prw rechtsanw Ä lte veranstaltung 05.07.2007 u nstrukturierte daten oder: die bombe tickt... ra...
TRANSCRIPT
PRW RECHTSANWÄLTE
Veranstaltung 05.07.2007
Unstrukturierte Datenoder: Die Bombe tickt ...
RA Christian Wilser
PRW RECHTSANWÄLTE
Vorstellung
Spezialkanzlei im IT UmfeldPRW Rechtsanwälte:
Seit vielen Jahren spezialisiert auf die Beratung mittelständischer Unternehmen, insbesondere im IT – Umfeld
Spezialthemen: IT-Recht, Projektbegleitung, IT-Sicherheit, Datenschutz
Daneben: Vertragswesen, Forderungsmanagement, Versicherungsrecht
PRW RECHTSANWÄLTE
Strukturierte Daten > Datenbanken
(Semi-strukturierte Daten) > ( ... )
Unstrukturierte Daten
können sich in Hunderten verschiedener Applikationen und in ebenso vielen Datei-Formaten finden; insbesondere Office-Dokumente (Word, Excel, Powerpoint), E-Mails, Grafikdateien, Audio- und Videodateien oder spezielle Formate wie Konstruktionszeichnungen, Röntgenaufnahmen im medizinischen Bereich, geologische Daten, etc.
Was sind…?
PRW RECHTSANWÄLTE
Sind unstrukturierte Daten schlecht ?
Nein !
Es ist, wie so oft,
eine Frage des Umgangs ...
und ...
es gibt sehr viele davon !!
PRW RECHTSANWÄLTE
Zahlen
2000 2005 2010 2015
100 400 1600 6400 ...
PRW RECHTSANWÄLTE
Wahre Werte
Der Wert des Unternehmens steckt zu einem nicht unerheblichen Teil in unstrukturierten Daten !
Ein Vortrag des Geschäftsführers
Ein per E-Mail geschlossener Vertrag
Wichtige Erkenntnisse von F+E finden sich in einem PDF-File
Mitarbeiterverträge; und und und
PRW RECHTSANWÄLTE
Wo ist also das Problem ?
Es steht vor Ihnen !
PRW RECHTSANWÄLTE
?
Schöne neue Welt...
Ordnung ! Chaos ?
Struktur muss her !!
PRW RECHTSANWÄLTE
Einordnung
Unternehmerische Aspekte
Rechtliche Aspekte
Beispiel E-Mail:- Nachvollziehen von Geschäftsprozessen- Führen von GerichtsprozessenWissensmanagement, etc.
Beispiel E-Mail:- Pflicht zur Aufbewahrung ?- Pflicht zur Löschung ?- Pflicht zum Wiederfinden ?
PRW RECHTSANWÄLTE
Datenschutz u. -sicherheit: z.B. E-Mail (II)
E-Mails sind mittlerweile unentbehrlich (weitgehender Ersatz der früheren „klassischen“
Geschäftskorrespondenz)
Wir müssen unsere E-Mails schützen(Antivirus / Verschlüsselung)
Wir müssen uns vor unseren E-Mails schützen(Antivirus)
Wir müssen unsere E-Mails aufheben(Archivierung)
Wir müssen unsere archivierten E-Mails wieder auffinden(Archivierungskonzept)
PRW RECHTSANWÄLTE
Datentypen
T 1
DS T 2
AO T 3
Med T n
sonstig
3 Monate
10 Jahre
30 Jahre
n Jahre
Zugriffsberechtigung
B 1
DSB
B 2
Finanz
B 3
Arzt
E-Mailverkehr
PRW RECHTSANWÄLTE
Das Duell
Datenarchivierung
vs.
Datenlöschung
GDPdU 10 JahreMedizinische Daten 30 JahreLebensversicherung x Jahre
§§ 20, 35 BDSG Pflicht zur Löschung bei unzulässiger Speicherung, oder wenn Daten nicht mehr benötigt werden (Erlöschen der Geschäftsbeziehung!);hilfsweise Sperrung
PRW RECHTSANWÄLTE
Praktische Bedeutung
Preis für Speicherplatz (Alles speichern ? Auf Primärspeicher ?)
Risiko (Gesetzesverstöße)
Wert von Informationen(Wert unbekannter Informationen ?)(Wert der Nichtnutzung
vorhandener Informationen ?)
Preis Risiko Wert
PRW RECHTSANWÄLTE
Risiko
Steuer
Praktische Bedeutung
Reisekosten:
Nicht anerkannt !
PRW RECHTSANWÄLTE
Risiko
Datenschutz
Praktische Bedeutung
PRW RECHTSANWÄLTE
Risiko
Gesetze
Praktische Bedeutung
§ 94 StPO - Beschlagnahme -
(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können,
sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.
PRW RECHTSANWÄLTE
Rollenverständnis
Was ist schlimmer?
Wenn der Chef des Unternehmens 14 Tage Urlaub macht,
oder
wenn der Server 14 Tage Urlaub macht?
PRW RECHTSANWÄLTE
Rollenverständnis II
Das alles gehört zum Thema
„Compliance“
oder
Gesetze muss man einhalten!
Ob man sie kennt oder nicht ...
PRW RECHTSANWÄLTE
19
Zufall vs. Vorhersehbarkeit
Für Zufall kann keiner etwas. Für Zufall gibt es keinen rechtlich Verantwortlichen, aber für Vorhersehbarkeit.
Nach ständiger Rechtsprechung braucht sich die Vorhersehbarkeit nicht darauf zu erstrecken, wie sich der Schadenshergang im einzelnen abspielt und in welcher Weise sich der Schaden verwirklicht. Es genügt vielmehr, dass die Möglichkeit des Eintritts eines schädigenden Erfolges im allgemeinen hätte vorausgesehen werden können. (BGH, Urt. v. 10. November 1992 – VI ZR 45/92)
PRW RECHTSANWÄLTE
Vorhersehbarkeit
Alles was vorhersehbar ist, führt zum Verschulden zumindest wegen Fahrlässigkeit.
§ 276 BGB Verantwortlichkeit (1) … (2) Fahrlässig handelt, wer die im Verkehr
erforderliche Sorgfalt außer Acht lässt.
PRW RECHTSANWÄLTE
Frage
Wie wohnen Manager mit einem
zu niedrigen Complianceniveau?
PRW RECHTSANWÄLTE
kostenfrei !
PRW RECHTSANWÄLTE
Projekt !
Datenstrukturanalyse
Was liegt wo?Wer legt was wohin?
Was muss wie lange aufbewahrt werden?Was muss wann vernichtet werden?
T
R
O
PRW RECHTSANWÄLTE
Paradigmenwechsel
Früher
Technik
Organisation
Recht
Zukünftig
Recht
Organisation
Technik
T
O
R T
O
R
PRW RECHTSANWÄLTE
Großes Unternehmen
mittleres Unternehmen
kleines Unternehmen
Normenpakete, z.B. SOX, AktG, GmbHG, GDPdU
=
Analyse
PRW RECHTSANWÄLTE
Das große Unternehmen hat viele Normen und
Gesetze, die bedient werden
müssen.
Normenpakete, z.B. SOX, AktG,
internat. Gesetze GDPdU
=
Analyse
PRW RECHTSANWÄLTE
Das mittlere Unternehmen hat
einige Normen und Gesetze, die
bedient werden müssen, andere treffen nicht zu.
Entfällt bei mittlerem
Unternehmen
Normenpakete, z.B. AktG, GDPdU
=
Analyse
PRW RECHTSANWÄLTE
Das kleine Unternehmen hat
wenige Normen und Gesetze, die bedient werden müssen, andere treffen nicht zu.
Entfällt bei kleinem
Unternehmen
Normenpakete, z.B. GmbHG,
GDPdU
=
Analyse
PRW RECHTSANWÄLTE
Danke für die Aufmerksamkeit !
PRW RECHTSANWÄLTE
RA Christian Wilser
Steinsdorfstr. 14
80538 München
Tel: +49 (89) 2109 770
E-Mail: [email protected]
Internet: www.prw.info
PRW RECHTSANWÄLTE
Anhang
Verantwortung und
Haftung
im Unternehmen
PRW RECHTSANWÄLTE
Computerausfall: Lufthansa sitzt fest
Flugverspätungen und -streichungen haben am Donnerstag-morgen Tausende von Lufthansa-Passagiere über sich ergehen lassen müssen. Wegen des kompletten Ausfalls der Abfertigungscomputer wurden zwölf innerdeutsche und innereuropäische Flüge gestrichen, teilte die Fluggesellschaft mit. Die Reisenden mussten wegen des Ausfalls des Computersystems per Hand eingecheckt werden.
Quelle:stern.de
Zufall? Nein, ein Update
Beispiele und Fakten
PRW RECHTSANWÄLTE
Computerausfall bei der NSA
Drei Tage lang konnten die Supercomputer des US-Geheimdienstes NSA das gesammelte Datenmaterial wegen eines Software-Problems nicht auswerten.
Nach Angaben, die Direktor der NSA Michael Hayden gegenüber ABC News gemacht hat, sind die Computer von der enormen Datenmenge "überwältigt" worden. Die Reparaturarbeiten hätten tausende Mannstunden und 1,5 Millionen Dollar verschlungen.
Quelle: computerwoche.de
Zufall? Nein, Datenmenge
Beispiele und Fakten
PRW RECHTSANWÄLTE
Relevante Rechtsbereiche
Zivilrecht und Wettbewerbsrecht Handelsrecht (Bilanzierung, Lagebericht)ArbeitsrechtSteuerrecht, GDPdU
DatenschutzrechtTelekommunikationsrecht Strafrecht
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
„Gib Dem Prüfer deine Unterlagen ...“
PRW RECHTSANWÄLTE
Anspruchsgrundlagen Chef
§ 43 GmbHG
§§ 91, 93 AktG
KonTraG
§ 289 HGB
§ 14 StGB
PRW RECHTSANWÄLTE
Anspruchsgrundlagen
Mit Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmen (KonTraG) im Mai 1998 sind Aktiengesellschaften sowie Tochterfirmen (unabhängig von ihrer Gesellschaftsform) zur Implementierung eines unternehmensweiten Früherkennungssystems für bestandsgefährdende Risiken sowie eines entsprechenden Überwachungssystems verpflichtet. Dies betrifft auch die IT-Landschaft.
PRW RECHTSANWÄLTE
Relevante Zivilrechtsnormen
§ 91 AktG: Organisation(eingeführt durch KonTraG Art. I Ziff. 9 c)
(1) ... (2) Der Vorstand hat geeignete Maßnahmen zu
treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
= Risikomanagement !
PRW RECHTSANWÄLTE
Relevante Zivilrechtsnormen
§ 93 AktG: Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder
(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.
(2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.
PRW RECHTSANWÄLTE
Relevante Zivilrechtsnormen
Zu § 91 Abs. 2 AktG und KonTraG Nach inzwischen herrschender Meinung gilt die Pflicht zum Risikomanagement auch für die GmbH und andere Gesellschaftsformen. Zwar gibt es keine Spezialnorm, aber Rechtsprechung / Literatur begründen die weite Auslegung damit, das die genannten Vorschriften eine „Ausstrahlungswirkung“ auf den Pflichtenrahmen der Geschäftsführung anderer Gesellschaften habe.
Dies ergibt sich dann aus der allgemeinen Sorgfaltspflicht.
PRW RECHTSANWÄLTE
Relevante Zivilrechtsnormen
§ 43 GmbHG: Haftung der Geschäftsführer
(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.
Wer kein Risikomanagement–System einführt, haftet persönlich.
PRW RECHTSANWÄLTE
Eine Selbstverständlichkeit !?
Hat die Geschäftsleitung eines Unternehmens
geltendes Recht selbst einzuhalten und für die Einhaltung
durch Mitarbeiter zu sorgen ?
Risikomanagement !
Digitale Betriebsprüfung !
Datenschutzbestimmungen !
PRW RECHTSANWÄLTE
Haftungsinteresse
Wer interessiert sich für die Haftungsfrage ?
Der (direkt) geschädigte Dritte.
aber auch:
Die Gesellschafter der AG, GmbH, etc.
Die Versicherung, die in Anspruch genommen wird(vereinbarte Obliegenheiten, § 61 VVG)
Der Insolvenzverwalter
PRW RECHTSANWÄLTE
Alles Theorie ?
"ARAG-Garmenbeck"-Entscheidung des BGH vom 21.04.97: Aufsichtsrat muss Vorstand in Anspruch nehmen! Geschäftsführung haftet persönlich!
"Optikerprogramm"- Entscheidung des BGH v. 02.07.1996:
"Datensicherung ist eine allgemein bekannte Selbst-verständlichkeit. Angesichts der Gefahren eines Daten-verlustes gilt sie … als unverzichtbar."
==> Manager haften für IT-Sicherheit persönlich !
Schadensersatz bei Verbreitung eines Computervirus - LG Hamburg, Urteil vom 18.07.2001, Az: 401 O 63/00
PRW RECHTSANWÄLTE
To Do – Liste IT-Sicherheit IT-Sicherheit ist Chefsache, das ist NICHT delegierbar ! Lassen Sie analysieren – dann handeln Sie ! Bestellen Sie einen Verantwortlichen für die IT-Sicherheit! Holen Sie sich professionelle Beratung ins Haus! Befreien Sie sich von persönlicher Haftung:
Lassen Sie eine betriebsinterne IT-Sicherheitsrichtlinie, sowie eine
Betriebsanweisung für den Umgang mit E-Mails und die Nutzung des Internet erstellen!
Schulen Sie die Mitarbeiter zum Thema IT-Sicherheit! Erstellen Sie einen Notfallplan für den Ausfall verschiedener
Komponenten, z.B. der Firewall, einem Virus-Angriff, einem Angriff durch einen Hacker, etc.! (Denken Sie auch an eine „Sprachregelung“!)
Kontrollieren Sie !
PRW RECHTSANWÄLTE
Anhang
Archivierung / GdPDU
PRW RECHTSANWÄLTE
Wer muss aufbewahren?
Das Handelsgesetzbuch (HGB) verpflichtet Kaufleute zur Aufbewahrung von Geschäftsunterlagen (§ 257 HGB).
Aus steuerlichen Gründen haben alle Unternehmen der gewerblichen Wirtschaft die Aufbewahrungsvorschriften nach § 147 Abgabenordnung (AO) zu erfüllen.
PRW RECHTSANWÄLTE
Was ist aufzubewahren?
Die handels- und steuerrechtlichen Vorschriften zur Aufzeichnung von Geschäftsvorfällen und zur Aufbewahrung von Schriftgut stimmen nur zum Teil überein.
Aus steuerrechtlichen Gründen sind sämtliche Geschäftsunterlagen und sonstigen Unterlagen aufzubewahren, die für die Besteuerung von Bedeutung sind.
Die handelsrechtlichen Vorschriften haben damit für die betriebliche Praxis nicht die Bedeutung wie sie den steuerrechtlichen Aufbewahrungs-vorschriften zukommt.
PRW RECHTSANWÄLTE
Wie ist aufzubewahren?
Die Aufbewahrung im Original ist nur in Ausnahmefällen vorgeschrieben.
Eröffnungsbilanzen, die Jahresabschlüsse und die Konzernabschlüsse müssen nach § 257 Abs. 3 S. 1 HGB und § 147 Abs. 2 S.1 AO innerhalb der Aufbewahrungsfrist im Original aufbewahrt werden, auch wenn sie auf Mikrofilm oder anderen digitalen Datenträgern aufgezeichnet sind.
PRW RECHTSANWÄLTE
Wie ist aufzubewahren? (II)
GoBS (Grundätze ordnungsgemäßer DV-gestützter Buchführungssysteme)
Verfahrensdokumentation / IKS (int. Kontroll-system)
Während Übertragungs- / Scanvorgang darf keine Bearbeitung möglich sein
Indexierung / Risiko der Unauffindbarkeit ist zu reduzieren
Datensicherheitskonzept Schutz vor Verlust / Veränderung Lesbarkeit der Datenträger ist regelmäßig zu prüfen
PRW RECHTSANWÄLTE
Wie lange ist aufzubewahren?
Nach Steuerrecht gilt die Aufbewahrungsfrist von 10 Jahren für: Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege.
6 Jahren für: Empfangene Handels- oder Geschäftsbriefe, Wieder-gaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. Dazu zählen auch E-Mails und andere digitale Dokumente.
PRW RECHTSANWÄLTE
Elektronische Steuerprüfung: GDPdU
Seit 1. Januar 2002 müssen alle Steuerpflichtigen ihre originär digitalen, steuerlich relevanten Daten in strukturierter Form für die Steuerprüfung 10 Jahre elektronisch verfügbar halten. Dazu zählen z.B.: Elektronische Kassenjournale ERP-Systeme Digitale Rechnungsdaten (Eingang + Ausgang) Alle in Word / Excel / Outlook erstellten Geschäftsbriefe Buchführungsdaten, Lohnbuchhaltung Elektronische Zeiterfassungsdaten Kurzum ... fast alle Daten
Die Einhaltung durch Ihren Steuerberater
genügt nicht !
PRW RECHTSANWÄLTE
§ 147 Abs. 6 und § 146 Abs. 5 AO
§ 146 (5) AO:
Die Bücher und die sonst erforderlichen Aufzeichnungen können auch in
der geordneten Ablage von Belegen bestehen oder auf Datenträgern
geführt werden, soweit diese Formen der Buchführung einschließlich des
dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger
Buchführung entsprechen; bei Aufzeichnungen, die allein nach den
Steuergesetzen vorzunehmen sind, bestimmt sich die Zulässigkeit des
angewendeten Verfahrens nach dem Zweck, den die Aufzeichnungen für
die Besteuerung erfüllen sollen. Bei der Führung der Bücher und der
sonst erforderlichen Aufzeichnungen auf Datenträgern muss
insbesondere sichergestellt sein, dass während der Dauer der
Aufbewahrungsfrist die Daten jederzeit verfügbar sind und unverzüglich
lesbar gemacht werden können. Dies gilt auch für die Befugnisse der
Finanzbehörde nach § 147 Abs. 6. Absätze 1 bis 4 gelten sinngemäß.
PRW RECHTSANWÄLTE
§ 147 Abs. 6 und § 146 Abs. 5 AO
§ 147 (6) AO:
Sind die Unterlagen nach Absatz 1 mit Hilfe eines Daten-
verarbeitungssystems erstellt worden, hat die Finanzbehörde im
Rahmen einer Außenprüfung das Recht, Einsicht in die
gespeicherten Daten zu nehmen und das Datenverarbei-
tungssystem zur Prüfung dieser Unterlagen zu nutzen. Sie kann
im Rahmen einer Außenprüfung auch verlangen, dass die Daten
nach ihren Vorgaben maschinell ausgewertet oder ihr die
gespeicherten Unterlagen und Aufzeichnungen auf einem
maschinell verwertbaren Datenträger zur Verfügung gestellt
werden. Die Kosten trägt der Steuerpflichtige.
PRW RECHTSANWÄLTE
Der Prüfer im Haus
3 Alternativen: Der Betriebsprüfer wertet auf dem System des
Geprüften aus. Der Prüfer lässt sich die Daten übergeben und
wertet auf seinem System aus (Laptop). Der Prüfer lässt die Daten auf des System des
Geprüften durch einen vom Steuerpflichtigen abgestellten Mitarbeiter nach Anweisung auswerten.
Der Prüfer ist wahlfrei! Man sollte ihm helfen!Daher: Schnittstellen für einen digitalen Zugriff einrichten. (Die Software der Prüfer heißt IDEA.)
PRW RECHTSANWÄLTE
Der Prüfer im Haus
Die Daten sind dem Betriebsprüfer „archiviert“ zu übergeben.
Die Daten müssen unverzüglich lesbar gemacht werden können.
Ist das nicht möglich, ist die Ordnungs-mäßigkeit der Buchführung gefährdet! Es droht Zwangsgeld bis EUR 25.000,00 sowie ...
die Schätzung !
PRW RECHTSANWÄLTE
Was ist zu tun ?
Historisierung der Stammdaten Sicherstellung GoBS Erstellen von Berechtigungsprofilen für Prüfer
(Nur-Lese-Zugriff, Beschränkung auf prüfungsrelevanten Zeitraum)
Prüfung, ob die eingesetzten IT-Systeme die Daten von 10 Jahren verwalten können
Berücksichtigung der GDPdU bei künftigen Anschaffungen (Archivierungssysteme)
PRW RECHTSANWÄLTE
Kontakt
PRW RECHTSANWÄLTE
RA Christian Wilser
Steinsdorfstr. 14
80538 München
Tel: +49 (89) 2109 770
E-Mail: [email protected]
Internet: www.prw.info