IT-Compliance ist in Vorstandsetagen bereits seit Längerem ein Thema. Auch dieser Seite erhalten Sie eine erste Einführung und finden einige Vorteile für die Schaffung eines eigenen IT-Compliance-Systems.
IT-Compliance – Einleitung
Beim Begriff Compliance geht es um die Schaffung eines Systems zur Sicherung der Einhaltung gesetzlicher und vertraglicher Regelungen. Die Flut an gesetzlichen – sich regelmäßig ändernden – Vorschriften führt dazu, dass Unternehmen vermehrt Mitarbeiter allein auf die Aufgabe verpflichten, die Einhaltung von gesetzlichen Regelungen zu überprüfen. Die Firma Siemens plant in den kommenden Jahren den Aufbau einer Compliance-Abteilung mit 500 Mitarbeitern.
Die Untergruppe des IT-Compliance betrifft nun die Einhaltung von gesetzlichen und vertraglichen Regelungen betreffend der IT-Landschaft im Unternehmen. Der Begriff kann definiert werden als Überwachung und dauerhafter Nachweis der Einhaltung von gesetzlichen Regelungen und selbst auferlegten Unternehmensprinzipien von und mit IT-Anwendungen. So schreiben umfangreiche Vorschriften bereits heute vor, welche Sicherheitsstandards bei dem Serverbetrieb bestehen müssen oder welche Daten langfristig gespeichert werden dürfen. Es ist geregelt, wann ein Datenschutzbeauftragter zu bestellen ist und welche Dokumentationspflichten in der IT-Abteilung bestehen. In vertraglicher Hinsicht geht es zudem um effektives Lizenzmanagement um zu vermeiden, dass einzelne Softwareprogramme ohne ausreichende Lizenz verwendet werden, was zu erheblichen Schadensersatzansprüchen führen kann.
Ab einer gewissen Grösse des Unternehmens ist daher anzuraten, das Thema IT-Compliance in den Fokus zu nehmen. Auf diesen Seiten finden Sie Hintergrundinformationen, die es Ihnen ermöglichen, sich einen Überblick zu verschaffen.
Vorteile der IT-Compliance
Die Schaffung eines IT-Compliance-Systems hat umfangreiche Vorteile. So geht es für die Verantwortlichen in erster Linie um eine persönliche Haftung, denn Geschäftsführer einer GmbH haften beispielsweise nach § 43 GmbHG persönlich für die Einhaltung von gesetzlichen Regelungen.
Andererseits schafft ein installiertes IT-Compliance-System für Glaubwürdigkeit bei Banken und Kapitalgebern, denn das eigene Rating wird infolge reduzierter Schadensrisiken verbessert. Da beispielsweise Lizenzverstöße bei Softwareanwendungen zu erheblichen Mehrkosten führen können, schafft ein IT-Compliance-System durch Einhaltung der Lizenzbestimmungen zu einer Kostentransparenz und damit zur Kostenoptimierung. Schadensersatzrisiken werden minimiert.
Schließlich bedeutet eine regelmäßig Kontrolle der IT-Landschaft auch immer eine Optimierung von Geschäftsprozessen, da der verbesserte Überblick Fehlerquellen erschließt.
Pflichten: Hardware
Die Einhaltung der rechtlichen Vorschriften ist besonders im IT-Hardwarebereich relevant, wo es sowohl um die Verarbeitung von – ggf. personenbezogen – Daten geht als auch die Sicherheit des gesamten IT-Systems auf dem Spiel steht. Auf dieser Seite geht es um Pflichten beim Umgang mit Computern, Servern und sonstigen Geräten der IT-Landschaft.
Technische Maßnahmen zum Datenschutz
Regelungen zum ordnungsgemäßen Umgang mit IT-Hardware finden sich im Rahmen der IT-Compliance insbesondere im Datenschutzgesetz. Nach § 9 BDSG ist jedes Unternehmen, das personenbezogene Daten erhebt, verarbeitet oder nutzt, dazu verpflichtet, die technischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG zu gewährleisten.
Insbesondere sind im Rahmen der IT-Compliance Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
- Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
- zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
- zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
- zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
- zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
- zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
- zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
- zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Verstöße gegen das BDSG können nach §§ 6, 7, 34 und 35 BDSG u.a. Schadensersatzansprüche auslösen oder nach § 43 und 44 BDSG sogar Bußgelder bis zu EUR 250.000,00 oder eine Freiheitsstrafe bis zu 2 Jahren nach sich ziehen.
Sorgfaltspflichten beim IT-Outsourcing
Wer personenbezogene Daten von einem Vertragspartner verarbeiten lässt (z.B. im Rahmen des IT-Outsourcing), so ist im Rahme der IT-Compliance zudem § 11 BDSG zu beachten. Hiernach ist der Vertragspartner unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Wichtig ist hierbei, dass der Auftraggeber sich von der Einhaltung der beim Vertragspartner getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat.
Verstöße haben obige Sanktionen (siehe Technische Maßnahmen) zur Folge.
Insbesondere Wertpapierdienstleistungsunternehmen müssen beim Outsouring weitere, besondere Anforderungen erfüllen. Nach § 33 WpHG sind hier bespielsweise die Anforderungen nach § 25a Abs. 2 des Kreditwesengesetzes einzuhalten. Darüber hinaus darf die Auslagerung nicht die Rechtsverhältnisse des Unternehmens zu seinen Kunden und seine Pflichten, die nach diesem Abschnitt gegenüber den Kunden bestehen, verändern.
Einrichtung eines Überwachungssystems
Weiterhin zu beachten ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Gemäß diesem Gesetz wurde z.B. § 91 II AktG geändert. Hiernach hat der Vorstand geeignete Maßnahmen zu treffen, damit die erforderlichen Handelsbücher geführt werden. Ausdrücklich wird hier die Pflicht statuiert, ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Nach herrschender Ansicht ist diese Pflicht analog auch auf den GmbH-Geschäftsführer zu übertragen. Auch der Pflicht zur Einrichtung eines Überwachungssystems ergibt sich, dass zur Vermeidung von wirtschaftlichen Schäden auf im Hinblick auf die IT-Infrastruktur ein sicheres Abwehr- und Datensicherungssystem zu schaffen ist, welches den Verlust und die ungewollte Veränderung – sei es durch unbefugte Dritte oder fahrlässige Mitarbeiter – frühzeitig verhindern kann. Relevant ist bei §91 AktG im Rahmen der IT-Compliance zudem, dass eine Kontrolle obiger Umsetzungsmaßnahmen durch den Abschlussprüfer nach § 317 IV HGB im Rahmen der Jahresabschlussprüfung erfolgen kann, was bei Fehlverhalten des Vorstandes zur Entlassung durch den Aufsichtsrat führen könnte.
Zuwiderhandlungen gegen die Pflicht zur Einrichtung eines Überwachungssystems können mit Schadensersatzansprüchen gegen Vorstand bzw. Geschäftsführung nach § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG (persönliche Haftung!) geahndet werden. Hinzu kommen weitere Risiken der IT-Compliance: So kann der Versicherungsschutz entfallen, wenn etwa auf notwendige Kontroll- oder Erkennungssysteme verzichtet wurde. Auch besteht die Gefahr, dass öffentliche Aufträge deshalb nicht erteilt werden, weil ein ordnungsgemäßes Überwachungssystem zur Sicherung der Behördendaten fehlt. Hier werden nicht selten Zertifikate zur IT-Sicherheit verlangt. Schließlich kann die Nachlässigkeit bei der Einrichtung eines Überwachungssystems dazu führen, dass das eigene Unternehmensrating schlechter ausfällt, was unmittelbare Wirkung auf die Konditionen der Fremdmittelvergabe hat.
Pflichten: Organisation
Nicht nur im Bereich der Hard- und Software schreiben Gesetze im Rahmen der IT-Compliance bestimmte Anforderungen vor, sondern auch im Bereich der Organisation des Unternehmens. Derartige Pflichten sind häufig nur mittels eine optimierten IT-Systems zu erfüllen (IT-Compliance im erweiterten Sinn). Auf dieser Seite finden Sie eine Übersicht zu den wichtigsten Punkten.
IT-Compliance und Risikomanagement
Unternehmensführer sind nach einigen, gesetzlichen Regelungen verpflichtet, das Unternehmen ausreichend gegen Risiken abzusichern. Soweit es um die Abwehr der IT-Landschaft geht, beachten Sie bitte die Hinweise auf der Seite „Pflichten:Hardware“. Aber auch im Bereich Organisation ist ein Risikomanagement einzurichten.
So schreibt etwa § 91 II AktG dem Vorstand vor, dass geeignete Maßnahmen zu treffen sind, damit die erforderlichen Handelsbücher geführt werden. Zudem ist ein Überwachungssystem zu errichten.
Weiter geht noch § 25a Kreditwesengesetz, das allerdings nur für Kreditinstitute gilt. Nach dieser Vorschrift muss ein Kreditinstitut über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Verantwortlich ist der Vorstand. Ausdrücklich wird hier die Errichtung eines wirksamen Risikomanagement gefordert, das ein internes Kontrollsystem beinhaltet, ablauforganisatorische Regelungen mit klare Abgrenzung der Verantwortungsbereiche bietet und Prozesse zur Identifikation, Steuerung, Überwachung und Kommunikation von Risiken umfasst. Insbesondere relevant für den Bereich IT sind jedoch die Regelungen des § 25a II Nr. 3 und 3 KWG: Hiernach hat der Vorstand zur Einhaltung der IT-Compliance sowohl eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts zu gewährleisten, sondern auch ein angemessenes Notfallkonzept unter Einbeziehung der IT-Systeme festzulegen.
Zur Umsetzung eines Risikomanagements hat die Bundesaufsicht für Finanzdienstleistungsaufsicht (BaFin) einen Leitfaden veröffentlicht . Hiernach bestehen zum IT-System folgende Anforderungen:
- Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Ihre Eignung ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.
- Die IT-Systeme sind vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Produktions- und Testumgebung sind dabei grundsätzlich voneinander zu trennen.
- Die Entwicklung und Änderung programmtechnischer Vorgaben (z. B. Parameteranpassungen) sind unter Beteiligung der fachlich und technisch zuständigen Mitarbeiter durchzuführen. Die programmtechnische Freigabe hat grundsätzlich unabhängig vom Anwender zu erfolgen.
Wertpapierdienstleistungsunternehmen haben sodann § 33 WpHG zu beachten. So muss der Vorstand im Rahmen der IT-Compliance etwa angemessene Grundsätze aufstellen, Mittel vorhalten und Verfahren einrichten, die darauf ausgerichtet sind, sicherzustellen, dass das Wertpapierdienstleistungsunternehmen selbst und seine Mitarbeiter den gesetzlichen Verpflichtungen nachkommen, wobei insbesondere eine dauerhafte und wirksame IT-Compliance-Funktion einzurichten ist, die ihre Aufgaben unabhängig wahrnehmen kann.
Ist das betroffene Unternehmen gar an der WallStreet börsendotiert gelistet, so ist der Sarbanes-Oxley Act von 2002 (SOX) zu beachten, ein US-Bundesgesetz, das als Reaktion auf Bilanzskandale von Unternehmen wie Enron oder Worldcom die Verlässlichkeit der Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern soll. Das Gesetz verpflichtet u.a. zur Einrichtung von technischen Kontroll- und auch Hinweisgebersystemen (siehe etwa Art. 404: „…establishing and maintaining an adequate internal control structure and procedures for financial reporting…“.
EuroSOX
Angelehnt an die US-amerikanische SOX-Gesetzgebung fordert auch die EU im Rahmen der IT-Compliance die bessere Kontrolle von Unternehmen. Mit der EU-Richtlinie 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen sollen Bilanzskandale verhindert werden, indem das Prüfwesen stärker harmonisiert und die Abschlussprüfung von Unternehmen innerhalb der EU stärker überwacht wird, letzteres z.B. durch einen eigenen Prüfungsausschuss im Unternehmen. Die EU-Richtlinie ist in nationales Recht umzusetzen.
Hinsichtlich der IT-Systeme werden neue Anforderungen gestellt. So muss etwa die IT muss dafür sorgen, dass alle relevanten Daten jederzeit verfügbar sind. Vor allem sollen dadurch eventuelle Verstöße gegen Finanzierungsregeln bereits im Vorfeld sichtbar werden. Alle abschlussnahen Prozesse müssen sauber und nachvollziehbar dokumentiert sein. Ein Risikomanagement und die dazugehörigen Kontrollsysteme müssen eingeführt werden. Weitere Anforderungen an die IT:
- Steuerung der Infrastruktur, Organisation, Anwendungsentwicklung und der Anwendungspflege
- Kontrolle und Steuerung des Berichtswesens und der physikalischen Verbindungen
- Archivierung aller relevanten Daten und Dokumente.
Basel II
Für Banken und betroffene Finanzdienstleisten gelten besondere Eigenkapitalvorschriften, die ursprünglich vom Basler Ausschuss für Bankenaufsicht in 2006 vorgeschlagen und mittels EU-Richtlinie 2006/48/EG und 2006/49/EG durch das Kreditwesengesetz sowie die Solvabilitätsverordnung (SolvV) umgesetzt wurden. Die Eigenkapitalhinterlegung von Banken richtet sich nunmehr u.a. nach einer Bewertung des „operationellen Risikos“. Risikofaktoren sind neben menschlichem Versagen und Betrug insbesondere unzureichende IT-Systeme. Zur Reduzierung technischer Risiken ist im Rahmen der IT-Compliance beispielsweise infolgt Basel II erforderlich, dass Banken nur Basel II-fähige Softwareprodukte einsetzen. Darüber hinaus erfordert die neue Gesetzeslage seit 2007 eine grundlegende Umgestaltung der Verfahren zur Datenerhebung (auf das sog. „Data Capture“), um operationelle Risikofaktoren zu identifizieren und analysieren.
Betriebsverfassungsgesetz und IT-Compliance
Im Bereich der Organisation zu beachten ist auch das Betriebsverfassungsgesetz.
Nach § 80 I BetrVG hat beispielsweise der Betriebsrat darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden. Nach § 5 der Bildschirmarbeitsverordnung ist hat der Arbeitgeber die Tätigkeit der Beschäftigten so zu organisieren, daß die tägliche Arbeit an Bildschirmgeräten regelmäßig durch andere Tätigkeiten oder durch Pausen unterbrochen wird, die jeweils die Belastung durch die Arbeit am Bildschirmgerät verringern. Der Betriebsrat ist nach § 80 BetrVG befugt, die Einhaltung derartiger Regelungen zu überwachen.
Nach 87 I Nr. 6 BetrVG hat der Betriebsrat darüber hinaus ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.
Im Rahmen der IT-Compliance ist daher zu beachten, dass Maßnahmen zur Einführung oder Änderung von IT-Systemen immer auch mit dem Betriebsrat abgestimmt sein sollten, um nicht später einen Streit vor dem Arbeitsgericht zu provozieren und ggf. später einzelne Maßnahmen rückgängig machen zu müssen.
Pflichten: Software
Auch bei der Anwendung von Software ist das Thema IT-Compliance zu beachten. Software muss so eingesetzt werden, dass personenbezogene Daten geschützt werden, eine ordnungsgemäße Archivierung von E-Mails stattfindet und keine fremden Urheberrechte verletzt werden. Auf dieser Seite finden Sie eine Übersicht zu den entsprechenden Pflichten.
Datenschutz und IT-Compliance
Gerade beim Einsatz von Software kommt es – oft ungewollt – zur Verletzung datenschutzrechtlicher Vorschriften. Insoweit ist eine Verarbeitung personenbezogener Daten (pD) beispielsweise nach § 4 BDSG nur zulässig, wenn sie durch eine Rechtsvorschrift oder durch die Einwilligung der Betroffenen erlaubt wird. Folgende Grundsätze sind bei der Verarbeitung von pD mittels Software zu beachten:
Die Erhebung von pD ist grundsätzlich zulässig. Unter den Begriff des Erhebens fallen u.a. Kundenbefragungen oder medizinische Untersuchungen.
Die Verarbeitung von pD (Speicherung, Veränderung, Übermittlung an Dritte, Sperrung, Löschung) steht unter einem Erlaubnisvorbehalt, d.h. grundsätzlich ist sie verboten. Die Verarbeitung ist ausnahmsweise erlaubt, wenn
- der Betroffene eingewilligt hat
- ein Tarifvertrag oder eine Betriebsvereinbarung die Verarbeitung erlaubt oder
- eine gesetzliche Vorschrift die Verarbeitung legitimiert.
Für die Einwilligung gilt § 4a BDSG. Hiernach ist im Rahmen der IT-Compliance zunächst vorab auf den Zweck der Speicherung und Verarbeitung hinzuweisen. Darüber hinaus ist die Einwilligung grundsätzlich in Schriftform zu verlangen; Ausnahmen hierzu existieren im Onlinebereich nach dem Telemediengesetz. Ein klauselmäßiges Einverständnis in AGB zur Telefonwerbung ist unwirksam (BGH XI ZR 76/ 98). Allerdings wird es teilweise im Bereich der Marktforschung und Werbung für zulässig gehalten, wenn der Betroffene es willentlich unterlassen hat, der Speicherung und Verarbeitung seiner Daten durch Setzen eines Kreuzes zu widersprechen, sog. Opt-Out (OLG München 29 U 2769/06, LG Köln 26 O 358/05). Eine mögliche Formulierung einer Einwilligung im Onlinebereich wäre etwa
„Wir möchten Sie darüber informieren, dass Ihre im Rahmen Ihrer Bestellung erhobenen Daten für die Durchführung und Abwicklung der Bestellung genutzt werden. Darüber hinaus möchten wir Ihren Name, Anschrift und Email-Adresse dafür verwenden, um Sie über ähnliche, für Sie interessante Produkte zu informieren. Hierzu brauchen wir Ihre Einwilligung, die Sie uns durch Anklicken des Ja-Buttons geben können. Für die Durchführung Ihrer Bestellung ist die Einwilligung nicht notwendig; Sie können frei darüber entscheiden, ob Sie uns Ihr Einverständnis für die Zusendung weiterer Informationen geben. Sofern Sie die Informationen künftig nicht mehr erhalten wollen, bitten wir um Zusendung einer kurzen Email an XXX.“
Tarifverträge oder Betriebsvereinbarung sind nach allgemeiner Ansicht in der Rechtsprechung (BAG 1 ABR 48/84) als „andere Rechtsvorschriften“ i.S.d. § 4 BDSG anzusehen und damit als Ermächtigung in die Speicherung und Verarbeitung von pD zu bewerten. Sehen also Tarifverträge oder Betriebsvereinbarung die Speicherung und Erhebung von bestimmten pD der Mitarbeiter durch den Arbeitgeber vor, so gilt diese Verarbeitung als zulässig.
Es gibt eine Vielzahl an gesetzlichen Regelungen, die eine Speicherung und Verarbeitung pD erlauben. Besondere Relevanz in der Praxis hat § 28 BDSG. Hiernach ist die Verwendung zulässig, wenn
- es der Zweckbestimmung eines Vertragsverhältnisses (Kaufvertrag, Arbeitsvertrag etc.) oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient,
- soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder
- wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
Die Übermittlung oder Nutzung für einen anderen Zweck ist nach § 28 III BDSG auch zulässig,
- soweit es zur Wahrung berechtigter Interessen eines Dritten oderzur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist, oder
- für Zwecke der Werbung, der Markt- und Meinungsforschung, wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe, Berufs-, Branchen- oder Geschäftsbezeichnung, Namen, Titel, akademische Grade, Anschrift undGeburtsjahr beschränken und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder
- wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
Verarbeitet das Unternehmen die pD geschäftsmäßig (also z.B. Adresshändler, Auskunfteien oder Marktforschungsinstitue), so ist die Verarbeitung nach § 29 BDSG zulässig, wenn
- kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, oder
- die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt.
Die Übermittlung ist in diesem Fall (im Rahmen der Zweckbindung) zulässig, wenn
- der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat oder
- es sich um listenmäßig oder sonst zusammengefasste Daten nach § 28 Abs. 3 Nr. 3 handelt, die für Zwecke der Werbung oder der Markt- oder Meinungsforschung übermittelt werden sollen, und
- kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.
Ein gesetzliches Recht zur Übermittlung pD besteht auch gegenüber Behörden, z.B. nach §§ 111 ff.TKG, §§ 101a StPO, § 10 MADG, § 8 BND-Gesetz oder § 8 BVerfSchG.
Elektronische Archivierung
Software wird im Unternehmen auch zur Archivierung von Dokumenten eingesetzt. Soweit es im Rahmen von IT-Compliance um Aufbewahrungspflichten von nichtdigitalen Dokumenten geht, beachten Sie bitte die Hinweise zur Organisation im Unternehmen. Soweit es jedoch zum Einsatz von Software kommt gelten die nachfolgenden Regeln.
Elektronische Dokumente sind – ebenso wie papiergebundene Dokumente – revisionssicher aufzubewahren. Es gelten hier zunächst die allgemeinen Vorschriften des § 257 HGB und § 147 AO. Nach § 257 III HGB
können Handelsbücher, Inventare, Lageberichte, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, die empfangenen Handelsbriefe, Wiedergaben der abgesandten Handelsbriefe und Belege für Buchungen (Buchungsbelege) elektronisch archiviert werden. Sie müssen während der Aufbewahrungsfrist (Handelsbriefe 6 Jahre, sonstigen Unterlagen 10 Jahre) verfügbar sein und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Ähnliche Pflichten bestehen im Steuerrecht nach § 147 II AO.
Zusätzlich zu obigen, allgemeinen Pflichten der IT-Compliance bestehen jedoch spezielle Anforderungen an die elektronische Archivierung. Anwendbar sind hier die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU).
Nach der GoBS müssen sämtliche zu archivierende, elektronische Dokumente mit einem unveränderbaren Index versehen werden. Die Einrichtung einer Volltextsuche reicht hierfür nicht aus. Weiterhin müssen Geschäftsvorfälle richtig, vollständig und zeitgerecht erfasst sein und sich in ihrer Entstehung und Abwicklung verfolgen lassen (Beleg-, Journalfunktion). Sie sind so zu verarbeiten, dass sie geordnet darstellbar sind und einen Überblick über die Vermögens- und Ertragslage gewährleistet ist (Kontofunktion). Zur Übersicht ist eine Verfahrensdokumentation anzufertigen. Das Verfahren zur Wiedergabe der digitalen Unterlagen ist in einer Arbeitsanweisung schriftlich niederzulegen. Sowohl die gespeicherten Buchungen sowie die Arbeitsanweisungen müssen jederzeit innerhalb angemessener Frist lesbar gemacht werden können und die hierfür erforderlichen, technischen Hilfsmittel bereitzuhalten.
Auch die GDPdU stellen im Rahmen der IT-Compliance Regeln für die Prüfbarkeit von digitalen, steuerrelevanten Dokumenten dar, damit eine ordnungsgemäße Steuerprüfung gewährleistet werden kann. Hiernach sind elektronische, steuerrelevante Dokumente auf maschinell verwertbaren Datenträgern zu archivieren. Eine Aufzeichnung auf Mikrofilm reicht daher nicht aus, ebenso wenig die Speicherung in – maschinell nicht lesbaren – PDF-Dateien. Soweit es allerdings nur um Textdokumente geht – die nicht zur Weiterverarbeitung in einem DV-gestützen Buchführungssystem geeignet sind – entfällt die Pflicht zur Archivierung auf maschinell verwertbaren Datenträgern.
Zum Thema E-Mail-Archivierung hat das Finanzministerium eine Richtlinie herausgegeben, die E-Mails den originär digitalen Dokumenten gleichstellt. Auch E-Mails müssen daher maschinell auswertbar vorgehalten werden. Es gelten hier bei der IT-Compliance wiederum die Regeln des GoBS, so dass ein unveränderbarer Index zu erstellen ist, unter dem sie bearbeitet und verwaltet werden können. Es empfiehlt sich daher, sämtliche E-Mails, die selbst oder im Anhang steuerrelevante Informationen enthalten, mit einem unveränderbaren Index zu versehen, unter dem das archivierte Dokument verarbeitet und verwaltet werden kann.
Lizenzmanagement
Unter dem Begriff Lizenzmanagement versteht man Prozesse in Unternehmen, die den legalen und effizienten Umgang mit urheberrechtlich gesschützter Software in Unternehmen absichern. Unternehmen sind urheberrechtlich verpflichtet, die erworbene Software nur so zu nutzen, wie es vertraglich in den Lizenzbestimmungen vereinbart ist.
Wurde also lediglich eine einzige Lizenz einer Standardsoftware (z.B. Windows) erworben, so ist es vertraglich untersagt, mit dem Datenträger auf anderen Rechnern (Clients) weitere Installationen vorzunehmen. Eine solche, erweiterte Nutzung unterliegt der Einwilligung des Urhebers bzw. Berechtigten. Der Unternehmer muss im Rahmen der IT-Compliance also weitere Lizenzen erwerben, wenn die Software auf mehreren Rechnern installiert werden soll.
Da Unternehmen jedoch stets mehrere Softwareprogramme verwenden (System, Officeanwendungen, Bildbearbeitung, Buchhaltung, Verfahrenssteuerung etc.), ist es sinnvoll, ein Lizenzmanagement einzuführen, dass die Einhaltung der eingeräumten Lizenzen überwacht.
Im Rahmen des Lizenzmanagements bei IT-Compliance sind alle installierten Softwareanwendungen unter Bezugnahme auf vorhandene Lizenzen in eine gesonderte Verwaltungssoftware mit Datenbank einzutragen. Die Managementsoftware überwacht sodann die Einhaltung und zeitliche Dauer der aufgeführten Lizenzen und warnt den Bediener vor Lizenzverletzungen – und damit vor drohenden Schadensersatzansprüchen -. Da Lizenzen jedoch häufig Gerätebezogen eingeräumt werden, ist im Rahmen der IT-Compliance in die Datenbank auch die verwendet und vereinbarte Hardware hinzuzufügen. Kommt es später zu einem Hardwarewechsel, so liefert die Verwaltungssoftware schnell einen Überblick, welche Lizenzen zu erweitern sind.
