Rechtliche Rahmenbedingungen für „Software as a Service“
Upcoming SlideShare
Loading in...5
×
 

Rechtliche Rahmenbedingungen für „Software as a Service“

on

  • 2,837 views

AK-SaaS: 16.11.2009

AK-SaaS: 16.11.2009
Autor: Haiko Ferber

Statistics

Views

Total Views
2,837
Views on SlideShare
2,825
Embed Views
12

Actions

Likes
0
Downloads
33
Comments
0

1 Embed 12

http://www.slideshare.net 12

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Rechtliche Rahmenbedingungen für „Software as a Service“ Rechtliche Rahmenbedingungen für „Software as a Service“ Presentation Transcript

    • SOFTWARE AS A SERVICE Rechtliche Rahmenbedingungen für „Software as a Service“
    • Haiko Ferber  Rechtsanwalt  Ausbildung zum IT-Sicherheitsbeauftragten  Fachanwaltskurs Steuerrecht  Schwerpunkte: Datenschutz und IT-Vertragsrecht 2 Rechtliche Rahmenbedingungen für Software as a Service
    • PERSICON Gruppe  Führender Anbieter von spezialisierten Beratungs- und Prüfungsleistungen in den Bereichen Risikomanagement, Informationssicherheit und Datenschutz  Schnittmenge zwischen Wirtschaftsprüfung, IT-Rechts- und IT-Managementberatung  Hauptsitz in Berlin | Büros in Frankfurt am Main, München 3 Rechtliche Rahmenbedingungen für Software as a Service
    • Leistungsschwerpunkte Prüfung, Zertifizierung, Beratung und Coaching in den Bereichen Risikomanagement, Ordnungsmäßigkeit, Datenschutz und Informationssicherheit  Implementierung und Zertifizierung von Informationssicherheit  Datenschutzberatung und Stellung des Datenschutzbeauftragten  Erstellung von Richtlinien, Verfahrensverzeichnissen, IT-Regelwerken, Betriebs- und Sicherheitskonzepten Design, Dokumentation und Prüfung interner Kontrollsysteme (IKS)  Co- und Outsourcing der internen Revision  Kontinuitäts- und Notfallmanagement  Ausbildung von beispielsweise IT-Sicherheits-, Datenschutzbeauftragten und Risikomanagern  Best Practices: ITIL, COBIT, IDW, ISO 27001 und BSI IT-Grundschutz 4 Rechtliche Rahmenbedingungen für Software as a Service
    • Referenzen (Auszug) Nicht-öffentlicher Sektor Öffentlicher Sektor  Deutsche Post/Williams Lea  Bundesministerium für wirtschaftliche Zusammenarbeit  Deutsche Telekom/T-Systems und Entwicklung (BMZ)  Pfizer Deutschland  Bundesamt für Sicherheit in der Informationstechnik (BSI)  E.ON  Staatskanzlei des Landes Sachsen-Anhalt  RWE enviaM  Ministerium für Jugend, Bildung und Sport des Landes  Bertelsmann/arvato Brandenburg  Ministerium für Ländliche Entwicklung, Umwelt und  ThyssenKrupp Verbraucherschutz des Landes Brandenburg  MAN Nutzfahrzeuge  Thüringer Ministeriums für Landwirtschaft und Umwelt  Talanx Versicherungsgruppe/HDI Gerling  Ministerium für Wirtschaft, Verkehr, Landwirtschaft und  VHV Versicherungen Weinbau des Landes Rheinland-Pfalz  Microsoft  Landesamt für Gebäudebewirtschaftung Berlin  Sennheiser  Landesinformationszentrum Sachsen-Anhalt  Savills  Bayerisches Landesamt für Statistik und  TLG IMMOBILIEN Datenverarbeitung  Francotyp-Postalia  Landesamt für Verbraucherschutz, Landwirtschaft und  Interoute Flurneuordnung des Landes Brandenburg  Stadtwerke Dresden (DREWAG)  Arbeiterwohlfahrt  Stadtwerke Neubrandenburg  Bundesverband der Allgemeine Ortskrankenkassen (AOK)  Berliner Wasserbetriebe  Berliner Verkehrsbetriebe/BT Berlin Transport  Kommunale Wasserwerke Leipzig  Rundfunk Berlin-Brandenburg (RBB)  Diverse Sparkassen  Filmförderungsanstalt des Bundes 5 Rechtliche Rahmenbedingungen für Software as a Service
    • Alleinstellungsmerkmale PERSICON zeichnet sich durch die einmalige Kompetenzbündelung am Spannungsfeld zwischen Wirtschaftsprüfung, Risikomanagement, Informationssicherheit und IT-Recht aus.  Mitgestaltung wesentlicher relevanter Normen und Standards, beispielsweise  BSI IT-Grundschutz oder ISO 27001  Hohe Spezialisierung und Coaching-Gedanke: „Hilfe zur Selbsthilfe“  Unabhängigkeit vom Lösungs- und Umsetzungsgeschäft  Fachübergreifende Teams aus Wirtschaftsinformatikern, Informatikern, Rechtsanwälten, Mathematikern, Kaufleuten, Ingenieuren und Technikern  Hohe Qualität und ständige Qualifikation der Mitarbeiter, jeweils weit über dem Branchendurchschnitt  Aktive Zusammenarbeit mit verschiedenen Universitäten und Lehrstühlen 6 Rechtliche Rahmenbedingungen für Software as a Service
    • Software as a Service Allgemeine Compliance Anforderungen 7 Rechtliche Rahmenbedingungen für Software as a Service
    • Überblick  Handelsgesetzbuch (HGB)  Aktien-Gesetz (AktG)  Abgabenordnung (AO) und Grundsätze der Prüfbarkeit digitaler Unterlagen (GDPdU)  Bundesdatenschutzgesetz (BDSG)  Sonstige Datenschutzgesetze  Strafgesetzbuch (StGB)  Kreditwesengesetz (KWG) und Mindestanforderungen an das Risikomanagement (MaRisk)  Versicherungsaufsichtsgesetz (VAG) und Mindestanforderungen an das Risikomanagement (MaRisk VA)  Standards des Instituts des Wirtschaftsprüfer (IDW)  … 8 Rechtliche Rahmenbedingungen für Software as a Service
    • Handelsgesetzbuch (HGB) Handelsgesetzbuch in Verbindung mit den Grundsätzen ordnungsgemäßer Buchführung (GoB)  Das HGB enthält selbst keine Vorschriften, die Anforderungen an SaaS-Projekte enthalten.  Es existieren jedoch einige Verpflichtungen des Kaufmanns, die Auswirkungen auf SaaS-Projekte haben: – die Beachtung der Grundsätze ordnungsgemäßer Buchführung (§ 239 Abs. 4 HGB) und – die Berücksichtigung der damit verbundenen Anforderungen an die Sicherheit IT-gestützter Rechnungslegung, – die Nachvollziehbarkeit der Buchführungs- bzw. Rechnungslegungsverfahren (§ 238 Abs. 1 Satz 2 HGB), – die Nachvollziehbarkeit der Abbildung der einzelnen Geschäftsvorfälle in ihrer Entstehung und Abwicklung (§ 238 Abs. 1 Satz 3 HGB), – die Einhaltung der Aufbewahrungsvorschriften (§ 239 Abs. 4, § 257 HGB). 9 Rechtliche Rahmenbedingungen für Software as a Service
    • Aktien-Gesetz (AktG)  In Rahmen des obligatorischen Risikomanagements ist die Richtigkeit der Buchführung sicherzustellen.  Zudem muss das Risikomanagement alle outgesourcten Dienstleistungen beinhalten, also auch die Verwendung von SaaS.  § 91 AktG (Buchführungspflicht)  § 93 AktG (Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder)  § 116 AktG (Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder)  § 161 (Erklärung zum Corporate Governance Kodex) 10 Rechtliche Rahmenbedingungen für Software as a Service
    • Abgabenordnung (AO)  Die Abgabenordnung regelt grundlegend für alle Steuerarten das Besteuerungsverfahren.  Im Zusammenhang mit der AO sind die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu sehen.  Es muss sichergestellt sein, dass im Rahmen der Betriebsprüfung die betriebswirtschaftlichen Daten vom Prüfer bzw. der speziellen Prüfungs- Software erfasst werden können.  Zu beachten sind ferner die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBs)  § 140 AO (Buchführungs- und Aufzeichnungspflichten)  § 146 AO (Ordnungsvorschriften für die Buchführung und Aufzeichnungen)  § 147 AO (Ordnungsvorschriften für die Aufbewahrung von Unterlagen)  § 193 AO (Rechtsgrundlage für die steuerliche Außenprüfung)  § 200 AO (Mitwirkungspflichten des Steuerpflichtigen) 11 Rechtliche Rahmenbedingungen für Software as a Service
    • Bundesdatenschutzgesetz (BDSG)  Die Anwendbarkeit des BDSG hat mitunter großen Einfluss auf die Ausgestaltung von Service-Level-Agreements (SLA) und der Umsetzung des SaaS-Vorhabens.  Sofern personenbezogene Daten betroffen sind, sind insbesondere folgende Normen von Relevanz: – § 9 BDSG und Anlage zu § 9 BDSG – § 11 BDSG (Auftragsdatenverarbeitung) 12 Rechtliche Rahmenbedingungen für Software as a Service
    • Sonstige Datenschutzgesetze  Landesdatenschutzgesetze (LDSG) Entsprechend dem BDSG sind datenschutzrechtliche Normen auch bei der Verwendung von SaaS im öffentlich-rechtlichen Sektor zu beachten.  Ferner können Spezialgesetze in Anhängigkeit des SaaS-Vorhabens Anwendung finden, wie bspw. – Telekommunikationsgesetz (TKG) – Telemediengesetz (TMG) 13 Rechtliche Rahmenbedingungen für Software as a Service
    • Strafgesetzbuch (StGB)  Das Strafgesetzbuch enthält keine expliziten Regelungen zu SaaS.  In Verbindung mit dem Bundesdatenschutzgesetz sind jedoch im Licht des Datenschutzes insbesondere folgende Regelungen zu beachten: – § 202a StGB (Ausspähen von Daten) – § 202b StGB (Abfangen von Daten) – § 203 StGB (Verletzung von Privatgeheimnissen) – § 206 StGB (Verletzung des Post- und Fernmeldegeheimnisses) 14 Rechtliche Rahmenbedingungen für Software as a Service
    • Kreditwesengesetz (KWG)  Das KWG gilt für Kreditinstitute und Finanzdienstleistungsinstitute.  Das Gesetz dient der Sicherung und Erhaltung der Funktionsfähigkeit der Kreditwirtschaft sowie dem Schutz der Gläubiger von Kreditinstituten vor Verlust ihrer Einlagen.  Relevant ist § 25a KWG (Besondere organisatorische Pflichten von Instituten).  Konkretisiert werden die Anforderungen aus § 25a KWG in den MaRisk. 15 Rechtliche Rahmenbedingungen für Software as a Service
    • Versicherungsaufsichtsgesetz (VAG)  Das VAG enthält Regelungen zur Ausgestaltung eines Risikomanagementsystems.  Die IT ist als Teil des umfassenden Risikomanagementsystems anzusehen.  Das Risikomanagement muss alle Risiken eines SaaS-Vorhabens nach § 64a VAG umfassen, also auch SaaS-Projekte .  Die Anforderungen des § 64a VAG werden seit Anfang 2009 in den MaRisk VA konkretisiert. 16 Rechtliche Rahmenbedingungen für Software as a Service
    • Anforderungen an das Risikomanagement  Mindestanforderungen an das Risikomanagement (MaRisk) – Die MaRisk sind die verbindliche Vorgabe der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten. – In den MaRisk hat die BaFin als Aufsichtsbehörde die Anforderungen des § 25a KWG konkretisiert. Die MaRisk sind also nur anwendbar, wenn die Anwendbarkeit des § 25a KWG eröffnet ist.  Mindestanforderungen an das Risikomanagement in der Versicherungsbranche (MaRisk VA) – Die MaRisk VA sind ebenfalls verbindliche Vorgaben der BaFin für die Ausgestaltung eines internen Kontrollsystems bei Versicherungsunternehmen. – Im Rahmen des Risikomanagements ist die Einhaltung einschlägiger rechtlicher Anforderungen sicherzustellen. 17 Rechtliche Rahmenbedingungen für Software as a Service
    • Standards des Instituts der Wirtschaftsprüfer (IDW)  Das Institut der Wirtschaftsprüfer entwickelt Standards, die den Wirtschaftsprüfern als Werkzeug für ihre Prüfungstätigkeit dienen sollen.  Ausgewählte Standards konkretisieren die aus den §§ 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels IT- gestützter Systeme.  Es wird zugleich versucht, die beim Einsatz von IT möglichen Risiken für die Einhaltung der Grundsätze ordnungsmäßiger Buchführung zu verdeutlichen.  Die Standards beziehen sich in Teilen auch auf ausgelagerte IT-Prozesse, sofern diese rechnungslegungsrelevant sind.  Relevante Standards: IDW PS 330, IDW PS 951, FAIT 1 18 Rechtliche Rahmenbedingungen für Software as a Service
    • Software as a Service Datenschutzanforderungen 19 Rechtliche Rahmenbedingungen für Software as a Service
    • Datenschutz Datenschutz :  Schutz der informellen Selbstbestimmung von natürlichen Personen. Informelle Selbstbestimmung:  Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Drei Schutzziele:  Vertraulichkeit  Verfügbarkeit  Integrität 20 Rechtliche Rahmenbedingungen für Software as a Service
    • Zweck des Datenschutzes Gesetzliche Verankerung in § 1 Abs. 1 BDSG:  „[…] den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“  Jeder Mensch soll grundsätzlich selbst entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen.  Der Datenschutz will den „gläsernen Menschen“ verhindern. 21 Rechtliche Rahmenbedingungen für Software as a Service
    • Klassisches Szenario  Zentralen Anwendungen des Anbieters A laufen in einem externen Rechenzentrum der Firma R.  Die Erfassung und die Bearbeitung der Personal-, Auftrags- und Kundendaten erfolgt im eigenen Betrieb des SaaS-Nutzers.  Die Daten werden im externen Rechenzentrum der Firma R gespeichert.  Daraus resultiert die Notwendigkeit, vertrauliche Daten über das Internet transferieren zu müssen.  Welche datenschutzrechtlichen Konsequenzen ergeben sich nun daraus aus Sicht der SaaS-Nutzers? 22 Rechtliche Rahmenbedingungen für Software as a Service
    • Datenschutzanforderungen an den SaaS-Nutzer (1)  Der SaaS-Nutzer hat regelmäßig die für ihn geltenden rechtlichen und regulatorischen Anforderungen zu prüfen.  Die Anforderungen richten sich danach, in welchen Bereichen SaaS-Services genutzt werden.  Insbesondere sind die Anforderungen an die Auftragsdatenverarbeitung im Sinne des § 11 BDSG zu beachten! 23 Rechtliche Rahmenbedingungen für Software as a Service
    • Datenschutzanforderungen an den SaaS-Nutzer (2)  Grundsätzlich hat der SaaS-Nutzer folgende Aspekte zu berücksichtigen: – Aufrechterhaltung eines angemessen Datenschutzniveaus im eigenen Betrieb – Sicherstellung eines angemessen Datenschutzniveaus beim SaaS-Anbieter – Sicherstellung einer angemessen sicheren Übermittlung der Daten zwischen SaaS-Nutzer und SaaS-Anbieter  Dazu sollte ein geplantes und dokumentiertes Auswahlverfahren zur … – Auswahl des SaaS-Anbieters – Auswahl der Software (vorherige Tests) durchgeführt werden. 24 Rechtliche Rahmenbedingungen für Software as a Service
    • Exkurs: Anforderungen nach § 9 BDSG (1)  Technisch-organisatorische Maßnahmen nach § 9 BDSG und der Anlage zu § 9 BDSG sind zu treffen, die erforderlich sind, um die Anforderung dieses Gesetzes zu realisieren.  Erforderlich ist nur das, was im angemessenen Aufwand zum Schutzzweck steht.  Orientierung an den IT-Grundschutzkatalogen BSI - insbesondere Baustein 1.5 Datenschutz des BSI 25 Rechtliche Rahmenbedingungen für Software as a Service
    • Exkurs: Anforderungen nach § 9 BDSG (2) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 26 Rechtliche Rahmenbedingungen für Software as a Service
    • Exkurs: Anforderungen nach § 9 BDSG (3) 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 27 Rechtliche Rahmenbedingungen für Software as a Service
    • Auftragsdatenverarbeitung - Überblick Die folgenden Aspekte stellen die Mindestanforderungen an eine angemessene und konforme Auftragsverarbeitung dar: – Auswahl eines zuverlässigen Anbieters – Vertragliche Ausgestaltung der Pflichten zwischen den Vertragsparteien – Überprüfung der Einhaltung der vertraglichen Pflichten 28 Rechtliche Rahmenbedingungen für Software as a Service
    • Auswahl der Software  Die verwendete Software hat den Anforderungen des BDSG zu genügen.  Insbesondere sind folgende exemplarische Eigenschaften sicherzustellen: – Zugriffskontrolle – Rollenbasierte Benutzerrechteverwaltung – Kontrollen zur Datenintegrität 29 Rechtliche Rahmenbedingungen für Software as a Service
    • Service Level Agreement/ Vertrag zur Auftragsdatenverarbeitung (1)  Gemäß § 11 Absatz 2 Satz 2 Nr. 1-10 BDSG sind insbesondere festzulegen: – der Gegenstand und die Dauer des Auftrags (Nr.1), – der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen (Nr.2), – die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen (Nr.3), – die Berichtigung, Löschung und Sperrung von Daten (Nr.4), – die nach Absatz 4 bestehenden Pflichten des Auftragsnehmers, insbesondere die von ihm vorzunehmenden Kontrollen (Nr.5), 30 Rechtliche Rahmenbedingungen für Software as a Service
    • Service Level Agreement/ Vertrag zur Auftragsdatenverarbeitung (2) – die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen (Nr.6), – die Kontrollrechte des Auftragsgebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragsnehmers (Nr.7), – mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen (Nr.8), – der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält (Nr.9), – die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (Nr.10). 31 Rechtliche Rahmenbedingungen für Software as a Service
    • Service Level Agreement/ Vertrag zur Auftragsdatenverarbeitung (3) Weitere mögliche Regelungsgegenstände:  Verfügbarkeit  Reaktionszeiten  Eskalationsverfahren im Fehler- oder Notfall  Regelung bei Kündigung und Anbieterwechsel  … 32 Rechtliche Rahmenbedingungen für Software as a Service
    • Welche Fragen haben Sie? 33 Rechtliche Rahmenbedingungen für Software as a Service
    • Vielen Dank für Ihre Aufmerksamkeit. Haiko Ferber hferber@persicon.com www.persicon.com 34 Rechtliche Rahmenbedingungen für Software as a Service