560 likes | 650 Views
Veranstaltung 05.07.2007. U nstrukturierte Daten oder: Die Bombe tickt ... RA Christian Wilser. Vorstellung. Spezialkanzlei im IT Umfeld. PRW Rechtsanwälte: Seit vielen Jahren spezialisiert auf die Beratung mittelständischer Unternehmen, insbesondere im IT – Umfeld
E N D
Veranstaltung 05.07.2007 Unstrukturierte Daten oder: Die Bombe tickt ... RA Christian Wilser
Vorstellung Spezialkanzlei im IT Umfeld PRW Rechtsanwälte: Seit vielen Jahren spezialisiert auf die Beratung mittelständischer Unternehmen, insbesondere im IT – Umfeld Spezialthemen: IT-Recht, Projektbegleitung, IT-Sicherheit, Datenschutz Daneben: Vertragswesen, Forderungsmanagement, Versicherungsrecht
Was sind…? Strukturierte Daten > Datenbanken (Semi-strukturierte Daten) > ( ... ) Unstrukturierte Daten können sich in Hunderten verschiedener Applikationen und in ebenso vielen Datei-Formaten finden; insbesondere Office-Dokumente (Word, Excel, Powerpoint), E-Mails, Grafikdateien, Audio- und Videodateien oder spezielle Formate wie Konstruktionszeichnungen, Röntgenaufnahmen im medizinischen Bereich, geologische Daten, etc.
Sind unstrukturierte Daten schlecht ? Nein ! Es ist, wie so oft, eine Frage des Umgangs ... und ... es gibt sehr viele davon !!
Zahlen 2000 2005 2010 2015 ... 6400 1600 100 400
Wahre Werte Der Wert des Unternehmens steckt zu einem nicht unerheblichen Teil in unstrukturierten Daten ! • Ein Vortrag des Geschäftsführers • Ein per E-Mail geschlossener Vertrag • Wichtige Erkenntnisse von F+E finden sich in einem PDF-File • Mitarbeiterverträge; und und und
Wo ist also das Problem ? Es steht vor Ihnen !
Schöne neue Welt... Struktur muss her !! ? Chaos ? Ordnung !
Einordnung Unternehmerische Aspekte Rechtliche Aspekte Beispiel E-Mail: - Nachvollziehen von Geschäftsprozessen - Führen von Gerichtsprozessen Wissensmanagement, etc. Beispiel E-Mail: - Pflicht zur Aufbewahrung ? - Pflicht zur Löschung ? - Pflicht zum Wiederfinden ?
Datenschutz u. -sicherheit: z.B. E-Mail (II) E-Mails sind mittlerweile unentbehrlich (weitgehender Ersatz der früheren „klassischen“ Geschäftskorrespondenz) • Wir müssen unsere E-Mails schützen(Antivirus / Verschlüsselung) • Wir müssen uns vor unseren E-Mails schützen(Antivirus) • Wir müssen unsere E-Mails aufheben(Archivierung) • Wir müssen unsere archivierten E-Mails wieder auffinden(Archivierungskonzept)
E-Mailverkehr Datentypen T 1 DS T 2 AO 3 Monate T 3 Med 10 Jahre 30 Jahre T n sonstig n Jahre B 1 DSB B 2 Finanz B 3 Arzt Zugriffsberechtigung
Das Duell Datenarchivierung vs. Datenlöschung GDPdU 10 Jahre Medizinische Daten 30 Jahre Lebensversicherung x Jahre §§ 20, 35 BDSG Pflicht zur Löschung bei unzulässiger Speicherung, oder wenn Daten nicht mehr benötigt werden (Erlöschen der Geschäftsbeziehung!); hilfsweise Sperrung
Praktische Bedeutung Preis für Speicherplatz (Alles speichern ? Auf Primärspeicher ?) Risiko (Gesetzesverstöße) Wert von Informationen (Wert unbekannter Informationen ?) (Wert der Nichtnutzung vorhandener Informationen ?) Preis Risiko Wert
Praktische Bedeutung Risiko Reisekosten: Nicht anerkannt ! Steuer
Praktische Bedeutung Risiko Datenschutz
Praktische Bedeutung Risiko § 94 StPO - Beschlagnahme - (1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen. Gesetze
Rollenverständnis Was ist schlimmer? Wenn der Chef des Unternehmens 14 Tage Urlaub macht, oder wenn der Server 14 Tage Urlaub macht?
Rollenverständnis II Das alles gehört zum Thema „Compliance“ oder Gesetze muss man einhalten! Ob man sie kennt oder nicht ...
Zufall vs. Vorhersehbarkeit • Für Zufall kann keiner etwas. Für Zufall gibt es keinen rechtlich Verantwortlichen, aber für Vorhersehbarkeit. • Nach ständiger Rechtsprechung braucht sich die Vorhersehbarkeit nicht darauf zu erstrecken, wie sich der Schadenshergang im einzelnen abspielt und in welcher Weise sich der Schaden verwirklicht. Es genügt vielmehr, dass die Möglichkeit des Eintritts eines schädigenden Erfolges im allgemeinen hätte vorausgesehen werden können. (BGH, Urt. v. 10. November 1992 – VI ZR 45/92)
Vorhersehbarkeit • Alles was vorhersehbar ist, führt zum Verschulden zumindest wegen Fahrlässigkeit. • § 276 BGB Verantwortlichkeit • (1) … • (2) Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt.
Frage Wie wohnen Manager mit einem zu niedrigen Complianceniveau?
Projekt ! Datenstrukturanalyse Was liegt wo? Wer legt was wohin? Was muss wie lange aufbewahrt werden? Was muss wann vernichtet werden? T O R
Früher Technik Organisation Recht Zukünftig Recht Organisation Technik Paradigmenwechsel T R O O R T
Analyse Normenpakete, z.B. SOX, AktG, GmbHG, GDPdU = Großes Unternehmen mittleres Unternehmen kleines Unternehmen
Analyse Normenpakete, z.B. SOX, AktG, internat. Gesetze GDPdU = Das große Unternehmen hat viele Normen und Gesetze, die bedient werden müssen.
Analyse Normenpakete, z.B. AktG, GDPdU = Entfällt bei mittlerem Unternehmen Das mittlere Unternehmen hat einige Normen und Gesetze, die bedient werden müssen, andere treffen nicht zu.
Analyse Normenpakete, z.B. GmbHG, GDPdU = Entfällt bei kleinem Unternehmen Das kleine Unternehmen hat wenige Normen und Gesetze, die bedient werden müssen, andere treffen nicht zu.
Danke für die Aufmerksamkeit ! PRW RECHTSANWÄLTE RA Christian Wilser Steinsdorfstr. 14 80538 München Tel: +49 (89) 2109 770 E-Mail: wilser@prw.de Internet: www.prw.info
Anhang Verantwortung und Haftung im Unternehmen
Beispiele und Fakten Computerausfall: Lufthansa sitzt fest Flugverspätungen und -streichungen haben am Donnerstag-morgen Tausende von Lufthansa-Passagiere über sich ergehen lassen müssen. Wegen des kompletten Ausfalls der Abfertigungscomputer wurden zwölf innerdeutsche und innereuropäische Flüge gestrichen, teilte die Fluggesellschaft mit. Die Reisenden mussten wegen des Ausfalls des Computersystems per Hand eingecheckt werden. Quelle:stern.de Zufall? Nein, ein Update
Beispiele und Fakten Computerausfall bei der NSA Drei Tage lang konnten die Supercomputer des US-Geheimdienstes NSA das gesammelte Datenmaterial wegen eines Software-Problems nicht auswerten. Nach Angaben, die Direktor der NSA Michael Hayden gegenüber ABC News gemacht hat, sind die Computer von der enormen Datenmenge "überwältigt" worden. Die Reparaturarbeiten hätten tausende Mannstunden und 1,5 Millionen Dollar verschlungen. Quelle: computerwoche.de Zufall? Nein, Datenmenge
Relevante Rechtsbereiche Zivilrecht und Wettbewerbsrecht Handelsrecht (Bilanzierung, Lagebericht) Arbeitsrecht Steuerrecht, GDPdU Datenschutzrecht Telekommunikationsrecht Strafrecht Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen „Gib Dem Prüfer deine Unterlagen ...“
Anspruchsgrundlagen Chef § 43 GmbHG §§ 91, 93 AktG KonTraG § 289 HGB § 14 StGB
Anspruchsgrundlagen Mit Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmen (KonTraG) im Mai 1998 sind Aktiengesellschaften sowie Tochterfirmen (unabhängig von ihrer Gesellschaftsform) zur Implementierung eines unternehmensweiten Früherkennungssystems für bestandsgefährdende Risiken sowie eines entsprechenden Überwachungssystems verpflichtet. Dies betrifft auch die IT-Landschaft.
Relevante Zivilrechtsnormen § 91 AktG: Organisation (eingeführt durch KonTraG Art. I Ziff. 9 c) (1) ... (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. = Risikomanagement !
Relevante Zivilrechtsnormen § 93 AktG: Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder (1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. (2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.
Relevante Zivilrechtsnormen Zu § 91 Abs. 2 AktG und KonTraG Nach inzwischen herrschender Meinung gilt die Pflicht zum Risikomanagement auch für die GmbH und andere Gesellschaftsformen. Zwar gibt es keine Spezialnorm, aber Rechtsprechung / Literatur begründen die weite Auslegung damit, das die genannten Vorschriften eine „Ausstrahlungswirkung“ auf den Pflichtenrahmen der Geschäftsführung anderer Gesellschaften habe. Dies ergibt sich dann aus der allgemeinen Sorgfaltspflicht.
Relevante Zivilrechtsnormen § 43 GmbHG: Haftung der Geschäftsführer (1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. Wer kein Risikomanagement–System einführt, haftet persönlich.
Eine Selbstverständlichkeit !? Hat die Geschäftsleitung eines Unternehmens geltendes Recht selbst einzuhalten und für die Einhaltung durch Mitarbeiter zu sorgen ? Risikomanagement ! Digitale Betriebsprüfung ! Datenschutzbestimmungen !
Haftungsinteresse Wer interessiert sich für die Haftungsfrage ? Der (direkt) geschädigte Dritte. aber auch: • Die Gesellschafter der AG, GmbH, etc. • Die Versicherung, die in Anspruch genommen wird(vereinbarte Obliegenheiten, § 61 VVG) • Der Insolvenzverwalter
Alles Theorie ? "ARAG-Garmenbeck"-Entscheidung des BGH vom 21.04.97: Aufsichtsrat muss Vorstand in Anspruch nehmen! Geschäftsführung haftet persönlich! "Optikerprogramm"- Entscheidung des BGH v. 02.07.1996: "Datensicherung ist eine allgemein bekannte Selbst-verständlichkeit. Angesichts der Gefahren eines Daten-verlustes gilt sie … als unverzichtbar." Schadensersatz bei Verbreitung eines Computervirus - LG Hamburg, Urteil vom 18.07.2001, Az: 401 O 63/00 ==> Manager haften für IT-Sicherheit persönlich !
To Do – Liste IT-Sicherheit • IT-Sicherheit ist Chefsache, das ist NICHT delegierbar ! • Lassen Sie analysieren – dann handeln Sie ! • Bestellen Sie einen Verantwortlichen für die IT-Sicherheit! • Holen Sie sich professionelle Beratung ins Haus! • Befreien Sie sich von persönlicher Haftung: • Lassen Sie eine betriebsinterne IT-Sicherheitsrichtlinie, sowie eine • Betriebsanweisung für den Umgang mit E-Mails und die Nutzung des Internet erstellen! • Schulen Sie die Mitarbeiter zum Thema IT-Sicherheit! • Erstellen Sie einen Notfallplan für den Ausfall verschiedener Komponenten, z.B. der Firewall, einem Virus-Angriff, einem Angriff durch einen Hacker, etc.! (Denken Sie auch an eine „Sprachregelung“!) • Kontrollieren Sie !
Anhang Archivierung / GdPDU
Wer muss aufbewahren? • Das Handelsgesetzbuch (HGB) verpflichtet Kaufleute zur Aufbewahrung von Geschäftsunterlagen (§ 257 HGB). • Aus steuerlichen Gründen haben alle Unternehmen der gewerblichen Wirtschaft die Aufbewahrungsvorschriften nach § 147 Abgabenordnung (AO) zu erfüllen.
Was ist aufzubewahren? • Die handels- und steuerrechtlichen Vorschriften zur Aufzeichnung von Geschäftsvorfällen und zur Aufbewahrung von Schriftgut stimmen nur zum Teil überein. • Aus steuerrechtlichen Gründen sind sämtliche Geschäftsunterlagen und sonstigen Unterlagen aufzubewahren, die für die Besteuerung von Bedeutung sind. • Die handelsrechtlichen Vorschriften haben damit für die betriebliche Praxis nicht die Bedeutung wie sie den steuerrechtlichen Aufbewahrungs-vorschriften zukommt.
Wie ist aufzubewahren? • Die Aufbewahrung im Original ist nur in Ausnahmefällen vorgeschrieben. • Eröffnungsbilanzen, die Jahresabschlüsse und die Konzernabschlüsse müssen nach § 257 Abs. 3 S. 1 HGB und § 147 Abs. 2 S.1 AO innerhalb der Aufbewahrungsfrist im Original aufbewahrt werden, auch wenn sie auf Mikrofilm oder anderen digitalen Datenträgern aufgezeichnet sind.
Wie ist aufzubewahren? (II) GoBS (Grundätze ordnungsgemäßer DV-gestützter Buchführungssysteme) • Verfahrensdokumentation / IKS (int. Kontroll-system) • Während Übertragungs- / Scanvorgang darf keine Bearbeitung möglich sein • Indexierung / Risiko der Unauffindbarkeit ist zu reduzieren • Datensicherheitskonzept • Schutz vor Verlust / Veränderung • Lesbarkeit der Datenträger ist regelmäßig zu prüfen
Wie lange ist aufzubewahren? Nach Steuerrecht gilt die Aufbewahrungsfrist von 10 Jahren für: Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege. 6 Jahren für: Empfangene Handels- oder Geschäftsbriefe, Wieder-gaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. Dazu zählen auch E-Mails und andere digitale Dokumente.
Elektronische Steuerprüfung: GDPdU Seit 1. Januar 2002 müssen alle Steuerpflichtigen ihre originär digitalen, steuerlich relevanten Daten in strukturierter Form für die Steuerprüfung 10 Jahre elektronisch verfügbar halten. Dazu zählen z.B.: • Elektronische Kassenjournale • ERP-Systeme • Digitale Rechnungsdaten (Eingang + Ausgang) • Alle in Word / Excel / Outlook erstellten Geschäftsbriefe • Buchführungsdaten, Lohnbuchhaltung • Elektronische Zeiterfassungsdaten • Kurzum ... fast alle Daten Die Einhaltung durch Ihren Steuerberater genügt nicht !