Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung
Fachanwaltslehrgang
Informationstechnologierecht
Dr. Thomas Lapp, Rechtsanwalt und Mediator, Frankfurt am Main
Sicherheit ist ein Prozess Sicherheit ist ein unstabiler Zustand
Sicherheit aus zwei unterschiedlichen Perspektiven
• Nur mit einem
• nachhaltigen,
• immer wiederkehrenden,
• sich ständig verbessernden
Prozess kann man die erforderliche
Sicherheit von Informationen sicher-
stellen
• Die Bedrohungssituation kann sich
ständig ändern
• Die Wirksamkeit der Schutzmaß-
nahmen kann sich ständig ändern
• Der Schutzbedarf kann sich ständig
ändern
> der Zustand der Sicherheit ist volatil
Inhalt
1. Einleitung
2. Gesetzliche Grundlagen der IT-Sicherheit
3. Ausländische und internationale Regelungen zur IT-Sicherheit
4. Anerkannte Standards, Best Practice, DIN, BSI-Grundschutzkataloge, ISO, ITIL
5. Ordnungsmäßigkeit der Datenverarbeitung (GoBS / GDPdU)
6. Authentifizierungssysteme, Cookies
7. Sonstiger Vorschriften zur Produkthaftung und -sicherheit
8. Elektro- und Elektronikgesetz
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Das Datenschutzrecht schützt natürliche Personen vor der Gefahr der Verletzung ihres
Persönlichkeitsrechts durch den Missbrauch der personenbezogenen Daten.
• Die Datensicherheit bzw. IT-Sicherheit schützen IT-Systeme, also insbesondere Hardware,
Software, Daten vor der Gefahr des Verlustes, der Zerstörung oder des Missbrauchs durch
Unbefugte.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Einleitung
• Aktuelle Herausforderungen der Datensicherheit
• Von den ersten Computerviren zu einer realen und existentiellen Bedrohung für die Wirtschaft
• Überblick über das IT-Sicherheitsrecht
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Nationale Initiative für
Internet- und Informations-
Sicherheit e.V.
Studie ,,IT-Sicherheit und Datenschutz 2017/2018”
NIFIS Umfrage: Ende-zu-Ende-Verschlüsselung…
Bei der Nutzung eines Rechenzentrums ist es am sichersten, wenn dieses seinen Standort hat in…
Unternehmen sollten unternehmenskritische Daten…
a) überhaupt nicht in der Cloud ablegen
b) nur einem Clouddienst anvertrauen, der vom Deutschen Anwaltverein auch für Berufsgeheimnis Datenträger empfohlen wird
c) nur verschlüsselt in einem Clouddienst ablegen
Was schätzen Sie, wie werden sich die Ausgaben deutscher Unternehmen für IT- und Informationssicherheit in den nächsten 12 Monaten verändern? (Antwort 2016 itsa)
d) sie werden um die Hälfte ansteigen
a) sinken c) sie werden um ein Drittel ansteigen
e) sie werden sich verdoppeln
b) in etwa auf dem gleichen Stand bleiben wie vorher auch
Was schätzen Sie, wie werden sich die Ausgaben deutscher Unternehmen für IT- und Informationssicherheit in den nächsten 12 Monaten verändern? (Antworten 2017)
d) sie werden um die Hälfte ansteigen
a) sinken c) sie werden um ein Drittel ansteigen
e) sie werden sich verdoppeln
b) in etwa auf dem gleichen Stand bleiben wie vorher auch
Was schätzen Sie, wie werden sich die Ausgaben deutscher Unternehmen für IT- und Informations-sicherheit bis zum Jahr 2025 verändern? (2016)
d) sie werden um die Hälfte ansteigen
a) sinken c) sie werden um ein Drittel ansteigen
e) sie werden sich verdoppeln
b) in etwa auf dem gleichen Stand bleiben wie vorher auch
Was schätzen Sie, wie werden sich die Ausgaben deutscher Unternehmen für IT- und Informations-sicherheit bis zum Jahr 2025 verändern? (2017)
Risikoeinschätzung
• Wie erfolgt die Einschätzung von Risiken?
• Wie werden Risiken bewertet?
Risikodefinitionen aus Corporate Governance StandardsStandard Land Terminologie (Risiko = …)
__________________________________________________________________________
CAN/CSA Q 850 Kanada … Möglichkeit einer Verletzung oder eines Verluste als Maß
einer Wahrscheinlichkeit und Schwere eines nachteiligen Effekts
bzgl. Gesundheit, Vermögen, Umwelt oder anderen Werten
BS-6079-3:2000 GB … planinhärente Unsicherheit und Möglichkeit von zielbeein-
trächtigenden Ereignissen, messbar mit Eintritts-
wahrscheinlichkeit und Auswirkung
ISO/IEC 73:2002 internat. … Kombination der Eintrittswahrscheinlichkeit eines Ereignisses
und dessen Auswirkungen
JIS Q 2001:2001 Japan … Kombination von Eintrittswahrscheinlichkeit und Schadens
-ausmaß eines Ereignisses
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Risikodefinitionen (2)
• … Kombination der Eintrittswahrscheinlichkeit eines Ereignisses
• und dessen Auswirkungen
Klassische Risikoanalyse:
R (Risiko) = W (Eintrittswahrscheinlichkeit) * S (Schadenspotential)
Kennzeichen von Hochrisikosystemen:
S > 0
W = x + (Komplexität der Interaktionen im DEPOSE-System) * (Grad der Kopplung)
DEPOSE (design, equipment, procedures, operators, supplies/materials, enviroment;
Konstruktion, Ausrüstung, Abläufe, Operateure, Material/Zubehör, Umwelt)
W > 0 R > 0
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Risikobewertungskriterien
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Schadensausmaß
• Eintrittswahrscheinlichkeit
• Ungewissheit (bezogen auf statistische Unsicherheit, echte Ungewissheit oder Unwissenheit)
• Ubiquität (geographische Reichweite potentieller Schadensausmaße)
• Persistenz (zeitliche Ausdehnung potentieller Schäden)
• Reversibilität (Möglichkeit der Wiederherstellung)
• Verzögerungswirkung (Zeitspanne zwischen dem ursprünglichen Ereignis und den eigentlichen Konsequenzen)
• Mobilisierungspotential (Verletzung individueller, sozialer oder kultureller Interessen oder Werte)
• Klinke/Renn, Prometheus Unbound. Challenges of Risk Evaluation, Risk Classification and Risk Management. Arbeitsbericht Nr. 153 der Akademie für
Technikfolgenabschätzung, Stuttgart, 1999
zentrale Kriterien
•
Risikobereiche
Renn/Klinke, Risk Evaluation and Risk Management for Institutional and Regulatory Policy, 1999
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Schutzbedarf:
Identifizieren Sie Ihre „Kronjuwelen“
• Welche Informationen müssen
absolut vertraulich / integer /
verfügbar sein, damit Ihre Firma
weiter existieren kann?
• Dann ist der Schutzbedarf dieser
Informationen sehr hoch
Identifizieren Sie Ihre TOP Risiken
für die Kronjuwelen
Eintrittswahrscheinlichkeit
x
Schadenshöhe
=
Risiko
Schutzbedarf und Risiko ermitteln
• Achtung: Personenbezogene
Daten haben immer hohen
Schutzbedarf!
Welche Schadensfälle können für diese Informationen eintreten?
Wie oft, schätzen Sie, wird dies in 3 Jahren eintreten?
Wie hoch wäre der Schaden für Ihr Unternehmen (in €)?
Für den Anfang sind auch Stufen (z.B. niedrig – mittel – hoch)
angemessen
Darstellung der TOP Risiken
Risikomatrix Risikotabelle
Nr. Risiko EW SH
1 Verschlüsselungstrojaner 2 4
2 Identitätsdiebstahl durch Phishing 3 3
3 Spionage durch Praktikanten 3 3
4 Firma brennt ab 1 4
5 Server fallen komplett aus 1 4
6 ...
Optionen für den Umgang mit RisikenVermeiden
• Dann: Risikoreiche Tätigkeit unterlassen!
Minimieren
• Geeignete Auswahl von Maßnahmen erforderlich
Überwälzen
• Restrisiken versichern, wenn möglich
Akzeptieren
• Wenn das Risiko klein genug ist
Risikoklassen
•
Risikotyp Wahrschein- Schadens- andere Risiko- Beispiele (Hensel, 15 Jahre
lichkeit ausmaß bewert.kriterien IT-Grundschutz, 2009)
__________________________________________________________________________
Damokles gering hoch nicht maßgeblich RZ-Ausfall durch (dünner Faden,
Meteoriteneinschlag fatale Wirkung)
Zyklop ungewiss hoch nicht maßgeblich RZ-Ausfall durch Erdbeben, Feuer
oder Überschwemmungen (ein Auge)
Pythia ungewiss ungewiss nicht maßgeblich Datenmissbrauch durch Google,
Verlust von unverschlüsselt. Laptop (Orakel, mehrdeutig)
Pandora ungewiss ungewiss hohe Ubiquität Serverbasierte und Peer-To-Peer (Büchse verschlossen,
hohe Persistenz basierte Botnet (SBot / PBot), keine Gefahr, sonst:
hohe Irreversibilität erfolgreiche DoS-Attacken irreversible Schäden)
Kassandra hoch hoch hohe Verzögerung Abhängigkeit von großen Teilen (nicht ernst genommen,
der IT von einem Anbieter Troja ging unter)
Medusa gering gering hohe Mobilisierung Gesundheitsgefährdung durch (Anblick verwandelt den
Mobilfunkmasten Betrachter zu Stein)
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Ursachen selektiver Risikowahrnehmung
• Verfügbarkeitsheuristik: Je leichter es fällt, konkrete Beispiele zu finden, um so größer scheint das Risiko. (Beispiel: Angst vor Trojaner)
• Wahrscheinlichkeitsvernachlässigung: Tendenz, die Eintrittswahrscheinlichkeiten kleine Risiken falsch einzuschätzen: diese werden entweder komplett ignoriert oder maßlos überschätzt. (Beispiel: aus Angst vor Terroranschlag wird Autofahrt einem Flug vorgezogen, obwohl Fliegen tatsächlich weniger riskant ist.)
• Verlustaversion: Angst vor Veränderung des Status Quo führt zur Überbewertung neuer Risiken. (Beispiel: Farbliche Veränderungen auf der Benutzeroberfläche / Frontend)
• Der Glaube an die gütige Natur: Künstliche Prozesse stehen unter einer Art Generalverdacht, während natürliche Stoffe positiv bewertet sind. (Beispiel: Laptop aus Bambus)
• Vernachlässigung systemischer Effekte: Verkennung, dass Risiken in systemischem Zusammenhang stehen und Eingriffe ins System eigene / größere Risiken hervorrufen. (Beispiel: isolierte Betrachtung von Outsourcing-Vorteilen/-Nachteilen)
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Internet der Dinge - Internet of things - IoT
• Vernetzung von Gegenständen mit dem Internet
•die selbstständig über das Internet kommunizieren und so verschiedene Aufgaben für den Besitzer erledigen können
•Anwendungsbereich
•von einer allg. Informationsversorgung
•über automatische Bestellungen
•bis hin zu Warn- und Notfallfunktionen
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Internet der Dinge – IT-Sicherheit
• Das Internet der unsicheren Dinge http://www.zeit.de/digital/internet/2016-11/it-sicherheit-politik-internet-der-dinge-botnetze
• Der Angriff, der aus dem Kühlschrank kamhttp://www.zeit.de/digital/internet/2016-10/ddos-attacke-dyn-internet-der-dinge-us-wahl
• US-Unternehmen Dyn Opfer eines breiten Angriffs auf seine Infrastruktur
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Das Internet der Dinge als Waffe
• Angriffe teilweise von vernetzten Haushaltsgeräten, Internet of Things (IoT):
• Sicherheitskameras, Kühlschränke, Thermostate, digitale Videorekorder
• Antwort liegt irgendwo zwischen krimineller Energie, Ignoranz und Unkenntnis
• Marktplatz im Darknet DDoS-Attacken: 7.500 US-Dollar soll ein Angriff mit hunderttausend infizierten Rechnern kosten.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Ignoranz der Hersteller
• ungesicherte und angreifbare Geräte.
• Hart codierte Logins und Passwörter, etwa eine vom Hersteller vorgespeicherte Kombination wie der Benutzername admin und das Passwort 123456
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Die Kunden sind Teil des Problems
• Die reine Nutzung dieser Geräte steht beim Kunden im Vordergrund, über Updates und Passwörter machen sie sich selten Gedanken
• Wann haben Sie beispielsweise das letzte Mal die Firmware ihres Routers aktualisiert? Oder ihren Smart-TV?
• Updates sind immer lästig und zudem auch Einfallstor für Schadsoftware
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Risiko Smartphone
• ständiger Begleiter
• Verwendung:
Quelle: Statista, 2016
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Smartphone Risiken
• Passwort-Ermittlung basierend auf • Reflektionen
• Verschmutzung/Fingerabdruck
• Unterschiedlichen Tönen bei Eingabe
• Handbewegungen
• Gyroskop und Accelerometer• Gyroskop misst Drehungen um eine Achse
• Accelerometer/Beschleunigungssensor misst Beschleunigung entlang einer Achse
• Bewegungen werden erfasst
• Stimmen und Laute sind zu erkennen
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Risiko PKW
• Schlechte Absicherung der Systeme
• Beispiel keyless go – das Auto ist dann mal weg
• Beispiel Reifendrucksensoren und ihre Daten
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Gesetzliche Grundlagen
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
KonTraG
Das KonTraG• In Kraft getreten am 1.5.1998
• Kein eigenständiges Gesetz, sondern ein sog. Artikelgesetz, das Ergänzungen und Änderungen in anderen Wirtschaftsgesetzen bewirkt.
• Unmittelbar betroffen sind Aktiengesellschaften und Gesellschaften, die zwei dieser Kriterien in zwei aufeinander folgenden Jahrenerfüllen:
– Bilanzsumme > 3,44 Mio. €
– Umsatz > 6,78 Mio €
– Mitarbeiterzahl > 50
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Gesetzliche Verpflichtungen zum Aufbau eines Internen Kontrollsystems (IKS)
• § 91 Abs.2 AktG
• „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
• Muss auf das einzelne Unternehmen und dessen Risikoprofil zugeschnitten sein
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Haftung des Vorstandes für die IT-Sicherheit
• Pflichten des Vorstands:
• Risikofrüherkennung sowie Verpflichtung, auf die erkannte Risiken angemessen zu reagieren, vgl. § 93 Abs.1 AktG.
• Beweislastumkehr zu Lasten der Vorstände:
• Exkulpation nur bei ordnungsgemäßer Protokollierung der getroffenen Entscheidungen und der daraufhin veranlassten und kontrollierten Maßnahmen.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Haftung auch für den GmbH-Gesellschafter
• Diese im AktG festgehaltenen Pflichten können auch für GmbHs, OHGs, KGs und andere Gesellschaftsformen gelten.
• Beispiel: § 43 GmbHG
• (1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
• (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Umfang der Haftung
• Betriebsstörungsschäden bei Kunden
• Schadensersatz wegen nicht rechtzeitiger oder unzureichender Sorge für die Sicherung des Quellcodes
• Vertragsstrafen wegen Verstoß gegen Vertraulichkeit
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Komplexität und Intransparenz
• Pflicht des Vorstands, die Früherkennung bestandsgefährdender Entwicklungen durch geeignete Maßnahmen sicherzustellen 91II AktG
• konkretisiert in § 25a Abs. 1 KWG für Banken
• verlangt für eine ordnungsgemäße Geschäftsorganisation ein angemessenes und wirksames Risikomanagement.
(OLG Düsseldorf, Beschluss vom 09. Dezember 2009 – I-6 W 45/09, 6 W 45/09 –, Rn. 56, juris)
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Compliance Officer
Aufgaben, Stellung, Haftung
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Compliance Officer ist gesetzlich nicht geregelt
• Leiterin der Rechtsabteilung, der Innenrevision sowie Compliance Officer begründet nach der Entscheidung des BGH vom 17.07.2009 (5 STR 394/08) eine Garantenstellung im Sinne von § 13 Abs. 1 StGB
Compliance Officer
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• betriebsbezogene Straftaten von Mitarbeitern, von denen sie Kenntnis erlangt, zu verhindern
• nicht auf das Schaffen von organisatorischen Voraussetzungen, mit denen das Haftungsrisiko für Unternehmen und Unternehmensleiter verringert werden kann, beschränkt
Pflichten Compliance Officer
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Stabsposition unterhalb der Geschäftsleitungsebene
• disziplinarisch, organisatorisch und finanziell unabhängig und lediglich an Weisungen der Geschäftsleitung gebunden
• Ausnahme: „vertuschende“ Weisungen
• Recht zur Eskalation und grundsätzlich unbegrenztes Auskunfts- und Einsichtrecht
• keine Entscheidung- und Weisungsbefugnis
Stellung
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Schutz- und Überwachungsfunktion:• Regelübertretungen soll vorgebeugt
• Vermögens-und Reputationsschäden sollen vermieden und
• die Regelbefolgung soll kontrolliert werden
Hauptaufgaben
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Vermutung für die Garantenstellung ergibt sich bereits aus der Übernahme des Amtes als Compliance Officer.
• BGH formuliert ausdrücklich: „dass einen derartigen Beauftragten regelmäßig strafrechtlich eine Garantenpflicht dafür trifft, im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern“
• Beweislastumkehr
Vermutung für die Garantenstellung
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Gegenbeweis dafür, dass sie alle erforderlichen präventiven Verhinderungsmaßnahmen ergriffen haben
• Compliance-System und
• eine lückenlose detaillierte Dokumentation der durchgeführten Kontroll- und Verhinderungsmaßnahmen
Gegenbeweis
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Datenschutzbeauftragte haben eine gesetzliche Pflicht, auf die Einhaltung der Vorschriften zum Datenschutz durch die verantwortliche Stelle hinzuwirken. § 4 Abs. 1 S. 1 BDSG
• Art. 39 Abs. 1 b EU DSGVO gehen darüber deutlich hinaus und sehen umfassende Überwachungspflichten für den Datenschutzbeauftragten vor
• Garantenstellung und letztlich Schadensersatzanspruch
Vergleich: Datenschutzbeauftragte -Compliance Officer
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Verpflichtungen treffen zunächst die Geschäftsleitung
• Compliance Officer sind nur stellvertretend für die Geschäftsleitung aufgrund Delegation verantwortlich
• beim ernsthaften Verdacht einer Regelmissachtung muss Compliance Officer zur Aufklärung alle ihm übertragenen Rechte ausschöpfen, um entweder den Verdacht auszuräumen oder den Verstoß zu ermitteln
Aufklärungs- und Informationspflichten
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Bei hinreichend konkretem Verdacht und ausreichend gewichtigen Anhaltspunkten für den Verstoß besteht die Pflicht, das zuständige Vorstandsmitglied zu informieren.
• Erst wenn dieses aufgrund erkennbaren Fehlgebrauch seines Ermessens trotz des Berichts nicht vorgeht, besteht eine Pflicht, das gesamte Gremium oder den Vorsitzenden zu informieren.
Informationspflichten
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Nur im Sonderfall der Betroffenheit des gesamten Vorstandes ist der Aufsichtsrat zu informieren und entsprechend
• nur bei Betroffenheit von Vorstand und Aufsichtsrat die Hauptversammlung.
Informationspflichten
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
• Teilnehmerin an den betreffenden Straftaten durch Unterlassen
• Schadensersatzansprüche
• §§ 91 Abs. 2 und 93 Abs. 1 AktG nur für den Vorstand/Geschäftsleitung
• Privilegierung wegen Arbeitnehmerstellung hilft nicht
• D&O-Versicherung wird wohl wegen Fahrlässigkeit der Pflichtverletzung Rückgriff nehmen
Rechtsfolgen bei Pflichtverletzungen
IT-Sicherheit und Datenschutz
• „ Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; insbesondere:“
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Anforderungen an Auftragsverarbeiter - Art. 28 Abs. 1
• Garantien (hinreichend)
• Geeignete technische und organisatorische Maßnahmen
• Einklang mit den Anforderungen dieser Verordnung
• Gewährleistung des Schutzes der Rechte der betroffenen Person
• Kriterien der Auswahl und fortwährender Überprüfung
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Rechtsgrundlage – EU DSGVO
• Vertrag
• schriftlich oder elektronisch
• Bindung des Auftragsverarbeiters an den
Verantwortlichen
• Wesentliche Inhalte der Verarbeitung
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Wesentliche Inhalte der Verarbeitung Art. 28 Abs. 3
• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Erheben, Erfassen, Ordnen, Speichern, Auslesen etc.
• Zweckbindung des Art. 5 Abs. 1 lit. b u. Art. 6 Abs. 4
• Art der personenbezogenen Daten, insb. Art. 9 und
10
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Wesentliche Inhalte der Verarbeitung Art. 28 Abs. 3
• Kategorien betroffener Personen (Art. 30 Abs. 1c und
Art. 33 Abs. 3a)
• abstrakt zusammengefasste Gruppen, die gemeinsame
Merkmale teilen, etwa „Beschäftigte“, „Verbraucher“
etc.
• Pflichten und Rechte der Verantwortlichen
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
dokumentierte Weisung – Art. 28 Absatz 3a
• Personenbezogene dürfen Daten nur auf
dokumentierte Weisung des Verantwortlichen
verarbeitet werden
• Weisung kann form freierteilt werden
• Auftragsverarbeiter muss die Weisung dokumentieren
• Vertrag muss Dokumentationspflicht regeln
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Vertraulichkeit – Art. 28 Absatz 3b
• Auftragsverarbeiter muss gewährleisten, dass alle zur Verarbei-
tung der personenbezogenen Daten befugten Personen sich
• zur Vertraulichkeit verpflichtet haben
• oder einer angemessen gesetzlichen Verschwiegenheitspflicht
unterliegen
• Grundsatz der „Integrität und Vertraulichkeit“ des Art. 5 Abs. 1 lit.
F, Erw.Gr. 39 S. 12
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
IT-Sicherheit – Art. 28 Abs. 3c, 32
• Angriffe von außen und allgemeine Sicherheitsrisiken
• geeignete technische und organisatorische Maßnahmen,
• um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten;
• Vertragliche Regelung gibt dem Verantwortlichen ein
Handlungsinstrument an die Hand, die Verpflichtungen
aus Art. 32 durchzusetzen
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
IT-Sicherheit
• geeignete technische und organisatorische Maßnahmen,
• Um unter Berücksichtigung des Stands der Technik ein dem Risiko angemessenes Schutzniveau zu gewährleisten;
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Maßstab Angemessenheit
• Implementierungskosten
• Art, Umfang, Umstände und Zwecke der Verarbeitung
• sowie der unterschiedlichen Eintrittswahrscheinlichkeit
• und Schwere des Risikos für die Rechte und Freiheiten
natürlicher Personen
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Unzureichend wäre also folgende Klausel:
• „Der Auftragnehmer hat die technischen und organisatorischen
Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der
Vorschriften des BDSG zu gewährleisten. Insbesondere hat er dabei
[es folgt eine Wiedergabe der Anlage zu § 9 BDSG oder ein Verweis
auf Datenschutz-Grundverordnung].“
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Art. 32 EU-DSGVO – Sicherheit der Verarbeitung von Daten
• Risikoanalyse: Bestimmung der im Einzelfall für die jeweilige Datenverarbeitung geeigneten technischen und organisatorischen Maßnahmen:
• Stand der Technik
• Implementierungskosten
• Zwecke, Art, Umfang und Umstände der Verarbeitung
• Schwere und Eintrittswahrscheinlichkeit der Risiken
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Art. 32 DSGVO ersetzt die Anlage zum BDSG
• Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 f) DSGVO
• Maßnahmen Art. 32 Abs. 1 DSGVO:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Art. 32 DSGVO
• Maßnahmen Art. 32 Abs. 1 DSGVO:
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.;
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Art. 32 Abs. 2 DSGVO - Schutzniveau
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere
die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind,
insbesondere durch — ob unbeabsichtigt oder unrechtmäßig —
Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von
beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die
übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Art. 32 Abs. 2 DSGVO –Verhaltensregeln und Zertifizierung
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als
Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des
vorliegenden Artikels genannten Anforderungen nachzuweisen.
Cloud ist …• inhomogenes Geschäftsmodell (z.B. Internet Storage, Web-Mail-Dienste, Google
Docs) und Buzz-word der IT
• häufig gekennzeichnet durch:
-Auslagerung geschäftskritischer Prozesse (inkl. Verarbeitung
personenbezogener Daten)
-Ressourcen-Pool von IT-Infrastruktur (Speicher, Rechnerkapazitäten Netze),
Plattformen und Anwendungen
-in möglichst unterschiedlichen Zeitzonen („follow the sun“ wegen
tageszeitabhängiger Auslastung)
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Cloud ist …• häufig gekennzeichnet durch:
-über den Internetbrowser nutzbar
-Pool von Anbietern bzw. Subunternehmern
(Kettenauslagerungen)
-hochskalierbar, on-demand, Abrechnung nach Verbrauch
-im Vorhinein nicht festlegbar, mit welchen Ressourcen die
Datenverarbeitung erfolgt.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
DropBox (Cloud-Dateispeicherdienst)
• Zugriff auf Dateien über verschiedene Clients
• Synchronisierung übernimmt der Diensteanbieter
• Deutsche Anbieter
Sicherheitsrisiken bei Cloud ?
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
TeamDrive DAV – das neue Kanzlei-Angebot
• Gemeinsam mit der TeamDrive Systems GmbH bietet der DAV eine Cloud-Lösung für die Mitglieder der örtlichen Anwaltvereine an: TeamDrive DAV.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Sicherheitsrisiken bei Cloud ?
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Zu betrachten ist das Gesamtsystem:
• Sicherheitslage im eigenen Betrieb
• Sicherheitslage beim Cloudanbieter mit
• Zusätzlichen Gefahren
• Aber auch professionellerem Umgang damit
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Public Cloud:
• Öffentliche zugängliche, standardisierte Leistungen, „pay per use“, für
jedermann gleichzeitig (Multimandantenfähig); Nutzer sind organisatorisch nicht
verbunden:
• hohe Skaleneffekte (Kostenersparnis)
• Keine Lokalisierung der Ressourcen, Zugriff mittels Browser über das Internet
• Datenschutz- und Sicherheitsrisiken
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Private Cloud:
• Nicht öffentlich (nur für vorab definierte Nutzer), Management und Betrieb
regelmäßig innerhalb eines Unternehmens/Konzerns geringe
Skaleneffekte
• Zugriff über Intranet oder VPN (Virtual Private Network), im Regelfall geringere
Datenschutz- und Sicherheitsrisiken
Euro Cloud:
• Lokalisierung der Ressourcen (Rechenzentren, Admin-Personal etc) in EU
Cloud Computing („Follow the sun“)• Möglicherweise Datenverarbeitung außerhalb der EU
• Technische und organisatorische Maßnahmen nach § 9 BDSG und der Anlage dazu (8 Kontrollgebote) sind bei Public Cloud kaum umzusetzen (Weitergabekontrolle?).
• Mehrere Anforderungen des § 11 BDSG kaum umsetzbar bei Public Cloud:
– Festlegung Subunternehmer?
– Auftraggeberkontrollen?
– Mandantendaten/Gesundheitsdaten in der Cloud? (§ 203 StGB)
• Achtung, wenn Anwälte Webmaildienste (Hotmail, Gmail etc) nutzen!
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Orientierungshilfe Cloud-Computing• des Arbeitskreises Technik und Medien der Konferenz der
Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises Version 2.0, Stand 09.10.2014
• Problematik nach Wegfall von safe harbour
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
§ 13 Abs. 4 TMG
• technische und organisatorische Vorkehrungen
• der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
• die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der
sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des
Satzes 2 gesperrt werden,
• der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
• Achtung:
• E-Privacy-Verordnung soll diese Regelungen ersetzen – Inkrafttreten und genauer
Regelungsinhalt sind unklar.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
§ 13 Abs. 4 TMG
• technische und organisatorische Vorkehrungen
• die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch
denselben Nutzer getrennt verwendet werden können,
• Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und
• Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des
Pseudonyms zusammengeführt werden
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
§ 13 Abs. 6 TMG
• Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym
oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und
zumutbar ist. 2Der Nutzer ist über diese Möglichkeit zu informieren.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
§ 13 Abs. 7 TMG – IT-SicherheitsG
• Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich
zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für
geschäftsmäßig angebotene Telemedien durch technische und
organisatorische Vorkehrungen sicherzustellen, dass
• kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten
technischen Einrichtungen möglich ist und
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
§ 13 Abs. 7 TMG – IT-SicherheitsG
1. …
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
§ 13 Abs. 7 TMG – IT-SicherheitsG
…
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen.
Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als
sicher anerkannten Verschlüsselungsverfahrens.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
§ 109 TKG, Technische Schutzmaßnahmen
• „(1) Jeder Diensteanbieter hat angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze
• 1. des Fernmeldegeheimnisses und personenbezogener Daten und
• 2.. der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe
• zu treffen.
• (2) Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat darüber hinaus […]
• (3) Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat einen Sicherheitsbeauftragten oder eine Sicherheitsbeauftragte zu benennen und ein Sicherheitskonzept zu erstellen, aus dem hervorgeht [….]“
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
§ 109 TKG, Technische Schutzmaßnahmen
•Beispiel für Schutzmaßnahmen nach § 109 Abs. 1 Nr. 2 TKG:
•Virenfilter
•Dabei ist zu beachten ist, dass
• Erhebung personenbezogener Daten soweit möglich und zumutbar vermieden wird;
• Protokolle nur zur Wahrung der Datensicherheit verwendet werden; nur ausnahmsweise (z.B. bei Einwilligung des Betroffenen oder strafrechtlicher Verfolgung durch die Strafverfolgungsbehörden) ist eine Durchbrechung der strikten Zweckbindung zulässig;
• Protokolle zu löschen bzw. zu sperren sind, sobald sie für den genannten Zweck nicht mehr benötigt werden.
• keine sonstigen Vereinbarungen (z.B. arbeitsvertragliche Regelung, evtl. betriebliche Übung) entgegenstehen.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Weitere Gesetzliche Grundlagen der IT-Sicherheit
• Zugangskontrolldiensteschutz-Gesetz (ZKDSG)
• Insiderverzeichnisse unter § 15b WpHG
• IT-Sicherheit als Konsequenz der Vermeidung strafrechtlicher Haftung
– § 106 UrhG (Unerlaubte Verwertung urheberrechtlich geschützter Werke)
– § 27 JuSchG (jugendgefährdende Medien)
• Vertragliche Verpflichtungen zur Etablierung von IT-Sicherheit
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Art. 35 EU-DSGVO – Datenschutz-Folgenabschätzung
• Erforderlich bei Einführung neuer Verfahren, die wahrscheinlich ein hohes Risiko für persönliche Rechte und Freiheiten betroffener Personen mit sich bringen:
• Neue Technologien, neue Verarbeitungen
• Verarbeitung großer Datenmengen oder Daten einer großen Anzahl Betroffener
• Sensibilität/Profiling/erschwerte Rechtsausübung
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Ausländische und internationale Grundlagen für die IT-Sicherheit (1)
•Ausländische und internationale (teils auch nationale) Regelungen zur IT-Sicherheit weisen häufig eine ähnliche Grob-Struktur mit ähnlichen Anforderungen an das verantwortliche Unternehmen auf.
•Dies gilt für
• Rechtsvorschriften,
• ISO Standards und
• Best-Practice-Ansätze.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Ausländische und internationale Grundlagen für die IT-Sicherheit (2)
Grob-Struktur / schematische Anforderungen:
1. IT-Sicherheitskonzept (IT Security Program)
2. Unternehmensinterne Richtlinien (Policies) zur IT-Sicherheit
3. IT-Sicherheitstrainings für Mitarbeiter (Security Awareness Trainings)
4. Prozesse zur Implementierung von technischen Sicherheitsstandards
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Ausländische und internationale Grundlagen für die IT-Sicherheit (3)
• Forts. zur Grob-Struktur / schematischen Anforderungen:
5. Prozesse zur Feststellung der Compliance mit Richtlinien (PolicyAssessment) sowie Identifikation von Schwachstellen
6. Prozesse zur Vorfall-Erkennung und –Handhabung (Incident Detection andManagement)
7. Effektives Zugriffsberechtungs-/ Identitäts- und Authorisationsmanagement (Access Control and AuthorizationManagement)
8. Resourcen- und Kapazitätenplanung (Contingency Planning / Business Continuity Planning)
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Sarbanes Oxley Act (SOX) (1)
• US-amerikanisches Gesetz aus dem Jahre 2002 zur Verbesserung der Unternehmensberichterstattung.
• Inhalt sind im Wesentlichen Aspekte der Corporate Governance, der Compliance sowie der Berichterstattungspflicht von Publikumsgesellschaften.
• Festlegung eines neuen aufsichtsrechtlichen Systems für Wirtschaftsprüfungsgesellschaften, die Unternehmen prüfen, welche von Gesetzes wegen verpflichtet sind, bei der Securities and Exchange Commission (SEC) Abschlüsse und sonstige Berichte einzureichen.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Sarbanes Oxley Act (SOX) (2)
• Durch SOX wurde ein Recognized Internal Control Frameworketabliert, das ergänzende bzw. konkretisierende Regelungen zur IT-Sicherheit enthält.
• Die Anwendbarkeit des Gesetzes betrifft zunächst einmal Unternehmen, deren Aktien an einer US-Börse gehandelt werden(daher den SEC-Rules unterliegen) und deren Töchter.
• Für den Fall der Haftung des Managements (CEO und CFO) gilt eine Beweislastumkehr und auch eine Haftung mit gestaffelten Obergrenzen bei grober Fahrlässigkeit und Vorsatz.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Basel II, Basel III (1)
• Ausgangsbasis „Basel I“–Regelungen vom Juli 1988; ab 1.1.2007 bis Ende 2012 Baseler
Eigenkapitalvereinbarung (kurz Basel II)
• Umsetzung in Deutschland durch erfolgt diese in Deutschland durch das Kreditwesengesetz (KWG),
die Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk).
• Seit 1.1.2013 Basel III in Kraft, in der EU Umsetzung schrittweise ab 2014.
• Basel II / III primär keine Datensicherheit- oder IT-Sicherheit- Regelungen, sondern Regelungen und
Verfahren zur Bewertung und Gewichtung der Kreditrisiken von Banken (sogenanntes Rating), was
wiederum spiegelbildlich zu einer entsprechenden Beurteilung der Kreditnehmer hinsichtlich deren
Eigenkapital führt.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Schema Inhalt Basel II (2007-2012) Schema Inhalt Basel III (ab 2013)
Säule 1: Mindesteigenkapitalanforderungen
1.1 Kreditausfallrisiken1.2 Marktpreisrisiken1.3 Operationelle Risiken
Säule 2: Bankenaufsichtlicher Überprüfungsprozess
2.1 Vorschriften für Banken2.2 Anforderungen an die Aufsicht
2.2.1 Laufende regelmäßige Überprüfung durch die Bankenaufsicht2.2.2 Überprüfung der Risikosteuerung und des Berichtswesens
Säule 3: Erweiterte Offenlegung / Marktdisziplin
3.1 Eigenkapitalstruktur3.2 Eingegangene Risiken und deren Beurteilung3.3 Angemessenheit der Eigenmittelausstattung
Inhalt der Reform:1.1 Kapital
1.1.1 Erhöhung der Qualität, Konsistenz und Transparenz der Eigenkapitalbasis
1.1.2 Verbesserung der Risikodeckung1.1.3 Einführung einer Verschuldungs-grenze (Leverage-Ratio)1.1.4 Reduktion von Prozyklität und Stärkung von
antizyklischen Puffern1.1.5 Systemische Risiken und gegenseitige
Geschäftsbeziehungen
1.2 Liquidität 1.2.1 Liquidity Coverage Ratio1.2.2 Net Stable Funding Ratio
1.3 Übergangsphase
Basel II, Basel III (2)
• Basel II bzw. III. kann für den IT-Bereich in mehrfacher Weise von Bedeutung sein:
1. Es enthält u.a. konkrete Anforderungen an die Sicherheit von IT-Systemen in Kreditinstituten, an die Verfügbarkeit von ihrer Daten etc.
2. Das vorgeschriebene Basel II-Rating kann auch mittels einer Rating-Software durchgeführt werden, wobei die SolvabilitätsverordnungVorgaben an die Plausibilität und Nachvollziehbarkeit des Ratings für das jeweilige Kreditinstitut macht. Eine Reihe von Software-Anbietern haben Rating-Software entwickelt.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Basel II, Basel III (3)
Im Rahmen der Bewertung operationeller Risiken rücken darüber hinaus
auch Projekte zur Softwareerstellung, Outsourcing, Rechenzentrums-
Betreiber-Verträge von Kreditinstituten mit Auftragnehmern/Anbietern
u.ä. in das Licht von Basel II bzw. den daraus resultierenden Pflichten.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Solvency II
• Eine ähnliche Wirkung wie Basel II bzw. III. für die Banken (und damit
indirekt auch für die Unternehmen, die Kredite aufnehmen) geht von
Solvency II für die Versicherungsbranche aus.
• Seit Januar 2016 Kraft
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Friktionen (1)
• Verschiedene Vorschriften / Regelungen zur IT-Sicherheit haben teils kongruente, teils inkongruente Anforderungen.
• Eine Synchronisierung dieser Regelungen zum Zwecke einer einheitlichen IT-Sicherheitsinfrastruktur im Unternehmen stößt bisweilen an gravierende Probleme bzw. Grenzen.
• Daneben bestehen Friktionen zu anderen Rechtsgebieten, insbesondere Datenschutz- und Arbeitsrecht.
• Beispiel: SOX-konformes Compliance-Management in deutschen Töchtern US-amerikanischer Konzernmütter, insbesondere Whistleblowing-Systeme (gem. Sec. 306 SOX)
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
IDW PS 850: Projektbegleitende Prüfung beim Einsatz von IT Punkt 2 Textziffer (21) –
(25):
• Projektrisiken resultieren aus Projektmanagement und Projektgegenstand
• Projektmanagementrisiken:
– unzureichende Projektorganisation
– unzureichendes Projektcontrolling
– daraus folgend Überschreitung von Kosten- und Zeitbudgets
• Projektrisiken bei Erstellung von Individualsoftware:
– unzureichende Funktionsumfang der Software
– unzureichende Ausgestaltung der Funktionalitäten
– unzureichende anwendungsbezogene Eingabe-, Verarbeitungs-, Ausgabekontrolle der IT
– unzureichende Dokumentationen
– unzureichende Umsetzung von gesetzlichen Anforderungen (z.B. GoBS, GDPdU)
– Anpassung der Geschäftsprozesse des Kunden eher weniger erforderlich
COBIT 4.0UnternehmenszieleDeliver and Support
im laufendenden Betrieb
- SLA Management
- Vendor Management
- Perfomance und Kapazität
des IT-Systems
- Kontinuierlicher Softwarebetrieb
- Systemsicherheit (IT Security)
- Kostenallokation / -verrechnung
- Kenntnisse der User
- Service-Desk und
Incidents-Management (u.a.
Reaktions-
Wiederherstellungszeiten)
- Konfigurationsrisiken
- Risiken im Bereich Operations
(day-to-day IT operations)
- …
Information
Plan and
Organise
Acquire
and Implement
Deliver
and Support
Monitor
and Evaluate
Governance Ziele
IT-Ressources
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Standards und Best Practices
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Klare Standpunkte erlauben juristische Wertungen
Beurteilbarkeit schafft Klare Standpunkte
Übersicht schafft Beurteilbarkeit
Regeln schaffen Übersicht
Normen schaffen Regeln
Standards und Best Practices (1)
• IT-Grundschutz-Kompendium - Edition 2018 – des BSI Gesamtziele:
o Skalierbarkeit an Unternehmensgröße und Schutzbedarf
o Flexibilisierung der Vorgehensweise
o Stärkere Berücksichtigung von anwenderspezifischen Anforderungen durch Profilbildung
o Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge
o Beschleunigung der Umsetzung von Sicherheitsmaßnahmen
o Dynamisierung durch Adaption von Lageinformationen
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Standards und Best Practices (1)
• IT-Grundschutz-Kompendium - Edition 2018 – des BSI:
•1. Edition 2018 die ersten 80 IT-Grundschutz-Bausteine
• Risikobewertung für Bereiche mit normalem Schutzbedarf
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Standards und Best Practice (2)
•Die ISO 27001- IT-Sicherheitsmanagement
•spezifiziert die Anforderungen für
• Herstellung,
• Einführung,
• Betrieb,
• Überwachung,
• Wartung und
• Verbesserung eines
• dokumentierten
•Information Security Management Systems (ISMS) unter Berücksichtigung der Risiken innerhalb der gesamten Organisation.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Die ISO 27001- IT-Sicherheitsmanagement
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
ISO 2700X Aufbau Inhalt und Methodik
•Das BSI bietet seit einiger Zeit eine Kombination beider Standards in einem einheitlichen und anerkannten Verfahren an.
•Dieses Modell ist zur Zeit eines der gängigsten Vorgehensweisen bei der Umsetzung eines ISMS. Die Vergabestelle ist dabei das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Standards und Best Practice (3)
DIN-Normen:
z.B. DIN 66901 betrifft das Pflichtenheft. Danach ist das Pflichtenheft die ausführliche Beschreibung der Leistungen, die erforderlich sind oder gefordert werden, damit die Ziele des Projekts erreicht werden.
Bsp.: DIN EN 61508-1; VDE 0803-1:2011-02
Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme
Etliche Normentwürfe zu IT-Sicherheit in Arbeit
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Standards und Best Practices (4)
Common Criteria:
• ist ein internationaler Standard über die Kriterien der Bewertung und Zertifizierung der Sicherheit von Computersystemen im Hinblick auf Datensicherheit und Datenschutz.
• Im Jahre 1999 sind die Common Criteria, zum ISO Standard 15408erklärt worden.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Standards und Best Practices (5)
Die IT Infrastructure Library (ITIL):
Unter ITIL versteht man eine Sammlung von vordefinierten und standardisierten Prozessen, Funktionen und Rollen, wie sie typischerweise in jeder IT-Infrastruktur von mittleren und großen Unternehmen vorkommen. ITIL beschreibt in fünf Kernbänden mit derzeit 37 Kernprozessen die Komponenten und Abläufe des Lebenszyklus von IT-Services (IT-Service-Managements (ITSM)). …
Es handelt sich dabei lediglich um Best Practice-Vorschläge, die an die Bedürfnisse des Unternehmens angepasst werden müssen.
(Quelle: Wikipedia Stand 20.4.2016)
.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Die IT Infrastructure Library (ITIL)
•Die ITIL orientiert sich an dem durch den IT-Betrieb zu
erbringenden wirtschaftlichen Mehrwert für den Kunden. Dabei
werden die Planung, Erbringung, Unterstützung und Effizienz-
Optimierung von IT-Serviceleistungen im Hinblick auf ihren Nutzen
als relevante Faktoren zur Erreichung der Geschäftsziele eines
Unternehmens betrachtet.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Ordnungsmäßigkeit – GoBD (1)
• Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
• Authentifizierungssysteme
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
GoBD (2)
• Verwaltungsanweisungen (Schreiben des Bundesministers der Finanzen), welche Regelungen aus dem HGB sowie hierzu parallel laufenden Vorschriften der AO konkretisieren.
• Nach § 238 HGB ist jeder Kaufmann verpflichtet, Bücher zu führen und in diesen seine Arbeitsgeschäfte und die Lage seines Vermögens nach den „Grundsätzen ordnungsgemäßer Buchführung“ (GoB) ersichtlich zu machen.
• lösen die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) ab
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
GoBD (3)
• Eine Spezifizierung und Konkretisierung der GoB auf die Anforderungen der DV-gestützten Buchführung sind die insbesondere in Schreiben des BMF zusammengefassten Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
• Zweck der GoBD ist v.a., die im Bereich der herkömmlichen analogen Buchführung geltenden Anforderungen, insbesondere an die Verfügbarkeit von Informationen, sowie deren Fälschungssicherheit und nachträgliche Unveränderbarkeit, auf eine elektronische Buchführung zu übertragen.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
GoBD (4)
Die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern,
Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
(GoBD) werden im Zusammenwirken zwischen Finanzverwaltungen von Bund und
Ländern, Wirtschaftsverbänden und den steuerberatenden Berufen abgestimmt. Das
BMF-Schreiben fasst die Anforderungen der Finanzverwaltung an eine IT-gestützte
Buch-führung praxisgerecht zusammen und sorgt für die für die Unternehmen
wichtige Rechtsklarheit.
http://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerth
emen/Abgabenordnung/Datenzugriff_GDPdU/2014-11-14-GoBD.html
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
GoBD (5)
• Die Datenschutz-Behörden haben relativ bald erkannt, dass es eine Art Querverbindung bzw. gemeinsamen Bezug zwischen GoBD (früher: GoBS und GDPdU) einerseits und Datenschutzrecht andererseits über die Ordnungsmäßigkeit der Datenverarbeitung gibt.
• Zu den Ordnungsmäßigkeitskriterien gehören u.a. die Verfügbarkeiten der Daten bzw. deren Zugänglichkeit sowie die Nachvollziehbarkeit von Veränderungen.
• Ausdrücklich geregelt sind unter anderem Verantwortlichkeit, Internes Kontrollsystem, Datensicherheit, Zertifizierung und Softwaretestate
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren
Cookies
Authentifizierungssysteme (1)
•Authentifizierungssysteme sollen es dem Nutzer möglich machen, sich mit Hilfe
eines einzigen „digitalen Ausweises“ auf allen Web-Sites einzuloggen, die das
jeweilige Ausweissystem unterstützen, anstatt sich für jede einzelne Seite
Benutzername und Passwort merken zu müssen.
•Cookies sind nicht per se unzulässig, soweit sie einem zulässigen Zweck dienen, etwa
• - bei Authentifizierungssystemen zur Identifizierung oder
• - damit sich der Nutzer nicht bei jedem Website-Zugriff neu registrieren muss.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Authentifizierungssystemen (2)Funktionsweise
Eingabe einer E-Mail-Adresse und einem Kennwort
Verschlüsselter Cookie beim Nutzer wird angelegt
Zuteilung Identifikationskennung
(Passport Unique Identifier / PUID)
Diese enthält keine persönlichen Daten.
PUID wird zusammen mit weiteren Informationen zusammengefasst
und dem Web-Server verschlüsselt zur Verfügung gestellt, wo es
entschlüsselt wird.
Authentifizierung
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Authentifizierungssystemen (3)Sicherheits- und Datenschutzrisiken
• Gemäß § 14 Abs. 6 TMG muss der Diensteanbieter dem Nutzer die anonyme Nutzung oder Nutzung unter
Pseudonym ermöglichen und den Nutzer darüber informieren.
• Die Auswertung von Authentifizierungsdaten ermöglichen personenbezogene Nutzerprofile.
• Zum Schutz der Nutzer dürfen diese personenbezogenen Nutzerdaten nicht für andere Zwecke als
Authentifizierung genutzt werden (Zweckbindung).
• Schwierigkeit: Die Rechtsgrundlage für die datenschutzrechtliche Beurteilung von Authentifizierungssystemen
ist verteilt auf:
• - Telekommunikationsgesetz (TKG),
• - Telemediengesetz (TMG) und
• - Bundesdatenschutzrecht (BDSG).
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Authentifizierungssysteme (4)Nutzungsprofile
• Mittels der PUID als Pseudonym für den jeweiligen Nutzer besteht die Möglichkeit, Nutzerprofile zu
erstellen.
• Gemäß § 15 Abs. 3 TMG dürfen diese jedoch nur für Zwecke der Werbung, der Marktforschung oder
zur bedarfsgerechten Gestaltung der angebotenen Dienste erstellt und genutzt werden.
• Profile nicht mit Daten über den Pseudonymträger verbunden werden, § 13 Abs. 4 S. 1 Nr. 6 TMG.
• Solange Nutzerprofile personenbeziehbar sind, dürfen sie insbesondere nicht an Dritte
weitergegeben (etwa verkauft) werden, ohne dass der Nutzer zugestimmt hätte.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Authentifizierungssysteme (5)Sicherheitsanforderungen
• Der Betreiber eines Authentifizierungssystems muss gewährleisten,
• dass unbefugte Dritte keinen Zugriff auf die Daten der Nutzer haben können.
• dass durch die Verwendung von SSL-Verbindungen und Verschlüsselungen das Sammeln von Kundeninformationen unterbunden wird.
• dass verhindert wird, dass sich ein Angreifer als Passport-Betreiber ausgibt, um den Nutzer zur Eingabe von Benuterzname und Kennwort zu bewegen (sog. Spoofing)
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Authentifizierungssysteme (6) = Identifizierungssysteme ?
• Authentifizierungssysteme stellen keine Identifizierungssysteme dar.
• Eine Registrierung kann von jedermann mit Hilfe einer beliebigen E-Mail-Adresse beantragt werden; eine Prüfung der Identität findet gerade nicht statt. Deshalb werden durch Authentifizierungssysteme die Voraussetzungen von § 126a BGB bzw. des SigG nicht erfüllt.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Authentifizierzungssystem (7)Speziell zu Cookies
• Zu beachten sind jedoch die Anforderungen der §§ 13, 15 TMG, insbesondere Löschen von Zugriffs-
/ Nutzungsdaten unmittelbar nach Beendigung des Zugriffs / der Nutzung (§ 13 Abs. 4 S. 1 Nr. 2
TMG).
• Längere Speicherung und ggf. Auswertung von Cookie-Daten für Nutzerprofile (Kundeninteressen)
nur nach vorheriger ausreichender Aufklärung und Einwilligung des Nutzers.
• Einwilligung muss freiwillig sein, d.h. der Nutzer muss Cookies ablehnen können. Allerdings kann
der Anbieter möglicherweise die Nutzung des Dienstes davon abhängig machen, ob der Nutzer
Cookies akzeptiert (str.).
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Produkthaftung und -sicherheit (1)
• Beispiel: Ein Hersteller einer „Embedded Software“ (z.B. Fahrzeigelektronik) gibt eine Sicherheitslücke bekannt
oder sie wird anderweitig öffentlich, aber der Hersteller stellt nicht rechtzeitig geeignete Gegenmaßnahme
bereit.
• IT-Sicherheitslücken können sich als Konstruktionsfehler erweisen.
• Hinweispflichten darauf können sich aus Produktbeobachtungs- und Warnpflichten ergeben.
• Zu den Pflichten des Herstellers gehört zudem - bei Auftreten eines entsprechenden Produktfehlers - die Rückrufpflicht.
• Das Geräte- und Produktsicherheitsgesetz (GPSG) hat die Pflichten des Herstellers bei evtl. drohenden Personenschäden (bei
Verbrauchern) erweitert. Auch Software ist von GPSG erfasst. Über die Kombination mit § 823 Abs. 2 BGB können sich
demnach zivilrechtliche Ansprüche ergeben.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Produkthaftung und -sicherheit (2)
• Zumindest Standardsoftware kann der Produkthaftung nach dem ProdHaftG unterfallen (str.).
• Allerdings sind nur Schäden an privat genutzten Sachen sowie Personenschäden ersatzpflichtig.
• Soweit die Software im gewerblichen bzw. im kommerziellen Bereich eingesetzt wird, scheidet die Anwendung des ProdhaftG aus.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
Elektro- und Elektronikgesetz (1)
• ElektroG seit 24. März 2005 in Kraft
• Ziel: Umweltschutz durch Streben nach besonders langlebige und gut verwertungsfähige Neugeräte
• Verpflichtete: Hersteller von Elektro- und Elektronikgeräten; dazu zählen auch Hersteller von Informations- und
Telekommunikationstechnik
• Regelungen u.a.:
• - Begrenzung gefährlicher Stoffe in Geräten (z.B. Blei, Quecksilber)
• - Rücknahme- und Entsorgungspflicht für die Hersteller
• Regelungen zu gefährlichen Stoffen gelten für Elektrogeräte, die ab dem 01.07.2006 auf den Markt gebracht werden
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
ElektroG (2)
• Objekte des ElektroG eingeteilt in 10 Geräte-Kategorien, u.a.:
• „[…]
3. Geräte der Informations- und Telekommunikationstechnik (Computer, Drucker, Kopierer, Faxgeräte und
Telefon)
• […]“
• Kollektives Rücknahmesystem (kommunalen Sammelstellen): Abgabepflicht für Besitzer von Altgeräten aus
privaten Haushalten
• Vom Hersteller sind unentgeltlich Sammelbehältern bereitzustellen abzuholen.
• Anteil der abzuholenden Altgeräte berechnet sich nach dem jeweiligen Marktanteil des Herstellers. Dieser
Marktanteil wird wiederum nach den von Herstellern in Verkehr gebrachten Geräten bestimmt.
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
ElektroG (3)
• Evtl. Rechtsfolgen gegen Hersteller bei Verstößen gegen ElektroG:
• - Bußgelder
• - u.U. Beschlagnahme von Geräte
• Bei Vertrieb von Hardware ist also zu prüfen:
• - Fallen die Geräte in den Anwendungsbereich des ElektroG ?
• - Wer ist verantwortlich im Sinne des ElektroG ?
Einleitung Gesetzliche
Grundlagen
Internationale
Regelungen
Standards/
Best Practice
GoBS / GDPdU Produkthaftung und -
sicherheit
ElektroG1. 2. 3. 4. 5. 6. 7. 8.
Authentifizieren Cookies
• Dr. Thomas LappRechtsanwalt und Mediator, Fachanwalt für IT-Recht
• Corinna LappRechtsanwältin und MediatorinFachanwältin für IT-Recht
• Berkersheimer Bahnstraße 5, 60435 Frankfurt
• Tel.: 069/9540 8865 - [email protected] –www.dr-lapp.de
IT-Kanzlei dr-lapp.de GbR