28
IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Embed Size (px)

Citation preview

Page 1: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

IT-Sicherheit und Datenschutz

schützt vor Strafen undhohen Geldbußen

Page 2: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Peter J. Müller•Freier Sachverständiger für Datenschutz und IT-Sicherheit

•Sachverständiger für IT-Fragen im VDA – Bereich Datenschutz

•Referent der IG Metall und des DGB im Bereich IT

•Herausgeber und Autor des Loseblattwerkes „Lexikon der Informationstechnologie“

•Mitautor der Loseblattwerke

„Handbuch der Telekommunikation“

„Neues Bundesdatenschutzgesetz“

„Netzwerksicherheit“

Vorstellung

Page 3: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Basel II, Solveny II, etc……

alles Begriffe, die ohne vorweisbare Präventivschritte- gemäß bestehender Gesetzesvorgaben - richtig teuer werden können.

Deshalb MÜSSEN die Auflagen von IT-Sicherheit undDatenschutz unbedingt erfüllt werden!!!

Grundsätzliches

Page 4: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Grundsätzliches

Basel II

• höhere Risiken bewirken höhere Zinsen

• schlechtes Rating ► höhere Eigenmittelkosten

• erhöhte Kosten werden durch höhere Zinsen an den Kreditnehmer weitergegeben

• gutes Rating ► geringe Kosten ► niedrige Zinsen

Page 5: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Grundsätzliches

Solvency II

• Einfluss der EU auf Versicherungsunternehmen nimmt zu

• angemessene und verifizierbare Risikoorientierung

• Kapitalausstattung sowie Qualität des Risikomanagements werden mit einbezogen

Page 6: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

unterschätztes Risiko

• mehr als jedes zweite Unternehmen verbuchte im vergangenen Jahr Schäden bis zu 100.000 EUR

• Sicherheitsverstöße führten u. a. zu Serverausfällen

• IT-Manager beziffern Schäden bis zu 1.000.000 EUR

• 46 % der betroffenen Unternehmen zahlen für solche Fehler über 1.000.000 EUR

• usw…

Page 7: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

unterschätztes Risiko

13%

2%

7%

5%

6%

21%

46%

Konkurs/Pleite

Unternehmensende

Bankrott

unter 100.000

bis 250.000

bis 1.000.000

über 1.000.000

Page 8: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Rechtslage

Bestellung eines Datenschutzbeauftragten ist in § 4f BDSG geregelt.

Bei Unterlassung kann dies zu Geldbußen von bis zu250.000 € geahndet werden.

Geschäftsführung wird bei mangelhaftenIT-Sicherheitsmanagement persönlich zurVerantwortung gezogen (gemäß KontraG).

Page 9: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Rechtslage

Ein Datenschutzbeauftragter wird benötigt, wenn:

• personenbezogene Daten automatisiert erhoben, erarbeitet oder genutzt werden (9 Beschäftigte)

• automatisierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle § 4d Abs.5 BDSG unterliegen

• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung genutzt werden

Page 10: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Ihre Vorteile

• Reduzierung der Kosten bei Banken und Versicherungen• Keine Strafen aufgrund der Gesetzeslage• Reduzierung der Aufmerksamkeit durch Abmahnvereine (UWG-Problematik)• Wettbewerbsfähigkeit bleibt erhalten• Vertrauen zu Kooperationsfirmen bleibt erhalten• Sicherung der Arbeitsplätze• Verbesserung des Zertifizierungsverfahrens z.B. TÜV ISO 9001

Page 11: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Gefahrenpotential

• Ständige Änderungen der Gesetze

• Grundsatzurteile der Gerichte

• Fehlinformationen durch mangelhaft ausgebildete Personen (gefährliches Halbwissen)

Page 12: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Gefahrenpotential

• Nicht- oder Scheinbestellung eines DSB (Bußgeld bis zu 25.000 Euro / § 43 BDSG)

• Fahrlässiger Verstoß gegen § 43 BDSG (Bußgeld bis zu 250.000 Euro)

Page 13: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

• Jeder, der kein Datensicherheitsmanagement betreibt, handelt rechtswidrig!

• Jeder, der keine spezifisch ausgerichtete Logistik der Datensicherung bzw. Datensicherheit hat, gefährdet seine Existenzgrundlage!

Datensicherheitsmanagement

Page 14: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementGrundsatzfragen

Wer wird gefordert ?

• Unternehmensleitung / Management• Aufsichtsrat• Mitarbeiter• Hardware / Software Lieferanten• IT-Dienstleister• etc.

Page 15: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementGrundsatzfragen

Gibt es ein…

• Datensicherheitsmanagement-Organisations- Verpflichtungs-Gesetz ?

• Gesetz, in dem steht, dass der Verlust von Daten zu verhindern ist ?

Page 16: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementZuständigkeit

• Vorstand• Aufsichtsrat• Geschäftsführung• IT-Leitung• Personalleitung• Bereichsleitung• etc…

Page 17: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementProblemfelder

Der Sicherheitsstatus ändert sich regelmäßigdurch Updates, Patches, Operating, etc…

Unerlässlich ist daher…

• eine regelmäßige Überprüfung• permanentes Back-Up• regelmäßiges Audit

Page 18: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementRechtliches Umfeld

Welche Gesetzgebung kommt infrage?

• Grundgesetz / Verfassung (GG)• Datenschutzgesetzgebung (BDSG)• Strafrecht (StGB)• Bürgerliches Gesetzbuch (BGB) • Handelsgesetzbuch (HGB) • Gesellschaftsrecht

Page 19: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementMögliche Konsequenzen

• Verletzung der Informations-Technologie• Beeinflussung von Kundenbeziehungen• Liefer- und Leistungsverzögerungen• Ausfall von eMail-Systemen• Internet Nutzung wird gestört• etc…

Wer trägt die Verantwortung ???

Wer haftet ???

Page 20: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementGrundgesetz / Verfassung

• Gültig im Umfeld öffentlichen Tätigwerdens• Abwehrrechte• Anspruchs- und Forderungstatbestände• Anrecht auf „ordnungsgemäße Behandlung“• Gewerbefreiheit / unternehmerische Freiheit• Keine störenden Beeinträchtigungen• „Staatliche“ IT muss „störungsfrei“ sein

Page 21: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementBGB

Verpflichtung zur ordnungsgemäßenVertragserfüllung bei alltäglichenGeschäftsbeziehungen.

Eingeschlossen:Pflicht zur korrekten Verarbeitung„richtiger Daten“ !!!

Page 22: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementBGB - Vertragspflichten

Hauptpflichten• Lieferung des Produkts• Stellung des Service• Lieferung „in Time“

pFV (positive Forderungsverletzung)• Ergänzende Pflichten (z. B. Handeln wie ein ordentlicher Kaufmann• Gewährleistung der Ordnungsmäßigkeit der IT

Page 23: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementBGB - Vertragspflichten

• Pflicht zur Vertragserfüllung liegt beim Lieferant

• Verletzung der Pflichten bedeutet ggf. Schadensersatzansprüche

• § 257 bestimmt über Aufbewahrung der Unterlagen

• Aufbewahrung auf Bild- oder Datenträgern ist zulässig (muss bildlich und inhaltlich mit Original übereinstimmen)

Page 24: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementAbgabenordnung

Aufbewahrungspflicht

Die sich aus der Rechnungslegung ergebendenund aufbewahrungspflichtigen Unterlagen, diemit Hilfe der Datenverarbeitung (EDV/IT) erstelltWurden, sind für die Dauer von 10 Jahren-maschinell auswertbar – aufzubewahren

(§ 147 Abs. 2 AO)

Page 25: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementKonTraG

• mehr als 20 % der Unternehmen kennen dieses Gesetz gar nicht

• nur weniger als 40 % erachten dieses Gesetz für ihre Arbeit relevant

Aber: Unwissenheit schützt vor Strafe nicht !

Page 26: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementKonTraG

• Verbesserung des Kontrollsystems nicht nur börsennotierter Aktiengesellschaften sondern alle Personengesellschaften incl. Vereine

• Frühzeitige Erkennung von Entwicklungen, die den Fortbestand des Unternehmens gefährden

Page 27: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

DatensicherheitsmanagementPflicht

• nicht vorhandene Datensicherheits- Vorsorgemaßnahmen bedeuten ggf. beihilfeartige Tatbestände (z. B. § 13 StGB)

• Beihilfe durch Unterlassen als Garant

Page 28: IT-Sicherheit und Datenschutz schützt vor Strafen und hohen Geldbußen

Vielen Dank

für Ihre Aufmerksamkeit