unterdeckung - Planbarkeit von Lizenzkosten - Bedarfsgerechte Verteilung von Software - 10 von 19 -
Lizenzmanagement Das Lizenzmanagement unterscheidet zwischen - Art der Lizenz: Volumenlizenz, Standortlizenz, Unternehmenslizenz - Lizenzklasse: Vollversion, Upgrade, Update, Add-On, Client-Access-License - Lizenztyp/Lizenzmetrik: Faktoren, nach denen der Lizenzbedarf ermittelt wird z.b. Anzahl der Installationen, Anzahl an Nutzern, Anzahl der eingesetzten Prozessoren - 11 von 19 -
Lizenzmanagement Stufen des Lizenzmanagements: - Installierte Software (auch Open-Source oder Freeware) ermitteln - Vorhandene Lizenzen ermitteln - Vergleich der installierten Software mit den vorhandenen Lizenzen - Lizenzüberdeckung (Überlizenzsierung) oder - Lizenzunterdeckung (Unterlizenzsierung) Umfang von Audit-Rechten prüfen (Haftungsfalle!) Einsatz von Software Asset Management Software (SAM) erwägen - 12 von 19 -
Datensicherheit und Datenschutz Gesetzliche Verpflichtungen - 8a BSI-Gesetz i.v.m. BSI-KritisV (Betreiber kritischer Infrastrukturen) - 13 Abs. 7 TMG (Diensteanbieter für geschäftsmäßig angebotene Telemedien) - 9 S. 1 BDSG (Datenverarbeitende Stelle) - Weitere Vorschriften denkbar - Sanktionen: Maßnahmen zur Abhilfe, Bußgeld Vertragliche Verpflichtungen (evtl. auch Sanktionen) Im Übrigen zivil- und strafrechtlicher Verschuldensmaßstab - 13 von 19 -
Datensicherheit und Datenschutz 8a BSI-Gesetz i.v.m. BSI-KritisV - Betreiber kritischer Infrastrukturen (Energie, IuK, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen); Ausnahme: Kleinstunternehmen, kleine und mittlere Unternehmen nach 2003/361/EG - Angemessene organisatorische und technische Vorkehrungen - Der Stand der Technik soll eingehalten werden (DIN, ISO/IEC, BSI-Grundschutz) - Nachweis im 2-Jahres-Rhythmus - Einrichtung einer Kontaktstelle, ggf. einer übergeordneten Ansprechstelle - Pflicht zur Meldung von Ausfällen oder Beeinträchtigungen - 14 von 19 -
Datensicherheit und Datenschutz 13 Abs. 7 TMG - Diensteanbieter für geschäftsmäßig angebotene Telemedien - Organisatorische und technische Vorkehrungen - Stand der Technik muss eingehalten werden (DIN, ISO/IEC) - Technisch möglich und wirtschaftlich zumutbar - Schutz vor: unerlaubtem Zugriff, Verletzung personenbezogener Daten, Störungen - 15 von 19 -
Datensicherheit und Datenschutz 9 BDSG incl. dessen Anlage (soweit erforderlich): - Nr. 1: Zutrittskontrolle - Nr. 2: Zugangskontrolle - Nr. 3: Zugriffskontrolle - Nr. 4: Weitergabekontrolle - Nr. 5: Eingabekontrolle - Nr. 6: Auftragskontrolle - Nr. 7: Verfügbarkeitskontrolle - Nr. 8: Trennungskontrolle - 16 von 19 -
Datensicherheit und Datenschutz Wichtige Einrichtungen oder Funktionen - 4f BDSG: Beauftragter für den Datenschutz (intern/extern) - 4g Abs. 2 BDSG: Errichtung eines Verfahrensverzeichnisses - 5 BDSG: Datengeheimnis - 17 von 19 -
Datensicherheit und Datenschutz Sonderthema: Auftragsdatenverarbeitung (ADV) - Praktische Relevanz: Cloud-Dienste, Call-Center, Lohnabrechnungen - Lösung: Vertrag über die Auftragsdatenverarbeitung nach 11 BDSG; damit ist die Datenverarbeitung durch den Diensteanbieter zulässig - Voraussetzungen der Wirksamkeit: - Diensteanbieter muss vor Vertragsschluss überprüft werden - Vertrag muss schriftlich abgeschlossen werden - Vertragsinhalt ist weitgehend gesetzlich vorgegeben ( 9, 11 Abs. 2 BDSG) - Diensteanbieter darf die Daten nur nach Weisung verwenden - 18 von 19 -
Ihr Referent Julius Oberste-Dommes LL.M. (Informationsrecht) Rechtsanwalt Fachanwalt für IT-Recht Oppenheimstraße 16, 50668 Köln Telefon 0 221 / 97 31 43-0 Telefax 0 221 / 97 31 43-99 julius.oberste-dommes@werner-ri.de www.werner-ri.de - 19 von 19 -