it-sicherheit und datenschutz schützt vor strafen und hohen geldbußen
Post on 05-Apr-2015
110 Views
Preview:
TRANSCRIPT
IT-Sicherheit und Datenschutz
schützt vor Strafen undhohen Geldbußen
Peter J. Müller•Freier Sachverständiger für Datenschutz und IT-Sicherheit
•Sachverständiger für IT-Fragen im VDA – Bereich Datenschutz
•Referent der IG Metall und des DGB im Bereich IT
•Herausgeber und Autor des Loseblattwerkes „Lexikon der Informationstechnologie“
•Mitautor der Loseblattwerke
„Handbuch der Telekommunikation“
„Neues Bundesdatenschutzgesetz“
„Netzwerksicherheit“
Vorstellung
Basel II, Solveny II, etc……
alles Begriffe, die ohne vorweisbare Präventivschritte- gemäß bestehender Gesetzesvorgaben - richtig teuer werden können.
Deshalb MÜSSEN die Auflagen von IT-Sicherheit undDatenschutz unbedingt erfüllt werden!!!
Grundsätzliches
Grundsätzliches
Basel II
• höhere Risiken bewirken höhere Zinsen
• schlechtes Rating ► höhere Eigenmittelkosten
• erhöhte Kosten werden durch höhere Zinsen an den Kreditnehmer weitergegeben
• gutes Rating ► geringe Kosten ► niedrige Zinsen
Grundsätzliches
Solvency II
• Einfluss der EU auf Versicherungsunternehmen nimmt zu
• angemessene und verifizierbare Risikoorientierung
• Kapitalausstattung sowie Qualität des Risikomanagements werden mit einbezogen
unterschätztes Risiko
• mehr als jedes zweite Unternehmen verbuchte im vergangenen Jahr Schäden bis zu 100.000 EUR
• Sicherheitsverstöße führten u. a. zu Serverausfällen
• IT-Manager beziffern Schäden bis zu 1.000.000 EUR
• 46 % der betroffenen Unternehmen zahlen für solche Fehler über 1.000.000 EUR
• usw…
unterschätztes Risiko
13%
2%
7%
5%
6%
21%
46%
Konkurs/Pleite
Unternehmensende
Bankrott
unter 100.000
bis 250.000
bis 1.000.000
über 1.000.000
Rechtslage
Bestellung eines Datenschutzbeauftragten ist in § 4f BDSG geregelt.
Bei Unterlassung kann dies zu Geldbußen von bis zu250.000 € geahndet werden.
Geschäftsführung wird bei mangelhaftenIT-Sicherheitsmanagement persönlich zurVerantwortung gezogen (gemäß KontraG).
Rechtslage
Ein Datenschutzbeauftragter wird benötigt, wenn:
• personenbezogene Daten automatisiert erhoben, erarbeitet oder genutzt werden (9 Beschäftigte)
• automatisierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle § 4d Abs.5 BDSG unterliegen
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung genutzt werden
Ihre Vorteile
• Reduzierung der Kosten bei Banken und Versicherungen• Keine Strafen aufgrund der Gesetzeslage• Reduzierung der Aufmerksamkeit durch Abmahnvereine (UWG-Problematik)• Wettbewerbsfähigkeit bleibt erhalten• Vertrauen zu Kooperationsfirmen bleibt erhalten• Sicherung der Arbeitsplätze• Verbesserung des Zertifizierungsverfahrens z.B. TÜV ISO 9001
Gefahrenpotential
• Ständige Änderungen der Gesetze
• Grundsatzurteile der Gerichte
• Fehlinformationen durch mangelhaft ausgebildete Personen (gefährliches Halbwissen)
Gefahrenpotential
• Nicht- oder Scheinbestellung eines DSB (Bußgeld bis zu 25.000 Euro / § 43 BDSG)
• Fahrlässiger Verstoß gegen § 43 BDSG (Bußgeld bis zu 250.000 Euro)
• Jeder, der kein Datensicherheitsmanagement betreibt, handelt rechtswidrig!
• Jeder, der keine spezifisch ausgerichtete Logistik der Datensicherung bzw. Datensicherheit hat, gefährdet seine Existenzgrundlage!
Datensicherheitsmanagement
DatensicherheitsmanagementGrundsatzfragen
Wer wird gefordert ?
• Unternehmensleitung / Management• Aufsichtsrat• Mitarbeiter• Hardware / Software Lieferanten• IT-Dienstleister• etc.
DatensicherheitsmanagementGrundsatzfragen
Gibt es ein…
• Datensicherheitsmanagement-Organisations- Verpflichtungs-Gesetz ?
• Gesetz, in dem steht, dass der Verlust von Daten zu verhindern ist ?
DatensicherheitsmanagementZuständigkeit
• Vorstand• Aufsichtsrat• Geschäftsführung• IT-Leitung• Personalleitung• Bereichsleitung• etc…
DatensicherheitsmanagementProblemfelder
Der Sicherheitsstatus ändert sich regelmäßigdurch Updates, Patches, Operating, etc…
Unerlässlich ist daher…
• eine regelmäßige Überprüfung• permanentes Back-Up• regelmäßiges Audit
DatensicherheitsmanagementRechtliches Umfeld
Welche Gesetzgebung kommt infrage?
• Grundgesetz / Verfassung (GG)• Datenschutzgesetzgebung (BDSG)• Strafrecht (StGB)• Bürgerliches Gesetzbuch (BGB) • Handelsgesetzbuch (HGB) • Gesellschaftsrecht
DatensicherheitsmanagementMögliche Konsequenzen
• Verletzung der Informations-Technologie• Beeinflussung von Kundenbeziehungen• Liefer- und Leistungsverzögerungen• Ausfall von eMail-Systemen• Internet Nutzung wird gestört• etc…
Wer trägt die Verantwortung ???
Wer haftet ???
DatensicherheitsmanagementGrundgesetz / Verfassung
• Gültig im Umfeld öffentlichen Tätigwerdens• Abwehrrechte• Anspruchs- und Forderungstatbestände• Anrecht auf „ordnungsgemäße Behandlung“• Gewerbefreiheit / unternehmerische Freiheit• Keine störenden Beeinträchtigungen• „Staatliche“ IT muss „störungsfrei“ sein
DatensicherheitsmanagementBGB
Verpflichtung zur ordnungsgemäßenVertragserfüllung bei alltäglichenGeschäftsbeziehungen.
Eingeschlossen:Pflicht zur korrekten Verarbeitung„richtiger Daten“ !!!
DatensicherheitsmanagementBGB - Vertragspflichten
Hauptpflichten• Lieferung des Produkts• Stellung des Service• Lieferung „in Time“
pFV (positive Forderungsverletzung)• Ergänzende Pflichten (z. B. Handeln wie ein ordentlicher Kaufmann• Gewährleistung der Ordnungsmäßigkeit der IT
DatensicherheitsmanagementBGB - Vertragspflichten
• Pflicht zur Vertragserfüllung liegt beim Lieferant
• Verletzung der Pflichten bedeutet ggf. Schadensersatzansprüche
• § 257 bestimmt über Aufbewahrung der Unterlagen
• Aufbewahrung auf Bild- oder Datenträgern ist zulässig (muss bildlich und inhaltlich mit Original übereinstimmen)
DatensicherheitsmanagementAbgabenordnung
Aufbewahrungspflicht
Die sich aus der Rechnungslegung ergebendenund aufbewahrungspflichtigen Unterlagen, diemit Hilfe der Datenverarbeitung (EDV/IT) erstelltWurden, sind für die Dauer von 10 Jahren-maschinell auswertbar – aufzubewahren
(§ 147 Abs. 2 AO)
DatensicherheitsmanagementKonTraG
• mehr als 20 % der Unternehmen kennen dieses Gesetz gar nicht
• nur weniger als 40 % erachten dieses Gesetz für ihre Arbeit relevant
Aber: Unwissenheit schützt vor Strafe nicht !
DatensicherheitsmanagementKonTraG
• Verbesserung des Kontrollsystems nicht nur börsennotierter Aktiengesellschaften sondern alle Personengesellschaften incl. Vereine
• Frühzeitige Erkennung von Entwicklungen, die den Fortbestand des Unternehmens gefährden
DatensicherheitsmanagementPflicht
• nicht vorhandene Datensicherheits- Vorsorgemaßnahmen bedeuten ggf. beihilfeartige Tatbestände (z. B. § 13 StGB)
• Beihilfe durch Unterlassen als Garant
Vielen Dank
für Ihre Aufmerksamkeit
top related