schützt vor Strafen und IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen
Vorstellung Peter J. Müller Freier Sachverständiger für Datenschutz und IT-Sicherheit Sachverständiger für IT-Fragen im VDA – Bereich Datenschutz Referent der IG Metall und des DGB im Bereich IT Herausgeber und Autor des Loseblattwerkes „Lexikon der Informationstechnologie“ Mitautor der Loseblattwerke „Handbuch der Telekommunikation“ „Neues Bundesdatenschutzgesetz“ „Netzwerksicherheit“
Grundsätzliches Basel II, Solveny II, etc…… alles Begriffe, die ohne vorweisbare Präventivschritte - gemäß bestehender Gesetzesvorgaben - richtig teuer werden können. Deshalb MÜSSEN die Auflagen von IT-Sicherheit und Datenschutz unbedingt erfüllt werden!!!
Grundsätzliches Basel II höhere Risiken bewirken höhere Zinsen schlechtes Rating ► höhere Eigenmittelkosten erhöhte Kosten werden durch höhere Zinsen an den Kreditnehmer weitergegeben gutes Rating ► geringe Kosten ► niedrige Zinsen
Grundsätzliches Solvency II Einfluss der EU auf Versicherungsunternehmen nimmt zu angemessene und verifizierbare Risikoorientierung Kapitalausstattung sowie Qualität des Risikomanagements werden mit einbezogen
unterschätztes Risiko mehr als jedes zweite Unternehmen verbuchte im vergangenen Jahr Schäden bis zu 100.000 EUR Sicherheitsverstöße führten u. a. zu Serverausfällen IT-Manager beziffern Schäden bis zu 1.000.000 EUR 46 % der betroffenen Unternehmen zahlen für solche Fehler über 1.000.000 EUR usw…
unterschätztes Risiko
Rechtslage Bestellung eines Datenschutzbeauftragten ist in § 4f BDSG geregelt. Bei Unterlassung kann dies zu Geldbußen von bis zu 250.000 € geahndet werden. Geschäftsführung wird bei mangelhaften IT-Sicherheitsmanagement persönlich zur Verantwortung gezogen (gemäß KontraG).
Rechtslage Ein Datenschutzbeauftragter wird benötigt, wenn: personenbezogene Daten automatisiert erhoben, erarbeitet oder genutzt werden (9 Beschäftigte) automatisierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle § 4d Abs.5 BDSG unterliegen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung genutzt werden
Ihre Vorteile Reduzierung der Kosten bei Banken und Versicherungen Keine Strafen aufgrund der Gesetzeslage Reduzierung der Aufmerksamkeit durch Abmahnvereine (UWG-Problematik) Wettbewerbsfähigkeit bleibt erhalten Vertrauen zu Kooperationsfirmen bleibt erhalten Sicherung der Arbeitsplätze Verbesserung des Zertifizierungsverfahrens z.B. TÜV ISO 9001
Gefahrenpotential Ständige Änderungen der Gesetze Grundsatzurteile der Gerichte Fehlinformationen durch mangelhaft ausgebildete Personen (gefährliches Halbwissen)
Gefahrenpotential Nicht- oder Scheinbestellung eines DSB (Bußgeld bis zu 25.000 Euro / § 43 BDSG) Fahrlässiger Verstoß gegen § 43 BDSG (Bußgeld bis zu 250.000 Euro)
Datensicherheitsmanagement Jeder, der kein Datensicherheitsmanagement betreibt, handelt rechtswidrig! Jeder, der keine spezifisch ausgerichtete Logistik der Datensicherung bzw. Datensicherheit hat, gefährdet seine Existenzgrundlage!
Datensicherheitsmanagement Grundsatzfragen Wer wird gefordert ? Unternehmensleitung / Management Aufsichtsrat Mitarbeiter Hardware / Software Lieferanten IT-Dienstleister etc.
Datensicherheitsmanagement Grundsatzfragen Gibt es ein… Datensicherheitsmanagement-Organisations- Verpflichtungs-Gesetz ? Gesetz, in dem steht, dass der Verlust von Daten zu verhindern ist ?
Datensicherheitsmanagement Zuständigkeit Vorstand Aufsichtsrat Geschäftsführung IT-Leitung Personalleitung Bereichsleitung etc…
Datensicherheitsmanagement Problemfelder Der Sicherheitsstatus ändert sich regelmäßig durch Updates, Patches, Operating, etc… Unerlässlich ist daher… eine regelmäßige Überprüfung permanentes Back-Up regelmäßiges Audit
Datensicherheitsmanagement Rechtliches Umfeld Welche Gesetzgebung kommt infrage? Grundgesetz / Verfassung (GG) Datenschutzgesetzgebung (BDSG) Strafrecht (StGB) Bürgerliches Gesetzbuch (BGB) Handelsgesetzbuch (HGB) Gesellschaftsrecht
Datensicherheitsmanagement Mögliche Konsequenzen Verletzung der Informations-Technologie Beeinflussung von Kundenbeziehungen Liefer- und Leistungsverzögerungen Ausfall von eMail-Systemen Internet Nutzung wird gestört etc… Wer trägt die Verantwortung ??? Wer haftet ???
Datensicherheitsmanagement Grundgesetz / Verfassung Gültig im Umfeld öffentlichen Tätigwerdens Abwehrrechte Anspruchs- und Forderungstatbestände Anrecht auf „ordnungsgemäße Behandlung“ Gewerbefreiheit / unternehmerische Freiheit Keine störenden Beeinträchtigungen „Staatliche“ IT muss „störungsfrei“ sein
Datensicherheitsmanagement BGB Verpflichtung zur ordnungsgemäßen Vertragserfüllung bei alltäglichen Geschäftsbeziehungen. Eingeschlossen: Pflicht zur korrekten Verarbeitung „richtiger Daten“ !!!
Datensicherheitsmanagement BGB - Vertragspflichten Hauptpflichten Lieferung des Produkts Stellung des Service Lieferung „in Time“ pFV (positive Forderungsverletzung) Ergänzende Pflichten (z. B. Handeln wie ein ordentlicher Kaufmann Gewährleistung der Ordnungsmäßigkeit der IT
Datensicherheitsmanagement BGB - Vertragspflichten Pflicht zur Vertragserfüllung liegt beim Lieferant Verletzung der Pflichten bedeutet ggf. Schadensersatzansprüche § 257 bestimmt über Aufbewahrung der Unterlagen Aufbewahrung auf Bild- oder Datenträgern ist zulässig (muss bildlich und inhaltlich mit Original übereinstimmen)
Datensicherheitsmanagement Abgabenordnung Aufbewahrungspflicht Die sich aus der Rechnungslegung ergebenden und aufbewahrungspflichtigen Unterlagen, die mit Hilfe der Datenverarbeitung (EDV/IT) erstellt Wurden, sind für die Dauer von 10 Jahren maschinell auswertbar – aufzubewahren (§ 147 Abs. 2 AO)
Datensicherheitsmanagement KonTraG mehr als 20 % der Unternehmen kennen dieses Gesetz gar nicht nur weniger als 40 % erachten dieses Gesetz für ihre Arbeit relevant Aber: Unwissenheit schützt vor Strafe nicht !
Datensicherheitsmanagement KonTraG Verbesserung des Kontrollsystems nicht nur börsennotierter Aktiengesellschaften sondern alle Personengesellschaften incl. Vereine Frühzeitige Erkennung von Entwicklungen, die den Fortbestand des Unternehmens gefährden
Datensicherheitsmanagement Pflicht nicht vorhandene Datensicherheits- Vorsorgemaßnahmen bedeuten ggf. beihilfeartige Tatbestände (z. B. § 13 StGB) Beihilfe durch Unterlassen als Garant
für Ihre Aufmerksamkeit Vielen Dank für Ihre Aufmerksamkeit