Leitfaden IT-Compliance. Rechtsfragen Informationssicherheit und IT-Datenschutz



Ähnliche Dokumente
Herzlich willkommen zu unserer Informationsveranstaltung Die digitale Betriebsprüfung - das gläserne Unternehmen?

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Internet/ Was darf der Arbeitnehmer, was darf der Arbeitgeber?

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

IT Management Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit Systemen

Ausgewählte Rechtsfragen der IT-Security

Rechtliche Aspekte der IT-Security.

Datenschutz und Schule

Einführung in die Datenerfassung und in den Datenschutz

Internet- und -Überwachung in Unternehmen und Organisationen

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Datenschutzvereinbarung

Datenschutzbeauftragte

Datenschutz im Spendenwesen

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Der Schutz von Patientendaten

Anleitung WLAN BBZ Schüler

Datenschutz-Vereinbarung

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Datenschutz ist Persönlichkeitsschutz

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Die deutsche Aufbewahrungspflicht aus steuer- und handelsrechtlicher Pflicht

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

Datenschutz als Qualitäts- und Wettbewerbsfaktor

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Bestandskauf und Datenschutz?

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

- Datenschutz im Unternehmen -

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

mit freundlicher Genehmigung der Kanzlei Kemper & Kollegen und ihres Mandanten Kurzgutachten

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Nutzung dieser Internetseite

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Archivierung Whitepaper. Whitepaper. Copyright 2006, eulink GmbH, Gießen Seite 1

D i e n s t e D r i t t e r a u f We b s i t e s

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Neue Rechtslage zur digitalen Archivierung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GDPdU vom

Der Arbeitsrechtler. GHR Arbeitsrechtsteam. Vertrauen ist gut Kontrolle besser?

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Haftung des Telearbeiters gegenüber dem Arbeitgeber

Rechtsanwältin Prof. Dr. Marlene Schmidt. Freiwillige Betriebsvereinbarungen an der Schnittstelle von BetrVG und BDSG

Archivierung. IHK-Vortrag 11. Mai IT Consulting & Service Sebastian Richter IHK-Vortrag Foliennummer: 1

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Bayerisches Landesamt für Datenschutzaufsicht

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Der ohne sachlichen Grund befristete Arbeitsvertrag

Rahmenbetriebsvereinbarung. Einsatz der Informationstechnik

Aufbewahrungspflichten

Die richtige Rechtsform im Handwerk

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Rechtliche Absicherung von Administratoren

Rechts- und datenschutzkonforme -Archivierung

Rechts- und datenschutzkonforme -Archivierung

Arbeitnehmerdatenschutz

Datenschutz-Unterweisung

Datenschutz und IT-Sicherheit

e-book Rechtsanwaltskanzlei Knoop

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

GPP Projekte gemeinsam zum Erfolg führen

Informationssicherheit als Outsourcing Kandidat

Außerordentliche, hilfsweise ordentliche Kündigung. Stellungnahme zu den Fristen bzw. Fristverkürzung im Beteiligungsverfahren. Jürgen Jendral (HMAV)

Newsletter Immobilienrecht Nr. 10 September 2012

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

Praxistipps für eine effektive Büro - Organisation von Gisela Krahnke

Die Inhalte dieser Website werden mit größtmöglicher Sorgfalt erstellt. Vollständigkeit Aktualität der bereit gestellten Inhalte.

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

DATENSCHUTZERKLÄRUNG

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Digitalisierung im Mittelstand. (Steuer-)Rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr

Rechtssicherheit in der Benutzung von Archiven

osborneclarke.de Social Media, Mobile Devices und BYOD arbeitsrechtlich ein Spagat zwischen Können Dürfen Wollen

Das IT-Sicherheitsgesetz

Gesetzliche Aufbewahrungspflicht für s

Der Frühling steht vor der Tür und somit ist es mal wieder Zeit auszumisten!

Der Datenschutzbeauftragte

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Allgemeine Bedingungen für alle Schulungen und Seminare

Datenschutznovelle II (Datenhandel)

Ulrike Geismann Diplom - Kauffrau ( FH ) Steuerberaterin Bilanzbuchhalter IHK. Unterrichtung REWE. Skript 1. Fach: REWE

Abmahnung, Kündigung & Co.

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Transkript:

Rechtsfragen Informationssicherheit und IT-Datenschutz

Inhalt I. Informationssicherheit Alles was Recht ist! 3 II. Was ist IT-Compliance? 4 III. Gefährdungsszenario - Bedrohungsanalyse 5 IV. Datenschutz und Mitarbeiterkontrolle 7 1. Die Novellierung des BDSG 7 1.1 Überblick 7 1.2 Arbeitnehmerdatenschutz und Kontrolle 7 1.3 Informationspflicht bei Datenpannen 8 1.4 Auftragsdatenverarbeitung 9 2. Private Nutzung, Fernmeldegeheimnis 10 4. Datenschutzkonformes https-scanning 11 5. Interessensausgleich durch rechtliche Gestaltung 12 6. Mitbestimmung der Betriebs- und Personalräte 13 V. IT-Haftung Mit Sicherheit Recht behalten! 14 1. Ermittlungsverfahren und Auskunftspflichten 14 2. Vorratsdatenspeicherung 15 2.1 Gastzugang 16 2.2 Maßnahmenkatalog zur Vermeidung 16 3. Organisationspflichten 16 4. Störerhaftung im Netzwerk, offene W-LAN 18 5. Szenario und Rechtsfolgen 18 6. Eigenhaftung der IT-Verantwortlichen 18 VI. Mobile Security 21 1. Szenario 21 2. Technische Schutzmaßnahmen 21 3. Nutzungsrichtlinien (Policy, Betriebsvereinbarung) 21 VII. Revisionssichere E-Mail-Archivierung 21 1. Handelsrechtliche Aufbewahrungspflichten 22 2. Steuerrechtliche Aufbewahrungspflichten 22 3. Aufbewahrungsfristen 22 4. Sanktionen bei Verstößen 23 5. Aufbewahrungsgrundsätze nach GoBS und AO 23 6. Elektronische Betriebsprüfung nach GDPdU 23 7. Elektronische Rechnungen 24 8. Archivierung im Eigeninteresse 25 VIII. Risikomanagement und IT-Compliance 25 1. KonTraG - Haftung der Geschäftsleitung 25 2. Anerkannte Standards und Zertifizierung 27 3. Euro-SOX und BilMoG 27 I. Informationssicherheit Alles was Recht ist! IT-Sicherheit ist als technisch dominierte Disziplin elementarer Bestandteil der Informationssicherheit, wobei letztere wesentlich umfassender aufgestellt ist. Informationssicherheit erfordert über die technische Sicherheit hinaus in starkem Umfange organisatorische Maßnahmen (z.b. Policies, Nutzungsrichtlinien, Schulung, Kontrollmaßnahmen, Zertifizierungen) und zwingend auch die Einhaltung und Gestaltung rechtlicher Rahmenbedingungen (z.b. durch Verträge oder Betriebsvereinbarungen). Informationssicherheit ist also eine ganzheitliche Aufgabe, deren technische, organisatorische und rechtliche Komponenten in enger Wechselbeziehung miteinander verzahnt sind. Überdacht wird das System von einem gesetzlich verbindlichen Risikomanagement, das die Leitungsebene des Unternehmens verantworten und umsetzen muss. Daraus ergibt sich eine ausgeprägte Ganzheitlichkeit der Informationssicherheit. Aufgabe des vorliegenden IT-Compliance-Leitfadens ist die zusammenfassende Darstellung der rechtlichen Komponente der Informationssicherheit. 2 2010 RA Horst Speichert 2010 RA Horst Speichert 3

II. Was ist IT-Compliance? IT-Compliance ist nicht nur ein Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen rechtlicher, organisatorischer und technischer Art. Der Begriff bedeutet allgemein gesprochen die IT-spezifische Rechtskonformität, also die Einhaltung rechtlicher Vorgaben im IT-Umfeld. Damit verbunden ist die Etablierung von Prozessen und Verfahren zur Erlangung dieser Rechtstreue. Konkret bedeuted IT-Compliance die Konformität mit gesetzlichen Standards Einhaltung der Gesetze, Beachtung der Rechtsprechung Vertragspflichten insbesondere aus Verträgen mit Kunden, Geschäftspartnern, Mitarbeitern etc. (selbstgesetzten) Standards Einhaltung anerkannter Standards wie BSI oder ISO, aber auch der eigenen Policies, Nutzungsrichtlinien, Organisationshandbücher, Arbeitsanweisungen etc. Aus der Blickrichtung der angestrebten Ziele definiert sich IT-Compliance als die wirksame Verhinderung von Informationsverlust Wirtschaftsspionage Unterschlagung, Betrug Falschbilanzierung Korruption Üblicherweise wird unter IT-Compliance die Einhaltung insbesondere der folgenden gesetzlichen Bestimmungen verstanden: KonTraG Deutscher Corporate Governance Kodex SOX COBIT, COSO Basel II konkretisiert durch MaRisk GoBS, GDPdU Vorgaben der Finanzbehörden für die steuerlich relevanten Daten BDSG, insbesondere Vorgaben für die technisch-organisatorische Datensicherheit, 9 BDSG plus Anlage Outsourcing, 11 BDSG Euro-SOX, BilMoG Wobei die Aufzählung bei weitem nicht abschließend ist, sondern nur wichtige Bestimmungen benennt. Die benannten Gesetze sind gleichzeitig auch zentrale Vorschriften aus dem Informations- und Risikomanagement. Der Deutsche Corporate Governance Kodex definiert in Nr. 4.1.3: Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance) Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen gewährleisten, 2 Abs. 2 BSIG (BSI-Errichtungsgesetz). Im Reigen der IT-Compliance-Gesetze spielt das Bundesdatenschutzgesetz (BDSG) eine der Hauptrollen, insbesondere weil der Persönlichkeitsschutz in den letzten Jahren stark an Bedeutung gewonnen hat. Die Negativpresse in Folge von Datenschutzpannen hat in Ihrem Ausmaß eine Folgewirkung, die für ein Unternehmen existenzbedrohend, zumindest schadensträchtig sein kann. Das BDSG ist zum 01.09.2009 grundlegend novelliert worden, zum 01.04.2010 und 11.06.2010 treten weitere Änderungen in Kraft. Die Kernaussagen der komplexen Änderungen zeit- und praxisnah aufzuarbeiten, ist Aufgabe jedes IT-Verantwortlichen und Datenschutzbeauftragten. Wir tun dies vorliegend in einem eigenen Kapitel. Auch hier zeigt sich die enge Verzahnung von Technik, Organisation und Recht. III. Gefährdungsszenario - Bedrohungsanalyse In einer großen Aktiengesellschaft arbeitet seit langen Jahren ein qualifizierter Mitarbeiter an einer neuen Technologie zur Produktion von Sonnenkollektoren. Durch den Bau seines Eigenheims gerät der Mitarbeiter in finanzielle Schwierigkeiten, als ein Unbekannter an ihn herantritt und ihm größere Geldbeträge für die Herausgabe wichtiger Unterlagen bietet. Einer großen Tageszeitung wird eine DVD mit zehntausenden von sensiblen Kundendaten eines Finanzdienstleisters zugespielt. Die anschließende Berichterstattung in Presse und Neuen Medien zieht sich über Wochen hin. Der Vertrauensverlust in der Öffentlichkeit ist so groß, dass aufgrund von Umsatzeinbußen das Quartalsergebnis nach unten korrigiert werden muss. Um künftig gegen undichte Stellen besser geschützt zu sein, entschließt sich ein Unternehmen, alle E-Mailund Internetverbindungen der Mitarbeiter heimlich zu überwachen. Nachdem die Angelegenheit durch investigativen Journalismus aufgedeckt wurde, muss der Vorstandsvorsitzende zurücktreten. Aus einem Medien-Bericht: Staatsanwaltschaft Köln ermittelt gegen ca. 3.500 P2P-Nutzer. Rund 130 Durchsuchungen wurden im Rahmen einer koordinierten Aktion heute zeitgleich im gesamten Bundesgebiet durchgeführt. Zahlreiche PC`s und andere Beweismittel wurden beschlagnahmt. Ein langjähriger Abteilungsleiter ahnt, dass er im Zuge der Wirtschaftskrise die betriebsbedingte Kündigung erhalten wird. Seine Verärgerung hierüber ist verständlicherweise groß. Als Abschiedsgeschenk möchte er deshalb seinem treulosen Arbeitgeber einen Trojaner hinterlassen, welcher die Server lahm legen soll. Der deutsche Mittelstand ist weltweit führend, zeichnet sich durch ein hohes Maß an Innovationskraft aus und ist deshalb der größte Know-how-Träger der deutschen Wirtschaft: Keine Kleinstadt ohne Weltmarktführer. Der enorme Leistungsdruck führt zur Vernachlässigung notwendiger Sicherheitsbedürfnisse, weshalb gerade der Mittelstand zu den leichten Zielen weltweiter Wirtschaftsspionage gehört. Schließlich verlangt das BSI-Errichtungsgesetz in seiner gesetzlichen Definition: IT-Sicherheit meint Sicherheitsvorkehrungen und die Einhaltung von Sicherheitsstandards, welche die 4 2010 RA Horst Speichert 2010 RA Horst Speichert 5

IV. Datenschutz und Mitarbeiterkontrolle Die Rechtslage im Datenschutz ist ständig im Fluss, wie drei aktuelle Novellierungen des BDSG im Jahr 2009 belegen. Illegale Vorgänge gebieten Kontrollmaßnahmen, während zugleich jeder Mausklick überwachbar wird und der gläserne Mitarbeiter droht. Fast täglich werden neue Datenschutzskandale in den Medien veröffentlicht, die große Imageschäden verursachen. Die vorausgeeilte Technik ist durch technisch-organisatorische Maßnahmen und rechtliche Regulierung wieder einzufangen. 1. Die Novellierung des BDSG Das Bundesdatenschutzgesetz wurde und wird durch drei Novellierungen zum 01.09.2009, zum 01.04.2010 und zum 11.06.2010 grundlegend erneuert. 1.1 Überblick Neu im BDSG sind insbesondere Regelungen zu neuer Arbeitnehmerdatenschutz, Verhaltenskontrolle, 32 BDSG Informationspflicht bei Datenpannen/ unrechtmäßiger Kenntniserlangung nach 42a BDSG Neuregelung der Auftragsdatenverarbeitung nach 11 BDSG Stärkung der Stellung des Datenschutzbeauftragten nach 4f Abs. 3 Sätze 5 bis 8 BDSG: verstärkter Kündigungsschutz, nur fristlose Kündigung nach 626 BGB Anspruch auf Fort- und Weiterbildungsveranstaltungen ausdrücklich verankert Neuregelung zu Listenprivileg und Adresshandel, 28 BDSG Neufassung der Bußgelder nach 43 BDSG Erhöhung der Bußgeldtatbestände Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen Die Neuregelungen traten überwiegend am 1. September 2009 in Kraft, vorbehaltlich der Übergangsregelung in 47 BDSG. 1.2 Arbeitnehmerdatenschutz und Kontrolle Die Datenschutzskandale der jüngsten Vergangenheit werfen die Frage nach einer datenschutzkonformen Kontrolle von Mitarbeiten auf, insbesondere im Lichte des neuen 32 BDSG sowie bei erlaubter Privatnutzung von E-Mail und Internet. Notwendige Datenbankabgleiche, Mitarbeiterscreening oder die Auswertung von Protokolldateien sind künftig nur unter geänderten Rahmenbedingungen möglich. Welche Kontrollmaßnahmen noch zulässig oder - z.b. aus Gründen der Korruptionsbekämpfung - sogar vorgeschrieben sind, bedarf der Klärung. Nach 32 Abs. 1 Satz 2 BDSG dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende, tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, und die Kontrollmaßnahme verhältnismäßig ist. 6 2010 RA Horst Speichert 2010 RA Horst Speichert 7

Hieraus ergeben sich also insgesamt vier Voraussetzungen: konkreter Verdacht gegen einen bestimmten Mitarbeiter tatsächliche Anhaltspunkte, die den Verdacht begründen Dokumentationspflicht bezüglich dieser Anhaltspunkte Verhältnismäßigkeit der Kontrollmaßnahme Die IT- und Datenschutzverantwortlichen sind also gehalten, im Unternehmen einen Prozess zu etablieren, der die Prüfung eines konkreten Verdachts sowie der Verhältnismäßigkeit einschließt und die Dokumentation der konkreten Verdachtsmomente beinhaltet. Nach 32 Abs. 3 BDSG sind die Betriebsund Personalräte an diesen Prozedere zu beteiligen. Zu beachten ist dabei, dass die Regelung zur Verhaltenskontrolle nach 32 Abs. 1 Satz 2 BDSG nur die Aufdeckung von Straftaten betrifft. Damit bleibt die Vorgehensweise bei Verdacht auf eine bloße Arbeitspflichtverletzung unterhalb der Strafbarkeitsgrenze offen. Zu empfehlen ist aber eine einheitliche Vorgehensweise für Straftaten und Arbeitspflichtverletzungen. 1.3 Informationspflicht bei Datenpannen Völlig neu in das BDSG aufgenommen wurde in 42a BDSG eine Informationspflicht der datenverarbeitenden Stelle bei unrechtmäßiger Kenntniserlangung Dritter. Hier reagiert der Gesetzgeber auf die Vorfälle in jüngster Zeit und regelt Rechtsfolgen bei Datenpannen. Werden besonders sensible Daten, u.a. besondere Daten nach 3 Abs. 9 BDSG, unrechtmäßig übermittelt oder sind auf sonstige Weise Dritten zur Kenntnis gelangt, so hat das Unternehmen die zuständige Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren. Die Mitteilung muss aufklären über die Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. 1.4 Auftragsdatenverarbeitung Neu geregelt wurde auch die Einschaltung von Dienstleistern, sofern es um die Verarbeitung personenbezogener Daten im Auftrag geht. Der Vertrag mit dem Dienstleister ist zwingend in Schriftform abzuschließen und muss nach dem Punktekatalog des 11 Abs. 2 BDSG insbesondere Regelungen enthalten zu Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen technisch-organisatorische Maßnahmen nach 9 BDSG Berichtigung, Löschung und Sperrung von Daten Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers mitzuteilende Verstöße gegen Datenschutzvorschriften Umfang der Weisungsbefugnisse des Auftraggebers Rückgabe Datenträger und Löschung der Daten Betroffen sind nicht alle personenbezogenen, sondern nur besonders sensible Daten, hierzu gehören Daten nach 3 Abs. 9 BDSG, also insbesondere Daten über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben Bank- oder Kreditkartendaten Berufsgeheimnisse Daten über strafbare Handlungen oder Ordnungswidrigkeiten Die Mitteilungspflicht besteht nur, wenn schwerwiegende Beeinträchtigungen für die Rechte oder Interessen der Betroffenen drohen. In der Folge muss die Mitteilung gegenüber der Aufsichtsbehörde und den Betroffenen unverzüglich, also ohne jede Verzögerung erfolgen. Ein Unternehmen tut also gut daran, bereits präventiv ein Prozedere für den Fall einer Datenpanne zu entwickeln, um bei eintretender Mitteilungspflicht schnell und richtig reagieren zu können. Andernfalls sind gravierende Imageschäden für die betroffenen Unternehmen zu befürchten. Verstöße und hierzu gehört auch eine zu späte Mitteilung sind mit hohen Bußgeldern belegt. 8 2010 RA Horst Speichert 2010 RA Horst Speichert 9

Detailliert geregelt wurde auch eine Kontrollpflicht beim Dienstleister. Der Auftraggeber hat sich gemäß 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (also vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das bedeutet nicht zwingend eine Vorortkontrolle, sondern kann auch durch die Vorlage geeigneter Unterlagen des Dienstleisters umgesetzt werden. Das Ergebnis ist zu dokumentieren. Durch die Neuregelung beurteilt sich der Arbeitnehmerdatenschutz künftig nach 32 BDSG, der den bisher anwendbaren 28 Abs. 1 BDSG verdrängt. Werden Daten eines Beschäftigten für Zwecke des Arbeitsverhältnisses erhoben, verarbeitet oder genutzt, findet 28 Abs. 1 BDSG keine Anwendung mehr. Speziell eine Verhaltenskontrolle zur Aufdeckung von Straftaten des Beschäftigten ist nach 32 Abs. 1 Satz 2 BDSG nur noch zulässig, wenn Eine Übergangsregelung greift hier nicht, sondern die Neuregelung der Auftrags-DV gilt auch für Altverträge ab 01.09.09. In der Konsequenz ist eine Anpassung der Altverträge erforderlich, da bei Verstößen ein Bußgeld von bis zu 50.000,-- droht. 2. Private Nutzung, Fernmeldegeheimnis Für den Datenschutz stellt sich zunächst die Ausgangsfrage, ob der Arbeitgeber die private Nutzung erlaubt oder verboten hat. Bei erlaubter Privatnutzung wird der Arbeitgeber zum Telekommunikationsanbieter, da die Möglichkeit des Arbeitnehmers zur Privatnutzung von E-Mail oder Internet als Dienstleistung einzustufen ist. Daraus resultiert die Geltung des Fernmeldegeheimnisses, da sich der tatsächliche Anhaltspunkte einen konkreten Verdacht gegen den Beschäftigten begründen und eine diesbezügliche Dokumentationspflicht erfüllt wurde. Für andere Zwecke können auch im Verhältnis Arbeitgeber zum Beschäftigten die übrigen Vorschriften des BDSG oder andere Gesetze weiterhin zur Anwendung kommen. Dazu gehören insbesondere die Regelungen über die Datenverarbeitung zur Wahrung berechtigter Interessen des Arbeitgebers nach 28 Abs. 1 Nr. 2 BDSG. Will also z.b. der Arbeitgeber E-Mails aus betrieblichen Interessen an einen Stellvertreter weiterleiten, weil der Postfachinhaber krank geworden ist und die Kontinuität der Kommunikation/ Kundenbetreuung gewahrt werden soll, so beurteilt sich dies nach 28 Abs. 1 Nr. 2 BDSG. Eine Einsicht oder Weiterleitung der dienstlichen E-Mails ist demnach nur zulässig, wenn aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip die Maßnahme erforderlich und angemessen ist. In diese Gesamtabwägung der relevanten Belange sind alle beteiligten Interessen mit einzubeziehen. Daraus ergibt sich die grobe Faustformel, dass äußere Verbindungsdaten wie URL, Empfänger- oder Absenderadresse grundsätzlich eingesehen werden dürfen, Inhaltskontrollen, wie das Mitlesen von E-Mails oder den Eintragungen des Arbeitnehmers auf den Webseiten, aber grundsätzlich unzulässig sind. 4. Datenschutzkonformes https-scanning Die gleichzeitige gesetzliche Forderung nach Verschlüsselung auf der einen und Virenschutz auf der anderen Seite, etwa in Anlage zu 9 BDSG, erzeugt einen technischen Widerspruch, da verschlüsselte Verbindungen nicht ohne weiteres auf Viren oder Schadsoftware untersucht werden können. Arbeitnehmer auf die Vertraulichkeit der privaten Kommunikation verlassen darf. Archivierungs- oder Kontrollmaßnahmen unter dem Regime des Fernmeldegeheimnisses sind aus Datenschutzgründen problematisch. 3. Dienstliche Nutzung, Privatnutzungsverbot Ist dagegen die Privatnutzung verboten und nur eine dienstliche Nutzung möglich, kommt das Fernmeldegeheimnis nicht zur Anwendung. Die dienstliche Nutzung steht jedoch unter dem Schutz des Bundesdatenschutzgesetzes (BDSG). Zwar sind hier weitergehende Datenerhebungen und Kontrollen als unter dem Fernmeldegeheimnis möglich, trotzdem besteht kein schrankenloser Freibrief zur Einsicht in Protokolldateien oder E-Mails. Immer mehr Missbrauch und Schadsoftware erfolgt über https und erzeugt so ein Sicherheitsvakuum. Das technisch unbestritten notwendige https-scanning muss datenschutzkonform betrieben werden. Dies erfordert zunächst die Vermeidung von möglichen Straftatbeständen 202a StGB, Ausspähen von Daten 206 StGB, Bruch des Fernmeldegeheimnisses Ordnungswidrigkeit nach 43 BDSG Insbesondere darf der Scanvorgang nicht zur Kenntnisnahme der Inhalte führen, muss also in einer Blackbox ablaufen. 10 2010 RA Horst Speichert 2010 RA Horst Speichert 11

Zulässigkeitsvoraussetzungen: Anlass für das Scannen muss ein konkretes Gefährdungspotential sein, also in erster Linie der Virenschutz sowie die Abwehr vergleichbarer Schadsoftware die Notwendigkeit sonstige Filtermaßnahmen (z.b. das URL-Filterung) rechtfertigen das Scannen nicht die Maßnahme muss erforderlich sein zur Gefahrenabwehr, z.b. um das Eindringen von Viren oder Schadsoftware zu verhindern Möglichkeiten zu optionalen Ausnahmen, besonders sensible https-verbindungen, etwa das Online-Banking, vom Scanvorgang auszunehmen, sind zu nutzen die Entschlüsselung, der Scanvorgang, die Virenfilterung und das erneute Verschlüsseln müssen in einem geschlossenen System ablaufen Scanvorgang und Anti-Viren-Software arbeiten in einer Blackbox, führen also nicht zur Kenntnisnahme von Inhalten durch Administratoren oder sonstige Dritte Zusätzliche optionale Maßnahmen, welche die juristische Sicherheit erhöhen: deutliche Hinweise gegenüber dem Nutzer vor dem Scanvorgang Einwilligung des Nutzers schriftlich nach 4a BDSG in Nutzungs- oder Betriebsvereinbarung in elektronischer Form nach 13 TMG, 94 TKG 5. Interessensausgleich durch rechtliche Gestaltung Unabhängig davon, ob Fernmeldegeheimnis oder Bundesdatenschutzgesetz gelten, bedeuten ungeregelte Zustände hinsichtlich der Aufbewahrung und Kontrolle von Daten und Unterlagen ständige rechtliche Unsicherheit, da die Bestimmungen in TKG und BDSG unklar sind. Es herrscht große Verunsicherung bei Arbeitgebern, Administratoren und Arbeitnehmern, da die notwendige Güterabwägung der beteiligten Interessen im Einzelfall alle Betroffenen überfordert. Das Datenschutzrecht eröffnet jedoch nach dem Grundsatz präventives Verbot mit Erlaubnisvorbehalt einen Gestaltungsspielraum, um durch Vereinbarungen legale Handlungsgrundlagen zu schaffen. Nach dem Gesetzeswortlaut besteht zwar zunächst ein generelles Verbot, dass aber durch Vereinbarungen, die als Legitimation wirken, in Grenzen modifiziert werden kann. Solche Vereinbarungen bringen Vorteile für alle Beteiligten. 6. Mitbestimmung der Betriebs- und Personalräte Da die Datenschutzfragen dem Mitbestimmungsrecht im Sinne des Betriebsverfassungsgesetzes und des Personalvertretungsrechtes unterliegen, müssen Betriebs- und Personalräte am Entscheidungsprozess in Form von Vereinbarungen beteiligt werden. Das Mitbestimmungsrecht des Betriebsrates besteht gemäß 87 Abs. 1 Nr. 1 und 6 BetrVG für die Bereiche: Ordnung des Betriebes, Arbeitnehmer-Verhalten technische Kontrolleinrichtungen Für die Ausübung der Mitbestimmung kommen insbesondere der Abschluss von Betriebs- und Dienstvereinbarungen mit entsprechenden Nutzungs- und Kontrollregelungen für die E-Mail- und Internet-Nutzung in Betracht. Bei der Betriebs-/ Dienstvereinbarung handelt es sich um einen schriftlichen Vertrag zwischen Arbeitgeber und Mitarbeitervertretung, der zur Lösung des Datenschutzproblems geschlossen wird. In Betrieben ab einer Größe von fünf Mitarbeitern sind Betriebsräte und damit Betriebsvereinbarungen möglich. Während der Arbeitgeber den Missbrauch einschränken will, befürchtet der Betriebsrat die Ausforschung der Arbeitnehmer. Personenbezogene Kontrollen sollten möglichst unter Beteiligung des Betriebsrates/ Datenschutzbeauftragten nach dem Vier-Augen-Prinzip erfolgen. Die Betriebs-/ Dienstvereinbarung hat rechtssetzenden Charakter und wirkt modifizierend auf die Inhalte der Arbeitsverträge ein. Im Bereich des Fernmeldegeheimnisses, das auf ein Grundrecht zurückgeht, ist neben Kollektivvereinbarungen die individuelle Zustimmung der beteiligten Arbeitnehmer von Vorteil. Ergänzend zu entsprechenden Betriebs- und Dienstvereinbarungen kann deshalb eine zusätzliche Legitimation und Information durch eine persönliche Zustimmung des betroffenen Arbeitnehmers erfolgen, sofern diese Einwilligung freiwillig erfolgt. Die durch Vereinbarungen geschaffenen klaren Verhältnisse schützen den Administrator vor Strafbarkeit wegen Verstößen gegen das Fernmeldegeheimnis. Sie schaffen Transparenz und Vertrauen bei den Arbeitnehmern, haben aber auch eine Warnfunktion und damit Lenkungswirkung für das Arbeitnehmerverhalten. Sie helfen dem Arbeitgeber bei der Haftungsprävention, da die Erfüllung der Organisationspflichten gesetzlich vorgeschrieben ist. 12 2010 RA Horst Speichert 2010 RA Horst Speichert 13

V. IT-Haftung Mit Sicherheit Recht behalten! Die IT-Verantwortlichen in Unternehmen und Behörden fragen sich, inwieweit illegale Vorgänge und Inhalte zur Mitverantwortung des Arbeitgebers bzw. der Mitarbeiter und Geschäftsleitung führen. 1. Ermittlungsverfahren und Auskunftspflichten In den letzten Jahren wurden z.b. zehntausende von Strafverfahren wegen illegaler Downloads (Musikfiles) aus P2P- Netzwerken eingeleitet. Es stellt sich die Frage nach einer möglichen Mitverantwortlichkeit des Unternehmens der Geschäftsleitung der IT-Verantwortlichen 2. Vorratsdatenspeicherung Seit 01.01.2008 ist ein neues Gesetz zur Regelung der TK-Überwachung und anderer verdeckter Ermittlungsmaßnahmen und zur Umsetzung der EU-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung in Kraft. Zweck ist eine effektive Strafverfolgung und Terrorismusbekämpfung. Betroffen ist die gesamte Telekommunikation: E-Mail, Internet, Mobiltelefonie, SMS, Telefonie, VoIP Öffentlich zugängliche TK-Anbieter sind nach dem neuen 113a TKG verpflichtet, Verbindungs- und Standortdaten 6 Monate lang vorzuhalten. Gegen die Neuregelung bestehen verfassungsrechtliche Bedenken, die jedoch laut Bundesregierung und BVerfG nicht zur Aussetzung des Gesetzesvollzugs führen. Weitere Verfahren sind noch anhängig. für solch illegale und strafbare Inhalte und Vorgänge. Bei strafbarem Verhalten ( z.b. illegale Pornografie, raubkopierte Inhalte) erstatten die Geschädigten verstärkt Strafanzeige. Die Behörden versuchen daraufhin die zur Strafverfolgung notwendigen Daten zu ermitteln. Nach der Rechtsprechung werden Auskunftsansprüche gegen die TK-Anbieter (Provider) z.b. nach 113 TKG oder 101 Abs. 9 UrhG anerkannt. Demnach müssen öffentliche Provider die IP-Adresse herausgeben bzw. die Arbeitgeber anhand der IP-Adresse die persönliche Zuordnung zum konkreten Mitarbeiter vornehmen. Solche Ermittlungen der Behörden oder Rechtsträger bringen die IT-Verantwortlichen in den Unternehmen nicht selten in schwierige Situationen, insbesondere wenn die Identitätsverwaltung beim Arbeitgeber so unzureichend ist, dass die persönliche Zuordnung der IP-Adresse auch den Falschen treffen kann. Je sensibler der verfolgte Straftatbestand ist, desto empfindlicher wird ein zu Unrecht beschuldigter Mitarbeiter reagieren. Denn die persönliche Zuordnung der IP-Adresse und Herausgabe der Daten führt zu unmittelbaren Ermittlungsmaßnahmen gegen den Mitarbeiter. Entscheidende Frage ist, wer zur Vorratsdatenspeicherung gemäß 113a, 113b TKG verpflichtet ist. Nach 113a TKG sind nur öffentlich zugängliche TK-Dienste zur Vorratsdatenspeicherung verpflichtet, denn in der Begründung zum Gesetzentwurf steht: für den nicht-öffentlichen Bereich (z. B. unternehmensinterne Netze, Nebenstellenanlagen oder E-Mail-Server von Universitäten) besteht keine Speicherungspflicht. Demnach sind geschlossene Benutzergruppen (z.b. Arbeitsplatz, Hotel, Krankenhaus etc.) von der Vorratsdatenspeicherpflicht ausgeschlossen. Nach der Literatur sind aber auch geschlossene Benutzer- 14 2010 RA Horst Speichert 2010 RA Horst Speichert 15

gruppen mit Außenkontakt (break in break out) als öffentliche Telekommunikation anzusehen, so dass nur die interne Kommunikation ausgenommen wäre. Es besteht also ein erhebliches Maß an Rechtsunsicherheit. 2.1 Gastzugang Unternehmen sind zur Vorratsspeicherung verpflichtet, wenn sie einen öffentlichen Hotspot z.b. als W- LAN-Zugang anbieten. Es müssen also auch für den Gastzugang Passwörter vergeben und Richtlinien gestaltet werden, um die Vorratsdatenspeicherpflicht zu vermeiden. Schutzpflichten orientieren sich an den Verkehrssicherungspflichten. Die Verkehrssicherungspflichten ergeben sich aus einer Vielzahl gesetzlicher und vertraglicher Bestimmungen sowie der Rechtsprechung. Nachfolgend einige Beispiele. Die konkretisierenden Normen werden von der Rechtsprechung als Maßstab für die angemessenen Sicherungserwartungen herangezogen. Der Umfang der Verkehrssicherungspflichten bestimmt sich 2.2 Maßnahmenkatalog zur Vermeidung keine beliebige Neuakquisition von Kunden, sondern nur im Rahmen einer geschlossenen Benutzergruppe mit gemeinsamem Definitionsmerkmal z.b. nur konzernangehörige Unternehmen oder nur Eigenbetriebe und Eigengesellschaften im öffentlichen Bereich Ergänzung der Dienstleistungsverträge um Klauseln, welche die Zweckbindung betont, um den Charakter einer geschlossenen Benutzergruppe zu festigen.h Betrieb von Gast- und Besucherzugängen ebenfalls Wahrung des Charakters einer geschlossenen Benutzergruppe nur für authentifizierte und registrierte Nutzer, keine Nutzung für jedermann/ beliebige Passanten zusätzliche Beschränkung über zeitlich limitierte Kennungen, etwa durch die Ausgabe von Vouchern an der Empfangstheke o.ä. Wahrung der Gebäudegrenzen bei W-LAN Fortlaufende Beobachtung der einschlägigen Rechtsprechung und Stellungnahmen des Gesetzgebers, um frühzeitig zu erkennen, ob sich die Situation ändert. 3. Organisationspflichten Zum besseren Verständnis der Haftungssystematik ist die obergerichtliche Rechtsprechung des Bundesgerichtshofes (BGH) zu den Verkehrssicherungspflichten sowie die Vorgaben des KonTraG für ein verbindliches Risikomanagement zu betrachten. Der BGH spricht im Rahmen der Haftungssystematik von Verkehrssicherungspflichten: wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen Die Kommunikationsvorgänge in Intranet und Internet eröffnen vielfältige Gefahren, sind also Gefahrenquellen im Sinne der Verkehrssicherungspflichten. Diese Verkehrssicherungspflichten bestehen im Wesentlichen aus: Organisationspflichten bezüglich betrieblicher (technischer) Abläufe Aufsichtspflichten des Arbeitgebers gegenüber seinen Mitarbeitern insbesondere nach den Sicherheitserwartungen der beteiligten Verkehrskreise der Marktüblichkeit der Sicherheits-Hardware und Software, z. B. hinsichtlich der notwendigen Update- Intervalle eines Virenscanners der Quantität der Datenverarbeitung der Gefährlichkeit des Tuns dem Prinzip der Verhältnismäßigkeit, also der Erforderlichkeit und Angemessenheit von Maßnahmen der wirtschaftlichen Zumutbarkeit, also der Größe und Leistungsfähigkeit eines Unternehmens Nach der Rechtsprechung ist im gewerblichen Bereich eine zuverlässige, zeitnahe und umfassende Sicherung der IT-Systeme erforderlich. Ansonsten können IT-spezifische Brandherde zur Mitverantwortlichkeit in Unternehmen und Behörden führen. Umgesetzt werden die Pflichten zur Haftungsprävention durch ein Bündel von Maßnahmen, bestehend aus Technik, Nutzungsrichtlinien und rechtlicher Gestaltung. Eine 100%ige Sicherheit kann im Rahmen der Verkehrssicherungspflichten nicht verlangt werden, aber Maßnahmen nach der Verkehrserwartung, die wirtschaftlich zumutbar sind. Auch die vertraglichen 16 2010 RA Horst Speichert 2010 RA Horst Speichert 17

4. Störerhaftung im Netzwerk, offene W-LAN Nach der Rechtsprechung sind Betreiber eines offenen W-LAN für urheberrechtswidrige, strafbare Down- bzw. Uploads aus P2P zumindest im Rahmen der Störerhaftung mitverantwortlich. Bei einem offenen W-LAN ohne Passwortschutz ist das System nicht gesichert. So können z.b. strafbare mp3-files missbräuchlich über das offene W-LAN durch externe Dritte heruntergeladen werden. Im Rechtssinne handelt es sich dabei um ein öffentliches Zugänglichmachen von Musikfiles über P2P. Dem Betreiber eines W-LAN obliegen umfangreiche Verkehrssicherungspflichten. Wer seine Internetverbindung drahtlos betreibt, muss für die Sicherung des Netzwerkes sorgen, andernfalls verstößt er gegen zumutbare Prüfungspflichten. Es gibt mittlerweile eine Vielzahl von Entscheidungen, welche die Störerhaftung für unsichere Netzwerke oder Plattformen bejahen. So wurde bereits mehrfach obergerichtlich entschieden, dass für Markenpiraterie auf Internetverkaufsplattformen das Auktionshaus mithaftet. es besteht eine Vorsorgepflicht gegen bekannte Missstände der Einsatz von präventiver Filtersoftware ist laut BGH zumutbare Prüfungspflicht bei eindeutigen Hinweisen (bedingter Vorsatz) besteht Schadensersatzpflicht Die dargestellte Rechtsprechung ist auf unsichere Netzwerke, Systeme oder Plattformen gleichermaßen anzuwenden. 5. Szenario und Rechtsfolgen Überträgt man die dargestellten Haftungssysteme auf die spezielle Situation in der IT, so ergibt sich das nachfolgende Haftungsszenario. 6. Eigenhaftung der IT-Verantwortlichen Die Vermeidung persönlicher Eigenhaftung ist für die handelnden Mitarbeiter, wie etwa IT-Leiter, Sicherheitsbeauftragte, Administratoren, sonstige IT-Verantwortliche, ein entscheidender Faktor. Hierbei ist zwischen der Schadensersatzansprüche des Arbeitgebers wegen Verletzung der arbeitsvertraglichen Nebenpflichten sind in der Praxis nicht häufig, aber möglich. Aufgrund der Fremdbestimmtheit der Arbeitsleistung trägt der Arbeitgeber das Unternehmensrisiko. Für Tätigkeiten mit erhöhtem Risiko gelten deshalb nach der Rechtsprechung des BAG die Grundsätze zur schadensgeneigten Tätigkeit: für vorsätzliches/ grobfahrlässiges Verhalten volle Haftung des Mitarbeiters mittlere Fahrlässigkeit Schadensteilung zwischen Arbeitgeber und Mitarbeiter leichte Fahrlässigkeit keine Haftung des Mitarbeiters Diese Haftungserleichterung für den Mitarbeiter gilt grundsätzlich nur im Verhältnis zum Arbeitgeber. Im Verhältnis zu geschädigten Dritten besteht ein Freistellungsanspruch des Arbeitnehmers gegen den Arbeitgeber. Für eine mögliche Strafbarkeit gilt dagegen der Grundsatz der vollständigen Eigenverantwortung. Ein Arbeitnehmer macht sich also selbst strafbar, die arbeitsvertragliche Haftungserleichterung ist nicht anwendbar. Auch gilt kein Befehlsnotstand, so dass ein Mitarbeiter, der z.b. auf Anweisung seines Vorgesetzten private E-Mails liest, nicht allein wegen der Anweisung straflos ist. Mögliche Strafbarkeit - Ordnungswidrigkeit: fahrlässige Verletzung: Ordnungswidrigkeit, bis 300.000 Bußgeld, der wirtschaftliche Vorteil des Verstoßes soll durch das Bußgeld überstiegen werden Strafbarkeit nach 206 StGB bei Verstößen gegen das Fernmeldegeheimnis bei Übermitteln/ Abrufen gegen Entgelt oder Bereicherungs-/ Schädigungsabsicht liegt eine Straftat nach 44 BDSG vor Nicht von der Haftungserleichterung erfasst sind auch die arbeitsrechtlichen Sanktionen der Abmahnung oder Kündigung, welche bei Pflichtverstößen des Mitarbeiters stets eintreten können. zivilrechtlichen ( Schadensersatz), arbeitsrechtlichen ( Abmahnung, Kündigung) strafrechtlichen ( Geld- oder Freiheitsstrafe) Haftung zu unterscheiden. Aus dem Arbeitsverhältnis treffen grundsätzlich jeden Mitarbeiter sog. arbeitsvertragliche Nebenpflichten Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten als Sorgfaltsmaßstab gilt ein besonnener Mensch mit durchschnittlichen Fähigkeiten in der Situation des Arbeitnehmers also individuell unterschiedlich: höhere Sorgfaltsanforderungen an leitende Mitarbeiter Beweislast des Arbeitgebers, 619a BGB 18 2010 RA Horst Speichert 2010 RA Horst Speichert 19

VI. Mobile Security 1. Szenario Mobile Datenträger mit großer Kapazität, wie Laptop, USB-Sticks etc., gefährden durch Verlust oder Diebstahl die gespeicherten Daten. USB-Sticks sind zu mobilen Micro-Plattformen geworden, die das Booten, die Installation von Software, Schnittstellen ins Internet oder den Betrieb von Webplattformen ermöglichen. Spezielle Anwendungen für USB-Sticks (Browser, E-Mail-Client, Webserver Apache) komplettieren die Gefährdungslage. Der Betrieb eines ebay-shops aus der Hosentasche ist keine Utopie, sondern machbar. Mit dem Auslesen von Daten oder Einschleusen von Schadsoftware vom oder auf den USB-Stick muss jederzeit gerechnet werden. Somit ist das Potential für die Umgehung von Sicherheitspolicies durch mobile Datenträger sehr groß. Ebenso gefährden unsichere Webportale oder alte Festplatten auf dem Müll, die nicht ordnungsgemäß entsorgt oder überschrieben wurden (DIN 32757), die gespeicherten Daten. Abhilfe versprechen vor allem ganzheitliche Maßnahmen, bestehend aus einer Kombination aus Technik und juristisch-organisatorischen Lösungen. 2. Technische Schutzmaßnahmen Schnittstellenkontrolle (device controle) Verschlüsselung der Daten (integrierte Fingerabdruck-Scanner für USB-Sticks) zu beachten ist, dass Schnittstellenkontrollen als eine besondere Art der Protokollierung dem Datenschutz und der Mitbestimmung unterliegen 3. Nutzungsrichtlinien (Policy, Betriebsvereinbarung) keine Nutzung privater Datenträger (USB-Sticks) im Unternehmen keine Installation und Nutzung privater Software von externen Datenträgern Dienstliche Datenträger mit sensitiven (personenbezogenen) Daten sind im Unternehmen wegzuschließen bei Transport zu verschlüsseln dürfen nicht an externe Rechner angeschlossen werden Anschluss Datenträger (USB-Stick) nur an vorgesehene Rechner (z.b. Vortrags-Laptop) separater Datenträger (USB-Stick) für Anschluss an externe Rechner verantwortlich für die Einhaltung der Regeln ist der Mitarbeiter, dem der Datenträger überlassen wurde die Regeln werden mit dem Datenträger (USB-Stick) ausgehändigt und gegebenenfalls abgezeichnet VII. Revisionssichere E-Mail-Archivierung Die Umstellung auf elektronische Kommunikationsformen darf nicht darüber hinwegtäuschen, dass die umfangreichen gesetziichen Archivierungspflichten aus dem Handels- und Steuerrecht auch für die elektronische Buchung und den E-Mail-Verkehr gelten. In Unternehmen und Behörden müssen deshalb auf breiter Front Daten und elektronische Dokumente aufbewahrt werden, um den gesetziichen Anfor- 20 2010 RA Horst Speichert 2010 RA Horst Speichert 21

derunen zu genügen. Dabei verursachen Archivierungssysteme auch erhebliche Kosten. Die Orientierung an den gesetzlichen Aufbewahrungspflichten zeigt den gemeinsamen Nenner auf und trägt damit zur Kostenvermeidung bei. 1. Handelsrechtliche Aufbewahrungspflichten Jeder Kaufmann (GbR, GmbH, AG usw.) hat nach 257 Abs. 1 HGB die Pflicht zur geordneten Aufbewahrung von geschäftlichen Unterlagen Hierzu gehören Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Konzernabschlüsse, Konzernlageberichte, empfangene und versandte Handelsbriefe, Buchungsbelege sowie die erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen. Nicht umfasst sind lediglich Unterlagen aus reinen Privatgeschäften. Dabei ist der Begriff des Handelsgeschäft nach der Rechtsprechung des BGH weit definiert. Es genügt ein entfernter, lockerer Zusammenhang mit betrieblichen Interessen. Definition: Handelsbriefe sind alle Geschäftsunterlagen, die der Anbahnung, Durchführung oder Rückabwicklung von Handelsgeschäften dienen, z. B. Angebot, Annahme, Auftragsbestätigung, Mängelrüge, Arbeitsund Geschäftsverträge, Rechnungen, Kündigung usw. Definition: Buchungsbelege sind alle Unterlagen, die einzelne Geschäftsvorfälle dokumentieren und damit Grundlage der einzelnen Eintragung in die Geschäftsbücher und für die sonstigen Aufzeichnungen sind, 257 Abs. 1 Nr. 4 HGB Nicht nur postalische Briefe, sondern auch E-Mails, Faxe, Fernschreiben, Telegramme etc. können Handelsbriefe oder Buchungsbelege sein, wenn sie die genannten Definitionen erfüllen Zur Vereinfachung könnte auch die gesamte Geschäftskorrespondenz als aufbewahrungspflichtig eingestuft werden. 2. Steuerrechtliche Aufbewahrungspflichten Daneben gelten steuerliche Aufbewahrungspflichten bzgl. sämtlicher kaufmännische Unterlagen von oben und sonstiger Unterlagen, soweit sie für die Besteuerung bedeutsam sind, 147 Abs. 1 AO 3. Aufbewahrungsfristen Handels- oder Geschäftsbriefe, sowie alle sonstigen Unterlagen, soweit für die Besteuerung bedeutsam: 6 Jahre Aufbewahrungsfrist, 147 Abs. 3 AO Bücher, Jahresabschlüsse, Buchungsbelege: 10 Jahre Aufbewahrungsfrist, 147 Abs. 3 AO Rechnungen: 10 Jahre Aufbewahrungsfrist, 14b Abs. 1 UStG Fristenlauf: die Frist beginnt erst mit dem Schluss des Kalenderjahres, in dem die Eintragung gemacht, der Handelsbrief versandt wurde etc., läuft also in den meißten Fällen länger als 6 oder 10 Jahre Ablaufhemmung: die Frist läuft nicht ab, so lange die Unterlagen für die Besteuerung von Bedeutung sind, 147 Abs. 3 Satz 3 AO 4. Sanktionen bei Verstößen Die vorsätzliche Verletzung von gesetzlichen Aufbewahrungspflichten ist gemäß 283 Abs. 1 Nr. 6, 283 b Abs. 1 Nr. 2 StGB mit Geldstrafe oder Freiheitsstrafe bis zu 5 Jahren bedroht. Objektive Bedingung für die Strafbarkeit ist gemäß 283 Abs. 6, 283 b Abs. 3 StGB die infolge von Überschuldung erfolgte Zahlungseinstellung, Eröffnung des Insolvenzverfahrens oder Abweisung des Insolvenzantrages mangels Masse. Bei Verletzung der steuerlichen Archivierungspflichten liegt keine ordnungsgemäße Buchführung vor und es droht u.u. eine Schätzung der Besteuerungsgrundlagen nach 162 AO, die in den meisten Fällen zum Nachteil des steuerpflichtigen Unternehmens ausfallen wird. 5. Aufbewahrungsgrundsätze nach GoBS und AO Mit Ausnahme der Eröffnungsbilanzen und Jahresabschlüsse, die in Papierform vorliegen müssen, können die Geschäftsunterlagen auch als Wiedergabe auf einem Bild- oder anderem Datenträger generiert und aufbewahrt werden. Hierfür gelten neben der AO die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) des Bundesfinanzministeriums vom 07.11.1995. Eine bestimmte Technologie für die einzusetzenden Datenträger ist nicht vorgeschrieben, möglich sind: Bildträger (Mikrofilm, Fotokopie), COM maschinenlesbare Datenträger (Disketten, Magnetbänder, elektrooptische Speichermedien) Dokumenten-Managementsysteme digitale Datenträger (CD-Rom, DVD), 147 Abs. 2 AO Für die Archivierung der elektronischen Unterlagen (E-Mails) gelten verschiedene Grundsätze, die einzuhalten sind: Vollständigkeit ( 146 I AO, 239 II HGB) Richtigkeit ( 146 I AO, 239 II HGB) Zeitgerechtheit ( 146 I AO, 239 II HGB) Unveränderbarkeit ( 146 IV AO, 239 III HGB) Ordnung ( 146 I AO, 239 II HGB) Nachvollziehbarkeit ( 145 I AO, 238 I Satz 2 HGB) 6. Elektronische Betriebsprüfung nach GDPdU Für den Behördenzugriff durch das Finanzamt (Betriebsprüfer) ist sicherzustellen: die jederzeitige Verfügbarkeit und Lesbarkeit, 147 Abs. 5 AO es besteht: Vorlagepflicht des Steuerpflichtigen auf Verlangen der Behörde Kostentragungspflicht des Steuerpflichtigen 22 2010 RA Horst Speichert 2010 RA Horst Speichert 23

Außenprüfung durch Behörde möglich, Einsichtnahme im System des Steuerpflichtigen: nur Lesezugriff, keine Fernabfrage (Online-Zugriff) es gelten: die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), am 16.07.2001 vom Bundesfinanzministerium erlassen Zugriffsmöglichkeiten nach der GDPdU bei elektronischer Betriebsprüfung: Beweislast im Prozess: bei Verletzung von Aufbewahrungspflichten nach 444 ZPO durch Beseitigung von Beweisunterlagen wird ohne Beweisverfahren der vom Gegner behauptete Vortrag als bewiesen angesehen Voraussetzung einer ordentlichen Geschäftsführung ist grundsätzlich die Erfüllung von Aufbewahrungs- und Archivierungspflichten - etwa die gesamte geschäftlich bedeutsame E-Mail-Korrespondenz, Protokolle von Meetings, Entwürfe und Notizen aller Art etc. die im juristischen Streitfalle gebraucht werden könnten. Z1: Unmittelbarer Zugriff Inhouse-Prüfung unmittelbar im System des Steuerpflichtigen Z2: Mittelbarer Zugriff Das Unternehmen oder ein beauftragter Dritter werten die Daten nach Vorgaben des Prüfers aus. Z3: Datenträgerüberlassung Überlassung der Daten an den Prüfer auf einem geeigneten Medium Wichtig: Es besteht freie Wahlmöglichkeit des Betriebsprüfers zwischen den verschiedenen Zugriffsmöglichkeiten, die er auch kumulativ ausüben kann. Ein Zugriffsrecht der Finanzverwaltung besteht jedoch nur bezüglich steuerrechtlich relevanter Unterlagen. Es dürfen also auch nicht zu viele Daten und Unterlagen zur Verfügung gestellt werden. Für die notwendige Trennung der Daten und Unterlagen ist das steuerpflichtige Unternehmen verantwortlich. 7. Elektronische Rechnungen Der Vorsteuerabzug bei elektronischen Rechnungen ist nur mit einer qualifizierten digitalen Signatur nach 2 Abs. 1 Nr. 2 SigG möglich. Die übliche Geschäftspraxis bloße pdf-rechnungen zu versenden oder x-beliebige Signaturen zu verwenden ist nicht ausreichend. In solchen Fällen sollte der Rechnungsempfänger eine postalische oder faxalische Rechnung nachfordern. Auch ein IP-Fax ist nicht ausreichend für den Vorsteuerabzug, erforderlich ist vielmehr ein sogenanntes Standard-Faxgerät, also ein klassisches Faxgerät bei Absender und Empfänger. Die möglichen Folgen bei Nichtbeachtung dieser Maßgaben sind erheblich. Es können hohe Schäden eintreten, wenn die gezogene Vorsteuer vom Betriebsprüfer aberkannt wird und nachgezahlt werden muss. Überdies wird eine elektronische Rechnung, die den Vorsteuerabzug nicht ermöglicht, beim Kunden (=Rechnungsempfänger) zu großer Unzufriedenheit führen. 8. Archivierung im Eigeninteresse Neben Handels- und Steuerrecht existieren eine ganze Reihe weiterer Aufbewahrungspflichten. Nachfolgend seien nur einige beispielhaft aufgezählt: Aufbewahrungspflichten enthalten alle gesetzlichen Bestimmungen, die Ansprüche auf Auskunft und Rechnungslegung gewähren, so etwa 259, 666, 667 BGB VIII. Risikomanagement und IT-Compliance IT-Compliance, also die Einhaltung gesetzlicher Bestimmungen, vertraglicher Pflichten und anerkannter Standards, ist nicht nur ein Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen. 1. KonTraG - Haftung der Geschäftsleitung Die Unternehmensleitung von Kapitalgesellschaften (z.b. AG, GmbH) hat für ein wirksames Risikomanagement-System zu sorgen. Im KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) schreibt der Gesetzgeber Sicherungsmaßnahmen vor, nach denen ein Überwachungssystem einzurichten ist, das bestandsgefährdende Entwicklungen frühzeitig erkennt. Dieses Frühwarnsystem erfordert u.a. eine präventive Überwachung und Erkennung von Fehlentwicklungen in der IT-Sicherheit. Auch das BSI verweist in seinen Standards ausdrücklich auf die Vorgaben des KonTraG. Das KonTrag ist ein Eingriff des Gesetzgebers in die Corporate Governance (=Führung und Überwachung) des Unternehmens. Zweck des KonTraG: Verpflichtung des Vorstands zu Risikomanagement Risikomanagement = Risiko-Klassifizierung und -Controlling Früherkennung von gefährlichen Schieflagen = Frühwarnsystem präventive Überwachung und Erkennung von Fehlentwicklungen, z.b. im Bereich Viren, illegale Inhalte, IT-Sicherheit es soll die Prüfung von Unternehmen erleichtern für Anleger und Wirtschaftsprüfer Der Vorstand hat nach 91 Abs. 2 AktG geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Nachteilige Folgen bei Verstößen: Persönliche Haftung des Vorstands mit dem eigenen Vermögen keine Entlastung des Vorstands: das LG München hat am 05.04.2007 entschieden, dass der Vorstand bei Verstößen gegen das Risikofrüherkennungssystem nicht entlastet werden darf Vorlegungspflichten im Prozess: bei Verletzung von Aufbewahrungspflichten droht Prozessverlust; bei Fristsetzung des Gerichts muss ein rechtzeitiger Zugriff auf die Archivdaten gewährleistet sein, ansonsten droht Präklusion bezüglich der Darlegungs- und Beweismöglichkeiten 24 2010 RA Horst Speichert 2010 RA Horst Speichert 25

2. Anerkannte Standards und Zertifizierung Effektivster Schutz vor persönlicher Haftung und Organisationsverschulden ist die Nachweisbarkeit der geprüften Sicherheit nach außen, etwa für Anforderungen von Dritten wie: Wirtschaftsprüfer (KonTraG) Kreditgeber (Basel II), denn IT-Sicherheit ist Rating-Faktor im Rahmen von Basel II Interne Revision Anerkannte Standards und Zertifizierungen wie ISO/IEC 27001 der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement 100-1 Managementsystem für Informationssicherheit (ISMS) 100-2 IT-Grundschutz-Vorgehensweise 100-3 Risikoanalyse auf der Basis von IT-Grundschutz 100-4 Notfallmanagement ISO 27001 Zertifizierung auf der Basis von IT-Grunschutz machen die Schaffung von Informationssicherheit nachprüfbar und führen zu höherer Beweissicherheit und Haftungsentlastung. 3. Euro-SOX und BilMoG Als Reaktion auf Finanzskandale wie Parmalat oder Ahold hat die EU die Richtlinie 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen zur Anpassung der 8. EU-Prüferrichtlinie erlassen. Umgesetzt wurde die EU-Richtlinie durch das Bilanzrechtsmodernisierungsgesetz (BilMoG), das inzwischen in Kraft getreten ist. Wirtschaftsprüfer sollen verstärkt die Anforderungen an die Informationssicherheit in den Unternehmen prüfen, weil sie selbst strengeren Kontrollen der Aufsichtsbehörden unterliegen. Die Notwendigkeit eines Internen Kontrollsystems (IKS) wurde durch das BilMoG bestätigt. Über den Autor: Rechtsanwalt, Kanzlei esb Rechtsanwälte in Stuttgart, spezialisiert auf IT-Recht Lehrbeauftragter der Universität Stuttgart für Informationsrecht Seminarleiter Internetrecht, IT-Sicherheit, Datenschutz Ausbilder für Datenschutzbeauftragte, IT-Compliance-Audits, Vertragsgestaltung Fachbuchautor Praxis des IT-Rechts, Vieweg, 2. Auflage E-Mail: horst@speichert.de Internet: www.kanzlei.de www.speichert.de Haftungsausschluss: Check Point übernimmt keine Gewährleistung bzgl. dem Inhalt dieses Dokuments. 26 2010 RA Horst Speichert 2010 RA Horst Speichert 27

28 2010 RA Horst Speichert

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback