IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

IT-Sicherheit und Datenschutz

schützt vor Strafen undhohen Geldbußen

Peter J. Müller•Freier Sachverständiger für Datenschutz und IT-Sicherheit

•Sachverständiger für IT-Fragen im VDA – Bereich Datenschutz

•Referent der IG Metall und des DGB im Bereich IT

•Herausgeber und Autor des Loseblattwerkes „Lexikon der Informationstechnologie“

•Mitautor der Loseblattwerke

„Handbuch der Telekommunikation“

„Neues Bundesdatenschutzgesetz“

„Netzwerksicherheit“

Vorstellung

Basel II, Solveny II, etc……

alles Begriffe, die ohne vorweisbare Präventivschritte- gemäß bestehender Gesetzesvorgaben - richtig teuer werden können.

Deshalb MÜSSEN die Auflagen von IT-Sicherheit undDatenschutz unbedingt erfüllt werden!!!

Grundsätzliches

Grundsätzliches

Basel II

• höhere Risiken bewirken höhere Zinsen

• schlechtes Rating ► höhere Eigenmittelkosten

• erhöhte Kosten werden durch höhere Zinsen an den Kreditnehmer weitergegeben

• gutes Rating ► geringe Kosten ► niedrige Zinsen

Grundsätzliches

Solvency II

• Einfluss der EU auf Versicherungsunternehmen nimmt zu

• angemessene und verifizierbare Risikoorientierung

• Kapitalausstattung sowie Qualität des Risikomanagements werden mit einbezogen

unterschätztes Risiko

• mehr als jedes zweite Unternehmen verbuchte im vergangenen Jahr Schäden bis zu 100.000 EUR

• Sicherheitsverstöße führten u. a. zu Serverausfällen

• IT-Manager beziffern Schäden bis zu 1.000.000 EUR

• 46 % der betroffenen Unternehmen zahlen für solche Fehler über 1.000.000 EUR

• usw…

unterschätztes Risiko

13%

2%

7%

5%

6%

21%

46%

Konkurs/Pleite

Unternehmensende

Bankrott

unter 100.000

bis 250.000

bis 1.000.000

über 1.000.000

Rechtslage

Bestellung eines Datenschutzbeauftragten ist in § 4f BDSG geregelt.

Bei Unterlassung kann dies zu Geldbußen von bis zu250.000 € geahndet werden.

Geschäftsführung wird bei mangelhaftenIT-Sicherheitsmanagement persönlich zurVerantwortung gezogen (gemäß KontraG).

Rechtslage

Ein Datenschutzbeauftragter wird benötigt, wenn:

• personenbezogene Daten automatisiert erhoben, erarbeitet oder genutzt werden (9 Beschäftigte)

• automatisierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle § 4d Abs.5 BDSG unterliegen

• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung genutzt werden

Ihre Vorteile

• Reduzierung der Kosten bei Banken und Versicherungen• Keine Strafen aufgrund der Gesetzeslage• Reduzierung der Aufmerksamkeit durch Abmahnvereine (UWG-Problematik)• Wettbewerbsfähigkeit bleibt erhalten• Vertrauen zu Kooperationsfirmen bleibt erhalten• Sicherung der Arbeitsplätze• Verbesserung des Zertifizierungsverfahrens z.B. TÜV ISO 9001

Gefahrenpotential

• Ständige Änderungen der Gesetze

• Grundsatzurteile der Gerichte

• Fehlinformationen durch mangelhaft ausgebildete Personen (gefährliches Halbwissen)

Gefahrenpotential

• Nicht- oder Scheinbestellung eines DSB (Bußgeld bis zu 25.000 Euro / § 43 BDSG)

• Fahrlässiger Verstoß gegen § 43 BDSG (Bußgeld bis zu 250.000 Euro)

• Jeder, der kein Datensicherheitsmanagement betreibt, handelt rechtswidrig!

• Jeder, der keine spezifisch ausgerichtete Logistik der Datensicherung bzw. Datensicherheit hat, gefährdet seine Existenzgrundlage!

Datensicherheitsmanagement

DatensicherheitsmanagementGrundsatzfragen

Wer wird gefordert ?

• Unternehmensleitung / Management• Aufsichtsrat• Mitarbeiter• Hardware / Software Lieferanten• IT-Dienstleister• etc.

DatensicherheitsmanagementGrundsatzfragen

Gibt es ein…

• Datensicherheitsmanagement-Organisations- Verpflichtungs-Gesetz ?

• Gesetz, in dem steht, dass der Verlust von Daten zu verhindern ist ?

DatensicherheitsmanagementZuständigkeit

• Vorstand• Aufsichtsrat• Geschäftsführung• IT-Leitung• Personalleitung• Bereichsleitung• etc…

DatensicherheitsmanagementProblemfelder

Der Sicherheitsstatus ändert sich regelmäßigdurch Updates, Patches, Operating, etc…

Unerlässlich ist daher…

• eine regelmäßige Überprüfung• permanentes Back-Up• regelmäßiges Audit

DatensicherheitsmanagementRechtliches Umfeld

Welche Gesetzgebung kommt infrage?

• Grundgesetz / Verfassung (GG)• Datenschutzgesetzgebung (BDSG)• Strafrecht (StGB)• Bürgerliches Gesetzbuch (BGB) • Handelsgesetzbuch (HGB) • Gesellschaftsrecht

DatensicherheitsmanagementMögliche Konsequenzen

• Verletzung der Informations-Technologie• Beeinflussung von Kundenbeziehungen• Liefer- und Leistungsverzögerungen• Ausfall von eMail-Systemen• Internet Nutzung wird gestört• etc…

Wer trägt die Verantwortung ???

Wer haftet ???

DatensicherheitsmanagementGrundgesetz / Verfassung

• Gültig im Umfeld öffentlichen Tätigwerdens• Abwehrrechte• Anspruchs- und Forderungstatbestände• Anrecht auf „ordnungsgemäße Behandlung“• Gewerbefreiheit / unternehmerische Freiheit• Keine störenden Beeinträchtigungen• „Staatliche“ IT muss „störungsfrei“ sein

DatensicherheitsmanagementBGB

Verpflichtung zur ordnungsgemäßenVertragserfüllung bei alltäglichenGeschäftsbeziehungen.

Eingeschlossen:Pflicht zur korrekten Verarbeitung„richtiger Daten“ !!!

DatensicherheitsmanagementBGB - Vertragspflichten

Hauptpflichten• Lieferung des Produkts• Stellung des Service• Lieferung „in Time“

pFV (positive Forderungsverletzung)• Ergänzende Pflichten (z. B. Handeln wie ein ordentlicher Kaufmann• Gewährleistung der Ordnungsmäßigkeit der IT

DatensicherheitsmanagementBGB - Vertragspflichten

• Pflicht zur Vertragserfüllung liegt beim Lieferant

• Verletzung der Pflichten bedeutet ggf. Schadensersatzansprüche

• § 257 bestimmt über Aufbewahrung der Unterlagen

• Aufbewahrung auf Bild- oder Datenträgern ist zulässig (muss bildlich und inhaltlich mit Original übereinstimmen)

DatensicherheitsmanagementAbgabenordnung

Aufbewahrungspflicht

Die sich aus der Rechnungslegung ergebendenund aufbewahrungspflichtigen Unterlagen, diemit Hilfe der Datenverarbeitung (EDV/IT) erstelltWurden, sind für die Dauer von 10 Jahren-maschinell auswertbar – aufzubewahren

(§ 147 Abs. 2 AO)

DatensicherheitsmanagementKonTraG

• mehr als 20 % der Unternehmen kennen dieses Gesetz gar nicht

• nur weniger als 40 % erachten dieses Gesetz für ihre Arbeit relevant

Aber: Unwissenheit schützt vor Strafe nicht !

DatensicherheitsmanagementKonTraG

• Verbesserung des Kontrollsystems nicht nur börsennotierter Aktiengesellschaften sondern alle Personengesellschaften incl. Vereine

• Frühzeitige Erkennung von Entwicklungen, die den Fortbestand des Unternehmens gefährden

DatensicherheitsmanagementPflicht

• nicht vorhandene Datensicherheits- Vorsorgemaßnahmen bedeuten ggf. beihilfeartige Tatbestände (z. B. § 13 StGB)

• Beihilfe durch Unterlassen als Garant

Vielen Dank

für Ihre Aufmerksamkeit