Sicherheits-Recht Rechtliche Anforderungen an die Informations-Sicherheit

Ordnungsmerkmale

erschienen in: <kes> 2006#1, Seite 92

Rubrik: Management und Wissen

Schlagwort: Rechtliche Anforderungen

Autor: Von Bernhard C. Witt, Ulm

Zusammenfassung: Informations-Sicherheit muss im Rahmen der "Compliance" zahlreiche rechtliche Bestimmungen beachten. Ausschlaggebend hierfür ist vor allem die anzuwendende Sorgfaltspflicht. Darüber hinaus existieren spezielle Anforderungen durch Buchführungs- und Aufbewahrungspflichten sowie beim Umgang mit personenbezogenen und Fernmeldedaten.

Für Unternehmen ist es wichtig, nicht nur etwaige Bedrohungen der eingesetzten IT-Systeme erfolgreich abzuwehren, sondern auch im Rahmen der so genannten Compliance die eigene Rechtskonformität sicherzustellen. Dies betrifft nicht nur international tätige, börsennotierte Unternehmen, die in der Regel durch den US-amerikanischen Sarbanes-Oxley-Act (SOX) hierzu verpflichtet sind.

Die einschlägigen Rechtsvorschriften im Bereich der Informations-Sicherheit sind jedoch nicht in einem einzelnen Gesetz zusammengeführt, sodass ihre Zusammenhänge oftmals unterschätzt werden. Da Zuwiderhandlungen nicht nur haftungsbedingt zivilrechtlichen Schadensersatz, sondern auch Ordnungswidrigkeiten oder gar Strafen zur Folge haben können, sind Unternehmen und ihre verantwortlichen Personen gut beraten, die rechtlichen Anforderungen zur Informations-Sicherheit zu beachten. Zudem kann der Nachweis der Verlässlichkeit und Stabiltät des eingesetzten IT-Systems im Rahmen von Basel II zu einem besseren Rating führen und so Wettbewerbsvorteile bringen.

In Deutschland wurden insbesondere im Zuge des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) maßgebliche Vorschriften verabschiedet, die zusammen mit der nationalen Umsetzung der EU-Richtlinien zum Datenschutz (RL 95/46/EG), zur elektronischen Signatur (RL 1999/93/EG) und zur elektronischen Kommunikation (RL 2002/19/EG, 2002/21/EG und 2002/58/EG) gewissermaßen einen Rahmen für die Informations-Sicherheit schaffen. Zudem gibt es spezifische rechtliche Anforderungen (etwa beim Umgang mit Gesundheits- bzw. Sozialdaten oder bei Kreditinstituten – vgl. [1]), die hier den Rahmen sprengen würden.

Sorgfaltspflichten

Die rechtlichen Vorschriften zur Informations-Sicherheit hat die Unternehmensleitung bereits im Rahmen ihrer Sorgfaltspflicht zu erfüllen. So hat etwa der Vorstand einer AG gemäß Aktiengesetz geeignete Maßnahmen zu treffen, um für den Fortbestand der Gesellschaft gefährdende Entwicklungen früh zu erkennen und hierzu ein Überwachungssystem einzurichten (§ 91 Abs. 2 AktG). Bei ihrer Geschäftsführung haben Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (§ 93 Abs. 1 AktG). Der Geschäftsführer einer GmbH hat in den Angelegenheiten der Gesellschaft ebenfalls die Sorgfalt eines ordentliches Geschäftsmannes anzuwenden (§ 43 Abs. 1 GmbHG).

Im Rahmen der Sorgfaltspflicht wird in erster Linie die Übereinstimmung des Handelns verantwortlicher Personen mit Gesetz und Gesellschaftsbeschlüssen sowie das Vermeiden risikoreicher Geschäftsvorfälle verstanden. Deshalb ist es bei allen Kapitalgesellschaften und Mehrpersonengesellschaften unerlässlich, ein Risikomanagementsystem einzurichten, das vor allem auch die Informations-Sicherheit gewährleistet, da die IT mittlerweile vitale Komponente jedes Unternehmens ist.

Im Streitfall muss die Unternehmensleitung ihre Sorgfalt nachweisen. Für AGs ist dies ausdrücklich vorgeschrieben (§ 93 Abs. 2 AktG), für den GmbH-Geschäftsführer hat dies der Bundesgerichtshof (BGH) in einem Urteil vom 4. November 2002 festgestellt (Az. II ZR 224/00). Auch der Aufsichtsrat einer AG muss sich davon überzeugen, dass die erforderlichen Maßnahmen im Rahmen des Risikomangements durch den Vorstand ergriffen wurden (Urteil des BGH vom 21. April 1997, Az. II ZR 175/95).

Wenn rechtliche Verpflichtungen gegenüber Dritten nicht eingehalten werden, trifft die Verantwortlichen ein Verschulden bei Vorsatz und Fahrlässigkeit (§ 276 Abs. 1 BGB), wobei fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt (§ 276 Abs. 2 BGB). In eigenen Angelegenheiten besteht ab grober Fahrlässigkeit Haftung (§ 277 BGB).

Haftung durch Mitarbeiter

Arbeitnehmer sind zur Leistung der versprochenen Dienste und damit der Umsetzung vorgeschriebener Informations-Sicherheit verpflichtet (§ 611 Abs. 1 BGB), doch hängt bei ihnen der Grad des Mitverschuldens von der Verursachung ab (§ 254 Abs. 1 BGB). Dienstvorgesetzte haften gegenüber Dritten auch beim Einsatz eines (weisungsgebundenen) Verrichtungsgehilfens (§ 831 Abs. 1 BGB) und Auftraggeber für Erfüllungsgehilfen (§ 278 BGB). Die Nutzung von Raubkopien durch Mitarbeiter hat beispielsweise der Inhaber eines Unternehmens gegen sich gelten zu lassen (§ 100 UrhG). Die Folgen schuldhafter Vergehen sind zivilrechtlich vor allem Schadensersatzforderungen im Rahmen des Haftungsrechts, ordnungsrechtlich bedingte (durchaus auch hohe) Bußgelder oder Gewinnabschöpfungen und strafrechtlich bedeutsame Geld- oder Haftstrafen.

Im Binnenverhältnis des Unternehmens wurde im Rahmen der Arbeitnehmerhaftung eine Beschränkung der Schadensersatzverpflichtung nach dem Verschuldensgrad und dem Betriebsrisiko bei betrieblich veranlassten Tätigkeiten durch das Bundesarbeitsgericht (BAG) vorgenommen (Beschluss des großen Senats vom 27. September 1994, Az. GS 1/89 (A)). Geschäftsführer können dagegen aufgrund ihrer Organstellung die Grundsätze zur Arbeitnehmerhaftung nicht geltend machen (s. [2]).

Dienstvorgesetzte sind folglich dazu angehalten, präzise Vorgaben zur Einhaltung der Informations-Sicherheit zu machen und ihre Bedeutung den Mitarbeitern gegebenenfalls durch gezielte Schulungen zu verdeutlichen. Notwendige Maßnahmen, die nicht im Rahmen der eigenen betrieblichen Tätigkeit abzudecken sind, müssen an Externe vergeben werden. Das eingesetzte Risikomanagement sollte besondere Schutzzonen ausweisen und in ein ganzheitliches Konzept eingebettet sein (s. a. [3]).

Nachweispflicht

Ein Unternehmen hat im Zweifel nachzuweisen, dass es in ausreichendem Maße Vorkehrungen gegen Bedrohungen der eingesetzten IT-Systeme getroffen hat. Als Mindestanforderung ist der Einsatz einer Firewall und eines Viren-Scanners anzusehen, wobei auftretende Probleme über Intrusion-Detection-Systeme oder Penetrationstests frühzeitig festzustellen und rasch zu beheben sind. Das Unternehmen sollte über einen Katastrophenplan verfügen. Dieses ist schon aus eigenen Interesse gefordert, etwa zum Schutz der (durch § 17 UWG geschützten) Betriebs- und Geschäftsgeheimnisse. Da dies weitreichende Konsequenzen hat, sollte ein Unternehmen zur Informations-Sicherheit ausdrücklich Verantwortlichkeiten bei der Unternehmensleitung festlegen oder einen Informationssicherheitsmanager einsetzen. Die Anwendung standardisierter Verfahren (z. B. nach ISO 27001, vgl. S. 52) ist zwar nicht zwingend vorgeschrieben, bietet jedoch hilfreiche Hinweise, wie die Informations-Sicherheit gewährleistet werden kann.

Auch gegenüber Dritten hat ein Unternehmen Maßnahmen zu treffen, die im Rahmen des wirtschaftlich Zumutbaren geeignet sind, Gefahren von anderen abzuwenden, indem insbesondere nicht nur der Empfänger, sondern auch der Versender von E-Mails ein Virenschutzprogramm einsetzt und laufend aktualisiert (s. [4], vgl. Urteil des LG Hamburg vom 18. Juli 2001, Az. 40  O 63/00).

Buchführung und Archivierung

Laut Handelsgesetzbuch ist jeder Kaufmann dazu verpflichtet, seine Bücher nach den Grundsätzen ordnungsgemäßer Buchführung (GoB) zu führen (§ 238 Abs. 1 HGB). Dies kann auch auf Datenträgern geschehen, vorausgesetzt diese sind für die Dauer der Aufbewahrungsfrist verfügbar und können jederzeit innerhalb angemessener Frist lesbar gemacht werden (§ 239 Abs. 4 HGB ). Bilanzrelevante Unterlagen – vor allem die eigentlichen Abschlüsse und die dazugehörigen Buchungsbelege – sind 10 Jahre aufzubewahren (§ 257 HGB), empfangene und abgesandte Geschäftsbriefe (inkl. dienstlicher E-Mails!) immerhin 6 Jahre lang (vgl. [5]). Werden Unterlagen lediglich auf Datenträger gespeichert und liegen also nicht in gedruckter Form vor, so ist auf eigene Kosten sicherzustellen, dass diese lesbar vorgelegt werden können (§ 261 HGB).

Für steuerlich relevante Aufzeichnungen ist darüber hinaus auch die Abgabenordnung zu beachten (§§ 145–147 AO). Gemäß Bundesfinanzministerium (Az. IV A 8 - S 0316 - 52/95) zählt zu den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS), dass eingesetzte Software und die verarbeiteten Geschäftsdaten gegen Verlust gesichert und gegen unberechtigte Veränderung geschützt sind. Das gewählte Datensicherungskonzept muss auch Hardware und Leitungen umfassen (inkl. der Netzwerke); wirksame Zugriffs- und Zugangskontrollen sind zu gewährleisten. Dem Risiko der Datenträgervernichtung ist durch geeignete Aufbewahrungsorte zu begegnen, weshalb beispielsweise Sicherungskopien an einem gesonderten Standort aufzubewahren sind. Für Aufbewahrungsstandorte muss generell ein ausreichender Schutz gegen Verlust durch Feuer, Temperatur, Feuchtigkeit oder Magnetfelder gewährleistet sein.

Unternehmensdaten sind aber nur dann auf Datenträger ausreichend gesichert, wenn sie zuverlässig, zeitnah (mindestens täglich!) und umfassend (eine Vollsicherung mindestens einmal wöchentlich!) gespeichert werden, ansonsten wird die erforderliche Sorgfalt verletzt (vgl. Urteil des OLG Hamm vom 1. Dezember 2003, Az. 13 U 133/03). Die Gewährleistung der Betriebsbereitschaft der IT-Infrastruktur im Rahmen des Katastrophenplans zählt gleichfalls zu den zwingenden Anforderungen, die auch regelmäßig durch Wirtschaftsprüfer im Rahmen der Abschlussprüfung bei Einsatz von Informationstechnik untersucht werden (nach IDW PS 330).

Das Bundesfinanzministerium hat im Rahmen der steuerlichen Finanzprüfung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen vorgeschrieben (die sog. GDPdU, Az. IV D 2 - S 0316 - 136/01). Bei elektronischen Abrechnungen muss der Originalzustand des gescannten Dokuments jederzeit überprüfbar sein (§ 14 Abs. 4 UStG). Deshalb wird hier die Verwendung einer qualifizierten digitalen (Massen-) Signatur im Sinne des Signaturgesetzes gefordert (§ 2 Abs. 1 SigG).

Die qualifizierten digitalen Signaturen sind mittels einer sicheren Signaturerstellungseinheit zu erstellen (§ 17 SigG). Weitere Anforderungen an sichere Signaturerstellungseinheiten schreibt die Signaturverordnung (SigV) in § 15 vor; die Anlage 1 zur SigV listet schließlich auf, welche Güteprüfungen eingesetzte Produkte und Komponenten durch Zertifizierung nachzuweisen haben. Eine Zertifizierungsstelle muss die nötige Fachkunde nachweisen und zuverlässig sein (§ 4 SigG) sowie über ein Sicherheitskonzept verfügen (§ 2 SigV). Daten, die über einen längeren Zeitraum digital archiviert werden als die verwendete Signatur aufgrund ihrer Algorithmen und Parameter zur Gewährleistung geeignet ist, sind regelmäßig neu zu signieren (§ 17 SigV).

Datenschutz

Beim Umgang mit personenbezogenen Daten sind für die meisten Unternehmen in erster Linie die §§ 3a, 4, 9 (samt Anlage), 28 und 31 des Bundesdatenschutzgesetzes (BDSG) einschlägig. Demnach hat ein Unternehmen den Grundsatz der Datenvermeidung und Datensparsamkeit zu beachten, personenbezogene Daten nur auf Basis einer Rechtsgrundlage (gesetzliche Vorschrift, Vertragsverhältnis, vertragsähnliches Vertrauensverhältnisses oder Einwilligung des Betroffenen) zu erheben, zu verarbeiten oder zu nutzen, die Zweckbindung erhobener Daten zu beachten und angemessene technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes sicherzustellen.

Die innerbetriebliche Organisation ist dabei so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Aus diesem Grund ist insbesondere, wenn die Anforderungen aus § 4f Abs. 1 BDSG erfüllt sind, ein Datenschutzbeauftragter zu bestellen: bei nicht-öffentlichen Stellen in der Regel, sobald mindestens fünf Mitarbeiter mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten befasst sind. Der Datenschutzbeauftragte wirkt auf die Einhaltung datenschutzrechtlicher Vorschriften hin und besitzt hierzu umfassende Kontrollrechte (§ 4g Abs. 1 BDSG).

Nur, wenn die bei der Datenverarbeitung beschäftigten Personen auf das Datengeheimnis (§ 5 BDSG) verpflichtet wurden, können auch die Mitarbeiter bei der Verletzung von Datenschutzvorschriften haftungsrechtlich zur Verantwortung gezogen werden. Andernfalls greifen die Bußgeld- (§ 43 BDSG) und die Strafvorschriften (§ 44 BDSG) in vollem Umfang gegenüber der Geschäftsleitung. Gegenüber Betroffenen ist das Unternehmen zur Leistung eines Schadensersatzes verpflichtet, wenn die gebotene Sorgfalt nicht beachtet wurde (§ 7 BDSG). Wenn eine Aufsichtsbehörde gravierende datenschutzrechtliche Mißstände feststellt, kann sie sogar die Datenverarbeitung untersagen (§ 38 Abs. 5 BDSG).

Neben etwaigen Restriktionen formulieren die Datenschutzbestimmungen auch vielfache Protokollierungsaufgaben, um etwa die Einhaltung der Kontrollbereiche der Anlage zu § 9 BDSG und damit die Sicherstellung eines ordnungsgemäßen Betriebs der eingesetzten Datenverarbeitungsanlagen (IT) nachweisen zu können. Diese Protokolle unterliegen allerdings einer strengen Zweckbindung (§ 31 BDSG) und dienen vor allem der Beweissicherung in Mißbrauchsfällen (siehe exemplarisch [6]).

Fernmeldegeheimnis

Ist in einem Unternehmen die private Nutzung der Kommunikationsmedien (Telefon, Fax, E-Mail, Internet) nicht ausdrücklich verboten und wird dieses Verbot nicht regelmäßig unter Androhung von Konsequenzen kontrolliert, so fällt diese Nutzung unter das Fernmeldegeheimnis des Telekommunikationsgesetzes (§ 88 TKG, siehe Urteil des LAG Mainz vom 12. Juli 2004, Az. 7 Sa 1243/03). Das Unternehmen wird zudem zum Telediensteanbieter gegenüber seinen Beschäftigten und hat dabei insbesondere die erforderlichen technischen und organisatorischen Vorkehrungen gemäß Teledienstedatenschutzgesetz vorzunehmen (§ 4 TDDSG). Ohne Einwilligung der Betroffenen oder ohne gestattende Betriebsvereinbarung sind in diesem Zuge der Spam-Abwehr deutliche Grenzen gesetzt (vgl. [7]).

Die Nichteinhaltung des Fernmeldegeheimnisses etwa durch Unterdrücken von E-Mails ist mit Strafe bedroht (§ 206 StGB bzw. § 303a StGB, wenn die Daten im Sinne von § 202a StGB mit einem Zugangsschutz versehen sind – siehe auch Beschluss des OLG Karlsruhe vom 10. Januar 2005, Az. 1 Ws 152/04).

In jedem Fall sind allerdings Maßnahmen zum Erkennen, Eingrenzen und Beseitigen von Störungen und angemessene technische Vorkehrungen und Maßnahmen zum Schutz vor unerlaubten Zugriffen zu ergreifen (gem. §§ 100, 107 und 109 TKG), um damit insbesondere Computerviren abzuwehren. Auch der Staat fordert Möglichkeiten für Überwachungsmaßnahmen, die auf der Grundlage des Telekommunikationsgesetzes und der Telekommunikations­überwachungs­verordnung zu gewährleisten sind (§ 110 TKG bzw. §§ 6, 11, 13, 14 und 16 TKÜV) – bei einer Teilnehmerzahl bis zu 1000 Nutzern entfällt allerdings die Pflicht, technische Einrichtungen vorzuhalten und vorab organisatorische Vorkehrungen hierfür zu treffen (siehe [8,9]).

Diplom-Informatiker Bernhard C. Witt ist geprüfter fachkundiger Datenschutzbeauftragter, Berater für Datenschutz und IT-Sicherheit bei der it.sec GmbH & Co. KG und Lehrbeauftragter an der Fakultät für Informatik der Universität Ulm.

Literatur

[1]
Sonja Mohr, Outsourcing nach Bankenart, § 25a KWG als Grundlage für sichere IT-Dienstleistungen, <kes> 2005#6, S. 85
[2]
Schrey, Persönliche Verantwortung und Haftungsrisiken von IT-Verantwortlichen - Ein Überlick, RDV 6/2004, S. 248
[3]
Gerald Spiegel, IT-Risikomanagement: Ein wichtiger Bestandteil der Unternehmensstrategie, <kes> 2001#4, S. 6
[4]
Michael Libertus, Zivilrechtliche Haftung und strafrechtliche Verantwortung bei unbeabsichtigter Verbreitung von Computerviren, MMR, 8/2005, S. 509
[5]
Horst Speichert, Großes Aufheben, Archivierungspflichten für E-Mails und andere digitale Daten, <kes> 2004#6, S. 8
[6]
Stefan Jaeger, Wie viel Logfile ist erlaubt?, <kes> 2004#4, S. 65
[7]
Michael Schmidl, Private E-Mail-Nutzung – Der Fluch der guten Tat, DuD 5/2005, S. 267
[8]
Bundesnetzagentur, Informationen zur technischen Umsetzung von Überwachungsmaßnahmen, [externer Link] www.bundesnetzagentur.de/enid/84425cfb44374b3d2e873b5eddb3e75c,d0d2d85f7472636964092d0936333139/Technische_Regulierung_Telekommunikation/Technische_Umsetzung_von_Ueberwachungsma_nahmen_h6.html
[9]
Bundesnetzagentur, FAQ – Häufig gestellte Fragen der Betreiber von E-Mail-Servern oder Anbieter von E-Mail-Diensten, [externer Link] www.bundesnetzagentur.de/enid/84425cfb44374b3d2e873b5eddb3e75c,d0d2d85f7472636964092d0936333139/oe.html
[10]
Bundesministerium der Justiz / juris GmbH, Gesetze im Internet, [externer Link] http://bundesrecht.juris.de