compliance, it-sicherheit, ordnungsmäßigkeit der ... · 2. gesetzliche grundlagen der...

Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung

Fachanwaltslehrgang

Informationstechnologierecht

Dr. Thomas Lapp, Rechtsanwalt und Mediator, Frankfurt am Main

Sicherheit ist ein Prozess Sicherheit ist ein unstabiler Zustand

Sicherheit aus zwei unterschiedlichen Perspektiven

• Nur mit einem

• nachhaltigen,

• immer wiederkehrenden,

• sich ständig verbessernden

Prozess kann man die erforderliche

Sicherheit von Informationen sicher-

stellen

• Die Bedrohungssituation kann sich

ständig ändern

• Die Wirksamkeit der Schutzmaß-

nahmen kann sich ständig ändern

• Der Schutzbedarf kann sich ständig

ändern

> der Zustand der Sicherheit ist volatil

Inhalt

1. Einleitung

2. Gesetzliche Grundlagen der IT-Sicherheit

3. Ausländische und internationale Regelungen zur IT-Sicherheit

4. Anerkannte Standards, Best Practice, DIN, BSI-Grundschutzkataloge, ISO, ITIL

5. Ordnungsmäßigkeit der Datenverarbeitung (GoBS / GDPdU)

6. Authentifizierungssysteme, Cookies

7. Sonstiger Vorschriften zur Produkthaftung und -sicherheit

8. Elektro- und Elektronikgesetz

Einleitung Gesetzliche

Grundlagen

Internationale

Regelungen

Standards/

Best Practice

GoBS / GDPdU Produkthaftung und -

sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Das Datenschutzrecht schützt natürliche Personen vor der Gefahr der Verletzung ihres

Persönlichkeitsrechts durch den Missbrauch der personenbezogenen Daten.

• Die Datensicherheit bzw. IT-Sicherheit schützen IT-Systeme, also insbesondere Hardware,

Software, Daten vor der Gefahr des Verlustes, der Zerstörung oder des Missbrauchs durch

Unbefugte.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Einleitung

• Aktuelle Herausforderungen der Datensicherheit

• Von den ersten Computerviren zu einer realen und existentiellen Bedrohung für die Wirtschaft

• Überblick über das IT-Sicherheitsrecht


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Nationale Initiative für

Internet- und Informations-

Sicherheit e.V.

Studie ,,IT-Sicherheit und Datenschutz 2017/2018”

NIFIS Umfrage: Ende-zu-Ende-Verschlüsselung…

Bei der Nutzung eines Rechenzentrums ist es am sichersten, wenn dieses seinen Standort hat in…

Unternehmen sollten unternehmenskritische Daten…

a) überhaupt nicht in der Cloud ablegen

b) nur einem Clouddienst anvertrauen, der vom Deutschen Anwaltverein auch für Berufsgeheimnis Datenträger empfohlen wird

c) nur verschlüsselt in einem Clouddienst ablegen

Was schätzen Sie, wie werden sich die Ausgaben deutscher Unternehmen für IT- und Informationssicherheit in den nächsten 12 Monaten verändern? (Antwort 2016 itsa)

d) sie werden um die Hälfte ansteigen

a) sinken c) sie werden um ein Drittel ansteigen

e) sie werden sich verdoppeln

b) in etwa auf dem gleichen Stand bleiben wie vorher auch

Was schätzen Sie, wie werden sich die Ausgaben deutscher Unternehmen für IT- und Informationssicherheit in den nächsten 12 Monaten verändern? (Antworten 2017)





Was schätzen Sie, wie werden sich die Ausgaben deutscher Unternehmen für IT- und Informations-sicherheit bis zum Jahr 2025 verändern? (2016)





Was schätzen Sie, wie werden sich die Ausgaben deutscher Unternehmen für IT- und Informations-sicherheit bis zum Jahr 2025 verändern? (2017)

Risikoeinschätzung

• Wie erfolgt die Einschätzung von Risiken?

• Wie werden Risiken bewertet?

Risikodefinitionen aus Corporate Governance StandardsStandard Land Terminologie (Risiko = …)

__________________________________________________________________________

CAN/CSA Q 850 Kanada … Möglichkeit einer Verletzung oder eines Verluste als Maß

einer Wahrscheinlichkeit und Schwere eines nachteiligen Effekts

bzgl. Gesundheit, Vermögen, Umwelt oder anderen Werten

BS-6079-3:2000 GB … planinhärente Unsicherheit und Möglichkeit von zielbeein-

trächtigenden Ereignissen, messbar mit Eintritts-

wahrscheinlichkeit und Auswirkung

ISO/IEC 73:2002 internat. … Kombination der Eintrittswahrscheinlichkeit eines Ereignisses

und dessen Auswirkungen

JIS Q 2001:2001 Japan … Kombination von Eintrittswahrscheinlichkeit und Schadens

-ausmaß eines Ereignisses


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Risikodefinitionen (2)

• … Kombination der Eintrittswahrscheinlichkeit eines Ereignisses

• und dessen Auswirkungen

Klassische Risikoanalyse:

R (Risiko) = W (Eintrittswahrscheinlichkeit) * S (Schadenspotential)

Kennzeichen von Hochrisikosystemen:

S > 0

W = x + (Komplexität der Interaktionen im DEPOSE-System) * (Grad der Kopplung)

DEPOSE (design, equipment, procedures, operators, supplies/materials, enviroment;

Konstruktion, Ausrüstung, Abläufe, Operateure, Material/Zubehör, Umwelt)

W > 0 R > 0


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Risikobewertungskriterien


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Schadensausmaß

• Eintrittswahrscheinlichkeit

• Ungewissheit (bezogen auf statistische Unsicherheit, echte Ungewissheit oder Unwissenheit)

• Ubiquität (geographische Reichweite potentieller Schadensausmaße)

• Persistenz (zeitliche Ausdehnung potentieller Schäden)

• Reversibilität (Möglichkeit der Wiederherstellung)

• Verzögerungswirkung (Zeitspanne zwischen dem ursprünglichen Ereignis und den eigentlichen Konsequenzen)

• Mobilisierungspotential (Verletzung individueller, sozialer oder kultureller Interessen oder Werte)

• Klinke/Renn, Prometheus Unbound. Challenges of Risk Evaluation, Risk Classification and Risk Management. Arbeitsbericht Nr. 153 der Akademie für

Technikfolgenabschätzung, Stuttgart, 1999

zentrale Kriterien

•

Risikobereiche

Renn/Klinke, Risk Evaluation and Risk Management for Institutional and Regulatory Policy, 1999


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Schutzbedarf:

Identifizieren Sie Ihre „Kronjuwelen“

• Welche Informationen müssen

absolut vertraulich / integer /

verfügbar sein, damit Ihre Firma

weiter existieren kann?

• Dann ist der Schutzbedarf dieser

Informationen sehr hoch

Identifizieren Sie Ihre TOP Risiken

für die Kronjuwelen

Eintrittswahrscheinlichkeit

x

Schadenshöhe

=

Risiko

Schutzbedarf und Risiko ermitteln

• Achtung: Personenbezogene

Daten haben immer hohen

Schutzbedarf!

Welche Schadensfälle können für diese Informationen eintreten?

Wie oft, schätzen Sie, wird dies in 3 Jahren eintreten?

Wie hoch wäre der Schaden für Ihr Unternehmen (in €)?

Für den Anfang sind auch Stufen (z.B. niedrig – mittel – hoch)

angemessen

Darstellung der TOP Risiken

Risikomatrix Risikotabelle

Nr. Risiko EW SH

1 Verschlüsselungstrojaner 2 4

2 Identitätsdiebstahl durch Phishing 3 3

3 Spionage durch Praktikanten 3 3

4 Firma brennt ab 1 4

5 Server fallen komplett aus 1 4

6 ...

Optionen für den Umgang mit RisikenVermeiden

• Dann: Risikoreiche Tätigkeit unterlassen!

Minimieren

• Geeignete Auswahl von Maßnahmen erforderlich

Überwälzen

• Restrisiken versichern, wenn möglich

Akzeptieren

• Wenn das Risiko klein genug ist

Risikoklassen

•

Risikotyp Wahrschein- Schadens- andere Risiko- Beispiele (Hensel, 15 Jahre

lichkeit ausmaß bewert.kriterien IT-Grundschutz, 2009)

__________________________________________________________________________

Damokles gering hoch nicht maßgeblich RZ-Ausfall durch (dünner Faden,

Meteoriteneinschlag fatale Wirkung)

Zyklop ungewiss hoch nicht maßgeblich RZ-Ausfall durch Erdbeben, Feuer

oder Überschwemmungen (ein Auge)

Pythia ungewiss ungewiss nicht maßgeblich Datenmissbrauch durch Google,

Verlust von unverschlüsselt. Laptop (Orakel, mehrdeutig)

Pandora ungewiss ungewiss hohe Ubiquität Serverbasierte und Peer-To-Peer (Büchse verschlossen,

hohe Persistenz basierte Botnet (SBot / PBot), keine Gefahr, sonst:

hohe Irreversibilität erfolgreiche DoS-Attacken irreversible Schäden)

Kassandra hoch hoch hohe Verzögerung Abhängigkeit von großen Teilen (nicht ernst genommen,

der IT von einem Anbieter Troja ging unter)

Medusa gering gering hohe Mobilisierung Gesundheitsgefährdung durch (Anblick verwandelt den

Mobilfunkmasten Betrachter zu Stein)


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Ursachen selektiver Risikowahrnehmung

• Verfügbarkeitsheuristik: Je leichter es fällt, konkrete Beispiele zu finden, um so größer scheint das Risiko. (Beispiel: Angst vor Trojaner)

• Wahrscheinlichkeitsvernachlässigung: Tendenz, die Eintrittswahrscheinlichkeiten kleine Risiken falsch einzuschätzen: diese werden entweder komplett ignoriert oder maßlos überschätzt. (Beispiel: aus Angst vor Terroranschlag wird Autofahrt einem Flug vorgezogen, obwohl Fliegen tatsächlich weniger riskant ist.)

• Verlustaversion: Angst vor Veränderung des Status Quo führt zur Überbewertung neuer Risiken. (Beispiel: Farbliche Veränderungen auf der Benutzeroberfläche / Frontend)

• Der Glaube an die gütige Natur: Künstliche Prozesse stehen unter einer Art Generalverdacht, während natürliche Stoffe positiv bewertet sind. (Beispiel: Laptop aus Bambus)

• Vernachlässigung systemischer Effekte: Verkennung, dass Risiken in systemischem Zusammenhang stehen und Eingriffe ins System eigene / größere Risiken hervorrufen. (Beispiel: isolierte Betrachtung von Outsourcing-Vorteilen/-Nachteilen)


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Internet der Dinge - Internet of things - IoT

• Vernetzung von Gegenständen mit dem Internet

•die selbstständig über das Internet kommunizieren und so verschiedene Aufgaben für den Besitzer erledigen können

•Anwendungsbereich

•von einer allg. Informationsversorgung

•über automatische Bestellungen

•bis hin zu Warn- und Notfallfunktionen


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Internet der Dinge – IT-Sicherheit

• Das Internet der unsicheren Dinge http://www.zeit.de/digital/internet/2016-11/it-sicherheit-politik-internet-der-dinge-botnetze

• Der Angriff, der aus dem Kühlschrank kamhttp://www.zeit.de/digital/internet/2016-10/ddos-attacke-dyn-internet-der-dinge-us-wahl

• US-Unternehmen Dyn Opfer eines breiten Angriffs auf seine Infrastruktur


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

http://www.zeit.de/digital/internet/2016-11/it-sicherheit-politik-internet-der-dinge-botnetze

http://www.zeit.de/digital/internet/2016-10/ddos-attacke-dyn-internet-der-dinge-us-wahl

http://www.zeit.de/digital/internet/2016-10/dyn-internetdienstleister-hacker-angriff-twitter-spotify

Das Internet der Dinge als Waffe

• Angriffe teilweise von vernetzten Haushaltsgeräten, Internet of Things (IoT):

• Sicherheitskameras, Kühlschränke, Thermostate, digitale Videorekorder

• Antwort liegt irgendwo zwischen krimineller Energie, Ignoranz und Unkenntnis

• Marktplatz im Darknet DDoS-Attacken: 7.500 US-Dollar soll ein Angriff mit hunderttausend infizierten Rechnern kosten.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

http://www.golem.de/news/ddos-fuer-7-500-us-dollar-hacker-verkaufen-zugang-zu-iot-botnetz-im-darknet-1610-123989.html

Ignoranz der Hersteller

• ungesicherte und angreifbare Geräte.

• Hart codierte Logins und Passwörter, etwa eine vom Hersteller vorgespeicherte Kombination wie der Benutzername admin und das Passwort 123456


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Die Kunden sind Teil des Problems

• Die reine Nutzung dieser Geräte steht beim Kunden im Vordergrund, über Updates und Passwörter machen sie sich selten Gedanken

• Wann haben Sie beispielsweise das letzte Mal die Firmware ihres Routers aktualisiert? Oder ihren Smart-TV?

• Updates sind immer lästig und zudem auch Einfallstor für Schadsoftware


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Risiko Smartphone

• ständiger Begleiter

• Verwendung:

Quelle: Statista, 2016


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Smartphone Risiken

• Passwort-Ermittlung basierend auf • Reflektionen

• Verschmutzung/Fingerabdruck

• Unterschiedlichen Tönen bei Eingabe

• Handbewegungen

• Gyroskop und Accelerometer• Gyroskop misst Drehungen um eine Achse

• Accelerometer/Beschleunigungssensor misst Beschleunigung entlang einer Achse

• Bewegungen werden erfasst

• Stimmen und Laute sind zu erkennen


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Risiko PKW

• Schlechte Absicherung der Systeme

• Beispiel keyless go – das Auto ist dann mal weg

• Beispiel Reifendrucksensoren und ihre Daten


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Gesetzliche Grundlagen

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

KonTraG

Das KonTraG• In Kraft getreten am 1.5.1998

• Kein eigenständiges Gesetz, sondern ein sog. Artikelgesetz, das Ergänzungen und Änderungen in anderen Wirtschaftsgesetzen bewirkt.

• Unmittelbar betroffen sind Aktiengesellschaften und Gesellschaften, die zwei dieser Kriterien in zwei aufeinander folgenden Jahrenerfüllen:

– Bilanzsumme > 3,44 Mio. €

– Umsatz > 6,78 Mio €

– Mitarbeiterzahl > 50


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Gesetzliche Verpflichtungen zum Aufbau eines Internen Kontrollsystems (IKS)

• § 91 Abs.2 AktG

• „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

• Muss auf das einzelne Unternehmen und dessen Risikoprofil zugeschnitten sein


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Haftung des Vorstandes für die IT-Sicherheit

• Pflichten des Vorstands:

• Risikofrüherkennung sowie Verpflichtung, auf die erkannte Risiken angemessen zu reagieren, vgl. § 93 Abs.1 AktG.

• Beweislastumkehr zu Lasten der Vorstände:

• Exkulpation nur bei ordnungsgemäßer Protokollierung der getroffenen Entscheidungen und der daraufhin veranlassten und kontrollierten Maßnahmen.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Haftung auch für den GmbH-Gesellschafter

• Diese im AktG festgehaltenen Pflichten können auch für GmbHs, OHGs, KGs und andere Gesellschaftsformen gelten.

• Beispiel: § 43 GmbHG

• (1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

• (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Umfang der Haftung

• Betriebsstörungsschäden bei Kunden

• Schadensersatz wegen nicht rechtzeitiger oder unzureichender Sorge für die Sicherung des Quellcodes

• Vertragsstrafen wegen Verstoß gegen Vertraulichkeit


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Komplexität und Intransparenz

• Pflicht des Vorstands, die Früherkennung bestandsgefährdender Entwicklungen durch geeignete Maßnahmen sicherzustellen 91II AktG

• konkretisiert in § 25a Abs. 1 KWG für Banken

• verlangt für eine ordnungsgemäße Geschäftsorganisation ein angemessenes und wirksames Risikomanagement.

(OLG Düsseldorf, Beschluss vom 09. Dezember 2009 – I-6 W 45/09, 6 W 45/09 –, Rn. 56, juris)


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Compliance Officer

Aufgaben, Stellung, Haftung


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Compliance Officer ist gesetzlich nicht geregelt

• Leiterin der Rechtsabteilung, der Innenrevision sowie Compliance Officer begründet nach der Entscheidung des BGH vom 17.07.2009 (5 STR 394/08) eine Garantenstellung im Sinne von § 13 Abs. 1 StGB

Compliance Officer


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• betriebsbezogene Straftaten von Mitarbeitern, von denen sie Kenntnis erlangt, zu verhindern

• nicht auf das Schaffen von organisatorischen Voraussetzungen, mit denen das Haftungsrisiko für Unternehmen und Unternehmensleiter verringert werden kann, beschränkt

Pflichten Compliance Officer


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Stabsposition unterhalb der Geschäftsleitungsebene

• disziplinarisch, organisatorisch und finanziell unabhängig und lediglich an Weisungen der Geschäftsleitung gebunden

• Ausnahme: „vertuschende“ Weisungen

• Recht zur Eskalation und grundsätzlich unbegrenztes Auskunfts- und Einsichtrecht

• keine Entscheidung- und Weisungsbefugnis

Stellung


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Schutz- und Überwachungsfunktion:• Regelübertretungen soll vorgebeugt

• Vermögens-und Reputationsschäden sollen vermieden und

• die Regelbefolgung soll kontrolliert werden

Hauptaufgaben


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Vermutung für die Garantenstellung ergibt sich bereits aus der Übernahme des Amtes als Compliance Officer.

• BGH formuliert ausdrücklich: „dass einen derartigen Beauftragten regelmäßig strafrechtlich eine Garantenpflicht dafür trifft, im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern“

• Beweislastumkehr

Vermutung für die Garantenstellung


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Gegenbeweis dafür, dass sie alle erforderlichen präventiven Verhinderungsmaßnahmen ergriffen haben

• Compliance-System und

• eine lückenlose detaillierte Dokumentation der durchgeführten Kontroll- und Verhinderungsmaßnahmen

Gegenbeweis


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Datenschutzbeauftragte haben eine gesetzliche Pflicht, auf die Einhaltung der Vorschriften zum Datenschutz durch die verantwortliche Stelle hinzuwirken. § 4 Abs. 1 S. 1 BDSG

• Art. 39 Abs. 1 b EU DSGVO gehen darüber deutlich hinaus und sehen umfassende Überwachungspflichten für den Datenschutzbeauftragten vor

• Garantenstellung und letztlich Schadensersatzanspruch

Vergleich: Datenschutzbeauftragte -Compliance Officer


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Verpflichtungen treffen zunächst die Geschäftsleitung

• Compliance Officer sind nur stellvertretend für die Geschäftsleitung aufgrund Delegation verantwortlich

• beim ernsthaften Verdacht einer Regelmissachtung muss Compliance Officer zur Aufklärung alle ihm übertragenen Rechte ausschöpfen, um entweder den Verdacht auszuräumen oder den Verstoß zu ermitteln

Aufklärungs- und Informationspflichten


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Bei hinreichend konkretem Verdacht und ausreichend gewichtigen Anhaltspunkten für den Verstoß besteht die Pflicht, das zuständige Vorstandsmitglied zu informieren.

• Erst wenn dieses aufgrund erkennbaren Fehlgebrauch seines Ermessens trotz des Berichts nicht vorgeht, besteht eine Pflicht, das gesamte Gremium oder den Vorsitzenden zu informieren.

Informationspflichten


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Nur im Sonderfall der Betroffenheit des gesamten Vorstandes ist der Aufsichtsrat zu informieren und entsprechend

• nur bei Betroffenheit von Vorstand und Aufsichtsrat die Hauptversammlung.

Informationspflichten


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

• Teilnehmerin an den betreffenden Straftaten durch Unterlassen

• Schadensersatzansprüche

• §§ 91 Abs. 2 und 93 Abs. 1 AktG nur für den Vorstand/Geschäftsleitung

• Privilegierung wegen Arbeitnehmerstellung hilft nicht

• D&O-Versicherung wird wohl wegen Fahrlässigkeit der Pflichtverletzung Rückgriff nehmen

Rechtsfolgen bei Pflichtverletzungen

IT-Sicherheit und Datenschutz

• „ Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; insbesondere:“


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Anforderungen an Auftragsverarbeiter - Art. 28 Abs. 1

• Garantien (hinreichend)

• Geeignete technische und organisatorische Maßnahmen

• Einklang mit den Anforderungen dieser Verordnung

• Gewährleistung des Schutzes der Rechte der betroffenen Person

• Kriterien der Auswahl und fortwährender Überprüfung


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Rechtsgrundlage – EU DSGVO

• Vertrag

• schriftlich oder elektronisch

• Bindung des Auftragsverarbeiters an den

Verantwortlichen

• Wesentliche Inhalte der Verarbeitung


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Wesentliche Inhalte der Verarbeitung Art. 28 Abs. 3

• Gegenstand und Dauer der Verarbeitung

• Art und Zweck der Verarbeitung

• Erheben, Erfassen, Ordnen, Speichern, Auslesen etc.

• Zweckbindung des Art. 5 Abs. 1 lit. b u. Art. 6 Abs. 4

• Art der personenbezogenen Daten, insb. Art. 9 und

10


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Wesentliche Inhalte der Verarbeitung Art. 28 Abs. 3

• Kategorien betroffener Personen (Art. 30 Abs. 1c und

Art. 33 Abs. 3a)

• abstrakt zusammengefasste Gruppen, die gemeinsame

Merkmale teilen, etwa „Beschäftigte“, „Verbraucher“

etc.

• Pflichten und Rechte der Verantwortlichen


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

dokumentierte Weisung – Art. 28 Absatz 3a

• Personenbezogene dürfen Daten nur auf

dokumentierte Weisung des Verantwortlichen

verarbeitet werden

• Weisung kann form freierteilt werden

• Auftragsverarbeiter muss die Weisung dokumentieren

• Vertrag muss Dokumentationspflicht regeln


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Vertraulichkeit – Art. 28 Absatz 3b

• Auftragsverarbeiter muss gewährleisten, dass alle zur Verarbei-

tung der personenbezogenen Daten befugten Personen sich

• zur Vertraulichkeit verpflichtet haben

• oder einer angemessen gesetzlichen Verschwiegenheitspflicht

unterliegen

• Grundsatz der „Integrität und Vertraulichkeit“ des Art. 5 Abs. 1 lit.

F, Erw.Gr. 39 S. 12


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

IT-Sicherheit – Art. 28 Abs. 3c, 32

• Angriffe von außen und allgemeine Sicherheitsrisiken

• geeignete technische und organisatorische Maßnahmen,

• um ein dem Risiko angemessenes Schutzniveau zu

gewährleisten;

• Vertragliche Regelung gibt dem Verantwortlichen ein

Handlungsinstrument an die Hand, die Verpflichtungen

aus Art. 32 durchzusetzen


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

IT-Sicherheit

• geeignete technische und organisatorische Maßnahmen,

• Um unter Berücksichtigung des Stands der Technik ein dem Risiko angemessenes Schutzniveau zu gewährleisten;


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Maßstab Angemessenheit

• Implementierungskosten

• Art, Umfang, Umstände und Zwecke der Verarbeitung

• sowie der unterschiedlichen Eintrittswahrscheinlichkeit

• und Schwere des Risikos für die Rechte und Freiheiten

natürlicher Personen


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Unzureichend wäre also folgende Klausel:

• „Der Auftragnehmer hat die technischen und organisatorischen

Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der

Vorschriften des BDSG zu gewährleisten. Insbesondere hat er dabei

[es folgt eine Wiedergabe der Anlage zu § 9 BDSG oder ein Verweis

auf Datenschutz-Grundverordnung].“


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Art. 32 EU-DSGVO – Sicherheit der Verarbeitung von Daten

• Risikoanalyse: Bestimmung der im Einzelfall für die jeweilige Datenverarbeitung geeigneten technischen und organisatorischen Maßnahmen:

• Stand der Technik

• Implementierungskosten

• Zwecke, Art, Umfang und Umstände der Verarbeitung

• Schwere und Eintrittswahrscheinlichkeit der Risiken


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Art. 32 DSGVO ersetzt die Anlage zum BDSG

• Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 f) DSGVO

• Maßnahmen Art. 32 Abs. 1 DSGVO:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Art. 32 DSGVO

• Maßnahmen Art. 32 Abs. 1 DSGVO:

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.;


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Art. 32 Abs. 2 DSGVO - Schutzniveau

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere

die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind,

insbesondere durch — ob unbeabsichtigt oder unrechtmäßig —

Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von

beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die

übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Art. 32 Abs. 2 DSGVO –Verhaltensregeln und Zertifizierung

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder

eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als

Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des

vorliegenden Artikels genannten Anforderungen nachzuweisen.

Cloud ist …• inhomogenes Geschäftsmodell (z.B. Internet Storage, Web-Mail-Dienste, Google

Docs) und Buzz-word der IT

• häufig gekennzeichnet durch:

-Auslagerung geschäftskritischer Prozesse (inkl. Verarbeitung

personenbezogener Daten)

-Ressourcen-Pool von IT-Infrastruktur (Speicher, Rechnerkapazitäten Netze),

Plattformen und Anwendungen

-in möglichst unterschiedlichen Zeitzonen („follow the sun“ wegen

tageszeitabhängiger Auslastung)


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Cloud ist …• häufig gekennzeichnet durch:

-über den Internetbrowser nutzbar

-Pool von Anbietern bzw. Subunternehmern

(Kettenauslagerungen)

-hochskalierbar, on-demand, Abrechnung nach Verbrauch

-im Vorhinein nicht festlegbar, mit welchen Ressourcen die

Datenverarbeitung erfolgt.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

DropBox (Cloud-Dateispeicherdienst)

• Zugriff auf Dateien über verschiedene Clients

• Synchronisierung übernimmt der Diensteanbieter

• Deutsche Anbieter

Sicherheitsrisiken bei Cloud ?


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

TeamDrive DAV – das neue Kanzlei-Angebot

• Gemeinsam mit der TeamDrive Systems GmbH bietet der DAV eine Cloud-Lösung für die Mitglieder der örtlichen Anwaltvereine an: TeamDrive DAV.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Sicherheitsrisiken bei Cloud ?


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Zu betrachten ist das Gesamtsystem:

• Sicherheitslage im eigenen Betrieb

• Sicherheitslage beim Cloudanbieter mit

• Zusätzlichen Gefahren

• Aber auch professionellerem Umgang damit


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Public Cloud:

• Öffentliche zugängliche, standardisierte Leistungen, „pay per use“, für

jedermann gleichzeitig (Multimandantenfähig); Nutzer sind organisatorisch nicht

verbunden:

• hohe Skaleneffekte (Kostenersparnis)

• Keine Lokalisierung der Ressourcen, Zugriff mittels Browser über das Internet

• Datenschutz- und Sicherheitsrisiken


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Private Cloud:

• Nicht öffentlich (nur für vorab definierte Nutzer), Management und Betrieb

regelmäßig innerhalb eines Unternehmens/Konzerns geringe

Skaleneffekte

• Zugriff über Intranet oder VPN (Virtual Private Network), im Regelfall geringere

Datenschutz- und Sicherheitsrisiken

Euro Cloud:

• Lokalisierung der Ressourcen (Rechenzentren, Admin-Personal etc) in EU

Cloud Computing („Follow the sun“)• Möglicherweise Datenverarbeitung außerhalb der EU

• Technische und organisatorische Maßnahmen nach § 9 BDSG und der Anlage dazu (8 Kontrollgebote) sind bei Public Cloud kaum umzusetzen (Weitergabekontrolle?).

• Mehrere Anforderungen des § 11 BDSG kaum umsetzbar bei Public Cloud:

– Festlegung Subunternehmer?

– Auftraggeberkontrollen?

– Mandantendaten/Gesundheitsdaten in der Cloud? (§ 203 StGB)

• Achtung, wenn Anwälte Webmaildienste (Hotmail, Gmail etc) nutzen!


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Orientierungshilfe Cloud-Computing• des Arbeitskreises Technik und Medien der Konferenz der

Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises Version 2.0, Stand 09.10.2014

• Problematik nach Wegfall von safe harbour


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

§ 13 Abs. 4 TMG

• technische und organisatorische Vorkehrungen

• der Nutzer die Nutzung des Dienstes jederzeit beenden kann,

• die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der

sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des

Satzes 2 gesperrt werden,

• der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,

• Achtung:

• E-Privacy-Verordnung soll diese Regelungen ersetzen – Inkrafttreten und genauer

Regelungsinhalt sind unklar.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

§ 13 Abs. 4 TMG

• technische und organisatorische Vorkehrungen

• die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch

denselben Nutzer getrennt verwendet werden können,

• Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und

• Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des

Pseudonyms zusammengeführt werden


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

§ 13 Abs. 6 TMG

• Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym

oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und

zumutbar ist. 2Der Nutzer ist über diese Möglichkeit zu informieren.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

§ 13 Abs. 7 TMG – IT-SicherheitsG

• Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich

zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für

geschäftsmäßig angebotene Telemedien durch technische und

organisatorische Vorkehrungen sicherzustellen, dass

• kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten

technischen Einrichtungen möglich ist und


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


1. …

2. diese

a) gegen Verletzungen des Schutzes personenbezogener Daten und

b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


…

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen.

Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als

sicher anerkannten Verschlüsselungsverfahrens.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

§ 109 TKG, Technische Schutzmaßnahmen

• „(1) Jeder Diensteanbieter hat angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze

• 1. des Fernmeldegeheimnisses und personenbezogener Daten und

• 2.. der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe

• zu treffen.

• (2) Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat darüber hinaus […]

• (3) Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat einen Sicherheitsbeauftragten oder eine Sicherheitsbeauftragte zu benennen und ein Sicherheitskonzept zu erstellen, aus dem hervorgeht [….]“


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

§ 109 TKG, Technische Schutzmaßnahmen

•Beispiel für Schutzmaßnahmen nach § 109 Abs. 1 Nr. 2 TKG:

•Virenfilter

•Dabei ist zu beachten ist, dass

• Erhebung personenbezogener Daten soweit möglich und zumutbar vermieden wird;

• Protokolle nur zur Wahrung der Datensicherheit verwendet werden; nur ausnahmsweise (z.B. bei Einwilligung des Betroffenen oder strafrechtlicher Verfolgung durch die Strafverfolgungsbehörden) ist eine Durchbrechung der strikten Zweckbindung zulässig;

• Protokolle zu löschen bzw. zu sperren sind, sobald sie für den genannten Zweck nicht mehr benötigt werden.

• keine sonstigen Vereinbarungen (z.B. arbeitsvertragliche Regelung, evtl. betriebliche Übung) entgegenstehen.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Weitere Gesetzliche Grundlagen der IT-Sicherheit

• Zugangskontrolldiensteschutz-Gesetz (ZKDSG)

• Insiderverzeichnisse unter § 15b WpHG

• IT-Sicherheit als Konsequenz der Vermeidung strafrechtlicher Haftung

– § 106 UrhG (Unerlaubte Verwertung urheberrechtlich geschützter Werke)

– § 27 JuSchG (jugendgefährdende Medien)

• Vertragliche Verpflichtungen zur Etablierung von IT-Sicherheit


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Art. 35 EU-DSGVO – Datenschutz-Folgenabschätzung

• Erforderlich bei Einführung neuer Verfahren, die wahrscheinlich ein hohes Risiko für persönliche Rechte und Freiheiten betroffener Personen mit sich bringen:

• Neue Technologien, neue Verarbeitungen

• Verarbeitung großer Datenmengen oder Daten einer großen Anzahl Betroffener

• Sensibilität/Profiling/erschwerte Rechtsausübung


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Ausländische und internationale Grundlagen für die IT-Sicherheit (1)

•Ausländische und internationale (teils auch nationale) Regelungen zur IT-Sicherheit weisen häufig eine ähnliche Grob-Struktur mit ähnlichen Anforderungen an das verantwortliche Unternehmen auf.

•Dies gilt für

• Rechtsvorschriften,

• ISO Standards und

• Best-Practice-Ansätze.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Grob-Struktur / schematische Anforderungen:

1. IT-Sicherheitskonzept (IT Security Program)

2. Unternehmensinterne Richtlinien (Policies) zur IT-Sicherheit

3. IT-Sicherheitstrainings für Mitarbeiter (Security Awareness Trainings)

4. Prozesse zur Implementierung von technischen Sicherheitsstandards


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


• Forts. zur Grob-Struktur / schematischen Anforderungen:

5. Prozesse zur Feststellung der Compliance mit Richtlinien (PolicyAssessment) sowie Identifikation von Schwachstellen

6. Prozesse zur Vorfall-Erkennung und –Handhabung (Incident Detection andManagement)

7. Effektives Zugriffsberechtungs-/ Identitäts- und Authorisationsmanagement (Access Control and AuthorizationManagement)

8. Resourcen- und Kapazitätenplanung (Contingency Planning / Business Continuity Planning)


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Sarbanes Oxley Act (SOX) (1)

• US-amerikanisches Gesetz aus dem Jahre 2002 zur Verbesserung der Unternehmensberichterstattung.

• Inhalt sind im Wesentlichen Aspekte der Corporate Governance, der Compliance sowie der Berichterstattungspflicht von Publikumsgesellschaften.

• Festlegung eines neuen aufsichtsrechtlichen Systems für Wirtschaftsprüfungsgesellschaften, die Unternehmen prüfen, welche von Gesetzes wegen verpflichtet sind, bei der Securities and Exchange Commission (SEC) Abschlüsse und sonstige Berichte einzureichen.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Sarbanes Oxley Act (SOX) (2)

• Durch SOX wurde ein Recognized Internal Control Frameworketabliert, das ergänzende bzw. konkretisierende Regelungen zur IT-Sicherheit enthält.

• Die Anwendbarkeit des Gesetzes betrifft zunächst einmal Unternehmen, deren Aktien an einer US-Börse gehandelt werden(daher den SEC-Rules unterliegen) und deren Töchter.

• Für den Fall der Haftung des Managements (CEO und CFO) gilt eine Beweislastumkehr und auch eine Haftung mit gestaffelten Obergrenzen bei grober Fahrlässigkeit und Vorsatz.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Basel II, Basel III (1)

• Ausgangsbasis „Basel I“–Regelungen vom Juli 1988; ab 1.1.2007 bis Ende 2012 Baseler

Eigenkapitalvereinbarung (kurz Basel II)

• Umsetzung in Deutschland durch erfolgt diese in Deutschland durch das Kreditwesengesetz (KWG),

die Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk).

• Seit 1.1.2013 Basel III in Kraft, in der EU Umsetzung schrittweise ab 2014.

• Basel II / III primär keine Datensicherheit- oder IT-Sicherheit- Regelungen, sondern Regelungen und

Verfahren zur Bewertung und Gewichtung der Kreditrisiken von Banken (sogenanntes Rating), was

wiederum spiegelbildlich zu einer entsprechenden Beurteilung der Kreditnehmer hinsichtlich deren

Eigenkapital führt.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Schema Inhalt Basel II (2007-2012) Schema Inhalt Basel III (ab 2013)

Säule 1: Mindesteigenkapitalanforderungen

1.1 Kreditausfallrisiken1.2 Marktpreisrisiken1.3 Operationelle Risiken

Säule 2: Bankenaufsichtlicher Überprüfungsprozess

2.1 Vorschriften für Banken2.2 Anforderungen an die Aufsicht

2.2.1 Laufende regelmäßige Überprüfung durch die Bankenaufsicht2.2.2 Überprüfung der Risikosteuerung und des Berichtswesens

Säule 3: Erweiterte Offenlegung / Marktdisziplin

3.1 Eigenkapitalstruktur3.2 Eingegangene Risiken und deren Beurteilung3.3 Angemessenheit der Eigenmittelausstattung

Inhalt der Reform:1.1 Kapital

1.1.1 Erhöhung der Qualität, Konsistenz und Transparenz der Eigenkapitalbasis

1.1.2 Verbesserung der Risikodeckung1.1.3 Einführung einer Verschuldungs-grenze (Leverage-Ratio)1.1.4 Reduktion von Prozyklität und Stärkung von

antizyklischen Puffern1.1.5 Systemische Risiken und gegenseitige

Geschäftsbeziehungen

1.2 Liquidität 1.2.1 Liquidity Coverage Ratio1.2.2 Net Stable Funding Ratio

1.3 Übergangsphase


• Basel II bzw. III. kann für den IT-Bereich in mehrfacher Weise von Bedeutung sein:

1. Es enthält u.a. konkrete Anforderungen an die Sicherheit von IT-Systemen in Kreditinstituten, an die Verfügbarkeit von ihrer Daten etc.

2. Das vorgeschriebene Basel II-Rating kann auch mittels einer Rating-Software durchgeführt werden, wobei die SolvabilitätsverordnungVorgaben an die Plausibilität und Nachvollziehbarkeit des Ratings für das jeweilige Kreditinstitut macht. Eine Reihe von Software-Anbietern haben Rating-Software entwickelt.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Im Rahmen der Bewertung operationeller Risiken rücken darüber hinaus

auch Projekte zur Softwareerstellung, Outsourcing, Rechenzentrums-

Betreiber-Verträge von Kreditinstituten mit Auftragnehmern/Anbietern

u.ä. in das Licht von Basel II bzw. den daraus resultierenden Pflichten.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Solvency II

• Eine ähnliche Wirkung wie Basel II bzw. III. für die Banken (und damit

indirekt auch für die Unternehmen, die Kredite aufnehmen) geht von

Solvency II für die Versicherungsbranche aus.

• Seit Januar 2016 Kraft


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Friktionen (1)

• Verschiedene Vorschriften / Regelungen zur IT-Sicherheit haben teils kongruente, teils inkongruente Anforderungen.

• Eine Synchronisierung dieser Regelungen zum Zwecke einer einheitlichen IT-Sicherheitsinfrastruktur im Unternehmen stößt bisweilen an gravierende Probleme bzw. Grenzen.

• Daneben bestehen Friktionen zu anderen Rechtsgebieten, insbesondere Datenschutz- und Arbeitsrecht.

• Beispiel: SOX-konformes Compliance-Management in deutschen Töchtern US-amerikanischer Konzernmütter, insbesondere Whistleblowing-Systeme (gem. Sec. 306 SOX)


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

IDW PS 850: Projektbegleitende Prüfung beim Einsatz von IT Punkt 2 Textziffer (21) –

(25):

• Projektrisiken resultieren aus Projektmanagement und Projektgegenstand

• Projektmanagementrisiken:

– unzureichende Projektorganisation

– unzureichendes Projektcontrolling

– daraus folgend Überschreitung von Kosten- und Zeitbudgets

• Projektrisiken bei Erstellung von Individualsoftware:

– unzureichende Funktionsumfang der Software

– unzureichende Ausgestaltung der Funktionalitäten

– unzureichende anwendungsbezogene Eingabe-, Verarbeitungs-, Ausgabekontrolle der IT

– unzureichende Dokumentationen

– unzureichende Umsetzung von gesetzlichen Anforderungen (z.B. GoBS, GDPdU)

– Anpassung der Geschäftsprozesse des Kunden eher weniger erforderlich

COBIT 4.0UnternehmenszieleDeliver and Support

im laufendenden Betrieb

- SLA Management

- Vendor Management

- Perfomance und Kapazität

des IT-Systems

- Kontinuierlicher Softwarebetrieb

- Systemsicherheit (IT Security)

- Kostenallokation / -verrechnung

- Kenntnisse der User

- Service-Desk und

Incidents-Management (u.a.

Reaktions-

Wiederherstellungszeiten)

- Konfigurationsrisiken

- Risiken im Bereich Operations

(day-to-day IT operations)

- …

Information

Plan and

Organise

Acquire

and Implement

Deliver

and Support

Monitor

and Evaluate

Governance Ziele

IT-Ressources


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Standards und Best Practices


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Klare Standpunkte erlauben juristische Wertungen

Beurteilbarkeit schafft Klare Standpunkte

Übersicht schafft Beurteilbarkeit

Regeln schaffen Übersicht

Normen schaffen Regeln

Standards und Best Practices (1)

• IT-Grundschutz-Kompendium - Edition 2018 – des BSI Gesamtziele:

o Skalierbarkeit an Unternehmensgröße und Schutzbedarf

o Flexibilisierung der Vorgehensweise

o Stärkere Berücksichtigung von anwenderspezifischen Anforderungen durch Profilbildung

o Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge

o Beschleunigung der Umsetzung von Sicherheitsmaßnahmen

o Dynamisierung durch Adaption von Lageinformationen


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


• IT-Grundschutz-Kompendium - Edition 2018 – des BSI:

•1. Edition 2018 die ersten 80 IT-Grundschutz-Bausteine

• Risikobewertung für Bereiche mit normalem Schutzbedarf


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Standards und Best Practice (2)

•Die ISO 27001- IT-Sicherheitsmanagement

•spezifiziert die Anforderungen für

• Herstellung,

• Einführung,

• Betrieb,

• Überwachung,

• Wartung und

• Verbesserung eines

• dokumentierten

•Information Security Management Systems (ISMS) unter Berücksichtigung der Risiken innerhalb der gesamten Organisation.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Die ISO 27001- IT-Sicherheitsmanagement


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

ISO 2700X Aufbau Inhalt und Methodik

•Das BSI bietet seit einiger Zeit eine Kombination beider Standards in einem einheitlichen und anerkannten Verfahren an.

•Dieses Modell ist zur Zeit eines der gängigsten Vorgehensweisen bei der Umsetzung eines ISMS. Die Vergabestelle ist dabei das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Standards und Best Practice (3)

DIN-Normen:

z.B. DIN 66901 betrifft das Pflichtenheft. Danach ist das Pflichtenheft die ausführliche Beschreibung der Leistungen, die erforderlich sind oder gefordert werden, damit die Ziele des Projekts erreicht werden.

Bsp.: DIN EN 61508-1; VDE 0803-1:2011-02

Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme

Etliche Normentwürfe zu IT-Sicherheit in Arbeit


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Common Criteria:

• ist ein internationaler Standard über die Kriterien der Bewertung und Zertifizierung der Sicherheit von Computersystemen im Hinblick auf Datensicherheit und Datenschutz.

• Im Jahre 1999 sind die Common Criteria, zum ISO Standard 15408erklärt worden.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies


Die IT Infrastructure Library (ITIL):

Unter ITIL versteht man eine Sammlung von vordefinierten und standardisierten Prozessen, Funktionen und Rollen, wie sie typischerweise in jeder IT-Infrastruktur von mittleren und großen Unternehmen vorkommen. ITIL beschreibt in fünf Kernbänden mit derzeit 37 Kernprozessen die Komponenten und Abläufe des Lebenszyklus von IT-Services (IT-Service-Managements (ITSM)). …

Es handelt sich dabei lediglich um Best Practice-Vorschläge, die an die Bedürfnisse des Unternehmens angepasst werden müssen.

(Quelle: Wikipedia Stand 20.4.2016)

.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Die IT Infrastructure Library (ITIL)

•Die ITIL orientiert sich an dem durch den IT-Betrieb zu

erbringenden wirtschaftlichen Mehrwert für den Kunden. Dabei

werden die Planung, Erbringung, Unterstützung und Effizienz-

Optimierung von IT-Serviceleistungen im Hinblick auf ihren Nutzen

als relevante Faktoren zur Erreichung der Geschäftsziele eines

Unternehmens betrachtet.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Ordnungsmäßigkeit – GoBD (1)

• Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)

• Authentifizierungssysteme


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

GoBD (2)

• Verwaltungsanweisungen (Schreiben des Bundesministers der Finanzen), welche Regelungen aus dem HGB sowie hierzu parallel laufenden Vorschriften der AO konkretisieren.

• Nach § 238 HGB ist jeder Kaufmann verpflichtet, Bücher zu führen und in diesen seine Arbeitsgeschäfte und die Lage seines Vermögens nach den „Grundsätzen ordnungsgemäßer Buchführung“ (GoB) ersichtlich zu machen.

• lösen die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) ab


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

GoBD (3)

• Eine Spezifizierung und Konkretisierung der GoB auf die Anforderungen der DV-gestützten Buchführung sind die insbesondere in Schreiben des BMF zusammengefassten Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)

• Zweck der GoBD ist v.a., die im Bereich der herkömmlichen analogen Buchführung geltenden Anforderungen, insbesondere an die Verfügbarkeit von Informationen, sowie deren Fälschungssicherheit und nachträgliche Unveränderbarkeit, auf eine elektronische Buchführung zu übertragen.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

GoBD (4)

Die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern,

Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

(GoBD) werden im Zusammenwirken zwischen Finanzverwaltungen von Bund und

Ländern, Wirtschaftsverbänden und den steuerberatenden Berufen abgestimmt. Das

BMF-Schreiben fasst die Anforderungen der Finanzverwaltung an eine IT-gestützte

Buch-führung praxisgerecht zusammen und sorgt für die für die Unternehmen

wichtige Rechtsklarheit.

http://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerth

emen/Abgabenordnung/Datenzugriff_GDPdU/2014-11-14-GoBD.html


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

GoBD (5)

• Die Datenschutz-Behörden haben relativ bald erkannt, dass es eine Art Querverbindung bzw. gemeinsamen Bezug zwischen GoBD (früher: GoBS und GDPdU) einerseits und Datenschutzrecht andererseits über die Ordnungsmäßigkeit der Datenverarbeitung gibt.

• Zu den Ordnungsmäßigkeitskriterien gehören u.a. die Verfügbarkeiten der Daten bzw. deren Zugänglichkeit sowie die Nachvollziehbarkeit von Veränderungen.

• Ausdrücklich geregelt sind unter anderem Verantwortlichkeit, Internes Kontrollsystem, Datensicherheit, Zertifizierung und Softwaretestate


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren

Cookies

Authentifizierungssysteme (1)

•Authentifizierungssysteme sollen es dem Nutzer möglich machen, sich mit Hilfe

eines einzigen „digitalen Ausweises“ auf allen Web-Sites einzuloggen, die das

jeweilige Ausweissystem unterstützen, anstatt sich für jede einzelne Seite

Benutzername und Passwort merken zu müssen.

•Cookies sind nicht per se unzulässig, soweit sie einem zulässigen Zweck dienen, etwa

• - bei Authentifizierungssystemen zur Identifizierung oder

• - damit sich der Nutzer nicht bei jedem Website-Zugriff neu registrieren muss.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.

Authentifizieren Cookies

Authentifizierungssystemen (2)Funktionsweise

Eingabe einer E-Mail-Adresse und einem Kennwort

Verschlüsselter Cookie beim Nutzer wird angelegt

Zuteilung Identifikationskennung

(Passport Unique Identifier / PUID)

Diese enthält keine persönlichen Daten.

PUID wird zusammen mit weiteren Informationen zusammengefasst

und dem Web-Server verschlüsselt zur Verfügung gestellt, wo es

entschlüsselt wird.

Authentifizierung


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


Authentifizierungssystemen (3)Sicherheits- und Datenschutzrisiken

• Gemäß § 14 Abs. 6 TMG muss der Diensteanbieter dem Nutzer die anonyme Nutzung oder Nutzung unter

Pseudonym ermöglichen und den Nutzer darüber informieren.

• Die Auswertung von Authentifizierungsdaten ermöglichen personenbezogene Nutzerprofile.

• Zum Schutz der Nutzer dürfen diese personenbezogenen Nutzerdaten nicht für andere Zwecke als

Authentifizierung genutzt werden (Zweckbindung).

• Schwierigkeit: Die Rechtsgrundlage für die datenschutzrechtliche Beurteilung von Authentifizierungssystemen

ist verteilt auf:

• - Telekommunikationsgesetz (TKG),

• - Telemediengesetz (TMG) und

• - Bundesdatenschutzrecht (BDSG).


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


Authentifizierungssysteme (4)Nutzungsprofile

• Mittels der PUID als Pseudonym für den jeweiligen Nutzer besteht die Möglichkeit, Nutzerprofile zu

erstellen.

• Gemäß § 15 Abs. 3 TMG dürfen diese jedoch nur für Zwecke der Werbung, der Marktforschung oder

zur bedarfsgerechten Gestaltung der angebotenen Dienste erstellt und genutzt werden.

• Profile nicht mit Daten über den Pseudonymträger verbunden werden, § 13 Abs. 4 S. 1 Nr. 6 TMG.

• Solange Nutzerprofile personenbeziehbar sind, dürfen sie insbesondere nicht an Dritte

weitergegeben (etwa verkauft) werden, ohne dass der Nutzer zugestimmt hätte.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


Authentifizierungssysteme (5)Sicherheitsanforderungen

• Der Betreiber eines Authentifizierungssystems muss gewährleisten,

• dass unbefugte Dritte keinen Zugriff auf die Daten der Nutzer haben können.

• dass durch die Verwendung von SSL-Verbindungen und Verschlüsselungen das Sammeln von Kundeninformationen unterbunden wird.

• dass verhindert wird, dass sich ein Angreifer als Passport-Betreiber ausgibt, um den Nutzer zur Eingabe von Benuterzname und Kennwort zu bewegen (sog. Spoofing)


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


Authentifizierungssysteme (6) = Identifizierungssysteme ?

• Authentifizierungssysteme stellen keine Identifizierungssysteme dar.

• Eine Registrierung kann von jedermann mit Hilfe einer beliebigen E-Mail-Adresse beantragt werden; eine Prüfung der Identität findet gerade nicht statt. Deshalb werden durch Authentifizierungssysteme die Voraussetzungen von § 126a BGB bzw. des SigG nicht erfüllt.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


Authentifizierzungssystem (7)Speziell zu Cookies

• Zu beachten sind jedoch die Anforderungen der §§ 13, 15 TMG, insbesondere Löschen von Zugriffs-

/ Nutzungsdaten unmittelbar nach Beendigung des Zugriffs / der Nutzung (§ 13 Abs. 4 S. 1 Nr. 2

TMG).

• Längere Speicherung und ggf. Auswertung von Cookie-Daten für Nutzerprofile (Kundeninteressen)

nur nach vorheriger ausreichender Aufklärung und Einwilligung des Nutzers.

• Einwilligung muss freiwillig sein, d.h. der Nutzer muss Cookies ablehnen können. Allerdings kann

der Anbieter möglicherweise die Nutzung des Dienstes davon abhängig machen, ob der Nutzer

Cookies akzeptiert (str.).


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


Produkthaftung und -sicherheit (1)

• Beispiel: Ein Hersteller einer „Embedded Software“ (z.B. Fahrzeigelektronik) gibt eine Sicherheitslücke bekannt

oder sie wird anderweitig öffentlich, aber der Hersteller stellt nicht rechtzeitig geeignete Gegenmaßnahme

bereit.

• IT-Sicherheitslücken können sich als Konstruktionsfehler erweisen.

• Hinweispflichten darauf können sich aus Produktbeobachtungs- und Warnpflichten ergeben.

• Zu den Pflichten des Herstellers gehört zudem - bei Auftreten eines entsprechenden Produktfehlers - die Rückrufpflicht.

• Das Geräte- und Produktsicherheitsgesetz (GPSG) hat die Pflichten des Herstellers bei evtl. drohenden Personenschäden (bei

Verbrauchern) erweitert. Auch Software ist von GPSG erfasst. Über die Kombination mit § 823 Abs. 2 BGB können sich

demnach zivilrechtliche Ansprüche ergeben.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


Produkthaftung und -sicherheit (2)

• Zumindest Standardsoftware kann der Produkthaftung nach dem ProdHaftG unterfallen (str.).

• Allerdings sind nur Schäden an privat genutzten Sachen sowie Personenschäden ersatzpflichtig.

• Soweit die Software im gewerblichen bzw. im kommerziellen Bereich eingesetzt wird, scheidet die Anwendung des ProdhaftG aus.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


Elektro- und Elektronikgesetz (1)

• ElektroG seit 24. März 2005 in Kraft

• Ziel: Umweltschutz durch Streben nach besonders langlebige und gut verwertungsfähige Neugeräte

• Verpflichtete: Hersteller von Elektro- und Elektronikgeräten; dazu zählen auch Hersteller von Informations- und

Telekommunikationstechnik

• Regelungen u.a.:

• - Begrenzung gefährlicher Stoffe in Geräten (z.B. Blei, Quecksilber)

• - Rücknahme- und Entsorgungspflicht für die Hersteller

• Regelungen zu gefährlichen Stoffen gelten für Elektrogeräte, die ab dem 01.07.2006 auf den Markt gebracht werden


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


ElektroG (2)

• Objekte des ElektroG eingeteilt in 10 Geräte-Kategorien, u.a.:

• „[…]

3. Geräte der Informations- und Telekommunikationstechnik (Computer, Drucker, Kopierer, Faxgeräte und

Telefon)

• […]“

• Kollektives Rücknahmesystem (kommunalen Sammelstellen): Abgabepflicht für Besitzer von Altgeräten aus

privaten Haushalten

• Vom Hersteller sind unentgeltlich Sammelbehältern bereitzustellen abzuholen.

• Anteil der abzuholenden Altgeräte berechnet sich nach dem jeweiligen Marktanteil des Herstellers. Dieser

Marktanteil wird wiederum nach den von Herstellern in Verkehr gebrachten Geräten bestimmt.


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


ElektroG (3)

• Evtl. Rechtsfolgen gegen Hersteller bei Verstößen gegen ElektroG:

• - Bußgelder

• - u.U. Beschlagnahme von Geräte

• Bei Vertrieb von Hardware ist also zu prüfen:

• - Fallen die Geräte in den Anwendungsbereich des ElektroG ?

• - Wer ist verantwortlich im Sinne des ElektroG ?


Grundlagen

Internationale

Regelungen

Standards/

Best Practice


sicherheit

ElektroG1. 2. 3. 4. 5. 6. 7. 8.


• Dr. Thomas LappRechtsanwalt und Mediator, Fachanwalt für IT-Recht

• Corinna LappRechtsanwältin und MediatorinFachanwältin für IT-Recht

• Berkersheimer Bahnstraße 5, 60435 Frankfurt

• Tel.: 069/9540 8865 - [email protected] –www.dr-lapp.de

IT-Kanzlei dr-lapp.de GbR

compliance, it-sicherheit, ordnungsmäßigkeit der ... · 2. gesetzliche grundlagen der...

Documents