Unstrukturierte Daten Veranstaltung 05.07.2007 Unstrukturierte Daten oder: Die Bombe tickt ... RA Christian Wilser

Vorstellung PRW Rechtsanwälte: Spezialkanzlei im IT Umfeld PRW Rechtsanwälte: Seit vielen Jahren spezialisiert auf die Beratung mittelständischer Unternehmen, insbesondere im IT – Umfeld Spezialthemen: IT-Recht, Projektbegleitung, IT-Sicherheit, Datenschutz Daneben: Vertragswesen, Forderungsmanagement, Versicherungsrecht

Was sind…? Strukturierte Daten > Datenbanken (Semi-strukturierte Daten) > ( ... ) Unstrukturierte Daten können sich in Hunderten verschiedener Applikationen und in ebenso vielen Datei-Formaten finden; insbesondere Office-Dokumente (Word, Excel, Powerpoint), E-Mails, Grafikdateien, Audio- und Videodateien oder spezielle Formate wie Konstruktionszeichnungen, Röntgenaufnahmen im medizinischen Bereich, geologische Daten, etc. Premium Partner

Sind unstrukturierte Daten schlecht ? Nein ! Es ist, wie so oft, eine Frage des Umgangs ... und ... es gibt sehr viele davon !!

Zahlen 2000 2005 2010 2015 6400 ... 100 400 1600

Wahre Werte Der Wert des Unternehmens steckt zu einem nicht unerheblichen Teil in unstrukturierten Daten ! Ein Vortrag des Geschäftsführers Ein per E-Mail geschlossener Vertrag Wichtige Erkenntnisse von F+E finden sich in einem PDF-File Mitarbeiterverträge; und und und

Wo ist also das Problem ? Es steht vor Ihnen !

Struktur muss her !! Schöne neue Welt... Chaos ? Ordnung ! ? Premium Partner Chaos ? Ordnung !

Einordnung Unternehmerische Aspekte Rechtliche Aspekte Beispiel E-Mail: - Nachvollziehen von Geschäftsprozessen - Führen von Gerichtsprozessen Wissensmanagement, etc. Beispiel E-Mail: - Pflicht zur Aufbewahrung ? - Pflicht zur Löschung ? - Pflicht zum Wiederfinden ?

Datenschutz u. -sicherheit: z.B. E-Mail (II) E-Mails sind mittlerweile unentbehrlich (weitgehender Ersatz der früheren „klassischen“ Geschäftskorrespondenz) Wir müssen unsere E-Mails schützen (Antivirus / Verschlüsselung) Wir müssen uns vor unseren E-Mails schützen (Antivirus) Wir müssen unsere E-Mails aufheben (Archivierung) Wir müssen unsere archivierten E-Mails wieder auffinden (Archivierungskonzept)

E-Mailverkehr T 1 DS 3 Monate T 2 AO 10 Jahre T 3 Med 30 Jahre T n Datentypen T 1 DS 3 Monate T 2 AO 10 Jahre T 3 Med 30 Jahre T n sonstig n Jahre B 1 DSB B 2 Finanz B 3 Arzt Zugriffsberechtigung

Das Duell Datenarchivierung vs. Datenlöschung GDPdU  10 Jahre Medizinische Daten  30 Jahre Lebensversicherung  x Jahre §§ 20, 35 BDSG  Pflicht zur Löschung bei unzulässiger Speicherung, oder wenn Daten nicht mehr benötigt werden (Erlöschen der Geschäftsbeziehung!); hilfsweise Sperrung

Preis Risiko Wert Praktische Bedeutung Preis für Speicherplatz (Alles speichern ? Auf Primärspeicher ?) Risiko (Gesetzesverstöße) Wert von Informationen (Wert unbekannter Informationen ?) (Wert der Nichtnutzung vorhandener Informationen ?) Preis Risiko Wert

Risiko Praktische Bedeutung Reisekosten: Nicht anerkannt ! Steuer Premium Partner

Praktische Bedeutung Risiko Datenschutz Premium Partner

Risiko Praktische Bedeutung § 94 StPO - Beschlagnahme - (1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen. Gesetze Premium Partner

Rollenverständnis Was ist schlimmer? Wenn der Chef des Unternehmens 14 Tage Urlaub macht, oder wenn der Server 14 Tage Urlaub macht?

Rollenverständnis II Das alles gehört zum Thema „Compliance“ oder Gesetze muss man einhalten! Ob man sie kennt oder nicht ...

Zufall vs. Vorhersehbarkeit Für Zufall kann keiner etwas. Für Zufall gibt es keinen rechtlich Verantwortlichen, aber für Vorhersehbarkeit. Nach ständiger Rechtsprechung braucht sich die Vorhersehbarkeit nicht darauf zu erstrecken, wie sich der Schadenshergang im einzelnen abspielt und in welcher Weise sich der Schaden verwirklicht. Es genügt vielmehr, dass die Möglichkeit des Eintritts eines schädigenden Erfolges im allgemeinen hätte vorausgesehen werden können. (BGH, Urt. v. 10. November 1992 – VI ZR 45/92)

Vorhersehbarkeit Alles was vorhersehbar ist, führt zum Verschulden zumindest wegen Fahrlässigkeit. § 276 BGB Verantwortlichkeit (1) … (2) Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt.

Frage Wie wohnen Manager mit einem zu niedrigen Complianceniveau?

kostenfrei !

T O R Projekt ! Datenstrukturanalyse Was liegt wo? Wer legt was wohin? Was muss wie lange aufbewahrt werden? Was muss wann vernichtet werden? T O R Premium Partner

Paradigmenwechsel T R O O R T Früher Technik Organisation Recht Zukünftig Recht Organisation Technik T R O O R T

Analyse = Normenpakete, z.B. SOX, AktG, GmbHG, GDPdU Großes Unternehmen mittleres Unternehmen kleines Unternehmen

Analyse = Normenpakete, z.B. SOX, AktG, internat. Gesetze GDPdU Das große Unternehmen hat viele Normen und Gesetze, die bedient werden müssen.

Analyse = Normenpakete, z.B. AktG, GDPdU Entfällt bei mittlerem Unternehmen Das mittlere Unternehmen hat einige Normen und Gesetze, die bedient werden müssen, andere treffen nicht zu.

Analyse = Normenpakete, z.B. GmbHG, GDPdU Entfällt bei kleinem Unternehmen Das kleine Unternehmen hat wenige Normen und Gesetze, die bedient werden müssen, andere treffen nicht zu.

Danke für die Aufmerksamkeit ! PRW RECHTSANWÄLTE RA Christian Wilser Steinsdorfstr. 14 80538 München Tel: +49 (89) 2109 770 E-Mail: wilser@prw.de Internet: www.prw.info

Anhang Verantwortung und Haftung im Unternehmen

Beispiele und Fakten Zufall? Nein, ein Update Computerausfall: Lufthansa sitzt fest Flugverspätungen und -streichungen haben am Donnerstag-morgen Tausende von Lufthansa-Passagiere über sich ergehen lassen müssen. Wegen des kompletten Ausfalls der Abfertigungscomputer wurden zwölf innerdeutsche und innereuropäische Flüge gestrichen, teilte die Fluggesellschaft mit. Die Reisenden mussten wegen des Ausfalls des Computersystems per Hand eingecheckt werden. Quelle:stern.de Zufall? Nein, ein Update

Zufall? Nein, Datenmenge Beispiele und Fakten Computerausfall bei der NSA Drei Tage lang konnten die Supercomputer des US-Geheimdienstes NSA das gesammelte Datenmaterial wegen eines Software-Problems nicht auswerten. Nach Angaben, die Direktor der NSA Michael Hayden gegenüber ABC News gemacht hat, sind die Computer von der enormen Datenmenge "überwältigt" worden. Die Reparaturarbeiten hätten tausende Mannstunden und 1,5 Millionen Dollar verschlungen. Quelle: computerwoche.de Zufall? Nein, Datenmenge

Relevante Rechtsbereiche Zivilrecht und Wettbewerbsrecht Handelsrecht (Bilanzierung, Lagebericht) Arbeitsrecht Steuerrecht, GDPdU Datenschutzrecht Telekommunikationsrecht Strafrecht Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen „Gib Dem Prüfer deine Unterlagen ...“

Anspruchsgrundlagen Chef § 43 GmbHG §§ 91, 93 AktG KonTraG § 289 HGB § 14 StGB

Anspruchsgrundlagen Mit Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmen (KonTraG) im Mai 1998 sind Aktiengesellschaften sowie Tochterfirmen (unabhängig von ihrer Gesellschaftsform) zur Implementierung eines unternehmensweiten Früherkennungssystems für bestandsgefährdende Risiken sowie eines entsprechenden Überwachungssystems verpflichtet. Dies betrifft auch die IT-Landschaft.

Relevante Zivilrechtsnormen § 91 AktG: Organisation (eingeführt durch KonTraG Art. I Ziff. 9 c) (1) ... (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. = Risikomanagement !

Relevante Zivilrechtsnormen § 93 AktG: Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder (1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. (2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.

Relevante Zivilrechtsnormen Zu § 91 Abs. 2 AktG und KonTraG Nach inzwischen herrschender Meinung gilt die Pflicht zum Risikomanagement auch für die GmbH und andere Gesellschaftsformen. Zwar gibt es keine Spezialnorm, aber Rechtsprechung / Literatur begründen die weite Auslegung damit, das die genannten Vorschriften eine „Ausstrahlungswirkung“ auf den Pflichtenrahmen der Geschäftsführung anderer Gesellschaften habe. Dies ergibt sich dann aus der allgemeinen Sorgfaltspflicht.

Relevante Zivilrechtsnormen § 43 GmbHG: Haftung der Geschäftsführer (1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. Wer kein Risikomanagement–System einführt, haftet persönlich.

Eine Selbstverständlichkeit !? Hat die Geschäftsleitung eines Unternehmens geltendes Recht selbst einzuhalten und für die Einhaltung durch Mitarbeiter zu sorgen ? Risikomanagement ! Digitale Betriebsprüfung ! Datenschutzbestimmungen !

Haftungsinteresse Wer interessiert sich für die Haftungsfrage ? Der (direkt) geschädigte Dritte. aber auch: Die Gesellschafter der AG, GmbH, etc. Die Versicherung, die in Anspruch genommen wird (vereinbarte Obliegenheiten, § 61 VVG) Der Insolvenzverwalter

==> Manager haften für IT-Sicherheit persönlich ! Alles Theorie ? "ARAG-Garmenbeck"-Entscheidung des BGH vom 21.04.97:  Aufsichtsrat muss Vorstand in Anspruch nehmen!  Geschäftsführung haftet persönlich! "Optikerprogramm"- Entscheidung des BGH v. 02.07.1996:  "Datensicherung ist eine allgemein bekannte Selbst-verständlichkeit. Angesichts der Gefahren eines Daten-verlustes gilt sie … als unverzichtbar." Schadensersatz bei Verbreitung eines Computervirus - LG Hamburg, Urteil vom 18.07.2001, Az: 401 O 63/00 ==> Manager haften für IT-Sicherheit persönlich !

To Do – Liste IT-Sicherheit IT-Sicherheit ist Chefsache, das ist NICHT delegierbar ! Lassen Sie analysieren – dann handeln Sie ! Bestellen Sie einen Verantwortlichen für die IT-Sicherheit! Holen Sie sich professionelle Beratung ins Haus! Befreien Sie sich von persönlicher Haftung: Lassen Sie eine betriebsinterne IT-Sicherheitsrichtlinie, sowie eine Betriebsanweisung für den Umgang mit E-Mails und die Nutzung des Internet erstellen! Schulen Sie die Mitarbeiter zum Thema IT-Sicherheit! Erstellen Sie einen Notfallplan für den Ausfall verschiedener Komponenten, z.B. der Firewall, einem Virus-Angriff, einem Angriff durch einen Hacker, etc.! (Denken Sie auch an eine „Sprachregelung“!) Kontrollieren Sie !

Anhang Archivierung / GdPDU

Wer muss aufbewahren? Das Handelsgesetzbuch (HGB) verpflichtet Kaufleute zur Aufbewahrung von Geschäftsunterlagen (§ 257 HGB). Aus steuerlichen Gründen haben alle Unternehmen der gewerblichen Wirtschaft die Aufbewahrungsvorschriften nach § 147 Abgabenordnung (AO) zu erfüllen.

Was ist aufzubewahren? Die handels- und steuerrechtlichen Vorschriften zur Aufzeichnung von Geschäftsvorfällen und zur Aufbewahrung von Schriftgut stimmen nur zum Teil überein. Aus steuerrechtlichen Gründen sind sämtliche Geschäftsunterlagen und sonstigen Unterlagen aufzubewahren, die für die Besteuerung von Bedeutung sind. Die handelsrechtlichen Vorschriften haben damit für die betriebliche Praxis nicht die Bedeutung wie sie den steuerrechtlichen Aufbewahrungs-vorschriften zukommt.

Wie ist aufzubewahren? Die Aufbewahrung im Original ist nur in Ausnahmefällen vorgeschrieben. Eröffnungsbilanzen, die Jahresabschlüsse und die Konzernabschlüsse müssen nach § 257 Abs. 3 S. 1 HGB und § 147 Abs. 2 S.1 AO innerhalb der Aufbewahrungsfrist im Original aufbewahrt werden, auch wenn sie auf Mikrofilm oder anderen digitalen Datenträgern aufgezeichnet sind.

Wie ist aufzubewahren? (II) GoBS (Grundätze ordnungsgemäßer DV-gestützter Buchführungssysteme) Verfahrensdokumentation / IKS (int. Kontroll- system) Während Übertragungs- / Scanvorgang darf keine Bearbeitung möglich sein Indexierung / Risiko der Unauffindbarkeit ist zu reduzieren Datensicherheitskonzept Schutz vor Verlust / Veränderung Lesbarkeit der Datenträger ist regelmäßig zu prüfen

Wie lange ist aufzubewahren? Nach Steuerrecht gilt die Aufbewahrungsfrist von 10 Jahren für: Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege. 6 Jahren für: Empfangene Handels- oder Geschäftsbriefe, Wieder-gaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. Dazu zählen auch E-Mails und andere digitale Dokumente.

Elektronische Steuerprüfung: GDPdU Seit 1. Januar 2002 müssen alle Steuerpflichtigen ihre originär digitalen, steuerlich relevanten Daten in strukturierter Form für die Steuerprüfung 10 Jahre elektronisch verfügbar halten. Dazu zählen z.B.: Elektronische Kassenjournale ERP-Systeme Digitale Rechnungsdaten (Eingang + Ausgang) Alle in Word / Excel / Outlook erstellten Geschäftsbriefe Buchführungsdaten, Lohnbuchhaltung Elektronische Zeiterfassungsdaten Kurzum ... fast alle Daten Die Einhaltung durch Ihren Steuerberater genügt nicht !

§ 147 Abs. 6 und § 146 Abs. 5 AO § 146 (5) AO: Die Bücher und die sonst erforderlichen Aufzeichnungen können auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger Buchführung entsprechen; bei Aufzeichnungen, die allein nach den Steuergesetzen vorzunehmen sind, bestimmt sich die Zulässigkeit des angewendeten Verfahrens nach dem Zweck, den die Aufzeichnungen für die Besteuerung erfüllen sollen. Bei der Führung der Bücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass während der Dauer der Aufbewahrungsfrist die Daten jederzeit verfügbar sind und unverzüglich lesbar gemacht werden können. Dies gilt auch für die Befugnisse der Finanzbehörde nach § 147 Abs. 6. Absätze 1 bis 4 gelten sinngemäß.

§ 147 Abs. 6 und § 146 Abs. 5 AO § 147 (6) AO: Sind die Unterlagen nach Absatz 1 mit Hilfe eines Daten- verarbeitungssystems erstellt worden, hat die Finanzbehörde im Rahmen einer Außenprüfung das Recht, Einsicht in die gespeicherten Daten zu nehmen und das Datenverarbei- tungssystem zur Prüfung dieser Unterlagen zu nutzen. Sie kann im Rahmen einer Außenprüfung auch verlangen, dass die Daten nach ihren Vorgaben maschinell ausgewertet oder ihr die gespeicherten Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger zur Verfügung gestellt werden. Die Kosten trägt der Steuerpflichtige.

Der Prüfer im Haus 3 Alternativen: Der Betriebsprüfer wertet auf dem System des Geprüften aus. Der Prüfer lässt sich die Daten übergeben und wertet auf seinem System aus (Laptop). Der Prüfer lässt die Daten auf des System des Geprüften durch einen vom Steuerpflichtigen abgestellten Mitarbeiter nach Anweisung auswerten. Der Prüfer ist wahlfrei! Man sollte ihm helfen! Daher: Schnittstellen für einen digitalen Zugriff einrichten. (Die Software der Prüfer heißt IDEA.)

Der Prüfer im Haus die Schätzung ! Die Daten sind dem Betriebsprüfer „archiviert“ zu übergeben. Die Daten müssen unverzüglich lesbar gemacht werden können. Ist das nicht möglich, ist die Ordnungs-mäßigkeit der Buchführung gefährdet! Es droht Zwangsgeld bis EUR 25.000,00 sowie ... die Schätzung !

Was ist zu tun ? Historisierung der Stammdaten Sicherstellung GoBS Erstellen von Berechtigungsprofilen für Prüfer (Nur-Lese-Zugriff, Beschränkung auf prüfungsrelevanten Zeitraum) Prüfung, ob die eingesetzten IT-Systeme die Daten von 10 Jahren verwalten können Berücksichtigung der GDPdU bei künftigen Anschaffungen (Archivierungssysteme)

Kontakt PRW RECHTSANWÄLTE RA Christian Wilser Steinsdorfstr. 14 80538 München Tel: +49 (89) 2109 770 E-Mail: wilser@prw.de Internet: www.prw.info