Datenschutz und Informations-Sicherheit

ABC

Datenschutz und Informations-Sicherheit sind zwei Seiten der gleichen Medaille: Nur wenn die IT-Geräte, auf denen personenbezogene Daten verarbeitet werden, entsprechend geschützt werden, ist auch der Datenschutz sichergestellt. Doch die Gerätesicherheit allein macht IT-Sicherheit nicht aus, es geht zusätzlich ebenfalls um die Sicherheit außerhalb der Geräte, also um den Menschen und sein Arbeitsumfeld, wenn man IT-Sicherheit wirkungsvoll betreiben möchte.

Aus diesem Grund ist Datensicherheit ein wichtiger Bestandteil von Datenschutz, der oft vernachlässigt wird. Im BDSG ist diesem Thema ein eigener Paragraf (§ 9 BDSG) samt ausführlicher Anlage gewidmet. Demnach sollen entsprechende geeignete technische und organisatorische Maßnahmen getroffen werden, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, einen angemessenen und wirksamen Schutz zu gewährleisten.

Folgende Themen bilden - ohne Anspruch auf Vollständigkeit - unser kleines Datenschutz-ABC, um einen kurzen Abriss über aktuelle, wichtige Themen zu Datenschutz und Informationssicherheit zu bieten:

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung  - auch Datenverarbeitung im Auftrag – regelt Outsourcing der Verarbeitung dem gesetzlichen Schutz unterliegender Daten, wobei die Verantwortung für die Durchführung immer beim Auftraggeber verbleibt. Diese sind in §11 BDSG sowie §80 Zehntes Buch Sozialgesetzbuch geregelt. Die Voraussetzungen dafür sind in zehn Punkten zusammengefasst.  

In einem schriftlichen Vertrag sind

  • Umfang
  • Programme
  • Schutz- und Sicherheitsmaßnahmen
  • sowie Weisungsbefugnisse

geregelt und müssen vom Auftraggeber fortlaufend überprüft uns angepasst werden.

Binding Corporate Rules

Binding Corporate Rules

Corporate Compliance

Die Optimierung der Überwachung und der Kontrolle von Unternehmensrisiken ist in den vergangenen Jahren Gegenstand verschiedener Gesetzgebungsverfahren gewesen; rechtspolitisch motiviert sind diese Bestrebungen auf nationaler wie auf internationaler Ebene immer durch die vorherige Feststellung erheblicher Mängel im Bereich der internen Kontrollsysteme (IKS) und des Risk Managements. Bereits nach Maßgabe von § 91 Abs. 2 AktG hat der Vorstand (mit einer zwischenzeitlich anerkannten „Ausstrahlungswirkung" auch auf die Geschäftsleitung einer GmbH, siehe BT-Drucksache 13/9712, Seite 15) „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden" können.

 Damit hat der deutsche Gesetzgeber eine gesetzliche Konkretisierung dessen vorgenommen, was gemeinhin als „Führung und Überwachung des Unternehmens" im Interesse der Eigentümer bzw. Aktionäre und der Öffentlichkeit verstanden wird - und damit eigentlich zunächst ureigenste Aufgabe der Geschäftsleitung selbst darstellt, nämlich die effiziente Umsetzung von Organisations- und Sorgfaltspflichten. Freilich ergab sich schon zuvor (d. h. vor den konkretisierenden und haftungsverschärfenden Regelungen des KonTraG) aus der umfassenden Leitungspflicht des Vorstandes gemäß § 76 Abs. 1 AktG die Pflicht, unternehmensgefährdende Risiken zu identifizieren und zu minimieren, kurz: Ein Risiko-Controlling einzusetzen. Der Gesetzgeber sah sich seinerzeit aber völlig zu Recht vor dem Hintergrund der mit zunehmender Nutzung von Informations- und Kommunikationssystemen stetig wachsenden wirtschaftlichen Bedeutung einer funktionsfähigen IT-Infrastruktur veranlasst, auf das entsprechend ansteigende Anwendungsrisiko mit dem KonTraG - immerhin bereits im Jahre 1998 - zu reagieren. Durch dieses erfolgte eine materiell-rechtliche Klarstellung oder besser: Verdeutlichung der Kontroll- und Vorsorgepflichten mit der einhergehenden Verschärfung der persönlichen Haftung der Vorstandsetage.

Nicht allzu lange Zeit danach hat die von der Bundesministerin für Justiz im September 2001 eingesetzte Regierungskommission am 26.02.2002 den „Deutschen Corporate Governance Kodex" (Kodex) verabschiedet. Auch dieser kann über die sog. Entsprechendserklärung nach § 161 AktG (in Umsetzung des am 26.07.2002 in Kraft getretenen Transparenz- und Publizitätsgesetzes) auf eine gesetzliche Grundlage verweisen: Hiernach haben Vorstand und Aufsichtsrat einer börsennotierten Aktiengesellschaft jährlich zu erklären, dass den vom Bundesministerium der Justiz im amtlichen Teil des elektronischen Bundesanzeigers bekannt gemachten Empfehlungen der "Regierungskommission Deutscher Corporate Governance Kodex" entsprochen wurde oder welche Empfehlungen nicht angewendet wurden oder werden. Die Erklärung ist den Aktionären dauerhaft zugänglich zu machen.

 Der Kodex beinhaltet mithin Erklärungspflichten, durch welche insbesondere für nationale und internationale Investoren und Aktionäre die geltenden Organisations- und Überwachungsmaßnahmen eines deutschen Unternehmens transparenter gemacht werden sollen - nicht zuletzt um derart Unwägbarkeiten im Zusammenhang mit der im internationalen Vergleich eher unklaren Unabhängigkeit und Effizienz von Aufsichtsrat und Wirtschaftsprüfer zu kompensieren.

 Außerhalb des Kodex gibt es freilich zahlreiche andere Regelwerke und Leitlinien, die allesamt unterhalb des materiellen Rechtes einer Standardisierung der „guten Unternehmensführung" dienen sollen und derart jedenfalls Sorgfaltsmaßstäbe definieren, so z. B. die Leitsätze der OECD, welche neben der Berücksichtigung der Interessen der „Stakeholder" insbesondere auch auf die gesellschaftliche und wirtschaftspolitische Gesamtverantwortung abstellen. Für die öffentliche Hand wird eben diese Pflichtigkeit unter dem Begriff der „Good (Public) Governance" definiert.

Im Kern sind die Schutzziele dieser „Prinzipien" oder „Leitlinien" bei der Sicherung der Grundlagen eines effektiven Corporate-Governance-Rahmens immer doppelläufig: Einerseits sollen Aktionärsrechte und Schlüsselfunktionen der Kapitaleigner geschützt werden, andererseits soll insbesondere durch Transparenz der Kontrollmaßnahmen volkswirtschaftlicher Schaden durch vorbeugende Maßnahmen verhindert werden - was vor dem Hintergrund der letzten Entwicklungen am Finanzmarkt weltweit mehr denn je Bedeutung hat.

 An der Schnittstelle zwischen dem Geschäftsprozessmanagement und dem IT-Service-Management hat sich als ein zentrales Element dieses Risk Managements in den letzten Jahren die „IT-Governance" herausgebildet, welche die Sicherung von Integrität und Verfügbarkeit sowie der Vertraulichkeit bestimmter Informationen sicherstellt. Diese IT-Sicherheitsziele sind ein nicht wegzudenkender Bestandteil der Corporate Governance, deren Erreichen letztlich nur über anerkannte Standards und interne Kontrollprozesse möglich ist  (COSO , ISO/IEC 38500:2008, CobiT; siehe auch für die Umsetzung von IT Service Management: ISO 20000, ITIL, und Informationssicherheit: ISO/IEC 27002 und IT-Grundschutz-Kataloge).

 Wir helfen Ihrem Unternehmen bei dem individuellen Zuschnitt, der Implementierung und dem effektiven Einsatz dieser Maßnahmen.

Datenschutzberatung

Der Datenschutz-Baustein 1.5 im BSI-Grundschutz

Der Begriff IT-Security ist heute anerkannt und meint letztlich eine Vielzahl unterschiedlicher Themen aus den Bereichen Technik, betriebliche Organisation, wirtschaftliche Vorsorge und Recht. Der IT-Grundschutz gemäß den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verfolgt daher einen ganzheitlichen Sicherheitsansatz, mit dem alle relevanten Teilbereiche der IT-Security möglichst umfassend identifiziert und mit der „Ist-Lage" abgeglichen werden sollen, um hiernach über einen konkreten Maßnahmenkatalog Schadenspotentiale zu minimieren.

 Wer hierzu die beschriebenen Prozesse umsetzt, gewinnt neben der tatsächlichen Optimierung seines IT-Schutzes auch einen ausgewiesenen Compliance-Standard, der den grundsätzlichen Sorgfaltsmaßstäben der Rechtssprechung beim Umgang mit IuK-Systemen genügen muss. Mit dem entsprechenden Zertifikat werden folglich auch persönliche Haftungsrisiken der verantwortlich handelnden Geschäftsleitung deutlich minimiert.

 Neben rein technisch-praktischen Aspekten wie denen der Gebäudesicherheit und des Einsatzes von Programmen gegen unbefugten Zugriff oder gegen Virenbefall, schließt das aktuelle IT-Grundschutzhandbuch des BSI damit eben auch alle primär rechtlichen Anforderungen mit ein, die beim Erwerb eines Zertifikats nach den Maßstäben des IT-Grundschutzhandbuches Berücksichtigung finden müssen. Obgleich derzeit noch nicht formaler Bestandteil einer formalen IT-Grundschutz-Zertifizierung, definiert aufgrund der untrennbaren Verflechtung von Datenschutz und den eingesetzten IuK-Systemen der ergänzende IT-Grundschutz-Baustein B 1.5 zum Thema "Datenschutz" Kernanforderungen, welche das Pflichtenbild von privaten und öffentlichen Anwendern für den IT-Grundschutz in Deutschland praxisnah komplettieren.

Der vom Bundesbeauftragten für den Datenschutz und Informationsfreiheit gemeinsam mit dem Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder sowie den Datenschutzaufsichtsbehörden der Länder erstellte Baustein nebst zugehöriger Tabellen und Materialien beschäftigt sich dabei neben dem Gesichtspunkt des Datenschutzes auch mit der Datensicherheit, d. h. mit der Integrität und dem Bestand der Daten. Die Verarbeitung personenbezogener Daten kann rechtskonform auch insoweit nur im Rahmen eines Datenschutzprozesses als Herzstück des Datenschutzmanagements erfolgen. Dieses stellt von der zulässigen Erhebung der Daten bis zur notwendigen Löschung auch bei sich änderndem Umfeld die Einhaltung geltenden Datenschutzrechtes im Sinne des Maßnahmekatalogs nach § 9 BDSG nebst Anlage kontinuierlich sicher.

 Jede einzelne Maßnahme muss sich dabei aber unter Wirtschaftlichkeitsgesichtspunkten in der betrieblichen oder behördlichen Praxis bewähren und ist überdies zur Erlangung eines ISO/IEC 27001-Zertifikats auf der Basis von IT-Grundschutz in bereits vorhandene Prozessmanagementstrukturen (z. B. ITIL oder ISMS) effektiv zu integrieren.

 Wir helfen Unternehmen, die noch über keine Strukturen zur Umsetzung des Datenschutzes verfügen, bei der Etablierung dieser Prozesse oder führen für eine konsistente und wirksame Sicherheitskonzeption nach BSI-Grundschutz ergänzende Sicherheitsbetrachtungen und Risikoanalysen durch, um technische Lösungen umzusetzen.

Eigenhaftung

Eigenhaftung der IT-Verantwortlichen: vom Admin über den Vorstand bis zum Aufsichtsgremium

 Studien belegen, dass bereits ein wenige Tage andauernder Ausfall von Schlüsselsystemen der IT ein Unternehmen so nachhaltig schädigen kann, dass es mit einer Wahrscheinlichkeit von 50% innerhalb von fünf Jahren vom Markt verschwindet. Abhängig von der Anzahl der vernichteten oder gelöschten Datensätze Schäden erleiden Unternehmen bei Datenverlusten Verluste in sechs- bis siebenstelliger Höhe (so das Ergebnis einer Studie der Computerwoche aus dem Jahr 2009). Information und ihre Verfügbarkeit sind damit eine essenzielle Ressource eines jeden Unternehmens, dessen Schutz dann nicht nur den zwingenden gesetzlichen Vorgaben (Datenschutz, Fernmeldegeheimnis, GoBS & GDPdU, KonTraG mit seinen Änderungen im HGB und dem Aktienrecht, EURO SOX etc.) sondern in besonderem Maße betrieblichen Notwendigkeiten geschuldet ist.

Vor diesem Hintergrund muss man IT-Compliance sowohl für Privatunternehmen wie auch in der öffentlichen Verwaltung nicht lediglich als Verpflichtung der juristischen Person oder der Körperschaft selbst verstehen; es sind letztlich die Organe kaufmännischer Unternehmen oder Amtsträger mit Leitungsaufgaben selbst, die im Rahmen ihrer Sorgfaltspflicht persönlich für die Umsetzung der notwendigen Gewährleistung von Integrität, Authentizität und Verfügbarkeit aller geschäftsrelevanten und schutzbedürftigen Daten einzustehen haben - und widrigenfalls sogar mit ihrem Privatvermögen für die Sicherheit der betriebswichtigen Daten und Systeme haften.

 Bereits mit dem KonTraG wurde im Jahre 1998 die Einführung eines Risikomanagements zur Sorgfaltspflicht der Geschäftsleitung größerer Kapitalgesellschaften gemacht; nach Maßgabe von § 91 Abs. 2 AktG kann eine Verletzung der Risikovorsorgepflichten des Vorstandes zum Schadensersatz führen. Vorstandsmitglieder haften gegenüber ihrer Gesellschaft dann als Gesamtschuldner.

Im Schadensfalle haftet also nicht nur die Gesellschaft nach außen, sondern die einzelnen Vorstandsmitglieder haften u. U. auch persönlich gegenüber der Gesellschaft (über § 147 Abs. 1 AktG ggf. auch den Aktionären, die sogar über § 117 Abs. 5 AktG den Anspruch der Gesellschaft in eigenem Namen geltend machen können).

Die Geschäftsführungsetage ist dabei sozusagen in einer Art „Bringschuld": Denn ist streitig, ob bei Feststellung eines vermeidbaren Schadensereignisses (z. B. Datenschutzverletzung oder Virusschaden) die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wurde, so trifft die Geschäftsführung die Beweislast(-umkehr) nach § 93 Abs. 2 Satz 2 AktG. Eine Exkulpation vor dem Hintergrund dieser Verschuldensvermutung ist aber regelmäßig nur möglich, wenn allgemeine Standards der IT-Sicherheit umgesetzt und als solche dokumentiert sind.

Es kommt dabei nach der Rechtsprechung nicht darauf an, ob der Vorstand in Persona besondere IT-Kenntnisse hat und also um die (konkreten) Gefahren wissen musste oder nicht. Es gilt vielmehr ein objektiver Verschuldensmaßstab, bei dem letztlich die Organisationspflicht im Vordergrund steht (vgl. BGH WM 1983, 498 - der Vorstand hat sich notfalls „fachkundiger Hilfe" zu bedienen). Diese im Aktienrecht ausgestalteten Haftungsgrundsätze wirken zumindest mittelbar in die entsprechenden Sorgfaltspflichten (siehe z. B. § 43 GmbHG) der Unternehmensleitung anderer Gesellschaftsformen.

 Haftungsrisiken werden dabei in Wirtschaft und Verwaltung weiterhin unterschätzt: Nach einer Grundsatzentscheidung des BGH (Urt. v. 09.12.2008 VI ZR 173/07) zur Berechnung von Schadensersatzansprüchen für den Verlust von Datenbeständen auf Betriebsrechnern gibt es im Falle eines Datenverlusts grundsätzlich zwei Möglichkeiten, einen ersatzfähigen Schaden zu bestimmen: Zum einen anhand der Wiederherstellungskosten (§ 249 II BGB), falls es sich bei den verlorenen Daten überhaupt um solche handelt, die irgendwo im Unternehmen noch ermittelt werden können (aus noch vorhanden Akten, Papieraufzeichnungen, Datensicherungen). Zum anderen anhand des Wertes der Daten, falls es sich um solche handelt, die nicht ohne Weiteres reproduzierbar sind sondern vielmehr neu erstellt werden müssen. Allerdings hielt der BGH für falsch, den Wert eines Datenbestands ausschließlich daran zu messen, wie hoch die tatsächlichen Kosten (des geschädigten Unternehmens) in „Eigenvornahme" bislang gewesen sind, um die Daten zu rekonstruieren. Denn Kosten für eine Datenrekonstruktion müssen auch dann i.S.d. §§ 249 II, 252 I BGB berücksichtigt werden, wenn die Arbeit der Rekonstruktion nicht durch Dritte ausgeführt wird, sondern durch die eigenen Mitarbeiter. Ungeachtet dessen  dürfte aber auch der mit dem Datenverlust verbundene „Imageschaden" sowie etwaige Bewertungsnachteile durch den Schadensfall (Basel III, PCI, Versicherungen) zur Not sachverständig quantifizierbar sein.

 Der Aufsichtsrat bzw. der Verwaltungsrat tut dann seinerseits gut daran, für eine unabhängige und effektive Kontrolle der Geschäftsleitung gerade auch vor dem Hintergrund der notwendigen IT-Sicherungsmaßnahmen Sorge zu tragen: So wurden in der Vergangenheit einerseits die Kontrollrechte der Aufsichtsgremien verstärkt, der Prüfungsauftrag wird demnach nicht mehr vom Vorstand sondern vom Aufsichtsrat selbstständig erteilt.

Andrerseits wuchsen damit auch die Anforderungen an das Sorgfaltsbild des Aufsichtsgremiums: Denn mit der zunehmend erweiterten Bewertungspflicht aller (IT-)Risiken durch den Abschlussprüfer korrespondiert eine entsprechend umfangreichere Berichtspflicht an das Aufsichtsgremium - diese muss vom Aufsichtsrat wiederum je nach identifizierten Defiziten zum Anlass genommen werden, Lücken und Versäumnisse im Bereich des Risikovorsorge durch die Geschäftsleitung schließen zu lassen.  Anderenfalls verstößt das Aufsichtsgremium gegen seine eigene Sorgfaltspflicht - ggf. mit persönlichen Haftungsfolgen.

 Persönliche Haftung droht auch demjenigen Mitarbeiter unterhalb der Geschäftsleitungsebene, der z. B. als Netzwerkadministrator kraft seines arbeitsvertraglichen Leistungsbildes oder der Weisung der Geschäftsleitung zur technischen oder organisatorischen Umsetzung bestimmter IT-Prozesse berufen ist. Als Arbeitnehmer und sozusagen als „verlängerter Arm" der Unternehmensleitung gelten zwar im Schadensfalle sowohl im Verhältnis zum Arbeitgeber wie auch zu Dritten bestimmte Haftungsprivilegierungen; nichts desto trotz können je nach Verschuldensmaßstab bei Nichtbeachtung der bestehenden Policies und Unternehmensdirektiven beim Umgang mit schutzwerten Daten Regressansprüche bestehen und arbeitsrechtliche Konsequenzen drohen.

Selbst wenn der Arbeitgeber dem Administrator vorwerfbar keinerlei „Instrumentarien" (Weisungen, Policies, Schulungen, Hard- und Softwarekomponenten) zur adäquaten Umsetzung seiner speziellen Pflichten im Umgang mit IT zur Verfügung gestellt hat, so kann der einzelne Mitarbeiter dennoch strafrechtlich zur Verantwortung gezogen werden, wenn dieser z. B. im Umgang mit den E-Mails seiner Kollegen das Fernmeldegeheimnis nicht beachtet und unbefugt vermeintlich private E-Mails löscht oder herausfiltern lässt - eine Problematik, die insbesondere dann hohe Relevanz haben kann, wenn unternehmens- oder behördenintern keine oder nur unzulängliche IT-Policies zum Tragen kommen:

Denn bei der nachhaltigen Bereitstellung betriebseigener IuK-Systeme (auch) für private Zwecke fungiert unter dem dann eröffneten Regime des Fernmeldegeheimnisses der Arbeitgeber sozusagen als „Provider" für seine Mitarbeiter, §§ 3 Nr. 10, 88 ff TKG. Dies gilt freilich für alle Mitarbeiter, die unabhängig von konkretisierenden arbeitsvertraglichen Regelungen gewollt oder geduldet in den faktischen Genuss dieses Privilegs kommen, d. h. natürlich auch für Kollegen von Tochterfirmen oder Beteiligungsgesellschaften.

Vor diesem Hintergrund muss allen Verantwortlichen in Unternehmen und öffentlicher Verwaltung daran gelegen sein, gerichtsfeste Standards zur Regelung und Organisation von allen IT-Geschäftsprozessen unter den Gesichtspunkten der Compliance, Beweisrelevanz und des betriebsinternen Informationsmanagements dokumentieren zu können. Leistungsfähige und revisionssichere Archivsysteme zeigen ihre besondere Effizienz vor allem dann, wenn sie nicht allein kaufmännisch, sondern zur Speicherung und Dokumentation sämtlicher elektronischen Informationen eingesetzt werden. Wir helfen Ihnen dabei, dies maßgeschneidert auf Ihre Bedürfnisse kostengünstig umzusetzen.

Fallgestaltungen

Datenschutz und IT-Sicherheit sind zwei Seiten der gleichen Medaille: Nur wenn die IT-Geräte, auf denen personenbezogene Daten gespeichert sind, entsprechend geschützt werden, ist auch der Datenschutz sichergestellt. Doch die Gerätesicherheit allein macht IT-Sicherheit nicht aus, es geht zusätzlich ebenfalls um die Sicherheit außerhalb der Geräte, also um den Menschen und sein Arbeitsumfeld, wenn man IT-Sicherheit wirkungsvoll betreiben möchte.

Aus diesem Grund ist Datensicherheit ein wichtiger Bestandteil von Datenschutz, der oft vernachlässigt wird. Im BDSG ist diesem Thema ein eigener Paragraf (§ 9 BDSG) samt ausführlicher Anlage gewidmet. Demnach sollen entsprechende geeignete technische und organisatorische Maßnahmen getroffen werden, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, einen angemessenen und wirksamen Schutz zu gewährleisten. Es werden acht Kategorien aufgezählt:

GdPdU-Compliance

GDPdU-Compliance, rechtssichere Dokumentation in der Praxis

 Um es vorweg nochmals klarzustellen: Das Recht auf Datenzugriff der Finanzbehörde beschränkt sich ausschließlich auf Daten, die für die Besteuerung von Bedeutung sind (§ 147 AO). Die Daten der Finanzbuchhaltung, der Anlagenbuchhaltung und der Lohnbuchhaltung sind danach für den Datenzugriff zur Verfügung zu halten. Soweit sich auch in anderen Bereichen des Datenverarbeitungssystems steuerlich relevante Daten befinden, sind diese durch den Steuerpflichtigen nach Maßgabe seiner steuerlichen Aufzeichnungs- und Aufbewahrungspflichten zu qualifizieren und für den Datenzugriff „in geeigneter Weise" vorzuhalten - nach Maßgabe der GDPdU zum wahlfreien Zugriff(also dem  unmittelbarer Lesezugriff, oder dem mittelbarer Zugriff über Auswertungen, oder der Datenträgerüberlassung in verschiedenen Formaten).

 Unterlagen in „originär elektronischer" Form fallen nun heute aber innerhalb kaufmännischer Datenverarbeitungssysteme zuhauf an; sie sind das Ergebnis ein- oder mehrstufiger Verarbeitungsschritte, sei es z. B. in Form der E-Mail oder auch im Rahmen des Scans aufbewahrungspflichtiger Papierunterlagen. Bei Letzterem hat sich der Steuerpflichtige für die Form der Aufbewahrung auf einem Bildträger oder einem  Datenträger entschieden - mit all den damit zusammenhängenden Folgen (vgl. Beschluss des BFH vom 26.09.2007, I B 53, 54/07, BstBl. 2008 II, 415). Auch die gesetzeskonforme und revisionssichere Archivierung von ein- und ausgehenden Geschäftsmails über einen Zeitraum von bis zu zehn Jahren stellt hohe Anforderungen an interne Informationsmanagementsysteme (ISMS). Ein bei vielen Unternehmen unvorstellbarer Berg an digitalen Informationen muss aber zumindest für die Finanzverwaltung jederzeit gezielt „abtragbar" sein. Außerhalb der automatischen Umsetzung einer 100% Archivierungslösung mit jederzeit verfügbaren, unveränderbaren, auslesbaren und indexierten Inhalten dürfte eine GDPdU-Compliance aber kaum möglich sein. Dies stellt schon besondere Anforderungen an Organisation, Speicherkapazität und EDV-Systeme.

 Während nun die Finanzverwaltung seit Geltung der GDPdU im Jahre 2002 durchaus aufgerüstet hat und steuerrelevante Daten zwischenzeitlich weitgehend automatisiert analysiert, wodurch Unregelmäßigkeiten ohne größeren Prüfungsaufwand ans Tageslicht kommen, ist in Deutschland insbesondere beim Mittelstand häufig immer noch keine „Waffengleichheit" festzustellen. In vielen Unternehmen und Betrieben gibt es unabhängig von den eingesetzten Archivierungssystemen noch nicht einmal eindeutige Policies, wie Mitarbeiter oder Bedienstete mit den E-Mails oder den digitalen Unterlagen umzugehen haben.

Wer aber seine gesetzlich längst klar definierten Organisationspflichten in Bezug auf die Anforderungen der Revisionssicherheit und des Datenzugriffs nicht erfüllt, muss allein deshalb mit nicht unerheblichen Nachteilen rechnen:  Kann im Einzelfall eine lückenlose Übersicht über steuerrelevante Geschäftsvorfälle eines Unternehmens nicht sozusagen „per Mausklick" generiert und erforderlichenfalls indexiert auf Datenträgern zur Auswertung zur Verfügung gestellt werden, so sind neben rein steuerrechtlichen Nachteilen ggf. auch Straftatbestände der Geschäftsführungsorgane nicht auszuschließen. Werden Buchführungsunterlagen vorenthalten (siehe § 274 StGB: Urkundenunterdrückung) oder die Finanzbehörden pflichtwidrig über steuerlich erhebliche Tatsachen in Unkenntnis gelassen, so kann dies den Tatbestand der Steuerhinterziehung (§ 370 AO) erfüllen.  Auch sieht die Abgabenordnung neuerdings die Verhängung eines „Verzögerungsgeldes" (§ 146 Abs. 2b AO) für solche Unternehmen vor, welche (was neuerdings unter Umständen erlaubt ist) ihre Buchführung in andere Staaten ausgelagert haben: Kommt der Steuerpflichtige der Aufforderung zur „Rückverlagerung" seiner elektronischen Buchführung oder seinen Pflichten nach Absatz 2a Satz 4, zur Einräumung des Datenzugriffs nach § 147 Abs. 6, zur Erteilung von Auskünften oder zur Vorlage angeforderter Unterlagen im Sinne des § 200 Abs. 1 im Rahmen einer Außenprüfung innerhalb einer ihm bestimmten angemessenen Frist nach Bekanntgabe durch die zuständige Finanzbehörde nicht nach oder hat er seine elektronische Buchführung ohne Bewilligung der zuständigen Finanzbehörde ins Ausland verlagert, kann ein Verzögerungsgeld von 2 500 Euro bis 250 000 Euro festgesetzt werden.

 Im Praxiseinsatz der elektronischen Steuerprüfung stellt sich daneben naturgemäß vor allem immer noch das „Compliance-Problem" der E-Mail-Archivierung, da dies das unmittelbare Kommunikationsverhalten der Mitarbeiter einerseits und das Wissensmanagement als Unternehmens-„Asset" andererseits tangiert. Neben den unbestreitbar erforderlichen Investitionskosten in gesetzeskonforme Strukturen und Systeme muss daher nicht zuletzt die zum Teil über Jahrzehnte gewachsene Anwendungspraxis der Nutzer in einem „Top-Down" Ansatz neu organisiert werden, nicht selten unter Einsatz kollektivarbeitsrechtlicher Instrumentarien (z. B. Betriebsvereinbarungen zur Nutzung und Kontrolle der Informations- und Kommunikationssysteme). In-House Lösungen bieten dabei nicht immer die erforderliche Kontinuität der Sicherheit für dauerhaften Bestand der Daten oder lassen es an Migrationskonzepten mangeln.

 Nach handels- wie auch steuerrechtlichen Vorgaben ist es freilich unerheblich, ob diese durch das Unternehmen selbst erfüllt oder auf einen spezialisierten Dienstleister im Wege des Outsourcings übertragen werden. Verbleibt die Organisationsverantwortung für die Einhaltung der gesetzlichen Bestimmungen immer bei den Unternehmen, so wäre letzteren Falls neben haftungsrechtlichen Vorteilen doch der Einsatz aktueller zertifizierter Standards sicher, welche auf Änderungen der Compliance-Anforderungen wie der Systemumgebung flexibler reagieren können. Hier liegt die Chance auf eine effiziente und dennoch kostengünstige Compliance-Lösung, zu der wir Ihnen gerne ein individuelles Angebot machen.

 

Haftung

Haftung für illegale IuK-Nutzung für Unternehmen

Dem Nutzen und der Effizienz von Informations- und Kommunikationssystemen, wie sie heute allenthalben in Unternehmen und öffentlicher Verwaltung Anwendung finden, steht in immer zunehmendem Maße ein recht schwer kalkulierbares Gefährdungspotential in Form einer im Grunde unüberschaubaren Vielzahl kommunizierter Inhalte und Anwendungen gegenüber, von denen jede einzelne illegal oder jedenfalls unerwünscht sein könnte. Denn Geschäftsprozesse profitieren von immer größeren Bandbreiten, schaffen aber auch deutliche Anreize beim Mitarbeiter, über seinen lokalen Rechner im Unternehmensnetz Inhalte und Anwendungen zu verbreiten, die nicht nur mit seinem Leistungsbild nicht nichts zu tun haben, sondern vielmehr im Gegenteil geeignet sind, dem Unternehmen nachhaltig zu schaden.

 Haftungsrelevante Inhalte sind dabei allerdings so vielschichtig wie das heutige Spektrum der An-wendungsmöglichkeiten; an prominenter Stelle in den Haftungsstatistiken findet sich freilich weiterhin der Download illegaler Inhalte am lokalen Arbeitsplatz: Raubkopien urheberrechtlich geschützter Werksleistungen wie Musikstücke, Videos oder Software stellen eine rechtlich unzulässige Vervielfältigung dar, die neben zivilrechtlichen Haftungsansprüchen auch strafrechtliche Konsequenzen haben kann - und die einer ganzen Generation von Anwaltskanzleien eine einträgliche Existenzgrundlage geliefert hat, unabhängig von zunehmenden Tendenzen in Gesetzgebung und Rechtsprechung, die Abmahnkosten- und Schadensersatzansprüche einzudämmen (vgl. 97 a Abs. 2 UrhG; BGH Urt. v. 12.05.2010, Az.: I ZR 121/08). Im Kern bleibt der Rechtsverstoß:  Mit der seinerzeit zum 01.01.2008 in Kraft getretenen Urheberrechtsnovelle, dem sog. Zweiten Korb, wurde die Rechtsposition von Rechteinhabern nochmals gestärkt und klargestellt, dass die Kopie einer offensichtlich rechtswidrig hergestellten Vorlage sich auch auf unrechtmäßig online zum Download angebotene Vorlagen bezieht - womit die Nutzung der beliebten aber illegalen Tauschbörsen (Peer-2-Peer-Systeme) zumindest klarer erfasst wurde.

Vor dem Hintergrund der Milliardenverluste, welche allein die Musikindustrie jährlich durch die illegalen Tauschbörsen erfährt, entstand zwischenzeitlich eine ganze „Branche" aus „Mediendienstleistern", die rechtswidrige Vervielfältigungen aufspüren, und Anwaltskanzleien, welche zunächst unter „Zuhilfenahme" der Staatsanwaltschaft und später durch gerichtliche Beschlussfassungen die IP-Adressen der „Peers" mit dem Anschlussinhabern quasi verknüpfen - nicht selten sind dies Unternehmen oder gar Stellen der öffentlichen Verwaltung.

 Jeder Arbeitgeber muss neben etwaigen strafrechtlichen Konsequenzen für seine Mitarbeiter und die Geschäftsleitung damit rechnen, dass ganz erhebliche zivilrechtliche Schadensersatzansprüche geltend gemacht werden, die vor dem Hintergrund der sog. Lizenzanalogie bei der Schadensberechnung umso höher ausfallen, je umfangreicher der Download nachgewiesen werden kann. Das Problem potenziert sich mit der Anzahl der Mitarbeiter, die über Unternehmensnetze Zugang zu breitbandigem Internet haben - was in vielen Branchen praktisch alle Mitarbeiter beschreibt.

 Dabei geht es aber nicht nur um erhebliche wirtschaftliche Werte oder die Zweckentfremdung teurer Unternehmensresourcen, sondern nicht zuletzt um den Imageschaden und den Verlust des Kundenvertrauens, den das Unternehmen im Zuge der Publizität eines Ermittlungsverfahrens oder eines Rechtstreites erleidet. Gleiches gilt freilich für rechtswidrige, pornografische, beleidigende, rassistische oder verfassungsfeindliche Äußerungen unter den geschäftlichen E-Mail-Adressen der Mitarbeiter oder gar für Inhalte von Dritten, welche z. B. die eingeräumte Möglichkeit nutzen, auf Unternehmensseiten Inhalte zu posten. Selbst klassische Werbemails degenerieren zu abmahnfähigem „Spam", wenn die Mitarbeiter nicht die gesetzlichen Voraussetzungen beachten, unter denen allein eine unaufgeforderte Kundenansprache möglich ist.

 Das Unternehmen muss sich das Handeln seiner Mitarbeiter im Außenverhältnis grundsätzlich zurechnen lassen. Es muss aber insbesondere auch für alle „eigenen" Inhalte gerade stehen - selbst wenn es eigentlich fremde Inhalte sind, die ein Mitarbeiter undifferenziert in die Unternehmenskommunikation bzw. -präsentation einbezogen, d. h. dem Unternehmen „zu Eigen gemacht" hat. Bei allen informationellen Angeboten zur Nutzung des Internets (z. B. insbesondere Informationsseiten, Foren, Online-Shops) greift aber auch nach den speziellen Haftungsvoraussetzungen für Telemedien im gleichnamigen Gesetz  (§ 7 ff.) eine Haftungsprivilegierung für fremde Inhalte nur dann, wenn keine positive Kenntnis von der Rechtswidrigkeit der Inhalte oder von Umständen, welche die Rechtswidrigkeit offensichtlich sein lassen, vorlag (sog. Evidenzhaftung). Dabei ist wiederum die Kenntnis der fachlich betrauten Mitarbeiter im Zweifel derjenigen der Stellvertreter des Unternehmens (Geschäftsführung, Prokuristen) gleichzusetzen (analog § 166 BGB).

 Es gilt also, dieses breite Scheunentor für vielfältige Haftungsszenarien so weit wie möglich zu schließen - die Aufgabendelegation im hierarchisch strukturierten Unternehmen oder der öffentlichen Verwaltung führt keineswegs zu einem Ausschluss der Haftung der Vorstände oder Geschäftsleitung, denn Ihnen obliegt im Rahmen ihrer Organisationsverantwortung jedenfalls die Implementierung eines effektiven „Bündels" von unterschiedlichen technischen, wirtschaftlichen und rechtlichen Maßnahmen, welche in Rahmen eines effektiven Risk Managements dem von der Rechtssprechung geforderten Sorgfaltsmaßstab bei der Vermeidung von Rechtsverletzungen entsprechen müssen.

 Eben diesen Maßstab in Einzelfall zu bestimmen und damit ein solches individuelles  „Bündel" zu schnüren, ist eine Aufgabe jedes Unternehmens und jeder öffentlichen Verwaltung, bei der wir Ihnen mit unserer gesamten Erfahrung gerne helfen.

Informationsmanagement

Informationsmanagementsysteme (ISMS)

Die Einhaltung der verbindlichen Mindestanforderungen in Bezug auf die Sicherheit und Verfügbarkeit von Informationen bei der Nutzung von Informations- und Kommunikationssystemen ist aus einer zwischenzeitlich ganzen Reihe unterschiedlicher rechtlicher Aspekte das, was gemeinhin als „Compliance" verstanden und allenthalben gefordert wird: In Bezug auf die Verletzung der Integrität oder der Vertraulichkeit schutzbedürftiger Daten zieht die Rechtsprechung längst nach und etabliert zunehmend allgemeine Sorgfalts- und Handlungspflichten für effektive, zeitgemäße IT-Sicherheit.

Schon um also unangenehme Haftungsfolgen für das Unternehmen wie die handelnden Organisationsverantwortlichen zu vermeiden, ist unter Berücksichtigung der für das konkrete Unternehmen jeweils einschlägigen rechtlichen Rahmenbedingungen eine Ordnung der im Unternehmen generierten und/oder verwalteten Informationen nach Datenkategorien (z.B. steuerrelevant, vertraulich oder publizitätspflichtig) zu definieren. Innerhalb dieser Oberkategorien sind diese Informationen wiederum gemäß ihrer speziellen rechtlichen Anforderungen effizient zu verwalten, d. h. es sind entsprechend der Kategorisierung technisch-organisatorische Schutzstufenkonzepte nebst Definition der Verantwortlichkeiten für alle Notfallszenarien zuzuweisen und zu dokumentieren, um einer „ganzheitlichen Sicherheit" zumindest haftungsausschließend möglichst nahe zu kommen.

 Ein unabdingbares Instrument, um diesen komplexen Anforderungen gerecht zu werden, ist ein Managementsystem für Informationssicherheit (engl.: Information Security Management System, ISMS):

Dabei geht es um eine transparente Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens oder einer öffentlichen Verwaltung, welche dazu dienen, die Informationssicherheit in Form der Vertraulichkeit, Verfügbarkeit und Integrität dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrecht zu erhalten und fortlaufend zu verbessern.

 Bereits seit 2006 sind die einschlägigen IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst und definieren (wie ISO 17799, in welchem auf den Begriff referenziert wird) ein ISMS.  Sie können auch in Deutschland als ein Quasi-Standard angesehen werden, wobei hier zwischenzeitlich der DIN NIA-01-27 IT-Sicherheitsverfahren als Arbeitsausschuss im sog. Normenausschuss Informationstechnik und Anwendungen (DIN NIA) im Deutschen Institut für Normung e.V. (DIN) für die Erarbeitung von internationalen Normen für die allgemeingültigen Methoden und Techniken für die IT-Sicherheit zuständig ist, und zur internationalen „Normgebung" seinen Beitrag leistet (welche als solche vom Normungskomitee ISO/IEC JTC 1/SC 27 Information Technology - Security Techniques in Zusammenarbeit von ISO und IEC wahrgenommen wird). Zertifizierungen von IT-Systemen nach diesen Standards sind wie die „Common Criteria" (ISO/IEC 15408) für IT-Produkte insbesondere bei einer Bewertung nach Basel III wie auch in der gerichtlichen Auseinandersetzung ein objektives Merkmal für das Vorliegen von IT-Sicherheit auf der Basis von IT-Grundschutz nach BSI.

 Die Einführung dieser Standards und Policies ist nicht Aufgabe spezieller Kompetenzen innerhalb des Unternehmens oder der Verwaltung; vielmehr obliegt die Umsetzung und Kontrolle zunächst mal der Organisationspflicht der gesamtverantwortlichen Geschäftsleitung; sie ist nach einem „Top-Down Ansatz" schrittweise nach Zuständigkeiten zu konkretisieren. Weder die Gesamtverantwortung noch die Investitionsentscheidung für eine effektive IT-Sicherheit kann von Vorständen und Aufsichtsgremien sozusagen haftungsbefreiend delegiert werden: Dem Datenschutzbeauftragten oder dem IT-Sicherheitsbeauftragten obliegt allenfalls die bereichsspezifische Erstellung und Überwachung der Datenschutzkonzepte oder Sicherheitskonzepte.

Wer heute also gegenüber Gerichten, Geschäftspartnern, Banken oder Behörden den belastbaren Nachweis eines IT-Grundschutzes führen will, bzw. dem Endkunden oder Bürger die effiziente Bemühung um eine ausreichende IT-Sicherheit in vertrauenswürdiger Weise kommunizieren will, der ist auf professionelle Hilfe angewiesen, die wir Ihnen gerne bieten.

 

Kontrollsysteme

Kontrollsysteme

      IT-Systeme und IT-Anwendungen unterstützen heute bereits einen Großteil des im Rahmen der Finanzberichterstattung notwendigen Datenflusses. Auf deren Absicherung im Sinne einer effektiven Datensicherheit ist entsprechendes Augenmerk zu richten:  Es liegt schon handels- und abgabenrechtlich (siehe z. B. Ziff. 4.1 GoBS) in der originären Verantwortung des Managements eines jedes Unternehmens, IT-basierte Finanzberichterstattungsprozesse so auszugestalten, dass die Integrität der Daten und deren Verfügbarkeit gewährleistet ist.    Dies kann in Gleichklang mit anderen Maßnahmen nur durch systematisch gestaltete organisatorische Maßnahmen und Kontrollen im Unternehmen selbst umgesetzt werden. Ein solches wirksames „internes Kontrollsystem" (IKS) beschreibt und dokumentiert die Gesamtheit aller aufeinander abgestimmten und vernetzten Kontrollen auf Grundlage von (SEC) anerkannten Kontrollmodellen wie z.B.  CobiT oder COSCO. - Ein Sicherheitsmechanismus, der übrigens auch seit der Subprime-Finanzkrise unter dem Gesichtspunkt der Verfügbarkeit relevante Finanzdaten stärker in den öffentlichen Fokus gerückt ist:    Nach den gesetzlichen Vorlagen ist dabei entscheidend, dass neben der Sicherung und dem Schutz der vorhandenen Informationen aller Art in zeitnaher Abfolge zur Generierung der Daten diese ausnahmslos vollständig und genau aufgezeichnet werden. Durch die fortlaufende Kontrolle dieses Prozesses sollen die Verlässlichkeit bei der Auswertung der Daten und zugleich die betriebliche Effizienz optimiert werden. Dabei sind im Rahmen einer Art „Check-and-Balances" festen Prinzipen der Transparenz, der Gegenkontrollen, der Funktionstrennung (von operativen, verbuchenden und verwaltenden Unternehmensprozessen) sowie der Mindestinformation (entsprechend datenschutzrechtlichen Vorgaben) Rechnung zu tragen.    Die gewissenhafte Umsetzung dieser Vorgaben spielt insbesondere auch im Anwendungsbereich von EURO SOX eine gewichtige Rolle in den Jährlich wiederkehrende Analysen durch Wirtschaftsprüfer nebst eidesstattlichen Versicherungen von CEO und CFO, in deren Rahmen aussagekräftige Stellungnahmen zur Wirksamkeit des IKS abgegeben und offengelegt werden müssen. Identifizierte Schwachpunkte der IT, die sich in erheblichen Fehldarstellungen in den Finanzberichten fortwirken können, werden dann auch erhebliche Relevanz bei der Frage nach einem effektiven Risk Management im Rahmen der Bewertung und Analyse nach Basel III haben - und damit wiederum bei der Frage des wirtschaftlichen Handlungsspielraumes des Unternehmens.    Trotz dieser eindeutigen Rechts- und Handlungspflichten zeigt die Erfahrung in der Praxis, dass in den meisten Fällen die vorhandenen Kontrollen und Dokumentationen nicht ausreichend sind; dies schon meist deswegen, weil es bei mangelnder Homogenität der IT-Strukturen auch regelmäßig keine risikoadäquaten Richtlinien beim Einsatz der überdies nicht effizienten Technologien gibt. Fehlt es aber z. B. schon an der hinreichenden Berechtigungsvergabe und einheitlichen Abläufen, so können diese auch nicht ausreichend dokumentiert und kontrolliert werden.    Eben hier zeigen sich schon die Schwachstellen, die zur Meidung von wirtschaftlichen Nachteilen und nicht zuletzt der persönlichen Haftung der Geschäftsleitung aber identifiziert und behoben werden müssen.

Meldepflicht

Mit dem Ersten Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft (BGBl. 2006 I, Seite 1970 ff.) wurden auch die Vorschriften zur Meldepflicht entsprechend der neuen Regelungen zur Pflicht zur Bestellung des Beauftragten für den Datenschutz angepasst.

Nach § 4d Abs. 1 BDSG sind Verfahren automatisierter Verarbeitungen vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikations-unternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.

Hiervon gibt es folgende Ausnahmen:

  • ein betrieblicher Datenschutzbeauftragter wurde bestellt personenbezogene Daten werden für eigene Zwecke erhoben, verarbeitet oder genutzt und höchstens neun Personen sind hiermit beschäftigt und
  • die Erhebung, Verarbeitung oder Nutzung erfolgt entweder im Rahmen eines Vertrags- oder vertragsähnlichem Verhältnis oder aufgrund einer Einwilligung des Betroffenen

Die Ausnahmen gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogenen Daten von der jeweiligen Stellen 1. zum Zwecke der Übermittlung oder 2. zum Zwecke der anonymisierten Übermittlung gespeichert werden.

Inhaltlich richtet sich die Meldepflicht nach § 4 e BDSG. Die meldepflichtigen Angaben sind übrigens Bestandteil der internen Verarbeitungsübersicht nach § 4 g BDSG.

Notfallkonzept

Notfallkonzept – BSI 100-4,

Rechtsfolgen bei Versäumnissen,

Organhaftung

 Im Falle einer Beeinträchtigung der Integrität oder Verfügbarkeit von geschäftsrelevanten oder schützenswerten Daten stellt sich immer die Frage nach der innerbetrieblichen oder innerbehördlichen Verantwortung - sei dies, weil die Verletzung der Vertraulichkeit personenbezogener Kunden- oder Mitarbeiterdaten zu unangenehmen rechtlichen Weiterungen führt, oder weil der unmittelbare Verlust der Verfügbarkeit von geschäftsrelevanten Informationen die wirtschaftlichen Interessen der Aktionäre, Gesellschafter oder Geschäftspartner anspruchsbegründend tangiert. In diesem Fall haftet aber nicht nur die betroffene juristische Person oder Körperschaft nach außen, sondern u. U. auch deren Organe, d. h. zum Beispiel der Vorstand, der Aufsichtsrat oder der Administrator persönlich.

 Umso wichtiger ist es, im Schadensfalle auf die Einhaltung von Sicherheitsstandards verweisen zu können, welche gerade das persönliche Verschulden der Verantwortlichen und der Geschäftsleitung ausschließen. Dies vereinfacht in forensischer Hinsicht der Rückgriff auf „zertifizierte Sicherheit", namentlich die anerkannten Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

 Denn die BSI-Standards enthalten Empfehlungen zu ganzheitlichen Vorgehensweisen, um die Informationssicherheit insgesamt nach dem jeweiligen Stand der Technik zu gewährleisten, indem national und international bewährte Sicherheitsmaßnahmen von Behörden und Unternehmen an die jeweils eigene Systemumgebung anpasst werden können. Alle Standards der BSI-Reihe sind also allgemein gültige „Rahmenwerke", die unabhängig von der Art und Größe des Unternehmens angewandt werden kann, und welche auf individuelle Informations- und Kommunikationsprozesse im Geschäftsablauf angepasst werden können.

 Mit dem BSI-Standard 100-4 wurde die BSI 100er Reihe um ein Notfallmanagement ergänzt, welches eng zusammenspielt sowohl mit der Risikoanalyse aus BSI 100-3 zur Ermittlung der kritischen Prozesse als auch mit dem Prozedere nach IT-Grundschutz aus BSI 100-2. Es beinhaltet für sich systematische Verfahren, mit denen man Notfällen und Krisen im Zusammenhang mit einer ganzheitlichen Informationssicherheit effizient vorbeugen und schadensminimierende Reaktionen frühzeitig einsetzen kann. Es sollen derart die Ausfallsicherheit erhöht und alle betriebsrelevanten Geschäftsprozesse im Schadensfall kurzfristig reaktiviert werden können. Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß dem internationalen Standard BS 25999-2 möglich, so dass mit diesem deutschen Standard für „Continuity Management" eine weitere Nivellierung an internationale Normen erfolgte. 

 Inhaltich geht es zunächst einmal darum, dass das Unternehmen oder die Behörde die eigenen Geschäftsprozesse analysiert und versteht, um die damit verbundenen IT-Risiken zu identifizieren: Die einzelnen Geschäftsprozesse sind dabei zu kategorisieren in „kritisch" und „unkritisch" und mit entsprechenden Maßnahme-Prioritäten zu verbinden. Vorranging zu behandeln sind alle Geschäftsprozesse, die für den Fortbestand des Unternehmens unmittelbar erforderlich sind und im Ausfall schwerwiegende (auch haftungsrechtliche) Konsequenzen nach sich ziehen können.

 Im jeweiligen Notfallszenario für kritische Geschäftsprozesse sind der Zeitaufwand, die verantwortlichen Zuständigkeiten und alle notwendigen technischen und wirtschaftlichen Ressourcen in Form einer Leitlinie konkret zu bestimmen und intern zu kommunizieren. Es muss dabei unternehmens- bzw. behördenintern auch eine „ständige" Kompetenz geschaffen werden, welche für eine „dynamische Aktualisierung" in Reaktion auf etwaige Veränderungen des Systemumfeldes und damit des Gefährdungspotentiales Sorge trägt. Diese Kompetenz muss ggf. durch Schulung und Ressourcen in den Stand gesetzt werden, diesem Leistungsbild zu entsprechen.

 Um bei einem Notfall eine „Krise" zu vermeiden, d. h. ein schadensstiftendes Ereignis, für das Leitlinien im vorgenannten Sinne nicht vorgesehen sind oder nicht effizient anschlagen, muss die Geschäfts- bzw. Behördenleitung für ein permanentes internes Kontrollsystem sorgen, welches insbesondere auf der Grundlage der BSI-Standards und den jeweiligen Geschäftsprozessen für eine gerichtsfeste IT-Compliance sorgt. Wir helfen Ihnen in organisatorischer wie in technischer Hinsicht bei der Umsetzung dieser komplexen Aufgaben.

Outsourcing Datenschützer

Ein externer Datenschutzbeauftragter bietet gegenüber der Bestellung eines innerbetrieblichen Datenschützers viele Vorteile:

  • Effektive und zuverlässige Umsetzung der Aufgaben des DSB 
  • Kalkulierbare Kosten durch Outsourcing-Vertrag 
  • Kostensenkung
  • Keine zusätzlichen Kosten für Aus- und Weiterbildung
  • Vermeidung innerbetrieblicher Interessenskonflikte
  • Unvoreingenommenheit des ext. DSB der Sache und dem Betrieb gegenüber
  • Qualifizierte, praxiserfahrene Berater durch fundierte fachliche Kenntnisse und konsequente Weiterbildung
  • Fokussierung auf praxisrelevante Themen („Datenschutz mit Augenmaß“)
PCI-Compliance

PCI-Compliance

 In der neueren Rechtssprechung verstärken sich zunehmend die Tendenzen, das Risiko des Missbrauchs von „Sicherungsmedien" bei E-Payment Angeboten auf den Anbieter abzuwälzen, wenn der Endkunde ein zumindest "durchschnittliches Sorgfaltsniveau" beim Umgang bereits schlüssig darlegen kann. Schon vor diesem haftungsrechtlichen Hintergrund empfiehlt es sich, zur Erhöhung der Sicherheit bei der Kreditkartendatenverarbeitung objektiven Sicherheitsstandards zu entsprechen.

Bereits seit 2004 gilt nun weltweit ein einheitlicher Sicherheitsstandard für Kredit- und EC-Kartenzahlungen. Dieser sogenannte Payment Card Industry Data Security Standard (PCI DSS) war das Ergebnis der seinerzeitigen Verhandlungen führender internationaler Kreditkarteninstitute wie Visa, Mastercard, American Express und JCB, die letztlich auf den schlechten Erfahrungen in der Praxis und den hiernach bewährten Verfahren beruhte, technische Systeme und Geschäftsprozesse anwendungssicherer zu gestalten. Hiernach sind grundsätzlich alle Unternehmen, die nicht nur mit einfachen Kundendaten, sondern auch mit deren Kredit- und Bankkartendaten arbeiten, zur PCI-Compliance, d.h. zur Umsetzung und Einhaltung der PCI-Standards gleichsam als Mindeststandard zwingend angehalten. Defizite werden von den Aufsichtsbehörden mit empfindlichen Geldstrafen sanktioniert, noch empfindlicher dürfte freilich der drohende Verlust der Zulassung für den kartenbasierten Zahlungsverkehr sein.

 Die Anforderungen des PCI DSS sind freilich mit seinen 12 „Requirements" zur Absicherung der Transaktionen ein recht umfangreicher Maßnahmen-Katalog, dessen Umsetzung die Geschäftsprozessabläufe eines Unternehmens  in ganz erheblichem Maße beeinträchtigen kann. Die Sicherheitsvorgaben sind aber nicht nur „Bremsklotz", sondern bieten richtig verstanden gerade heute in besonderem Maße auch eine Möglichkeit, den Kunden vom sicheren Umgang mit sensiblen Daten zu überzeugen.

Die jeweiligen Überprüfungsstandards dieser Vorgaben hängen an dem E-Com-Händler und seiner „Gefahrgeneigtheit": so führen mehr als 6 Mio. Kreditkartentransaktionen pro Jahr z. B. bei einem bereits in der Vergangenheit attackierten Unternehmen zur vierteljährlichen Prüfung des Rechnernetzes mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) und einem jährlichen Audit vor Ort durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten. E-Com-Händler, die weniger als 1 Mio. Kreditkartentransaktionen pro Jahr abwickeln unterliegen seit dem 1. Oktober 2009 der Pflicht, einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen zu beauftragen oder ihrem Acquirer die eigene PCI DSS-Zertifzierung durch Ausfüllen des PCI Self-Assessment Questionnaire (SAQ) und ggf. Durchführung eines vierteljährlichen Sicherheitsscan durch einen vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV) nachzuweisen.

 Wer darüber hinaus Sicherheitsanforderungen als integralen Bestandteil aller Geschäftsprozesse effizient umsetzt, wird kurzfristig auch von einem besseren Reporting (EURO SOX) und Rating (Basel III) profitieren. Die Übertragung von PCI Standards von Prozessen mit bloßen Kreditkartendaten auf möglichst alle unternehmensinternen datenverarbeitenden Geschäftsprozesse im Wege einer einheitlichen Policy bietet den Vorteil einer Homogenisierung des IT-Schutzes, welche für sich einen Compliance-Mehrwert hat, da Schwächen bei der Vernetzung unterschiedlicher Schutzniveaus vermieden werden können.

 In einem ganzheitlichen Sicherheitsansatz kann der Umfang von PCI-auditierten Systemen und damit der wirtschaftliche Aufwand für Compliance deutlich vermindert werden; dies kann insbesondere durch die Segmentierung von Servern und Netzwerken erfolgen, indem zum Beispiel physikalische Sicherheitssysteme sowie Router mit Access Control Listen (ACL) und Firewalls auf die PCI DSS-Compliance ausgelegt werden. Lasten durch die Speicherung von unwesentlichen Daten sollen dabei vermieden und Datenverarbeitungsprozesse auf Frameworks implementiert werden, die auf akzeptierten Kontroll- und Risk-Management-Standards wie COSO, CobiT, ISO 27001 basieren.

Wir helfen Ihnen, in diesem Sinne alle notwenigen Ressourcen zur PCI-DSS-Compliance einzusetzen und nachzuweisen.

Riskmanagement

Risk-Management, Backup, Storage, Information Lifecycle

 Gesetzliche Vorgaben zu Fragen der Revisionssicherheit steuerrelevanter Daten und allgemeine und besondere Rechtspflichten im Umgang mit sensiblen und geschäftskritischen Informationen stellen heute hohe Anforderungen an die Organisationsstrukturen und das Risk Management der Verantwortlichen. Sowohl in der Privatwirtschaft wie auch in der öffentlichen Verwaltung können sich diese widrigenfalls in persönlicher Haftung und sogar strafrechtlicher Sanktion fortwirken.

 Aber auch unabhängig von gesetzlichen Verhaltensappellen und Sorgfaltsmaßstäben ergibt sich eine besondere Pflicht zum effektiven IT-Risiko- und Informationsmanagement allein schon aus Gründen der Wettbewerbsfähigkeit und der strategischen Rechtssicherheit. Kein Unternehmen, welches heutzutage nicht betriebswichtige Informationen in rauen Mengen über das Internet versendet, auf lokalen Systemen speichert oder in Netzwerken vorhält. Die jederzeitige Verfügbarkeit indexierter Daten vom ausschließlich berechtigen Anwender im Betrieb oder der öffentlichen Verwaltung ist über die Beachtung bloßer Rechtspflichten hinaus eine aus schieren wirtschaftlichen Erwägungen kritische Ressource.

 In dem Maße, in dem Arbeitsprozesse über elektronische Medien gesteuert und Übereinkünfte mit Kunden oder Kooperationspartnern getroffen werden, finden sich geschäfts- und damit rechtsrelevante Vorgänge dokumentiert, welche regelmäßig aus der Schnittmenge schon aus steuer- und handelsrechtlichen Gründen archivierungspflichtiger Daten herausragen. Der sichere Zugriff auf diese Inhalte, die Integrität und Authentizität der insoweit relevanten Daten bilden für jeden Anwender ein informationelles „Backbone", dessen Beeinträchtigung binnen Kürze existentielle Folgen haben kann:

Sei dies, weil sich wesentliches Betriebswissen in den lokalen Ordnern einer fluktuierenden Mitarbeiterschaft sammelt - und damit ein übergeordnetes Wissensmanagement geschweige denn die Tradierung von Erfahrungswerten individueller Kompetenzträger vereitelt wird.

Sei dies, weil der Rechtsbeistand allein deswegen im gerichtlichen Erkenntnisverfahren in schiere Beweisnot gerät, da der seinerzeit zuständige Mitarbeiter seinen E-Mail-Account als persönlichen Informationsspeicher nutzte und vertragswesentliche Absprachen mit Kunden nur per E-Mail traf - und diese der automatischen Löschung oder einer kryptischen „Autoarchivierung" unter Windows-Systemen zum Opfer gefallen sind.

Die uneingeschränkte Kontrolle der betrieblichen Datenflüsse durch geeignete Policies und ein Datenschutzmanagement, welches den Bestand und den rechtmäßigen Zugriff der Kommunikations- und Bestandsdaten organisiert und zugleich schützt, stellt indessen ein „Asset" des Unternehmens dar, welches längst bei der Bewertung operationeller Risiken auch nach Basel II eine gewichtige Rolle spielt. Gleichzeitig müssen Systeme und Anwendungsregeln aber derart ausgestaltet sein, dass der damit verbundene Eingriff in das Recht auf informationelle Selbstbestimmung der Mitarbeiter in seinen Konkretisierungsformen des Datenschutzes und des Fernmeldegeheimnisses die Effizienz der IuK-Anlagen nicht konterkariert wird.

 Im Spannungsfeld zwischen diametral gegenläufigen Interessen verfolgen wir daher einen transparenten, systematischen Lösungsansatz, welcher rechtskonform massenhaft anfallende Daten strukturiert, indexiert und verfügbar hält. Dies stellt eine komplexe Aufgabe dar, derer sich erfahrungsgemäß schon aus Compliance-Gesichtspunkten spezialisierte Profis annehmen sollten:

Wir schaffen Ihnen die Zeit und den Raum, sich ausschließlich um ihre eigentlichen Aufgaben zu kümmern, wir kümmern uns um Ihre Daten. Mit Sicherheit.

Standards

Standardisierte Kontrollmodelle (BSI, ISO, CobiT) und daraus resultierende Rechtsvorteile

Der Einsatz von komplexen Informationstechnologien bei praktisch allen relevanten Geschäftsprozessen in einem Unternehmen stellt heute mehr denn je besondere Anforderungen an die verantwortungsvolle Geschäftsleitung (Corporate Governance). Ohne besondere Maßnahmen ist eine verantwortungsvolle Organisation und Nutzung von IT nicht vorstellbar. Diese IT-Compliance setzt ihrerseits die Etablierung eines Informations- und Kontrollsystems (IKS) voraus, bei welchem der Schutz, die Sicherheit und die jederzeitige Verfügbarkeit der Daten entsprechend der gesetzlichen Verhaltensappelle fortlaufend gewährleistet werden kann (IT-Security).

 Allein die Erstellung eines technischen und organisatorischen Sicherheitskonzeptes, die Anschaffung und Implementierung der eben hierfür erforderlichen Sicherheitstechnik und schließlich die Durchführung und Überwachung aller organisatorisch und rechtlich notwendigen Policies bieten bei der anzunehmenden Verschuldensvermutung der Geschäftsleitung im Schadensfall die Möglichkeit der Exkulpation - und somit das letztlich einzig effektive Mittel gegen die persönliche Haftung der Geschäftsleitung bei Annahme eines widrigenfalls anzunehmenden Organisationsverschuldens.

Die Nachweisbarkeit dieser Compliance im Rechtsstreit mit Dritten aber auch gegenüber dem Wirtschaftsprüfer (EURO SOX), dem Kreditgeber (Basel III) oder dem Betriebsprüfer (GoBS und GDPdU) ist indes ohne Verweis auf ein standardisiertes Sicherheitsniveau praktisch unmöglich. Eben diese Funktion bieten Zertifizierungen, über welche ein lückenloser Nachweis der vorgenannten Anforderungen ohne Weiteres erfolgen kann: Es dreht sich im Schadens- und Streitfalle wieder die Darlegungs- bzw. Beweislast. Es muss dann im Zweifel nachgewiesen werden, warum trotz der dargelegten Sicherheitsstandards dennoch ein Verschulden bei der Geschäftsleitung vorliegen soll - was oftmals nicht möglich sein dürfte.

 In Ermangelung zwingender gesetzlicher Vorgaben bleibt dabei zunächst der Rückgriff auf national und international anerkannte Standards, wie z. B. die der International Organization for Standardization (ISO), namentlich die ISO/IEC 13335 als allgemeine Leitlinie für IT Sicherheitsmanagementprozesse, die ISO/IEC 17799 als Rahmenwerk für das IT-Sicherheitsmanagement und insbesondere die ISO/IEC 27001 als erster internationaler Standard zum IT-Sicherheitsmanagement, der auch eine entsprechende Zertifizierung ermöglicht.

 Wer in Deutschland aber den notwendigen „ganzheitlichen" Sicherheitsansatz nachweisen will, greift vorzugsweise zurück auf das quasi „behördliche" Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI), welches durch das Audit eines nach den Maßstäben des IT-Grundschutzhandbuches zertifizierten Auditors erworben wird. Dabei sind neben der Analyse der konkreten Gefährdungslage der hiernach notwendige Schutzbedarf zu identifizieren und Verfahrensweisen zu beschreiben, nach denen eine effiziente Umsetzung eines angemessenen Sicherheitsniveaus erreicht und dieses erhalten werden kann. Um gerade für international tätige Unternehmen zu gewährleisten, dass dieses IT-Grundschutz-Zertifikat des BSI auch die vorgenannte internationale Zertifizierungsnorm für Informationssicherheits-Managementsysteme (ISO 27001) berücksichtigt, wurden die Vorgehensweisen und Zertifizierungsschemata entsprechend modifiziert, so dass seit 2006 auch ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI erworben werden können.

Für die Bewertung von Informationsmanagementsystemen selbst und damit zunächst mal für die Analyse steuerungsbedürftiger Prozesse hat sich jedenfalls für international tätige, große Unternehmen die Control Objectives for Information and Related Technology (CobiT) des IT Governance Institute als Standard-Framework etabliert, welches von Auditoren ebenfalls als Instrument zur Sicherstellung von IT-Compliance eingesetzt wird und in welches wiederum starke COSO-Elemente (einem von der SEC anerkannten Standard für interne Kontrollen) eingeflossen sind.

CobiT definiert je nach unternehmerischer Zielvorgabe IT-Prozesse, denen bestimmte Steuerungsvorgaben (Control Objectives) zugeordnet sind. Diese derart geschaffenen Steuerungsziele bilden sozusagen eine Brücke zwischen „IT- Governance" und den vorgenannten IT-Sicherheits-Managementsystemen in ihrer konkreten Ausgestaltung. Gerade der hohe Verbreitungsgrad von CobiT setzt damit seinerseits einen Compliance-Standard, der zur Wahrung der Rechtskonformität und der Minimierung von Schadens- und Haftungspotentialen beachtet werden sollte.

 Egal, ob international tätiges Großunternehmen, öffentliche Verwaltung oder Mittelständler: Wir helfen Ihnen durch umfassende konzeptionelle Beratung und konkrete Projektorganisation, Ihren haftungsrechtlich erforderlichen Compliance-Standard zu identifizieren und bringen vor dem Hintergrund der individuellen Anwendungsbedürfnisse ihrer Kunden wirtschaftliche Lösungen zum Einsatz.

Verfahrensverzeichnis

Verpflichtung zum Führen eines Verfahrensverzeichnisses

(„Jedermann-Verzeichnis“ und „interne Verarbeitungsübersicht“).

Dem Beauftragten für den Datenschutz eines Unternehmens (betrieblicher Datenschutzbeauftragter) ist von der verantwortlichen Stelle eine Übersicht über die in § 4 e Satz 1 BDSG genannten Angaben sowie (zusätzlich) über die zugriffsberechtigten Personen zur Verfügung zu stellen.

§ 4 e Satz 1 BDSG gibt Aufschluss darüber, welche Informationen ein Unternehmen im Falle einer Meldepflicht an die Aufsichtsbehörde zu melden hat. Die Meldepflicht ist für Unternehmen heute jedoch eher die Ausnahme. Der wichtigste Befreiungsgrund von der Meldepflicht ist, dass ein Datenschutzbeauftragter im Unternehmen bestellt wurde. Man unterscheidet zwischen dem (öffentlichen) Verfahrensverzeichnis / „Jedermann-Verzeichnis“ und der internen Verarbeitungsübersicht.

Das öffentliche Verfahrensverzeichnis ist „Jedermann“ auf Antrag verfügbar zu machen. Eine besondere Antragsbefugnis ist hierfür nicht erforderlich, jeder interessierte Bürger kann sich hierzu an eine beliebige verantwortliche Stelle (Unternehmen) werden. Das öffentliche Verfahrensverzeichnis hingegen enthält nur einen Teil der eigentlich meldepflichtigen Informationen, nämlich die Angaben nach § 4e Abs. 1 Nr. 1- 8 BDSG. Die Beschreibungen der technisch-organisatorische Maßnahmen (§ 4 e Nr. 9 BDSG) sind hier nicht enthalten. Sofern die Meldepflicht entfällt, da ein Beauftragter für den Datenschutz bestellt wurde, macht dieser das (öffentlich) Verfahrensverzeichnis im Falle eines Antrags dem Anfragenden verfügbar.

Sofern die Meldepflicht lediglich entfällt, da die Mitarbeitergrenzen unterschritten wurde, trifft diese Verpflichtung die verantwortliche Stelle (vgl. § 4 g Abs. 2 Satz 3), d.h. die Geschäftsführung.

Die (interne) Verarbeitungsübersicht besteht aus den meldepflichtigen Informationen ds § 4 e BDSG sowie (zusätzlich) den Angaben über zugriffsberechtigte Personen (vgl. § 4g Abs. 2 Satz 1 BDSG). Diese Übersicht ist ausschließlich für interne Zwecke zu erstellen und dient dem Datenschutzbeauftragten zur Erfüllung seiner Standardaufgaben (Prüfung aller automatisierter Verarbeitungen, Vornahme der Vorabkontrolle in den gesetzlich geregelten Fällen).

Die Pflicht eine Übersicht über die in § 4 e Satz 1 Nr. 1 bis 8 BDSG genannten Angaben zu führen (und, dass sei am Rande erwähnt, die Zulässigkeit automatisierter Verarbeitungen zu prüfen) besteht auch dann, wenn keine Meldepflicht besteht, insbesondere dann, wenn lediglich neun „Personen“ oder weniger als mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Unternehmen beschäftigt sind, und kein Datenschutz-beauftragter bestellt worden ist.

Nicht entnehmen lässt sich der gesetzlichen Regelung, dass auch eine Liste der zugriffsberechtigten Personen zu führen ist, wenn weder eine Meldepflicht, noch eine Verpflichtung einen Datenschutzbeauftragten zu bestellen, besteht (vgl. § 4 g Abs. 2 Satz 1).

Zertifizierter Datenschutz

Ziel ist ein Gütesiegel für umfassende Umsetzung  aller Datenschutz- und Informations-Sicherheits-Anforderungen in der jeweiligen Ablauforganisation des Unternehmens oder der Behörde. Die Zertifizierung kann während der Erarbeitung aller nötigen Prozesse durch uns unterstützt oder durch unabhängige Datenschutz-Auditoren abgenommen werden.