IT-Sicherheit Das müssen Sie wissen!

IT-Sicherheit
Das müssen Sie wissen!
Ein rechtlicher Leitfaden für
Unternehmer und IT-Beauftragte
puresecurity
™
2
puresecurity
™
Inhalt
3
Über den Autor ....................................................................2
3
1.0 Mit Sicherheit Recht behalten! .......................................3
1.1 Bedrohungsszenario .....................................................3
3
2.0 Haftungsfragen - Alles was Recht ist! ............................4
2.1 Verkehrssicherungspflichten ..........................................4
2.2 Störerhaftung im Netzwerk, offene W-LAN ....................6
2.3 Szenario und Rechtsfolgen............................................6
2.4 Eigenhaftung der IT-Verantwortlichen.............................7
2.5 TMG-Haftung ................................................................8
3
3.0 Risikomanagement und IT-Compliance..........................8
3.1 KonTraG - Haftung der Geschäftsleitung .......................8
3.2 Anerkannte Standards und Zertifizierung .......................8
3.3 Basel II und die Rechtsfolgen ........................................9
3.4 SOX-Compliance ..........................................................9
3.5 Euro-SOX ....................................................................10
3.6 NPSI - Nationaler Plan Schutz
Über den Autor
3
Rechtsanwalt, Kanzlei esb in Stuttgart,
spezialisiert auf IT-Recht
3
Seminarleiter Internetrecht, IT-Sicherheit, Datenschutz
der Informationsinfrastrukturen ....................................10
3
4.0 Rechtskonformes SSL-Decryption ..............................11
4.1 Zulässigkeitsvoraussetzungen .....................................11
4.2 Best Practice-Beispiel .................................................11
3
Ausbilder für Datenschutzbeauftragte
3
Fachbuchautor „IT-Recht in der Praxis“,
Vieweg, 2. Auflage, Juni 2007
3
Lehrbeauftragter der Universität Stuttgart
für Medienrecht
3
E-Mail: [email protected]
3
Internet: www.kanzlei.de, www.speichert.de
3
5.0 Mitarbeiterkontrolle versus Datenschutz mit einem Bein im Gefängnis? .....................................12
5.1 Private Nutzung, Fernmeldegeheimnis.........................12
5.2 Dienstliche Nutzung, unerlaubte Privatnutzung ............12
5.2.1 Surfen im Internet ...............................................12
5.2.2 Versendung von E-Mails .....................................12
5.3 Interessenausgleich durch rechtliche Gestaltung .........13
5.4 Mitbestimmung der Betriebs- und Personalräte ...........13
5.5 Betriebs- oder Dienstvereinbarungen...........................13
3
6.0 Anhang .......................................................................15
6.1 Checkliste ...................................................................15
IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte.
3
1.0 Mit Sicherheit Recht behalten!
1.1 Bedrohungsszenario
IT-Sicherheit ist eine von Haus aus technisch dominierte Diszi-
3
In einer Aktiengesellschaft mit 5.000 Mitarbeitern arbeitet
plin, die jedoch in starkem Umfang organisatorische Maßnah-
seit langen Jahren ein qualifizierter Mitarbeiter an einer neuen
men erfordert und zwingend die rechtlichen Rahmenbedin-
Technologie zur Produktion von Sonnenkollektoren, die dem
gungen einhalten muss. Es handelt sich um eine ganzheitliche
Unternehmen einen erheblichen Wettbewerbsvorsprung
Aufgabe, deren technische, organisatorische und rechtliche
sichern wird. Durch den Bau eines Eigenheims gerät der
Komponenten in enger Wechselbeziehung miteinander ver-
Mitarbeiter in finanzielle Schwierigkeiten, als ein Unbekannter
zahnt sind. Die technische Sicherheit etwa durch Firewalls wird
an ihn herantritt und ihm größere Geldbeträge für die Her-
flankiert von organisatorischen Maßnahmen wie Policies, Nut-
ausgabe wichtiger Unterlagen betreffend der neuen Techno-
zungsrichtlinien oder Zertifizierungen. Technik und Organisation
logie bietet. Der Mitarbeiter erbittet Bedenkzeit und prüft die
wiederum werden in Verträgen oder Betriebsvereinbarungen
Möglichkeiten, durch eine heimliche „Datensicherung“ über
rechtlich gestaltet und umgesetzt. Überdacht wird das System
das WAN des Unternehmens an die geforderten Unterlagen
von einem verbindlichen Risikomanagement, dass durch die
zu gelangen.
Leitungsebene des Unternehmens umzusetzen ist. Insgesamt
ergibt sich eine vielschichtige Pflichtenstruktur, die sich aus einer
breiten Palette von Maßnahmen zusammensetzt.
3
Medienbericht vom 23.05.2006: „Staatsanwaltschaft Köln
ermittelt gegen ca. 3.500 P2P-Nutzer. Rund 130 Durchsuchungen wurden im Rahmen einer koordinierten Aktion
Daraus ergibt sich eine ausgeprägte Ganzheitlichkeit der Infor-
gegen Tauschbörsennutzer heute zeitgleich im gesamten
mationssicherheit. Filtersysteme, Firewall, Hard- und Software
Bundesgebiet durchgeführt. Zahlreiche PC`s und andere
für die IT-Sicherheit unterfallen der Mitbestimmung des Betriebs-
Beweismittel wurden beschlagnahmt. Bei den Ermittlungen
rates, sofern sie auch zur Mitarbeiterkontrolle geeignet sind.
kam eine speziell zu diesem Zweck entwickelte Software
Spätestens wenn der Betriebsrat den Einsatz der Sicherheits-
zum Einsatz, die innerhalb von zwei Monaten über 800.000
technik sperrt, wird erkennbar, dass die technische Kompo-
Datensätze und mehr als 14 Gigabyte Log-Dateien zusam-
nente nicht alleine steht, sondern in ein juristisches Regelwerk
menstellte. Mit diesen Daten ist es gelungen, die Nutzer zu
eingebunden ist.
identifizieren.“
3
Der Mittelstand zeichnet sich durch ein hohes Maß an
Die Beispiele lassen sich fortsetzen. Zur Vermeidung von
Innovationskraft aus und ist deshalb der größte Know-how-
Haftung und Schadensersatz etwa ist nicht allein der Einsatz
Träger der deutschen Wirtschaft. „Keine Kleinstadt ohne
von Technik, sondern sind insbesondere auch organisatorische
Weltmarktführer“. Die notwendige Effizienz, um im globalen
Maßnahmen wie Nutzungsrichtlinien, Schulung und Beaufsich-
Wettbewerb zu bestehen, ist gewaltig. Der enorme Leistungs-
tigung von Mitarbeitern sowie rechtliche Gestaltung in IT-Ver-
druck führt oftmals zur Vernachlässigung notwendiger Sicher-
trägen und Betriebsvereinbarungen erforderlich. Auch hier zeigt
heitsbedürfnisse. Gerade der deutsche Mittelstand mit seinen
sich die enge Verzahnung von Technik, Organisation und Recht.
Sicherheitslücken gehört deshalb zu den leichten Zielen
weltweiter Wirtschaftsspionage. Wenn man so will, optimale
Wer diesen Strukturen gerecht wird und das Thema ganzheitlich
Voraussetzungen für den Abfluss von Hochtechnologie.
umsetzt, hebt die IT-Sicherheit auf die höhere Qualitätsstufe der
3
Ein langjähriger Abteilungsleiter ahnt, dass er zum Quartal-
Informationssicherheit im Sinne der Standards nach BSI-Grund-
sende aus betrieblichen Gründen die Kündigung erhalten
schutz oder ISO 27001.
wird. Seine Verärgerung hierüber ist verständlicherweise
groß. Als „Abschiedsgeschenk“ möchte er deshalb seinem
treulosen Arbeitgeber einen Trojaner hinterlassen, welcher
zeitgesteuert einen Monat nach seinem letzten Arbeitstag
einige Server lahm legen soll.
4
puresecurity
™
2.0 Haftungsfragen Alles was Recht ist!
2.1 Verkehrssicherungspflichten
Die IT-Verantwortlichen in Unternehmen und Behörden fragen
Zum besseren Verständnis der Haftungssystematik ist die ober-
sich immer häufiger und dringlicher, inwieweit illegale Vorgänge
gerichtliche Rechtsprechung des Bundesgerichtshofes (BGH)
und Inhalte zur Mitverantwortung des Arbeitgebers bzw. der
zu den Verkehrssicherungspflichten sowie die Vorgaben des
Mitarbeiter und Geschäftsleitung führen.
KonTraG für ein verbindliches Risikomanagement zu betrachten. Der BGH spricht im Rahmen der Haftungssystematik von
Ermittlungsverfahren und Auskunftspflichten
Verkehrssicherungspflichten:
Seit Anfang 2005 wurden allein ca. 25.000 Strafverfahren
wegen illegaler Downloads aus P2P-Netzwerken eingeleitet. Es
Wer eine Gefahrenquelle eröffnet oder sich an ihr betei-
stellt sich die Frage nach einer möglichen Mitverantwortlichkeit
ligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen.
3
des Unternehmens
3
Die Kommunikationsvorgänge in Intranet und Internet eröff-
3
der Geschäftsleitung
nen vielfältige Gefahren, sind also Gefahrenquellen im Sinne
3
der IT-Verantwortlichen, Mitarbeiter für solch illegale und
der Verkehrssicherungspflichten
strafbare Inhalte und Vorgänge.
3
Die Verkehrssicherungspflichten bestehen im Wesentlichen
aus:
Bei strafbarem Verhalten ( z.B. illegale Pornografie, raubkopierte
Inhalte) erstatten die Geschädigten verstärkt Strafanzeige. Die
Behörden versuchen daraufhin die zur Strafverfolgung notwendigen Daten zu ermitteln. Nach der neueren Rechtsprechung
werden Auskunftsansprüche der TK-Anbieter (Provider) nach
§ 89 VI, 113 TKG allgemein anerkannt. Auch der Arbeitgeber
wird bei erlaubter Privatnutzung zum TK-Anbieter. Demnach
müssen:
· Organisationspflichten bezüglich betrieblicher
(technischer) Abläufe
· Aufsichtspflichten des Arbeitgebers gegenüber
seinen Mitarbeitern
3
100%ige Sicherheit kann im Rahmen der Verkehrssicherungspflichten nicht verlangt werden, aber Maßnahmen nach
der Verkehrserwartung, die wirtschaftlich zumutbar sind
3
Auch die vertraglichen Schutzpflichten orientieren sich an
den Verkehrssicherungspflichten
3
die öffentlichen Provider, die IP-Adresse herausgeben
3
die Arbeitgeber, anhand der IP-Adresse die persönliche
Zuordnung zum konkreten Mitarbeiter vornehmen.
Solche Ermittlungen der Behörden bringen die Verantwortlichen
in den Unternehmen nicht selten in schwierige Situationen,
insbesondere wenn die Passwort- bzw. Identitätsverwaltung
beim Arbeitgeber so unzureichend ist, dass die persönliche
Zuordnung der IP-Adresse auch den Falschen treffen kann. Je
sensibler der verfolgte Straftatbestand ist, desto empfindlicher
wird ein zu Unrecht beschuldigter Mitarbeiter reagieren. Denn
die persönliche Zuordnung der IP-Adresse und Herausgabe der
Daten führt zu unmittelbaren Ermittlungsmaßnahmen gegen den
Mitarbeiter.
IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte.
5
Die Verkehrssicherungspflichten ergeben sich aus
Die konkretisierenden Normen werden von der Rechtsprechung
einer Vielzahl gesetzlicher und vertraglicher Be-
als Maßstab für die angemessenen Sicherungserwartungen
stimmungen sowie der Rechtsprechung. Nachfol-
herangezogen. Der Umfang der Verkehrssicherungspflichten
gend einige Beispiele.
bestimmt sich insbesondere nach...
3
Besondere Verschwiegenheitsverpflichtung und eine
strafbewehrte Garantenstellung für besonders sensib-
3
den Sicherheitserwartungen der beteiligten Verkehrskreise
le Daten
3
der Marktüblichkeit der Sicherheits-Hardware und -Software,
· bei Amts-, Berufs- und Privatgeheimnissen,
§ 203 StGB
· bei Geschäfts- und Betriebsgeheimnissen,
§ 17 UWG
· Garantenstellung nach § 13 StGB
· begehbar auch durch Unterlassen von Sicherungsmaßnahmen, Verletzung von Sorgfaltspflichten
3
§ 25a Abs. 1 Nr. 2 KWG: Kredit- und Finanzinstitute
z. B. hinsichtlich der notwendigen Update-Intervalle eines
Virenscanners
3
der Quantität der Datenverarbeitung
3
der Gefährlichkeit des Tuns
3
dem Prinzip der Verhältnismäßigkeit, also der Erforderlichkeit
und Angemessenheit von Maßnahmen
3
der wirtschaftlichen Zumutbarkeit, also der Größe und Leistungsfähigkeit eines Unternehmens
müssen über angemessene Sicherheitsvorkehrungen
für die Datenverarbeitung verfügen, diese werden
Nach der Rechtsprechung ist im gewerblichen Bereich eine
konkretisiert durch Richtlinien des BaFin (MaRisk),
zuverlässige, zeitnahe und umfassende Sicherung der IT-Sys-
welche ein Risikomanagement für Banken und Fi-
teme erforderlich. Ansonsten können betriebliche Brandherde,
nanzdienstleister verlangen
wie etwa raubkopierte Software oder der strafbare Download
3
Vorgaben der Finanzbehörden nach der GoBS oder
von mp3-Files aus P2P-Netzwerken zur Mitverantwortlichkeit
GDPdU: Risiken für die steuerlich relevanten Daten-
in Unternehmen und Behörden führen. Umgesetzt werden die
bestände sind zu vermeiden
Pflichten zur Haftungsprävention durch ein Bündel von Maßnah-
3
§ 9 BDSG plus Anlage: Die Vorschrift enthält die
Grundsätze ordnungsgemäßer Datenverarbeitung,
men, bestehend aus Technik, Nutzungsrichtlinien und rechtlicher Gestaltung:
also Vorgaben für die technisch-organisatorische
Datensicherheit. Es ist ein technisches Sicherheitskonzept zu entwickeln, dass unbefugten Zugriff auf
personenbezogene Daten verhindert. Im Einzelnen
bedeutet dies:
· Zutrittskontrolle: räumliche, physische Sicherung,
Authentifizierung
· Zugangskontrolle: Passwort, Firewall,
Festplattenverschlüsselung
· Zugriffskontrolle: effektive, rollenbasierte
Rechteverwaltung
· Weitergabekontrolle: Datensicherung,
Verschlüsselung
· Verfügbarkeitskontrolle: Virenschutz, Backup,
sichere Archivierung
3
Ganzheitlichkeit: abgestimmter Mix aus technischen, organisatorischen und rechtlichen Maßnahmen
3
Technisch: upgedateter Virenschutz, Archivierung, URL-Filter,
Content-, Spam-Filter, etc.
3
Organisatorisch: Zuständigkeits-, Verantwortlichkeitsverteilung, Policy, Nutzungsrichtlinien, Kontrolle der Beschäftigten,
etc.
3
Rechtliche Gestaltung: Betriebs-/Dienstvereinbarung, Steuerung durch Verträge, SLA, AGB, etc.
3
Transparenz der Regeln: erzeugt Vertrauen + Warnfunktion
mit Lenkungswirkung
6
puresecurity
™
2.2 Störerhaftung im Netzwerk,
offene W-LANs
2.3 Szenario und Rechtsfolgen
Das Landgericht Hamburg hat am 26.07.2006 entschieden,
3
Rechtswidrige E-Mail-Anhänge oder Download von
dass der Betreiber eines offenen W-LAN für urheberrechts-
Mitarbeitern, z. B. Raupkopien, illegale mp3-Files,
widrige, strafbare Down- bzw. Uploads aus P2P zumindest im
führen zu Strafverfolgungsmaßnahmen im Unterneh-
Rahmen der Störerhaftung verantwortlich ist. Bei einem offenen
men (Durchsuchung der Geschäftsräume, Beschlag-
W-LAN ohne Passwortschutz ist die Datenübertragung nicht
nahme von Firmenrechnern, etc.)
gesichert. So können z.B. strafbare mp3-Files missbräuchlich
3
Eintragungen von außen im eigenen System, z. B.
über das offene W-LAN durch externe Dritte heruntergeladen
in Blogs, Gästebücher oder Foren: Gefahr illegaler
werden. Im Rechtssinne handelt es sich dabei um ein öffent-
Inhalte wie Beleidigungen, Obszönitäten, Persönlich-
liches Zugänglichmachen von Musikfiles über P2P. Dem Betrei-
keits-, Marken- oder Urheberrechtsverletzungen etc.
ber eines W-LAN obliegen umfangreiche Verkehrssicherungspflichten. Wer seine Internetverbindung drahtlos betreibt, muss
für die Sicherung des Netzwerkes sorgen, andernfalls verstößt
er gegen zumutbare Prüfungspflichten.
3
Fremdinhalte von Dritten (z.B. Kundendaten oder
Webspace für Dritte): ebenfalls Gefahr, dass die gehosteten Inhalte illegal sind
3
Jugendschutz bei Minderjährigen, z.B. Azubis oder
Praktikanten: Verstoß gegen Jugendschutz, der
Das Urteil reiht sich in eine mittlerweile Vielzahl von Entscheidungen ein, welche die Störerhaftung für unsichere Netzwerke
Arbeitgeber hat hier eine Garantenstellung
3
Schutz des Persönlichkeitsrechts am Arbeitsplatz
oder Plattformen bejahen. So haben etwa auch der BGH oder
vor Belästigung, Beleidigung etwa durch Spam oder
das OLG Brandenburg jüngst entschieden, dass für Markenpi-
E-Mail-Anhänge, konkretisiert z. B. im Beschäftigten-
raterie zu Schleuderpreisen auf Internetverkaufsplattformen das
schutzgesetz (BeschSG)
Auktionshaus haftet.
3
Viren und Spam in Kombination mit Hackerangriffen:
Verletzung von…
3
Es besteht eine Vorsorgepflicht gegen bekannte Missstände
3
Der Einsatz von präventiver Filtersoftware ist zumutbare
Prüfungspflicht (so auch LG Berlin vom 22.05.2005)
3
Bei eindeutigen Hinweisen (bedingter Vorsatz):
Schadensersatzpflicht
· Eigentum und Gewerbebetrieb durch
Datenbeschädigung oder –verlust
· Persönlichkeitsrecht, etwa wenn ein Virus
personenbezogene Daten ausspioniert und
versendet
3
Verlust von Arbeitszeit, Performance, Bandbreite,
Die dargestellte Rechtsprechung ist auf unsichere Netzwerke,
Systeme oder Plattformen gleichermaßen anzuwenden. So
wird man in Zukunft auch bei offenen Mail-Relays, über die
Spamattacken oder Hackerangriffe erfolgen, eine Haftung des
Betreibers bejahen müssen. Überträgt man die dargestellten
Haftungssysteme auf die spezielle Situation in der IT, so ergibt
sich das nachfolgende Haftungsszenario.
Verfügbarkeit
3
Bei Verstoß gegen die Pflichten:
· mit Verschulden: Schadensersatz und
möglicherweise Strafbarkeit des Unternehmens,
der Geschäftsleitung und der Mitarbeiter
· ohne Verschulden: Störerhaftung, Unterlassung,
Abmahnung, Vertragsstrafe
3
Bei Erfüllung der dargestellten Pflichten: präventive
Haftungsfreizeichnung, denn für Schäden, die trotz
Pflichterfüllung eintreten (= Restrisiko), wird nicht
gehaftet
IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte.
7
2.4 Eigenhaftung der
IT-Verantwortlichen
Die Vermeidung persönlicher Eigenhaftung ist für die handeln-
Für eine mögliche Strafbarkeit gilt dagegen der Grundsatz der
den Mitarbeiter, wie etwa IT-Leiter, Sicherheitsbeauftragte,
vollständigen Eigenverantwortung. Ein Arbeitnehmer macht sich
Administratoren, sonstige IT-Verantwortliche, ein entscheidender
also selbst strafbar, die arbeitsvertragliche Haftungserleichte-
Faktor. Hierbei ist zwischen der
rung ist nicht anwendbar. Auch gilt kein Befehlsnotstand, so
dass ein Mitarbeiter, der auf Anweisung seines Vorgesetzten
3
zivilrechtlichen (Schadensersatz),
handelt deswegen nicht gerechtfertigt ist.
3
arbeitsrechtlichen (Abmahnung, Kündigung)
3
und strafrechtlichen (Geld- oder Freiheitsstrafe)
Strafbarkeit ist möglich, etwa nach § 206 StGB
oder nach BDSG:
Haftung zu unterscheiden.
3
fahrlässige Verletzung:
Ordnungswidrigkeit, bis 250.000 EUR Bußgeld
Aus dem Arbeitsverhältnis treffen grundsätzlich jeden Mitarbeiter
sog. arbeitsvertragliche Nebenpflichten
3
Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten
3
als Sorgfaltsmaßstab gilt ein besonnener Mensch mit durch-
3
bei Übermitteln/Abrufen gegen Entgelt oder Bereicherungs-/
Schädigungsabsicht liegt eine Straftat vor
Nicht von der Haftungserleichterung erfasst sind auch die Sanktionen der Abmahnung oder Kündigung, welche bei Pflichtverstößen des Mitarbeiters stets eintreten können.
schnittlichen Fähigkeiten in der Situation des Arbeitnehmers
3
also individuell unterschiedlich: höhere Sorgfaltsanforderungen an leitende Mitarbeiter
3
Beweislast des Arbeitgebers, § 619a BGB
Zur Vermeidung von Eigenhaftung kann ein verantwortlicher Mitarbeiter nachfolgende Eigenschutzmaßnahmen ergreifen
Schadensersatzansprüche des Arbeitgebers wegen Verletzung
3
gewissenhafte Aufgabenerfüllung
der arbeitsvertraglichen Nebenpflichten sind in der Praxis nicht
3
regelmäßige Information der Geschäftsleitung über
häufig, aber möglich.
mögliche Risiken
3
Lösungsvorschläge für Sicherheitsmängel erarbeiten,
Aufgrund der Fremdbestimmtheit der Arbeitsleistung trägt
der Arbeitgeber das Unternehmensrisiko. Für Tätigkeiten mit
erhöhtem Risiko gelten deshalb nach der Rechtsprechung des
Projekte vorschlagen, angemessenes Budget beantragen
3
Hinzuziehung externer Berater
BAG die Grundsätze zur schadensgeneigten Tätigkeit:
Reaktion der IT-Verantwortlichen bei Ablehnung
3
Für vorsätzliches/grobfahrlässiges Verhalten: volle Haftung
des Mitarbeiters
3
Mittlere Fahrlässigkeit: Schadensteilung zwischen Arbeitgeber und Mitarbeiter
3
Leichte Fahrlässigkeit: keine Haftung des Mitarbeiters
der vorgeschlagenen Maßnahmen durch die Geschäftleitung
3
Risiken erneut aufzeigen
3
Ablehnung und eigenes Verhalten protokollieren und
dokumentieren, etwa durch Besprechungsprotokolle
oder schriftliche Fixierung in Briefen
Diese Haftungserleichterung für den Mitarbeiter gilt grundsätz-
3
Mitwisser schaffen oder E-Mail mit Cc
lich nur im Verhältnis zum Arbeitgeber. Im Verhältnis zu geschä-
3
Schriftliche Bestätigung einfordern
digten Dritten besteht ein Freistellungsanspruch des Arbeitneh-
Konsequenz: Verlagerung der Verantwortlichkeit
mers gegen den Arbeitgeber.
auf die vorgesetzte Ebene
8
puresecurity
™
2.5 TMG-Haftung
Der Gesetzgeber unterscheidet im Telemediengesetz (TMG)
zwischen eigenen und Fremdinhalten. Die gesetzliche Haftungssystematik bleibt allgemein und schablonenhaft, so dass sich
die praktischen Fälle mit dem TMG allein nicht befriedigend
3
Risikomanagement = Risiko-Klassifizierung und -Controlling
· Früherkennung von gefährlichen Schieflagen
= Frühwarnsystem
3
Präventive Überwachung und Erkennung von Fehlentwick-
lösen lassen. Eindeutig ist aber, dass ein Anbieter - wie z. B. ein
lungen, z.B. Viren, illegale Inhalte, IT-Sicherheit
Provider - für fremde Inhalte jedenfalls dann haftet, wenn er trotz
· soll die Prüfung von Unternehmen erleichtern für Anleger
Kenntnis bzw. trotz eindeutiger Hinweise nichts unternimmt.
Im übrigen arbeitet die Rechtsprechung mit den geschilderten
und Wirtschaftsprüfer
3
Organisations- und Sorgfaltspflichten des Vorstands nach
Verkehrssicherungspflichten. Diese lassen sich wie gesehen aus
§ 91 Abs. 2 AktG „Der Vorstand hat geeignete Maßnahmen
einer Vielzahl von gesetzlichen und vertraglichen Bestimmungen
zu treffen, insbesondere ein Überwachungssystem einzurich-
entnehmen.
ten, damit den Fortbestand der Gesellschaft gefährdende
Entwicklungen früh erkannt werden.“
3
Persönliche Haftung des Vorstands mit dem eigenen
3.0 Risikomanagement und
IT-Compliance
Compliance, also die Einhaltung fremdgesetzter (gesetzlicher)
Vermögen
3.2 Anerkannte Standards
und Zertifizierung
und selbstgesetzter Standards (z.B. in der Policy), ist nicht nur ein
Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen.
3
Effektivster Schutz vor persönlicher Haftung und Organisationsverschulden
3
Nachweis der geprüften Sicherheit nach außen, etwa für
3.1 KonTraG - Haftung der
Geschäftsleitung
Anforderungen von externen Dritten:
· Wirtschaftsprüfer (KonTraG)
· Kreditgeber (Basel II), denn IT-Sicherheit ist Rating-Faktor
Die Unternehmensleitung von Kapitalgesellschaften (AG, GmbH)
hat für ein wirksames Risikomanagement-System zu sorgen.
im Rahmen von Basel II
3
Erwerb durch Audit eines zertifizierten Auditors
Im KonTraG schreibt der Gesetzgeber Sicherungsmaßnahmen
vor, nach denen ein Überwachungssystem einzurichten ist, das
Anerkannte Standards
bestandsgefährdende Entwicklungen frühzeitig erkennt. Dieses
ISO/IEC 13335: Allgemeine Leitlinie für die Initiierung und
3
Frühwarnsystem erfordert u.a. eine präventive Überwachung
und Erkennung von Fehlentwicklungen in der IT-Sicherheit.
Umsetzung des IT-Sicherheitsmanagement-Prozesses
3
ISO/IEC 17799: Rahmenwerk für das IT-Sicherheitsmanage-
Auch das BSI verweist in seinen Standards ausdrücklich auf die
ment, kaum konkrete technische Hinweise, eine von meh-
Vorgaben des KonTraG (etwa im „Leitfaden IT-Sicherheit“).
reren Möglichkeiten, die Anforderungen des ISO-Standards
27001 zu erfüllen
3
KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
3
Eingriff des Gesetzgebers in die „Corporate Governance“
(= Führung und Überwachung) des Unternehmens
3
Anwendungsbereich: mittlere und große AG, entsprechende
Anwendung auf vergleichbar große GmbHs
3
Zweck des KonTraG
· Verpflichtung des Vorstands zu Risikomanagement
3
ISO/IEC 27001: Der erste internationale Standard zum ITSicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung
3
BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement
· 100-1 Managementsystem für Informationssicherheit (ISMS)
· 100-2 IT-Grundschutz-Vorgehensweise
· 100-3 Risikoanalyse auf der Basis von IT-Grundschutz
· ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz
IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte.
9
3.3 Basel II und die Rechtsfolgen
Am 26. Juni 2004 wurden die neuen Eigenkapitalanforderungen
Aus der Sicht des Kreditgebers (Banken und Finanzdienstleister)
für Banken, kurz Basel II, am Sitz der Bank für internationalen
hat Basel II noch weitreichendere Auswirkungen, umgesetzt
Zahlungsausgleich unter dem Namen „International Conver-
in den sogenannten MaRisk (= Mindestanforderungen an das
gence of Capital Measurement and Capital Standards:
Risikomanagement des BaFin vom Dez. 2005).
a Revised Framework“ verabschiedet. Am 14. Juli 2004 hat die
Europäische Kommission einen Richtlinienentwurf veröffentlicht,
Die MaRisk schreiben verbindlich vor:
mit dem Basel II in Europa Gesetz wurde. Voraussichtlich Ende
3
IT-Sicherheit gehört zu den Adressausfallrisiken
2006/2007 treten die neuen Bestimmungen auch bei uns in
3
Gesamtverantwortung der Geschäftsleitung für Risikoma-
Kraft.
nagement
3
Internes Kontrollsystem (IKS)
3
Basel II regelt die Kreditvergabe und die Kreditbedingungen
3
Gesetzlich noch nicht verbindlich, wird aber im Hinblick auf
· Regelungen zur Aufbau- und Ablauforganisation
· Einrichtung von Risikosteuerungs- und -controllingprozessen
die baldige gesetzliche Umsetzung bereits heute allgemein
3
Organisationsrichtlinien
beachtet und angewendet
3
Dokumentation
3
technisch-organisatorische IT-Sicherheit
Beherrschung der IT-Risiken gilt als wichtiger Rating-Faktor des
3
gängige Standards wie BSI oder ISO sind zu beachten
Unternehmens im Rahmen der Kreditvergabe nach Basel II. Das
3
Test und Abnahme durch Verantwortliche
BSI ausdrücklich in seinem Leitfaden IT-Sicherheit:
3
Notfallkonzept
3
Regelungen für Outsourcing
„Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich
unmittelbar auf die angebotenen Konditionen auswirken wird
3.4 SOX-Compliance
(Stichwort: Basel II).“
In den letzten Jahren erfolgten weitreichende Eingriffe in die
Ein hohes Sicherheitsniveau sowie ein effizientes Risiko- bzw.
Corporate Governance von Kapitalgesellschaften durch ame-
Sicherheitsmanagement-System, dass die Messung der verblei-
rikanische Gesetze, die zum Teil auch bei uns Auswirkungen
benden Rest-Risiken erleichtert, führt zu einer reduzierten Eigen-
haben.
kapitalunterlegung bei den Kreditgebern (Banken müssen ihre
vergebenen Kredite mit Eigenkapital als Sicherheit unterlegen)
3
Sarbanes Oxley Act (SOX), US-Gesetz von 2002
3
Regelt persönliche Verantwortlichkeit und Haftung des Ma-
3
Das vorhandene Sicherheitsniveau kann z. B. durch Zertifizie-
nagements (insbes. CEO, CFO)
rungen (etwa BSI-Grundschutz oder ISO 27001) dokumentiert werden
3
Allgemein anerkannt, dass im Rahmen der Ratingfaktoren
„Risiko-Management, -Bewertung und -Controlling“ die ITRiskien berücksichtigt werden
3
Insbesondere im Rahmen der operationellen Risiken von
Unternehmen, welche die Eigenkapitalquote der Bank für die
Anwendungsbereich - SOX gilt für...
3
US-börsennotierte Unternehmen
3
ausländische (also z.B. deutsche) Unternehmen, die an
US-Börsen oder der NASDAQ gelistet sind
3
ausländische (also z.B. deutsche) Töchter von US-Gesellschaften
Kreditsicherung erhöhen
3
was sich in einem erhöhten Zinssatz für den Kreditnehmer
auswirkt
SOX ist bereits seit 30.07.2002 in Kraft. Es gibt allerdings eine
Schonfrist für ausländische Unternehmen, die US-börsennotiert
sind, für die SOX erst ab dem 15.07.2006 verbindlich wird.
10
puresecurity
™
3.5 Euro-SOX
Zweck von SOX:
Als Reaktion auf Finanzskandale wie Parmalat oder Ahold wird
3
Verschärfung der Rechnungslegungsvorschriften in Folge
die EU Regelungen aus dem SOA in adaptierter Form einführen
gravierender Bilanzskandale (z.B. Enron oder Worldcom)
3
Wiederherstellung des Vertrauens der Anleger
3
Section 404 des SOX: Unternehmensprozesse und Kontrollverfahren müssen definiert und festgelegt werden, um das
Risiko einer falschen Bilanz zu minimieren
3
u.a. weitreichende Archivierungspflichten für E-Mail und
elektronische Kommunikation
3
Richtlinie 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Anpassung der 8. EU-Prüferrichtlinie
3
Angestrebtes Ziel: Wirtschaftsprüfer werden verstärkt die Anforderungen an die IT-Sicherheit in den Unternehmen prüfen,
weil sie selbst strengeren Kontrollen der Aufsichtsbehörden
unterliegen
Section 404 fordert
3
wirksames internes Kontrollsystem (IKS)
3
IT hat im IKS über die Finanzberichterstattung hohen
Stellenwert
3
Datensicherheit und Backup
3
Erfüllung der Compliance-Anforderungen
3
Integration in operative Abläufe
3
SOX bedeutet Regelbetrieb, also jährlich wiederkehrende
Prüfung
3
jährliche Bewertung durch eidesstattliche Versicherung
(certification) des CEO und CFO
3
Abschlussprüfer
3
Anwendungsbereich:
Unternehmen des öffentlichen Interesses
3
börsennotierte Unternehmen
3
Banken, Versicherungen
3
Monopolunternehmen: Energieversorger, Post, Bahn etc.
· künftig höhere Anforderungen an
das Interne Kontrollsystem (IKS)
· Prüfungsausschuss (Audit Committee)
· dient der Zusammenarbeit zwischen
Audit Committee und Wirtschaftsprüfer
· Abschlussprüfer muss das Audit Committee insbesondere
über wesentliche Schwachstellen im IKS informieren
· bewertet Vorgehen des Management
· eigene Stellungnahme zu IKS
3
Offenlegungspflicht von Abschlussprüfer und Management
bezüglich Fehler im IKS
3.6 NPSI - Nationaler Plan Schutz
der Informationsinfrastrukturen
3
Dokumentationspflicht
3
Berechtigungsvergabe und Transaktionsmonitoring
3
Funktionstrennung, Schnittstellenüberwachung, allgemeine
IT-Kontrollen
3
Wirtschaft, Verwaltung und Gesellschaft sind auf ausfallsichere Informationstechnik angewiesen. Im Hinblick auf
die deutliche Verschärfung der Gefährdungssituation aller
3
Auswertungs- und Berichtsfunktionalitäten zwingend
IT-Infrastrukturen ist Informationssicherheit eine nationale
Überwachung durch US-Behörden
Aufgabe. Dies erkannte bereits Ex-Innenminister Otto Schily
3
SEC = Securities and Exchange Commission = Börsenauf-
und veranlasste deshalb einen „Nationalen Plan zum Schutz
sicht in den USA
3
PCAOB = Public Company Accounting Oversight Board =
US-Aufsichtsbehörde für Wirtschaftsprüfer
3
SEC und PCAOB veröffentlichen Leitfäden und Richtlinien für
die Umsetzung von SOX
der Informationsinfrastrukturen“.
3
Das BSI in seinem „Bericht zur Lage der IT-Sicherheit“:
· Die Gefährdung von nationalen Informationsinfrastrukturen
hat erheblich zugenommen
· Steigende Zahl von Computerviren, Phishing- und Hacker
Angriffen, sowie die Zunahme IT-basierter
Wirtschaftsspionage
· Immer öfter nutzen kriminelle Banden und Täter aus dem
Bereich der organisierten Kriminalität Nutznießer von
IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte.
11
4.1 Zulässigkeitsvoraussetzungen
Viren, Würmern oder Trojanischen Pferden für ihre kriminellen Aktivitäten/Straftaten.
3
Der NPSI verfolgt drei strategische Ziele:
· Prävention: Informationsinfrastrukturen in Deutschland
angemessen schützen
· Reaktion: Wirkungsvoll bei IT-Sicherheitsvorfällen handeln
· Nachhaltigkeit: Deutsche IT-Sicherheitskompetenz stärken
· international Standards setzen
3
Anlass für das Scannen ist ein konkretes Gefährdungspotential, worunter in erster Linie der Virenschutz fällt, sowie
Abwehr vergleichbarer Malware, sonstige Filtermaßnahmen
sind kein ausreichender Anlass
3
Die Maßnahme muss erforderlich zur Gefahrenabwehr sein,
z.B. um das Eindringen von Viren zu verhindern
3
Möglichkeit zu optionalen Ausnahmen, besonders sensible
https-Verbindungen, etwa Online-Banking, können vom
Scanvorgang ausgenommen werden
3
Der Scanvorgang der Verschlüsselung, die Virenfilterung und
4.0 Rechtskonformes
SSL-Decryption
das erneute Verschlüsseln müssen in einem geschlossenen
System ablaufen
3
Scanvorgang und Anti-Viren-Software arbeiten in einer
Die gleichzeitige gesetzliche Forderung nach Verschlüsselung
Blackbox, führen also nicht zur Kenntnisnahme von Inhalten
auf der einen und Virenschutz auf der anderen Seite, etwa in
durch Administratoren oder sonstige Dritte
Anlage zu § 9 BDSG, erzeugt einen technischen Widerspruch,
da verschlüsselte Verbindungen nicht ohne weiteres auf Viren
Zusätzliche optionale Maßnahmen,
oder Malware untersucht werden können.
welche die juristische Sicherheit erhöhen:
Deutliche Hinweise gegenüber dem Nutzer
3
3
Spannungsfeld zwischen Datenschutz und Systemschutz
vor dem Scanvorgang
3
beides wesentliche Eckpfeiler zur Umsetzung der daten-
3
Einwilligung des Nutzers
schutzrechtlichen Anforderungen
3
https gewährleistet die Vertraulichkeit der
übertragenen Daten
3
Scannen der Verschlüsselung steht der Vertraulichkeit
· schriftlich nach § 4a BDSG in Nutzungs- oder
Betriebsvereinbarung
· in elektronischer Form nach § 4 Abs. 2, 3 TDDSG, etwa
durch Popup-Fenster
scheinbar entgegen, gewährleistet aber den vergleichbar
wichtigen Virenschutz
4.2 Best Practice-Beispiel
Immer mehr Missbrauch und Malware erfolgt über https und
erzeugt so ein Sicherheitsvakuum. Das technisch unbestritten
3
Schutz des Berliner Landesnetzes vor Viren
notwendige https-Scanning muss datenschutzkonform betrie-
3
Datenschutzrechtliche Abwägung des Landesdatenschutz-
ben werden.
beauftragten (LDSB) Berlin fiel zugunsten des Virenschutzes
und https-Scannings aus
Dies erfordert zunächst die Vermeidung von möglichen
3
Unter den dargestellten Voraussetzungen hatte der LDSB
Straftatbeständen
Berlin keine rechtlichen Bedenken geäußert und empfohlen,
§ 202a StGB Ausspähen von Daten
3
das https-Scan-Verfahren wieder einzusetzen
3
§ 206 StGB Bruch des Fernmelde-/Telekommunikationsgeheimnisses
3
Ordnungswidrigkeit nach § 43 BDSG
Insbesondere darf der Scanvorgang nicht zur Kenntnisnahme
der Inhalte führen, muss also in einer Blackbox ablaufen
12
puresecurity
™
5.0 Mitarbeiterkontrolle versus
Datenschutz - mit einem Bein im
Gefängnis ?
Der Arbeitgeber hat ein vitales Interesse daran, dass private Sur-
der dienstlichen Nutzung ist nach den Vorgaben des BDSG
fen, Chatten oder Mailen am Arbeitsplatz sinnvoll zu begrenzen.
nur zulässig, wenn aufgrund einer Güterabwägung nach dem
Neben dem Verlust von Arbeitszeit und Bandbreite lauern hier
Verhältnismäßigkeitsprinzip die Kontrollmaßnahme erforderlich
vielfältige Haftungsrisiken. Die legale Kontrolle der Mitarbeiter,
und angemessen ist. In diese Gesamtabwägung der relevanten
um Missbräuche einzuschränken, ist deshalb überall in den
Belange sind alle beteiligten Interessen mit einzubeziehen. Dar-
Unternehmen und Behörden ein Thema mit hoher Priorität.
aus ergibt sich die grobe Faustformel, dass ....
3
äußere Verbindungsdaten wie URL, Empfänger- oder Ab-
5.1 Private Nutzung,
Fernmeldegeheimnis
senderadresse eingesehen werden dürfen,
3
Inhaltskontrollen, wie das Mitlesen von E-Mails oder den
Eintragungen des Arbeitnehmers auf den Webseiten, aber
Bei Kontrollmaßnahmen stellt sich zunächst die Ausgangsfrage,
unzulässig sind.
ob der Arbeitgeber die private Nutzung erlaubt oder verboten
hat. Bei erlaubter Privatnutzung wird der Arbeitgeber zum Tele-
Unterscheidet man nach den Hauptnutzungsarten, so ergibt
kommunikationsanbieter, da die Möglichkeit des Arbeitnehmers
sich für die dienstliche Nutzung im Überblick die nachfolgende
zur Privatnutzung von E-Mail und Internet als Dienstleistung ihm
Kontrollsituation...
gegenüber einzustufen ist. Daraus resultiert die Geltung des
Fernmeldegeheimnisses, da sich der Arbeitnehmer auf die Vertraulichkeit der privaten Kommunikation verlassen darf. Kontroll-
5.2.1 Surfen im Internet
maßnahmen unter dem Regime des Fernmeldegeheimnisses
sind weitgehend unzulässig. Die reine „Erhebung“ von Daten
zur technischen Datensicherheit, Notfallprävention, Störungs-
3
Trotz Verbot der Privatnutzung keine unbeschränkte Kontrolle
möglich
beseitigung, Datenschutzkontrolle ist möglich. Die Auswertung
3
Betroffen ist in erster Linie die Überwachung der Logfiles
dieser Daten ist dagegen nur ausnahmsweise nach § 89 TKG
3
Faustformel: Kontrolliert werden können die besuchten
möglich.....
URLs, Dauer des Surfens, Umfang der Downloads, nicht
aber die auf den Seiten vorgenommenen Eintragungen
3
zur Abrechnung, etwa der privaten Nutzung
3
bei Gefahr im Verzug, z.B. akuter Virus
3
bei Vorliegen einer Einwilligung aufgrund einer rechtferti-
5.2.2 Versendung von E-Mails
genden Nutzungsvereinbarung
3
Vollständiges Verbot privater E-Mails von Arbeitnehmern
anders als bei der Telefonnutzung möglich
5.2 Dienstliche Nutzung,
unerlaubte Privatnutzung
3
Aber: Private E-Mails können trotz Privatnutzungsverbot
nicht vollständig verhindert werden, da auch ein Eingang von
außen möglich, der vom Arbeitnehmer nicht beherrscht wird
Ist dagegen die Privatnutzung verboten und nur eine dienstliche
Nutzung möglich, kommt das Fernmeldegeheimnis nicht zur
Anwendung. Die dienstliche Nutzung steht dann jedoch unter
dem Schutz des Bundesdatenschutzgesetzes (BDSG). Zwar
3
Faustformel: Nur Kontrolle der Adressdaten zulässig, das
ständige Mitlesen der E-Mails - wie in den USA üblich - ist
nicht erlaubt
3
denn es existiert ein gegenüber der Inhaltskontrolle milderes
sind hier weitergehende Kontrollen als unter dem Fernmel-
Mittel: die Herausgabe der geschäftlichen E-Mails durch den
degeheimnis möglich, trotzdem besteht kein schrankenloser
Arbeitnehmer an den Arbeitgeber
Freibrief zur Einsicht in E-Mails oder Webinhalte. Eine Kontrolle
IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte.
13
5.3 Interessenausgleich durch
rechtliche Gestaltung
5.4 Mitbestimmung der
Betriebs- und Personalräte
Unabhängig davon, ob Fernmeldegeheimnis oder Bundes-
Da die Fragen der Mitarbeiterkontrolle der Mitbestimmungs-
datenschutzgesetz gelten, bedeuten ungeregelte Zustände
pflicht im Sinne des Betriebsverfassungsgesetzes unterliegen,
hinsichtlich der Mitarbeiterkontrolle einen ständigen rechtlichen
müssen Betriebs-/Personalräte am Entscheidungsprozess in
Graubereich und Unsicherheit, da die Bestimmungen in TKG
Form von Vereinbarungen beteiligt werden. Hier kommen insbe-
und BDSG unklar sind. Es herrscht große Verunsicherung bei
sondere die Anpassung der Arbeitsverträge und der Abschluss
Arbeitgeber, Administrator und Arbeitnehmer, da die notwen-
von Betriebs-/Dienstvereinbarungen mit entsprechenden
dige Güterabwägung der beteiligten Interessen im Einzelfall alle
Nutzungs- und Kontrollregelungen für die E-Mail- und Internet-
Betroffenen überfordert. Das Datenschutzrecht eröffnet jedoch
Nutzung in Betracht. Im Bereich Fernmeldegeheimnis, das auf
nach dem Grundsatz „präventives Verbot mit Erlaubnisvorbe-
ein Grundrecht zurückgeht, ist neben Kollektivvereinbarungen
halt“ einen Gestaltungsspielraum, um durch Vereinbarungen
die individuelle Zustimmung der beteiligten Arbeitnehmer von
legale Handlungsgrundlagen zu schaffen. Nach dem Gesetzes-
Vorteil. Ergänzend zu entsprechenden Betriebs-/Dienstvereinba-
wortlaut besteht zwar zunächst ein generelles Verbot, das aber
rung kann deshalb eine zusätzliche Legitimation und Information
durch Vereinbarungen, die als Erlaubnisvorbehalt wirken, in
durch eine persönliche Zustimmung des betroffenen Arbeitneh-
Grenzen modifiziert werden kann. Solche Vereinbarungen brin-
mers erfolgen. Im Einzelnen ist die Situation wie folgt:
gen Vorteile für alle Beteiligten.
3
Mitbestimmungsrechte des Betriebs-/Personalrates
Im Überblick stellt sich die Situation bei der Mitarbeiter-
3
Anpassung der Arbeitsverträge
kontrolle wie folgt dar:
3
Betriebs-/Dienstvereinbarung mit Nutzungsrichtlinien
3
Präventives Verbot mit Erlaubnisvorbehalt eröffnet Gestal-
3
Ergänzend: Individuelle Zustimmung: dadurch zusätzliche
tungsspielraum
3
Vereinbarungen als legale Handlungsgrundlage entsprechen
dem Wunsch des Gesetzgebers, solange ein klärendes
Arbeitnehmerdatenschutzgesetz nicht exisitert
3
Klare Verhältnisse für Admin: Keine illegale Kontrolle/Keine
Strafbarkeit wegen Verstoß gegen das Fernmeldegeheimnis
3
Transparenz für Arbeitnehmer: Schafft Vertrauen, hat aber
auch Warnfunktion und damit Lenkungswirkung
3
Haftungsprävention für den Arbeitgeber durch legale Kontrolle, da die Beaufsichtigung der Arbeitnehmer zur Erfüllung der
Verkehrssicherungspflichten gehört
Legitimation und Information (z.B. durch Verwendung als
Info-Broschüre)
14
puresecurity
™
5.5 Betriebs- oder
Dienstvereinbarungen
Bei der Betriebs-/Dienstvereinbarung handelt es sich um einen
schriftlichen Vertrag zwischen Arbeitgeber und Mitarbeiterver-
Insbesondere die Missbrauchskontrolle und Ab-
tretung, der zur Lösung des Kontroll- und Nutzungsproblems
wesenheitsproblematik bedarf einer detaillierten
geschlossen wird. In Betrieben ab einer Größe von fünf Mitarbei-
Regelung. Zur inhaltlichen Gestaltung von Be-
tern sind Betriebsräte und damit Betriebsvereinbarungen möglich.
triebs-/Dienstvereinbarung der nachfolgende Ge-
Während der Arbeitgeber den Missbrauch einschränken will,
samtüberblick, wonach Regelungen zu folgenden
befürchtet der Betriebsrat die Ausforschung der Arbeitnehmer.
Punkten enthalten sein sollten:
Die Betriebs-/Dienstvereinbarung hat rechtssetzenden Charakter
und wirkt modifizierend auf die Inhalte der Arbeitsverträge ein.
3
Umfang einer erlaubten Privatnutzung, beispielsweise
Beschränkungen nach Umgang, Dauer oder Art und
Im Überblick gilt für die Betriebsvereinbarung:
3
Zweck: Lösung gemeinsamer Probleme
3
Internet/E-Mail-Nutzung durch Arbeitnehmer:
· Arbeitgeber befürchtet Missbrauch
· Mitarbeitervertretung befürchtet Ausforschung
3
Mitbestimmungsrecht der Mitarbeitervertretung/des Betriebsrates gemäß §87 Abs. 1 Nr. 1 und 6 BetrVG für die Bereiche:
Weise der E-Mail- und Internet-Nutzung
3
Verbotene Nutzungen, Aufzählung im Einzelnen, z.B.
sexistisch, rechtsradikal, gewaltverherrlichend, etc.
3
Welche Daten werden zur Kontrolle erfasst:
· Protokollierung von E-Mail- und Internetaktivitäten
· Gesamtdatenvolumen, etc.
3
Technische Einrichtungen, die optional der Kontrolle
· Ordnung des Betriebes, Arbeitnehmer-Verhalten
dienen:
· technische Kontrolleinrichtungen
· Firewall, Proxy, Spamfilter etc.
3
Schriftlicher Vertrag zwischen Arbeitgeber und
Mitarbeitervertretung
· Reporting-Tool URL-Filter
· https-Scanning
3
In Betrieben ab fünf Mitarbeitern, §1 BetrVG
3
Monitoring-Funktionen, etc.
3
Rechtssetzender Charakter, der den Arbeitsvertrag abändert
3
Abwesenheitsregelung: Umgang mit der Mailbox im
3
Endet durch Kündigung oder Fristablauf
Falle von Urlaub, Krankheit, Kündigung, etc.
3
Kontrollprozedere: aus Gründen der Verhältnismäßigkeit, welche ständige personenbezogene Inhaltskontrollen verbietet, ist ein abgestuftes Kontrollverfahren
erforderlich:
· zunächst nur anonymisierte Stichprobenkontrolle
· nur bei grobem Missbrauch oder Straftat:
personenbezogene Kontrolle, möglichst unter
Beteiligung des Betriebsrates/Datenschutzbeauftragten nach dem Vier-Augen-Prinzip
3
Regelung der Beteiligung von Betriebsrat, Datenschutzbeauftragter
3
Löschungspflichten
3
Konsequenzen bei Nichteinhaltung
3
Kündigung, Evaluierung
IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte.
15
6.0 Anhang
6.1 Checkliste
3
Existiert ein Notfallszenario/Zuständigkeitsverteilung in Fällen wie Virenbefall, Plattencrash, Systemzusammenbruch?
3
Haben die Anwender einen definierten Ansprechpartner beim Auftauchen gefährlicher oder illegaler Inhalte
(Viren, Trojaner, mp3s, etc.)?
3
Haben sie eine datenschutzkonforme Abwesenheitsregelung (Krankheit, Urlaub, Kündigung) für den Fortbetrieb der Mailboxen?
3
Haben Sie Spam/URL/Contentfilter im Einsatz?
3
Haben Sie einen Spamfilter mit einer niedrigen false-positive-Rate?
3
Hat der Enduser Zugriff auf die ausgefilterten Spam-Mails?
3
Haben Sie eine rechtliche Gestaltung (Betriebsvereinbarung, Arbeitsvertrag), die den rechtssicheren Einsatz der Filtersysteme
gewährleistet?
3
Betreiben Sie ein datenschutzkonformes Lizenzmanagement?
3
Haben Sie eine datenschutzkonforme Regelung zur Missbrauchskontrolle der Mitarbeiter getroffen?
3
Sind die Passwörter am Monitor gepostet oder im Kollegenkreis bekanntgemacht?
3
Kann jeder Mitarbeiter beliebige Software auf seinem PC installieren?
3
Kann die Geschäftssoftware für den privaten Gebrauch kopiert werden?
3
Gibt es Richtlinien zur Wahrung der Vertraulichkeit von Daten/E-Mails?
3
Kann jeder Mitarbeiter auf alle vorhandenen Daten zugreifen?
3
Wird die Virenschutzsoftware ständig und automatisiert upgedatet ?
3
Wird ein brandschutzsicheres Backup-System betrieben?
3
Sind die Firmen-Laptops in das Sicherheitskonzept integriert?
3
Werden als Passwörter die Namen enger Angehöriger oder allgemeine Begriffe verwendet?
3
Sind gefährliche Dateianhänge wie .exe, .bat, .vbs, etc. verboten?
3
Wurden die Mitarbeiter/Innen durch Schulung in die Internet-Nutzung eingewiesen?
3
Kommt eine Firewall zum Einsatz?
3
Existiert eine Regelung zur Archivierung von E-Mails?
3
Kann sichere Verschlüsselungstechnik für die externe und interne Kommunikation eingesetzt werden?
3
Ist das Patchmanangement auf dem letzten Stand der Dinge?