GRC Management-Governance, Risk & Compliance: IT-Sicherheit als integrierter Bestandteil eines Compliance-Managements E-Book

Sachs

GRC- Management- Governance, Risk and Compliance:

IT- Sicherheit als Bestandteil eines integrierten

Compliance-Managements

2. aktualisierte und erweiterte Auflage

Fabian Sachs, LL.M., D.D.F. (Grenoble)

GRC- Management-Governance, Risk and Compliance:

IT- Sicherheit als Bestandteil eines integrierten Compliance- Managements

©      2020 Sachs, Fabian

Autor: Fabian Sachs

Umschlaggestaltung, Illustration: Huong Tran

Lektorat: Detlef Sachs

Verlag & Druck: tredition GmbH, Halenreie 40-44, 22359 Hamburg

ISBN 978-3-347-18699-6 (Paperback)

ISBN 978-3-347-18700-9 (Hardcover)

ISBN 978-3-347-18701-6 (e-Book)

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.

Bibliografische Information der Deutschen Bibliothek

Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie, detaillierte bibliografische Daten sind im Internet über http://dnb.ddb.de abrufbar.

Printed in Germany

Hinweis für die Nutzung des Werkes:

Erkenntnisse in der Informationstechnologie, als auch gesetzliche und nichtgesetzliche Anforderungen unterliegen einem laufenden Wandel durch Forschung und Entwicklung, der Rechtsprechung und Weiterentwicklung des Rechts bzw. einschlägiger Standards und Frameworks. Der Autor hat nach großer Sorgfalt darauf geachtet, dass die im Werk aufgeführten rechtlichen Angaben dem derzeitigen Wissenstand entsprechen. Es entbindet daher dem Nutzer keineswegs von seiner Verpflichtung anhand weiterer Informationsquellen dies zu überprüfen, ob die im Buch gemachten Angaben mit den dortigen gemachten Angaben abweichen. Der Nutzer sollte in eigener Verantwortung seine Entscheidung entsprechend treffen.

Haftungsausschluss für gemachte InternetverweiseIn diesem Buch wurden Links (Internetverweise) zu Seiten im Internet hinterlegt. Hierbei gilt für all diese Links, dass der Autor keinerlei Einfluss für die Inhalte oder Gestaltung der verlinkten Seiten hat. Daher kann für diese fremden Inhalte auch keinerlei Gewähr übernommen werden. Es ist für die Inhalte der verlinkten Seiten immer der jeweilige Betreiber oder der Anbieter der Seite verantwortlich. Zum Zeitpunkt der Links wurden diese vom Autor auf etwaige Rechtsverstöße hin überprüft. Dabei waren zu diesem Zeitpunkt keine rechtswidrigen Inhalte erkennbar. Die stetige inhaltliche Kontrolle der in diesem Buch aufgeführten Links zu den entsprechenden Seiteninhalten ist ohne spezifische Anhaltspunkte einer Rechtsverletzung ohnehin nicht zumutbar. Derartige Links werden vom Autor bei Bekanntgabe entsprechend umgehend entfernt. Der Autor distanziert sich daneben ausdrücklich von allen Inhalten aller Seiten, die in diesem Buch aufgeführt sind.

Für meine Eltern

Vorwort

Zielgruppe dieses Buches sind Beschäftigte, Akademiker und Fachkräfte, welche sich mit der IT- Sicherheit und dem Datenschutz auseinandersetzen und in Unternehmen an einem GRC-Management beteiligt sind. Dieses Buch soll Ihnen einen Einblick in das Thema GRC- Management geben, um neben der Schaffung einer höheren Akzeptanz zum Thema Datenschutz und Datensicherheit auf Managementebene auch eine Etablierung im Unternehmen in die Wege leiten zu können. Unter dem Thema GRC-Management: IT- Sicherheit als Bestandteil eines integrierten Compliance- Managements fallen ganz unterschiedliche Disziplinen, wie z.B. die Informationstechnologie, betriebswirtschaftliche Aspekte, als auch nationales, europäisches und internationales Recht. Daneben existieren noch eine Vielzahl an unterschiedlichen Regelungen im nichtgesetzlichen Bereich, die es zu beachten gilt.

Die zweite aktualisierte und erweiterte Auflage wurde vollständig überarbeitet. Aufgrund der entstandenen Praxisrelevanz und aktueller Gesetzgebung wurde das Thema Datenschutz erheblich erweitert. Darüber hinaus wurde das Thema COBIT und das IT-Sicherheitsmanagement ergänzt. Zusätzliche Informationen und Hilfestellungen zum Vertragsmanagement innerhalb der Informationstechnologie runden, ebenso wie die Bereiche Pandemie und Datenschutz, die Aktualisierung ab.

Für die zahlreichen Anregungen und Wünsche der Leserschaft möchte ich mich herzlich Bedanken. Ein ganz besonderer Dank gilt meinem Vater, der sich für dieses doch nun etwas umfangreicheres Werk die Zeit des fachlichen Lektorats genommen hat, als auch meiner Lebensgefährtin Huong Tran, die sich der Gestaltung des Buchumschlages passioniert angenommen hat.

Ich hoffe Ihnen mit diesem Buch einen umfassenden Einblick zu ermöglichen und begrüße Anregungen und konstruktive Kritik sehr. Sie können mir diese gerne mit dem Betreff Buchkritik GRC an [email protected] via E-Mail zukommen lassen.

Abschließend wünsche ich Ihnen viel Freude bei dieser Lektüre.

Fabian Sachs, LL.M., D.D.F. (Grenoble)

Bad Salzig, München November 2020

Inhaltsverzeichnis

Abkürzungsverzeichnis

A. Entwicklung von IT- Bedrohungen

I. Industrie 4.0

II. Folgen der Vernetzung

B. GRC- Management- Governance, Risk and Compliance: IT-Sicherheit als Bestandteil eines integrierten Compliance-Managements

I. GRC- Management: Governance, Risk and Compliance

1. Governance

1.1 Gesetzliche Anforderungen

a) Sarbanes-Oxley Act (SOX)

b) EuroSOX

c) Datenschutzrechtliche Grundlagen

aa) Verwendung von Cookies

bb) Rechtliche Stellung der Datenschutzgrundverordnung (DSGVO)

cc) Notwendigkeit eines Datenschutzbeauftragten

dd) Verarbeitung von personenbezogenen Daten innerhalb der EU

ee) Verarbeitung von personenbezogenen Daten außerhalb der EU/EWR

ff) Verarbeitung von EU/EWR- personenbezogenen Daten in den USA

gg) Bereitstellung von Webseiten

hh) Kundenstammdaten und die Verwendung bei Webseiten

ii) Nutzungsdaten bei Webseiten

jj) Aufklärung neben der Datenschutzerklärung

kk) Informations- und Aufklärungspflichten an Mitarbeiter

ll) Datensicherheit nach DSGVO

mm) One Stop Shop (OSS) nach DSGVO

nn) Beschäftigtendatenschutz

oo) Auskunftsersuchen an Betriebsräte

d) Folgen bei Nichtbeachtung des Datenschutzes

e) Meldeanforderungen nach DSGVO

f) Datenschutzfolgeabschätzung nach DSGVO

g) Benachrichtigung betroffener Personen nach DSGVO

h) Durchführung von Penetrationstests nach DSGVO

i) Privacy by Design nach DSGVO

j) Privacy by Default nach DSGVO

k) Datenlöschung nach DSGVO

l) Übermittlung zwischen Konzernunternehmen

m) Datennutzung für die Compliancetätigkeiten

aa) Beteiligung des Betriebsrates

bb) Kommunikation gegenüber Mitarbeitern

cc) Nutzung von personenbezogenen Daten bei internen Ermittlungen

n) Planung in datenschutzrechtlicher Hinsicht

aa) Analyse bereits bestehender Strukturen

bb) Gap-Analyse

cc) Verarbeitungsverzeichnis

dd) Zweckänderung und -festlegung

ee) Löschkonzepte

ff) Recht auf Vergessenwerden

gg) Recht auf Datenübertragbarkeit

hh) Recht auf Verarbeitungseinschränkung

ii) Recht auf Auskunft

jj) Recht auf Berichtigung

kk) Widerspruchsrecht

ll) Gemeinsam für die Verarbeitung Verantwortliche

mm) Auftragsverarbeitung innerhalb der EU und EWR

aaa) Weitere Auftragsverarbeiter

bbb) Pflichten des Auftragsverarbeiter

ccc) Verhaltensregeln

nn) Auftragsverarbeitung außerhalb der EU und EWR (Drittland)

oo) Datenschutzfolgeabschätzung

pp) Umgang mit Datenpannen

qq) Datenschutz und Pandemien

o) Anforderungen nach Basel II, III

p) Gesetzliche Behandlung der Korruption in Deutschland

aa) Gesetz über Ordnungswidrigkeiten

bb) Strafgesetz

cc) Einkommenssteuergesetz

q) Gesetzliche Behandlung der Korruption in den USA

r) Gesetzliche Behandlung der Korruption im Vereinigten Königreich

s) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

t) Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts (UMAG)

u) Aktiengesetz (AktG)

v) Lizenzmanagement

w) Lizenzen und Urheberrecht

1.2 Regelungen im nichtgesetzlichen Bereich

a) IDW-Standards

b) Deutscher Corporate Governance Kodex (DCGK)

c) OECD Principles of Corporate Governance

d) Framework in der IT- Governance (ISACA, ITGI)

e) ISO/IEC 2700x

aa) Management in der Informationssicherheit gem. ISO/IEC 27001 (ISMS)

bb) Code of Practice gem. ISO/IEC 27002

cc) Risikomanagement in der Informationssicherheit gem. ISO/IEC 27005

dd) Datenschutz gem. ISO/IEC 27018

f) IT- Grundschutzkatalog des BSI

g) CobiT Framework im IT-Bereich der strategischunternehmerischen Managementebene

h) COSO

i) Val IT

j) IT-Grundsätze (Policies) und deren praxisgerechte Implementierung

2. Risk

2.1 Akteure

2.2 Risiken in der Informationstechnologie

2.3 Risikobestimmung

a) Potenzielle Risiken und Risikoarten

b) Datendiebstahl

aa) Datendiebstahl von Microsoft Windows-Systemen

bb) Datendiebstahl von Linux-Systemen

cc) Hacking

dd) Malware

ee) Botnetze

ff) Denail of Service (DoS)

gg) Phising

hh) Social Media

ii) Keylogger

jj) Risiko USB-Schnittstelle

kk) Risiko WLAN

ll) Risiko bei SCADA- Systemen

c) Eintrittswahrscheinlichkeit und deren Konsequenzen

d) Probleme bei subjektiver Einschätzung der Risiken und deren Bewertung

2.4 Grundlagenmethoden des Risikomanagements

a) Berechnungsverfahrungen zur Analyse und Darstellung der Risiken

aa) Risiko- und Risikobewertungsmatrix

bb) Risikoportfolio und die Kriterien zur Einstufung des möglichen Schadens

cc) Risikokatalog

b) Bestimmungen zur Ausführung von Informationen

2.5 Methoden im Bereich des IT-Risikomanagements

a) Analyse von Schwachstellen

b) Ergreifung von Maßnahmen

aa) Maßnahmen zum Schutz personenbezogener Daten

bb) Schutz der Beschäftigtendaten

bb) Patchmanagement und Virenschutz

cc) Netzwerkmonitoring

dd) EDV-Sicherungen

ee) E-Mail und Internetnutzung

ff) Technische Vorgaben zum Lizenzmanagement

gg) Überprüfung der umgesetzten Maßnahmen

hh) Methodendidaktik CRAMM

ii) Fehlermöglichkeits- und Einflussanalyse

2.6 Risiko Korruption

2.7 Moralische Risiken

3. Compliance

3.1 Sicherheitskonzepte bei unternehmerischer Infrastruktur

3.2 Notfallplan

a) Business Continuity Management (BCM)

b) Umsetzung des BCM

3.3 Präventive Schadensminimierung durch Vertragsmanagement

II. Praktische Anwendung des GRC

1. Unternehmensbezogener Lösungsansatz am Praxisbeispiel SAP

2. Outsourcing

2.1 Cloud Computing

2.2 Sicherheitsrisiken bei Cloud Computing

3. Nutzung von PIA für die Datenschutzfolgeabschätzung

C. Schlusswort

Anlage 1: Mögliche „Tools“ zur Schadensauslösung

Anlage 2: Risikomanagement in der Informationssicherheit gem. ISO/IEC 27005

Anlage 3: CobiT-Prozess

Anlage 4: COSO Internal Control-Integrated Framework

Anlage 5: Schadeneinstufungskriterium

Anlage 6: Schadenszenarieneinstufung

Anlage 7: ISO-Begriffe zu ISO/IEC Guide 73: 2009: Riskmanagement-Principles and guidelines

Anlage 8: Beispiele einer Risikomatrix

Anlage 9: Musterformular zur Einschätzung von IT-Bedrohungen

Anlage 10: CRAMM-RISK-Matrix

Anlage 11: CRAMM-Asset-Modul

Anlage 12: IT-Notfallplanung bei Bedrohung- und Ereignis

Anlage 13: IT-Outsourcing und Complianceanforderungen

Anlage 14: Compliancenachweise

Anlage 15: Schwachstellenanalyse bei Cloud Computing

Anlage 16: Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern (Standarddatenschutzklausel 2010/87/EU)

Anlage 17: Alternativen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Set II Standarddatenschutzklausel 2004/915/ EC)

Anlage 18: Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standarddatenschutzklausel 2001/497/EG)

Quellenverzeichnis

Literaturverzeichnis

Aufsätze

Urteile

Internetverzeichnis

Zum Autor

Abkürzungsverzeichnis

A.a.O.

am angegebenen Ort

Abb.

Abbildung

Abs.

Absatz

AES

Advanced Encryption Standard

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

AG

Aktiengesellschaft

AG*

Amtsgericht

AGG

Allgemeines Gleichbehandlungsgesetz

AktG

Aktiengesetz

Anm.

Anmerkung

AO

Abgabenordnung

APT

Advanced Persistent Threat

ArbGG

Arbeitsgerichtsgesetz

Az.

Aktenzeichen

BAG

Bundesarbeitsgericht

BayLDA

Bayerischen Landesamtes für Datenschutzaufsicht

BCM

Business Continuity Management

BCR

Binding Corporate Rules

Bd.

Band

BetrVG

Betriebsverfassungsgesetz

BeckOK

Beck’scher Online-Kommentar

BGB

Bürgerliches Gesetzbuch

BGH

Bundesgerichtshof

BSA

Business Software Alliance

BSI

Bundesamt für Sicherheit in der Informationstechnik

bzgl.

bezüglich

bzw.

beziehungsweise

BDSG

Bundesdatenschutzgesetz

BIA

Business Impact Analyse

BITKOM

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.

BIOS

Basic Input Output System

BZRG

Bundeszentralregistergesetz

ca.

circa

CD

Compact Disc

CDs

Compact Discs

CEO

Chief Executive Officer

CIIP

Critical Information Infrastructure Protection

CIP

Critical Infrastructure Protection

CMOS- SRAM

Complementary Metal Oxide Semiconductor-Static Random- Access Memory

CNLI

Commission nationale de l'informatique et des libertés

CobiT

Control Objectives for Information and related Technology

COSO

Committee of Sponsoring Organizations of the Treadway Commission

CR

COMPUTER UND RECHT

CRAMM

Centre for Information Systems Risk Analysis and Management Method

CIA

Central Intelligence Agency

CRO

Chief Risk Officer

DAkkS

Deutsche Akkreditierungsstelle

DB

Der Betrieb

DCGK

Deutsche Corporate Governance Kodex

DIN

Deutsches Institut für Normung

DSG

Datenschutzgesetz

DSS

Data Security Standard

DoS

Denial of Service

DIN

Deutsches Institut für Normung

DSFA

Datenschutzfolgeabschätzung

DSK

Datenschutzkonferenz

DuD

Datenschutz und Datensicherheit

DVBl

Deutsches Verwaltungsblatt

DVDs

Digital Versatile Discs

EDSA

Europäische Datenschutzausschuss

EDV

Elektronische Datenverarbeitung

EG

Europäische Gemeinschaft

EN

Europäische Norm

ENISA

European Network and Information Security Agency

E.O.

Executive Order

ERP

Enterprise resource planning

EStG

Einkommensteuergesetz

et al.

et alii

etc.

et cetera

EU

Europäische Union

e.V.

eingetragener Verein

evtl.

eventuell

EWR

Europäischer Wirtschaftsraum

FAQ

Frequently Asked Questions

FBI

Federal Bureau of Investigation

FCPA

Foreign Corrupt Practices Act

FISA

Foreign Intelligence Surveillance Act

FMEA

Fehlermöglichkeits- und Einflussanalyse

ff.

fortfolgende

GDPdU

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

GDPR

General Data Protection Regulation

GDV

Deutschen Versicherungswirtschaft e.V.

gem

gemäß

GenG

Genossenschaftsgesetz

GeschGehG

Gesetz zum Schutz von Geschäftsgeheimnissen

GG

Grundgesetz

GewO

Gewerbeordnung

GRCh

Charta der Grundrechte der Europäischen Union

GoBS

Grundsätzen ordnungsgemäßer Datenverarbeitungsgestützter Buchführungssysteme

GmbH

Gesellschaft mit beschränkter Haftung

GmbH & Co. KG

Gesellschaft mit beschränkter Haftung & Compagnie Kommanditgesellschaft

GRC

Government, Risk and Compliance

GRU

Glawnoje Raswedywatelnoje Uprawlenije

GRUR

Gewerblicher Rechtsschutz und Urheberrecht

GG

Grundgesetz

GRUB

Grand Unified Bootloader

HIPAA

Health Insurance Portability and Accountability Act

HMD

Handbuch der maschinellen Datenverarbeitung

HPM

High Power Microwave

Hrsg.

Herausgeber

IDS

Intrusion Detection System

ICS-CERT

Industrial Control Systems Cyber Emergency Response Team

IEC

International Electrotechnical Commission

i.d.R.

in der Regel

IDW

Institut der Wirtschaftsprüfer

IKS

internes Kontrollsystem

IPMA

International Project Management Association

ISACA

Information Systems Audit and Control Association

ISMS

Informationssicherheitsmanagementsystem

ITGI

IT- Governance Institute

ITIL

IT Infrastructure Library

IPSec

Internet Protocol Security

ISO

International Organization for Standardization

ISPRAT

Interdisziplinäre Studien zu Politik, Recht, Administration und Technologie e.V.

i.V.m.

in Verbindung mit

inkl.

inklusive

insb.

Insbesondere

ISMS

Information Security Management System

IT

Informationstechnologie

KG

Kommanditgesellschaft

KGaA

Kommanditgesellschaft auf Aktien

KMU

kleine und mittlere Unternehmen

KonTraG

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

KPMG

Klynfeld, Peat, Marwick und Goerdeler

LAG

Landesarbeitsgericht

LfDI BW

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Linux

Linus torvalds unix

MBR

Master Boot Record

mbH

mit beschränkter Haftung

MIR

Medien Internet und Recht

MMR

Multimedia und Recht

m.w.N.

mit weiteren Nennungen

NATO

North Atlantic Treaty Organization

NDR

Norddeutscher Rundfunk

NIFIS

Nationale Initiative für Informations- und Internet-Sicherheit e.V.

NJW

Neue Juristische Wochenschrift

NSA

National Security Agency

NZA

Neue Zeitschrift für Arbeitsrecht

NZA-RR

Neue Zeitschrift für Arbeitsrecht-Rechtsprechungs-Report Arbeitsrecht

OECD

Organisation for Economic Co-operation and Development

OHG

offene Handelsgesellschaft

OLG

Oberlandesgericht

OSS

One Stop Shop

OWiG

Gesetz über Ordnungswidrigkeiten

PaaS

Platform as a Service

PC

Personal Computer

PCCIP

President´s Commission on Critical Infrastructure Protection

PCI

Payment Card Industry

PDCA

Plan-Do-Check-Act

PHP

Personal Home Page Tools

PINs

Personal Identification Numbers

PMBOK

Project Management Body of Knowledge

POST

Power On Self Test

PPD

Presidential Policy Directive

PPTP

Point-to-Point Tunneling Protocol

PIA

Privacy Impact assessment

pwc

PricewaterhouseCoopers (pwc)

Q&R

Questions & Answers

RAID

Redundant Array of Independant

Rn.

Randnummer

SaaS

Software as a Service

SARS-CoV-2

severe acute respiratory syndrome coronavirus 2

SCADA

Supervisory Control and Data Acquisition

SDM

Standard-Datenschutzmodell

SEC

Securities and Exchange Commission

SLA

Service Level Agreement

SMS

Short Message Service

SOX

Sarbanes-Oxley Act

sog.

sogenannten

SSL

Secure Sockets Layer

StGB

Strafgesetzbuch

SZ

Süddeutsche Zeitung

TAN

Transaktionsnummer

TKG

Telekommunikationsgesetzes

TKModG

Telekommunikationsmodernisierungsgesetz

TMG

Telemediengesetz

TNS Emid

Taylor Nelson Sofres Erforschung der öffentlichen Meinung, Marktforschung, Nachrichten, Informationen und Dienstleistungen

TTDSG

Telekommunikations-Telemedien-Datenschutz-Gesetz

UrhG

Urheberrechtsgesetz

UMAG

Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts

URL

Uniform Resource Locator

USA

United States of America

U.S.C.

United States Code

USB

Universal Serial Bus

UStG

Umsatzsteuer

Vgl.

Vergleiche

VDG

Vertrauensdienstegesetz

VDI

Verein Deutscher Ingenieure

VoIP

Voice over IP

VPN

Virtual Private Network

VwVfG

Verwaltungsverfahrensgesetz

WDR

Westdeutscher Rundfunk Köln

WHO

World Health Organization

Wi-Fi

Wireless Fidelity

WLAN

Wireless Local Area Network

WPA

Wi-Fi Protected Access

WPA2

Wi-Fi Protected Access 2

z.B.

zum Beispiel

A. Entwicklung von IT- Bedrohungen

Die immer stärker ausgeprägte Implementierung der Informationstechnik (IT) in kleinen, mittelständischen Unternehmen und Konzernen und die seit Jahren wachsende Anzahl potenzieller Bedrohungen im Bereich der Wirtschaftskriminalität sowie der zum Teil äußerst fahrlässige Umgang innerhalb der Datenverarbeitung und -speicherung steigern den Bedarf an möglichen Lösungsansätzen im Bereich des GRC- Managements, vor allem in Hinblick auf die IT-Sicherheit als Bestandteil eines integrierten Compliance-Managements. Nach einer Studie der Wirtschaftsprüfungsgesellschaft KPMG befürchten weit über drei Viertel (87 Prozent) der Unternehmen potenzielle Opfer von Datenmissbrauch oder Datendiebstahl zu werden. Tatsächlich wurde bereits jedes dritte Unternehmen in den Jahren 2012 und 2013 Opfer von Wirtschaftskriminalität. Obwohl von einer potenziell steigenden Gefahr in diesem Bereich ausgegangen werden kann und bereits 55 Prozent der Täter wirtschaftskrimineller Handlungen innerhalb des Unternehmens anzutreffen sind sowie 45 Prozent der deliktischen Handlungen von Personen aus dem unternehmensexternen Umfeld erfolgen,1 stufen 70 Prozent der befragten Unternehmen in Deutschland das eigene Risiko in Hinblick auf Handlungen im Bereich der Wirtschaftskriminalität als gering ein.2 Deutsche Unternehmen verkennen die steigende Anzahl potenziell organisierter Cyberkriminalität und Wirtschaftsspionage, als auch die Risiken der eigenen Mitarbeiter. Dies kann für die Unternehmen massive rechtliche und finanzielle Folgen haben. Der Schaden durch Wirtschaftsspionage wird nach dem Verein Deutscher Ingenieure (VDI) in Deutschland jährlich auf 100 Milliarden Euro geschätzt.3 Unternehmen, insbesondere kleine, mittelständische Unternehmen (KMU), rücken vermehrt in den Fokus von Cyberkriminellen. Dabei sind diese häufig Opfer von Erpressung, Wirtschaftsspionage und Abgreifen von Know- How durch Konkurrenzunternehmen.4 Es existieren in der Informationstechnologie unterschiedliche Risikoakteure bzw. Angreifertypologien (versierte und weniger versierte Hacker, politische Gruppierungen oder Innentäter,5 als auch Nachrichtendienste). Seit den Jahren 2013 und 2014 ist das technische Verständnis und Wissen über nachrichtendienstliche Aktivitäten gewachsen.6

In den folgenden Seiten wird ein Einblick in das Thema „GRC-Management- Governance, Risk and Compliance: IT-Sicherheit als Bestandteil eines integrierten Compliance-Managements” gegeben und Lösungsansätze aufgezeigt.

I. Industrie 4.0

Die Industrie 4.0 wurde aufgrund einer Hightech-Strategie der Bundesregierung und des gleichnamigen Projektes ins Leben gerufen. Unter diesen Begriff fällt die Vernetzung der Produktion mit modernster Kommunikations- und Informationstechnik.7

Industrie 4.0 bezieht sich auf die vorherigen drei industriellen Revolutionen (Dampfmaschine (1.0), Fließband (1.0), Elektronik und IT (3.0) Die Produktion mittels Industrie 4.0 bedeutet die Nutzung intelligenter Fabriken- smart factories durch digital vernetzte, intelligente Systeme, um eine effiziente und flexible Produktion zu ermöglichen. Es soll die individuelle Produktion ebenso ermöglichen, wie auch die damit verbunden Produkte maßgeschneidert an den Kunden zu bringen.8

Hierbei müssen Normen Standards für einzelne Industriesektoren entwickelt, der Datenschutz und die IT-Sicherheit ebenso beachtet werden, als auch die Veränderungen in der Arbeitsorganisation.9

II. Folgen der Vernetzung

Im Mai 2015 erfolgte ein Hackerangriff auf den Bundestag.10 Hierbei wurden 50 Gigabyte Daten11 durch den Angriff entwendet. Zu diesem Zeitpunkt war noch nicht abschließend geklärt, welche Informationen abgeflossen sind.12 Anfang Juli 2015 erklärte ein Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), dass auf das folgende Wochenende des 7. Mai 2015 Täter in der Lage gewesen seien, sich frei im Bundestag-Netzwerk bewegen zu können. Es sei den Angreifen, so der Mitarbeiter des BSI möglich gewesen, fünf von sechs der Domainadministratoraccounts der Bundestagsverwaltung zu kompromittieren und nutzen zu können. Beängstigend ist, dass Hinweise von Nutzern bei der IT- Abteilung des Bundestages nicht ernst genommen worden waren und man erst mit der Meldung des Verfassungsschutzes am 12. Mai 2015 den Ernst der Lage erkannte. Noch dazu wurde das Bundesamt für Verfassungsschutz (BfV) über ein britisches Unternehmen darüber informiert, dass ein Kunde des Unternehmens die übertragenen Daten des Bundestages auf dessen Server hatte und sich darüber „wunderte“. In der Sommerpause des Bundestages 2015 erfolgte eine viertägige Netzabschaltung, die darin gipfelte, dass nur mit Hilfe des BSI, des BfV und durch externe Unternehmen der Angriff nun abgewehrt werden konnte.13 Die Linkspartei weigerte sich aufgrund der Überwachung der Partei durch das BfV bei deren Mitwirkung.14 Laut dem Abschlussberichts des BSI vom 03. November 2015 wurde die methodische Einordnung des Cyber-Angriffs festgestellt. Es handelte sich hierbei um ein klassisches Advanced Persistent Threat (APT)- Muster,15 welches durch gängige Methoden und für die Öffentlichkeit verfügbare Programme durchgeführt worden ist. Die Analyse ergab, dass die Angreifer drei Wochen Zeit hatten, um die Daten entsprechend abgreifen zu können. Ende Mai 2015 sei, so laut BSI, das IT- System vom Bundestag wieder vollständig abgesichert. Anfang 2016 teilte das BfV mit, dass davon auszugehen sei, dass es sich bei dem Hackerangriff auf den Bundestag um einen geheimdienstlich gesteuerten Angriff gehalten haben könnte. Die Bundesanwaltschaft nahm daraufhin Mitte Januar 2016 förmliche Ermittlungen wegen des Verdachts von geheimdienstlicher Agententätigkeit gegen unbekannt auf.16

Anfang Mai 2020 hat die Bundesanwaltschaft laut Informationen des Westdeutschen Rundfunks (WDR), der Süddeutschen Zeitung (SZ) und des Norddeutschen Rundfunks gegen einen möglichen Mitarbeiter des russischen Militärgeheimdienstes Glawnoje Raswedywatelnoje Uprawlenije (GRU) Haftbefehl erlassen. Der Mitarbeiter steht in Verdacht, an dem Hackerangriff auf den Bundestag beteiligt gewesen zu sein.17 Hierbei wurde bei der niederländischen Spionageabwehr im Jahr 2018 durch Abfangen des PKW von vier russischen Diplomaten und dem sichergestellten Material die Beweislage zum Haftbefehl geschaffen.18

Ein weiteres Beispiel ist der am 12. Mai 2017 „WannaCry“ Trojaner,19 der innerhalb von wenigen Stunden mehr als 7.000 Rechner befallen hatte und dazu führte, dass Automobilunternehmen ihre Produktion stoppten und britische Krankenhäuser Operationen verschoben haben. Daneben waren 450 Rechner der Deutschen Bahn, deren Befall sich durch nicht mehr funktionierende Anzeigetafeln und Videoüberwachungssysteme an den Bahnhöfen äußerte, betroffen.20

Die Vernetzung unterschiedlicher Systeme führt zu einer immer weiteren potenziellen Bedrohung von IT- Systemen.

1 Die Prozentzahlen beziehen sich auf Fälle, bei denen der oder die Täter ermittelt werden konnten, vgl. KPMG AG Wirtschaftsprüfungsgesellschaft, Studie Wirtschaftskriminalität in Deutschland 2014, URL 1.

2 Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft, Studie Wirtschaftskriminalität in Deutschland 2014, URL 1.

3 Vgl. Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS), Mangelnde IT-Sicherheit: Unternehmen unterschätzen rechtliche Konsequenzen, URL 2.

4 Vgl. Kraft, Weyert, Network Hacking: Professionelle Angriffs- und Verteidigungstechniken gegen Hacker und Datendiebe, 2014, S. 5.

5 Als Innentäter werden Täter bezeichnet, die über entsprechendes internes Fachwissen verfügen. Innentäter können neben Sabotage auch unternehmensinterne bzw. vertrauliche Informationen abschöpfen, vgl. Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2014, URL 3, S. 25.

6 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2014, URL 3, S. 22.

7 Vgl. Bundesministerium für Bildung und Forschung: Digitale Wirtschaft und Gesellschaft, Industrie 4.0, URL 4.

8 Vgl. Plattform Industrie 4.0- Was ist Industrie 4.0?, URL 5.

9 Vgl. a.a.O.

10 Vgl. Evers, Was tun im Fall der Fälle? Risiko- und Notfallmanagement in der IT für die eigene Behörde in Behörden Spiegel, Ausgabe Juli 2015, S. 36.

11 Diese Datenmenge entspricht mehrere Millionen DIN- A4 Seiten, vgl. Henke, Ist die Attacke ein NATO- Verteidigungsfall? Cyber-Angriff auf den Bundestag in Behörden Spiegel, Ausgabe Juli 2015, S. 25.

12 Vgl. Henke, Ist die Attacke ein NATO- Verteidigungsfall? Cyber-Angriff auf den Bundestag in Behörden Spiegel, Ausgabe Juli 2015, S. 25.

13 Vgl. Anna Biselli: Wir veröffentlichen Dokumente zum Bundestagshack: Wie man die Abgeordneten im Unklaren lies, URL 6.

14 Vgl. Frankfurter Allgemeine Zeitung: Verfassungsschutz klärt Hackerangriff nicht auf, URL 7.

15 Als APT- Muster bezeichnet man gezielte Angriffe zuvor ausgewählte Ziele, die der Spionage dienen, um beispielsweise Forschungs- und Entwicklungsdokumente abzugreifen. Es wird dabei versucht, möglichst verdeckt vorzugehen und in einem langen Zeitraum Daten auszuspähen oder anderweitigen Schaden anrichten zu können, vgl. Eilers, Carsten: Was ist ein Advanced Presistent Threat (APT)?, URL 8.

16 Vgl. URL 6.

17 Vgl. URL 9.

18 Vgl. URL 10.

19 Der Trojaner „WannaCry“ entstand aufgrund einer entdeckten Sicherheitslücke, welche die National Security Agency (NSA) gegenüber Microsoft nicht gemeldet hatte und eigene Tools (Exploit EN-TERNALBLUE und das dazugehörige Toolkit FuzzBunch) entwickelte, um diese Sicherheitslücke auszunutzen. Im Zuge eines Datenlecks der NSA kam die Hackergruppe „Shadow Brokers“ an diese Tools. Die Tools wurden im Anschluss aufgrund mangelnden Interesses im Internet angeboten. Im Anschluss erfolgte die Verbreitung durch unterschiedliche Akteure, vgl. Carsten Eilers; WannaCry- die Ransomware erklärt, URL 11.

20 Vgl. „Ooops“- Internet Der Angriff auf Computer weltweit weckt Ängste vor einem globalen Blackout, in Der Spiegel, Nr. 21/20.05.2017, S. 10 ff.

B. GRC- Management- Governance, Risk and Compliance: IT- Sicherheit als Bestandteil eines integrierten Compliance-Managements

An die Unternehmensleitung werden verschieden Anforderungen in Bezug auf Rechte und Pflichten mit dem Begriff „Corporate Governance“ gestellt.21

Resultierend aus Verstößen gegen weltweite Datenschutzrechte sind besonders Risiken im Bereich des Compliance22 sowie Risiken im Bereich des Nimbus, die den Verlust von Kunden mit sich führt.23 Es werden beispielsweise immer stärker Kreditkartennummern und Kreditkarten an eine Vielzahl von Unternehmen täglich übermittelt.24

Der deutsche Gesetzgeber hatte aufgrund von falschen Risikoannahmen sowie von Missbräuchen u.a. das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) erlassen. Daneben wurden noch eine Reihe weiterer Regulatoren erlassen, wie den Sarbanes-Oxley Act (SOX) in den USA und den EuroSOX in Europa sowie den Basel Capital Accord (Basel II) oder auch den „Swiss Code of best Practices for Corporate Governance“ in der Schweiz.25 Unternehmen, welche nicht nur auf nationalen und internationalen Märkten agieren, sondern auch geschäftlich in Kontakt stehen, müssen sich insbesondere mit den oben aufgeführten Regeln auseinandersetzen.

I. GRC- Management: Governance, Risk and Compliance

Aufgrund der abenteuerlichen Skandale börsennotierter Unternehmen und gehäufter Unternehmensinsolvenzen vor fünfzehn Jahren wurden weltweit Staaten in ihrer Gesetzgebungskompetenz aktiv und schufen weitreichende Pflichten gegenüber den Gesellschaftern. Hierbei ist insbesondere die Absicherung der Verwaltungsorgane durch persönliche Haftungsübernahmen als auch die verbesserten Schadensersatzanspruchsregelungen aufzuführen. Damit die Verwaltungsorgane und Gesellschaften ihren ursprünglichen Aufgaben nachkommen können, wurde die Idee einer Compliance- Organisation vertreten.26

1. Governance

Der Begriff „Corporate Governance“27 definiert die fundamentalen Anforderungen der Anspruchsgruppen an die Kontrolle und Führung eines Unternehmens.28 Corporate Governance ist seit größeren Unternehmenszusammenbrüchen wie z.B. Enron,29 Swissair,30 oder Worldcom31 zu einem wichtigen Begriff in der Unternehmensleitung für Transparenz und Verantwortlichkeit geworden.32

Des Weiteren ist Corporate Governance seit der bereits in 2007 begonnenen und die bis heute andauernden globalen Finanz- und Wirtschaftskrise den Fokus der Öffentlichkeit gerückt. Es geht im Corporate Governance darum, die Interessen der Unternehmensführung für das Unternehmen selbst, als auch die der Anteilseigner sowie des Kapitalmarktes, als auch die der Mitarbeiter und weiteren beteiligten Personen so zu gestalten, das die zuvor genannten Akteure im Sinne des Unternehmens handeln. Es ist hierbei insbesondere die Überwachungsfunktion des Verwaltungsrates sowie deren Leitungsfunktion im Unternehmen zu nennen, als auch die Funktion des Führens der Geschäftsleitung und der Prüfungsfunktionen durch Revisoren.33 Die Organization for Economic Co-operation and Development (OECD) hatte dies in der von ihr im Jahr 2004 veröffentlichen Präambel „Grundsätze der Corporate Governance“ wie folgt definiert:

Um die wirtschaftliche Wirkkraft, als auch das Wachstum und das Anlegervertrauen zu stärken, ist ein Corporate Governance maßgeblich. Corporate Governance beschreibt den Zusammenhang zwischen dem Aufsichtsrat, der Geschäftsleitung und seinen Anteilseignern. Daneben sind die Beziehungen zu den Anspruchsgruppen des Unternehmens ebenfalls heranzuziehen. Die Definierung der Unternehmensziele wird durch den strukturellen Rahmen des Corporate Governance, als auch deren Umsetzung und Überwachung sowie der Mittelidentifizierung ermöglicht. Ein gutes Corporate Governance stellt den Beteiligten (Aufsichtsrat und Vorstand) entsprechende Anreize zur Verfügung, welche die Ziele der Unternehmensinteressen und deren Shareholder, als auch eine wirksame Kontrolle ermöglichen. 34

1.1 Gesetzliche Anforderungen

Durch das Fehlverhalten im Bereich des Risikomanagements sowie durch den in den letzten Jahren massiven Missbrauch von gesetzlichen Verstößen und Richtlinien innerhalb der Unternehmensführung sind die Regierungen, als auch die Regulierungsbehörden dazu übergegangen, die Unternehmensrisiken stärker zu regeln. Resultierend aus oben aufgeführten Punkten wurden diverse Frameworks, Gesetze und Kodizes, wie z.B. den Sarbanes-Oxley Act (SOX), EuroSOX, oder der Deutsche Corporate Governance Kodex (DCGK) auf den Weg gebracht,35 auf die im weiteren Verlauf Bezug genommen wird.

a) Sarbanes-Oxley Act (SOX)

Der Sarbanes-Oxley Act (SOX) gilt seit dem 30.07.2002 in den USA und zielt auf Maßnahmen gegen die drohende Insolvenz von Unternehmen ab, um Bilanzfälschungen vorzubeugen und Gläubiger zu schützen.36 SOX enthält Bestimmungen zur Berichterstattung, der internen Kontrolle,37 als auch des Corporate Governance,38 welche in großen Unternehmen von Relevanz sind. Es ist daher eine Stabsstelle im Unternehmen zu schaffen, welche direkt dem Chief Executive Officer (CEO) unterstellt ist. Diese zu besetzende Stabsposition wird mit einem sog. „Risk Officer“ besetzt, der- wie die interne Revisionsabteilung des Unternehmens,39 in der Lage ist, aufgrund der Aufgabentrennung zur Geschäfts- und Managerebene seine Aufgabenbereiche zu erfüllen. Schwerpunkt dessen ist es, die Kontrolle von Risiken, als auch dem Entgegenwirken der Selbigen. Allerdings ist die Aufgabendurchführung durch operative Fachabteilungen durchzuführen. Innerhalb der „SOX-Stabstelle“ sind der Chief Risk Officer (CRO),40 der „Risk Owner“41 und der „Risk Manager“42 anzutreffen.43

Die Bestimmungen, welche sich aus SOX ergeben, sind von notierten Unternehmen an der amerikanischen Börse,44 sowie Unternehmen des öffentlichen Sektors genau zu befolgen. Sofern Verstöße gegen SOX vorliegen, kann dies zum Börsenkotierungsentzug als auch zu Haftstrafen bis zu zwanzig Jahren für die Executive Manager und den Board Members führen. Die Überprüfung der Einhaltung von SOX obliegt Wirtschaftsprüfern, welche die Überprüfung des Finanzergebnis auf deren Richtigkeit durchführen, aber auch die Systemfehlerfreiheit, als auch die Prozesse, welche unternehmensintern stattfinden, bewerten.45

SOX verlangt von Unternehmen eine entsprechende interne Kontrollstruktur46 zu wählen und durchzuführen. Die interne Kontrollstruktur muss jedes Jahr auf ihre Effektivität hin kontrolliert werden sowie ein Bericht des Managements aufgestellt werden. Die Überwachung der Wirksamkeit übernimmt eine von der SEC befugte SOX-Compliance Person. Diese schreibt vor, für die Ermittlung oben aufgeführter interner Kontrollstruktur ein Framework anzuwenden. Hierbei wird das Framework des „Committee of Sponsoring Organizations of the Treadway Commission” (COSO) für die interne Kontrolle bevorzugt. Die Zahlen aus den jeweiligen „Reports“ werden durch EDV-Unterstützung aus dem Unternehmen als Ganzes herausgefiltert und im jeweiligen Buchhaltungssystem eingegliedert. Dementsprechend entfällt ein nicht unerheblicher Teil auf das Informationsrisiko. Dies stellt eine Anforderung des SOX, der Section 404 dar.47

Das Management eines US-amerikanisch börsennotierten Unternehmens wird gem. der Section 302 des SOX- Act aufgefordert, sowohl im Quartal als auch jährlich, die Informationen über die finanziellen Berichterstattungen als auch die internen Kontrollen zu bestätigen und offen zu legen. Dies wird durch entsprechende Aufsicht und Verantwortung gewährleistet. Das Control Objectives for Information and related Technology (CobiT), welches ein Kontrollrahmenwerk in der Informationstechnologie darstellt, hat entsprechende Prozesse im Bereich der Kontrolle des COSO-Frameworks dargestellt und erfüllt somit die SOX- Vorschriften im EDV-Bereich.48 Derzeit liegt das CobiT- Framework 5 vor, welches auch als Governance of Enterprise IT (GEIT) bezeichnet wird. Näheres zum CobiT-Framework wird in gg) CobiT Framework erörtert.

b) EuroSOX

Das europäische Parlament, als auch der Rat der Europäischen Union haben im Jahr 2006 eine Neufassung der Abschlussprüferrichtlinie beschlossen, die Richtlinie 2006/43/EG vom 17.05.2006. Hierbei sollten die Anforderungen an eine hohe Abschlussprüfung ermöglicht werden, wenngleich keine vollständige Harmonisierung in diesem Bereich angestrebt wird.49 Die Umsetzung dieser Richtlinie, welche auch EuroSOX genannt wird, sollte bis zum 29.06.2008 bei allen Mitgliedstaaten in nationales Recht durchgeführt worden sein. Demnach sollen die Regelungen zu den Qualifikation der Prüfungsgesellschaften, die den Abschlussprüfern, als auch die der Qualitäten der Audits durch einen Prüfungsausschuss- ähnlich dem Audit Committee von SOX und dem internen Kontrollsystem (IKS) dazu führen, Betriebs- und Finanzrisiken, sowie die Verstöße gegen Vorschriften zu begrenzen, als auch eine höhere Rechnungslegungsqualität zu erreichen. Betroffene Unternehmen sind hierbei Unternehmen, welche dem Recht eines Mittgliedstaates unterworfen sind und deren Wertpapiere für den Handel auf einem anderen Mitgliedstaat zugelassen sind. Weiterhin können die Mitgliedstaaten der EU Unternehmen des öffentlichen Interesses bestimmen, sofern dieses Unternehmen aufgrund seiner Tätigkeit, Größe, Art oder Anzahl der Beschäftigten einen außergewöhnlich hohen Anteil öffentlicher Belange zuzusprechen ist und der Mitgliedsstaat bestimmt, dass diese Unternehmen unter die Richtlinie fallen. Es gilt für diese Unternehmen und für Unternehmen, welche automatisch unter EuroSOX fallen, die notwendige IT-Infrastruktur bereitzustellen, als auch die erforderliche Compliance innerhalb des IT-Systems zu etablieren. Seit Juli 2008 muss jede Kapitalgesellschaft in Deutschland zwingend ein Sicherheitskonzept im IT-Bereich nachweisen.50 Diese sind unter anderem, Steuerung und Überwachung der Zutritts- und Zugriffssicherheit, sowohl physisch, als auch logisch,51 die Überwachung und Lenkung in der Sicherheit der Kommunikation, wie z.B. die von Firewalls,52 als auch der Schutz von Datenveränderungen durch Viren53 mit entsprechenden Sicherheitsprogrammen, wie z.B. Virenschutzprogrammen.54 Notfallkonzepte, als auch die Speicherung im Hinblick auf den Zugriff bei Archivierung gehören ebenso zum IT-Sicherheitskonzept. Bei Lücken innerhalb des Sicherheitskonzeptes haftet der Geschäftsführer unmittelbar, unbeschränkt und persönlich. Selbiges gilt für die Geschäftsleitung bzw. den Vorstand. Sofern die Anforderungen an die elektronische Datenverarbeitung (EDV), welche durch den EuroSOX vorgeschrieben werden, nicht erfüllt werden, sind etwaige Haftungsansprüche oder die Testatsverweigerung des Wirtschaftsprüfers möglich.55 Es müssen daher von der IT eines Unternehmens Lösungen bereitgehalten werden, welche die Konformität von EuroSOX bzw. für SOX gewährleisten und mit deren Unterstützung der Nachweis für eine rechtskonforme Compliance erbracht werden kann.56

c) Datenschutzrechtliche Grundlagen

Die derzeitige Entwicklung zeigt einen immer stärkeren Trend durch den Einsatz von sogenannten Service Providern.57 Diese bieten z.B. Dienstleistungen in Form von E-Mail- Diensten, Cloud Computing,58 oder soziale Netzwerke59 an. Weltweit gibt es keine einheitlichen Regelungen bzw. Übereinkommen im Bereich des Datenschutzes.60

Zwar wurde mit der allgemeinen Datenschutzrichtlinie der Europäischen Union (EU) 95/46/EG und der Ergänzung durch die Datenschutzrichtlinie für die elektronische Kommunikation der EU 2002/58/EG sowie der Richtlinie 2009/136/EG, welche den Einsatz von Cookies61 bei Internetbrowsern62 regelt, der Versuch unternommen, eine einheitliche Angleichung innerhalb der EU in Bezug auf den Datenschutz zu ermöglichen, allerdings divergiert bereits der Begriff „Datenschutz“ mit dem deutschen Recht63 oder dem Recht aus Lichtenstein64 erheblich.65

aa) Verwendung von Cookies

Der EuGH spezifizierte die im Erwägungsgrund 32 der Datenschutzgrundverordnung (DSGVO) aufgeführte ausdrückliche Einwilligung durch sein Urteil vom 01.10.2019 zur Verwendung von Cookies in Bezug auf die Einwilligung der Internetnutzer.66 Demnach liegt keine Einwilligung eines Internetnutzers vor, wenn ein vordefinierter Hacken zur Einwilligung mittels Ankreuzkästchen bereits vom Anbieter der Webseite (Diensteanbieter) eingestellt worden ist. Der Diensteanbieter hat dem Nutzer des Weiteren mitzuteilen, ob Dritte Zugriff auf die erhaltenen Informationen durch die Verwendung von Cookies haben und welche Funktionsdauer diese unterworfen sind.67 Auch der Erwägungsgrund 32 Satz 3 der DSGVO führt auf, dass bei einem bereits angekreuzten Kästchen (Opt-Out), dem Stillschweigen oder der Untätigkeit der betroffenen Person keine Einwilligung darstellt.68 Demnach ist die Verwendung von Cookies statthaft, wenn das Setzen der Hacken mittels Opt-In wirksam erfolgt. Dabei ist es nicht von Relevanz, ob es sich bei den Cookies dann um gespeicherte personenbezogene Daten handelt.69

Nach deutschem Recht ist die Grundlage für den Datenschutz das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG.70 Unternehmen müssen hierbei die gesetzlichen Regelungen des Bundesdatenschutzgesetzes (BDSG), als auch die Regeln zum Telekommunikationsgesetzes (TKG)71 und dem Telemediengesetz (TMG)72 beachten. Das TKG und TMG ist speziell bei Sachverhalten betreffend der Telekommunikation und des Internets anzuwenden.73

Für Telekommunikationsnetze und Telemedien hat der deutsche Gesetzgeber mit Gültigkeit zum 21.12.2020 ein neues Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG), als auch das Telekommunikationsmodernisierungsgesetz (TKModG) vorgesehen.74 Das TTDSG soll zu einer höheren Rechtssicherheit bei Diensteanbietern,75 Aufsichtsbehörden und Verbrauchern führen, da die derzeitigen Regelungen von DSGVO, TKG und TMG juristische Probleme in der Praxis aufwerfen. Dabei wird zukünftig die Aufsicht des Telekommunikationsdatenschutzes im Bereich der personenbezogenen Daten auf die Zuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übertragen.76

Der Referentenentwurf des TTDSG hat das EuGH Urteil vom 01.10.201977 in § 9 Abs. 3 Nr. 1 und 2 TTDSG-Referentenentwurf entsprechend berücksichtigt. Allerdings sieht dass TTDSG-Referentenentwurf Ausnahmen zur Einwilligung bei Endeinrichtungen78 vor, die sich auf vier Sachverhalte auswirken. Erstens auf die Speicherung von Informationen oder deren Zugriff auf Endeinrichtungen, die technisch erforderlich sind, um die Kommunikation mittels elektronischem Kommunikationsnetz zu übermitteln oder entsprechende Telemedien bereitzustellen, die auch vom Endnutzer79 genutzt werden möchten.80 Zweitens auf die notwendige Erfüllung gesetzlicher Verpflichtungen,81 drittens auf die Nutzung, die mit dem Endnutzer vertraglich ausdrücklich vereinbart worden ist (z.B. mittels registrierten Nutzerbereich), um entsprechende Dienste dem Endnutzer gegenüber zu erbringen82 und viertens durch die Einwilligung des Nutzers mittels Browsereinstellungen oder anderweitigen Einstellung einer Anwendung.83

Inwiefern der Referentenentwurf des TTDSG zur Einwilligung bei Endeinrichtungen bestehen bleibt und ob das TTDSG in seiner jetzigen Entwurfsfassung zum 21.12.2020 so verabschiedet wird, bleibt abzuwarten.

Die Verwendung von Cookies sollte sich daher an der spezifizierten Regelung des Urteils vom EuGH84 und dem Erwägungsgrund 32 der DSGVO und letztlich an der Einwilligung der betroffenen Person85 orientieren.

bb) Rechtliche Stellung der Datenschutzgrundverordnung (DSGVO)

Auf europäischer Ebene wurde die Datenschutzgrundverordnung (DSGVO) eingeführt, die aufgrund seiner rechtlichen Stellung als Verordnung unmittelbar und wirksam für alle Mitgliedstaaten der Europäischen Union ist. Im Zweifel gilt bei einer möglichen Kollision des nationalen Rechts mit dem europäischen Recht primär das Recht der Europäischen Union (DSGVO).

Die DSGVO hat darüber hinaus diverse Öffnungsklauseln, die dem jeweiligen nationalen Gesetzgeber eigene Ermessensspielräume ermöglichen.86 Diese sind beispielsweise die Überwachung öffentlich zugänglicher Räume,87 Löschpflicht88 oder der Regelung zur Notwendigkeit eines Datenschutzbeauftragten.89

Gem. Art. 4 Nr. 1 erster Halbsatz DSGVO sind als Schutzobjekt personenbezogene Daten, welche alle Informationen, die sich auf eine identifizierbare oder identifizierte natürliche Person klassifiziert.90 Die hinreichende Bestimmbarkeit der personenbezogenen Daten wird in Art. 4 Nr. 1 DSGVO aufgeführt. Demnach ist eine natürliche Person als identifizierbar anzusehen, wenn man diese direkt oder indirekt z.B. durch einer Zuordnung mittels Standortdaten, Namen, Online-Kennung oder zu besonderen Merkmalen identifizieren kann und deren Eigenschaft physiologischer, psychischer, kultureller, wirtschaftlicher oder einer sozialen Identität darstellt.91 Es reicht darüber hinaus aus, wenn eine Bestimmbarkeit durch z.B. mehrere Zwischenschritte bewirkt werden kann.92 Auch eine IP- Adresse oder eine dynamische IP- Adresse stellt eine Form von personenbezogenen Daten dar. Diese ist als personenbezogenes Datum zu klassifizieren.93 Nach einem Urteil des Amtsgerichts (AG*) Berlin Mitte genügt es, wenn der oder die betroffene Person durch die Verarbeitung von personenbezogenen Daten, welche durch einen Dritten oder der jeweilig verantwortlichen Person erfolgt und dabei alle Mittel, die normalerweise von dieser ausgeschöpft werden könnten, eine Identifizierung ermöglichen.94

cc) Notwendigkeit eines Datenschutzbeauftragten

Gem. § 38 Abs. 1 BDSG müssen bei nichtöffentlichen Stellen mit mindestens 20 Personen, welche regelmäßig mit der automatisierten Datenverarbeitung von personenbezogenen Daten vertraut sind, einen betrieblicher Datenschutzbeauftragter bestellen.95 Ob ein betrieblicher Datenschutzbeauftragter bestellt werden muss, ist abhängig, wie der Zusammenhang zwischen der personenbezogenen Datenverarbeitung und der Aufgabenerfüllung durch die jeweilig verantwortliche Person zusammenhängen.96

Die Benennung des Datenschutzbeauftragten ist für Unternehmen,97 welche in der Privatwirtschaft tätig sind und die Kerntätigkeit des Auftragsverarbeiters98 oder des Verantwortlichen99 darin besteht, Datenverarbeitungsvorgänge durchzuführen, welche aufgrund ihres Umfangs und ihrer Art sowie- fakultativ ihrem Zwecke nach- eine regelmäßige, umfangreiche und systematische Überwachung von betroffenen Personen notwendig machen, essentiell. Demnach ist auf -je nach Risiko- bestehende Datenverarbeitung, die dem Leitgedanken der Kritikalität der Datenverarbeitung der Datenschutzgrundverordnung verfolgt, abzustellen. Eine Datenverarbeitung, welche für den Betroffenen eine kritische Auswirkung haben könnte ist daher risikobehafteter, als eine Datenverarbeitung, deren Datenverarbeitung ein geringeres Risiko für den Betroffenen darstellt. Sollte aufgrund einer internen Zusammenstellung der obigen Kriterien es offensichtlich sein, ist ein Datenschutzbeauftragter zu bestellen.100 Sofern von der Benennung des Datenschutzbeauftragten hinsichtlich nicht offensichtlicher Pflicht vom Auftragsverarbeiter oder vom Verantwortlichen aufgrund interner Analyse Abstand genommen wird, ist dies- mit entsprechender Begründung- intern zu dokumentieren.101 Der Nachweis hat sich an die Verantwortung des für die Verarbeitung Verantwortlichen gem. Art. 24 DSGVO zu messen.102

Sofern die Unterstützung durch den Datenschutzbeauftragten für den Verantwortlichen oder dem Auftragsverbeiter für die Umsetzung und der Einhaltung der DSGVO geboten erscheint, besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten. Regelmäßig ist dies dann der Fall, wenn die Kerntätigkeit der Datenverarbeitung beim Verantwortlichen oder dem Auftragsverarbeiter vorliegt und eine Kritikalität vorliegt.103 Dabei müssen zwei Punkte erfüllt sein: Zum Einen bezieht sich die Datenverarbeitung auf eine Haupt- bzw. Kerntätigkeit des Unternehmens und zum Anderen muss die Kritikalität vorliegen.104

Die Haupt- bzw. Kerntätigkeit liegt vor, sofern diese die Haupttätigkeiten des Unternehmens und nicht die Verarbeitung von personenbezogenen Daten als Nebentätigkeit bezieht.105 Folglich ist bei Datenverarbeitungen, die das Unternehmen als Nebentätigkeiten erbringt nicht zwingend ein Datenschutzbeauftragter zu bestellen, da klassisch dies nicht der Erreichung des eigentlichen Unternehmensziels dient, wie z.B. die Buchhaltung.106 Sofern der originäre Unternehmenszweck nicht durch die Verarbeitung von personenbezogenen Daten erreicht werden kann (untrennbar verbunden) und die Datenverarbeitung eine wesentliche Aufgabe zur Erreichung desselbigen darstellt, ist von einer Kerntätigkeit auszugehen und ein Datenschutzbeauftragter zu bestellen. Die Kerntätigkeit kann auch in einzelnen Bereichen des Unternehmens gesehen werden, deren eine wesentliche Aufgabe die Erreichung der Unternehmensziele inne haben. 107

Die Kritikalität hat sich an der Art108 und des Umfangs109 und/oder dem Datenverwendungszweck110 zu messen. Die Gesamtschau des Verwendungszweckes, der Art und der Umfang sind mittels einer risikoorientierten Bewertung zu sehen und festzustellen, ob die Unterstützung durch einen Datenschutzbeauftragten für den Verantwortlichen sich als notwendig ergibt.111

Sofern der Verantwortliche oder der Auftragsverarbeiter Tätigkeiten der Verarbeitung vornimmt, welche einer Datenschutzfolgeabschätzung112 bedarf oder aber auch personenbezogene Daten geschäftsmäßig für die Übermittlung (auch anonymisiert) oder zur Markt- oder Meinungsforschung nutzen, ist unabhängig von der Anzahl der Beschäftigten, welche für die Verarbeitung betraut sind, ein Datenschutzbeauftragter zu benennen.113 Der Datenschutzbeauftragte muss für die Erfüllung seiner Aufgaben die erforderliche Sachkunde114 und Zuverlässigkeit115 nachweisen116 und daneben über die erforderliche Qualifikation- je nach durchführende Datenverarbeitung- und Schutzbedarf der verarbeiteten Daten des Auftragsverarbeiters oder Verantwortlichen.117 Der Datenschutzbeauftragte kann im Zuge seiner beratenden Tätigkeit im Unternehmen eigens entwickelte Lösungsvorschläge zur Datenschutzkonformität entwickeln und anbieten. Letztendlich ist es die Entscheidung des Unternehmens bzw. deren Organe.118

Der Datenschutzbeauftragte ist in die betriebliche Struktur des Unternehmens einzubinden und ist vom Unternehmen umfassend zu unterstützen.119 Auch bei der Beauftragung einer Stabsstelle Compliance, die sich unternehmensintern mit der Datenverarbeitung und der daraus resultierenden Thematiken ergeben, entbindet dies nicht von der Einbeziehung des Datenschutzbeauftragten120 sondern die Compliance unterstützt den Datenschutzbeauftragten bei seiner Aufgabenerfüllung. Folglich bleibt dem Datenschutzbeauftragten auch nicht die Berichtspflicht gegenüber der höchsten Managementebene verwehrt.121 Darüber hinaus sollte der Datenschutzbeauftragte in der Organisation als Stabsstelle vorbehaltlich der Geschäftsführung unterstellt sein,122 um die Weisungsfreiheit gegenüber anderen Bereichen oder Abteilungen123 zu gewährleisten und seiner Überwachungsfunktion gerecht zu werden.124 Desweiteren hat er gegenüber dem Auftragsverarbeiter oder Verantwortlichen keinerlei Anordnungsbefugnisse oder Rechte in seiner Entscheidung, in denen er als Datenschutzbeauftragter der obigen fungiert.125 Es ist bei der Zuverlässigkeitsprüfung eine etwaige Interessenskollision zu beachten, d. h. der Datenschutzbeauftragte kann weder als Teil der Compliance-Abteilung gesehen werden,126 analog auch nicht Leiter der IT-Abteilung des Unternehmens, Geschäftsführer oder Leiter der Rechts- oder der Personalabteilung.127

Die Aufgaben des Datenschutzbeauftragten sind insbesondere die in Art. 39 DSGVO aufgeführten Obliegenheiten.128 Dies betrifft den Datenschutzbeauftragten als unparteiisches Kontrollorgan,129 der Beratung130 und Unterrichtung von Mitarbeiterinnen und Mitarbeitern131 des Verantwortlichen oder Auftragsverarbeiters, als auch der selbigen132 sowie Schulungen und Sensibilisierungsmaßnahmen.133

Das Verarbeitungsverzeichnis ist vom Verantwortlichen gem. Art. 30 DSGVO zu führen.134

dd) Verarbeitung von personenbezogenen Daten innerhalb der EU

Personenbezogene Daten sind im Art. 4 Abs. 1 Nr. 1 DSGVO legal definiert. Demnach gehören zu personenbezogenen Daten alle Informationen, welche sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Identifizierbar ist demnach, wer direkt oder indirekt z.B. mittels einer Zuordnungskennung (Name zu Standortdaten oder einer Kennnummer oder einer Online-Kennung oder weitere spezifische Merkmal, welche den Ausdruck der wirtschaftlichen, psychischen, physiologischen, geneitischen, sozialen oder kulturellen Identität identifiziert werden kann.135

Es handelt sich demnach insbesondere um Vorname, Name, Geburtsdatum, Telefonnummer, Adresse, E-Mail, KFZ-Nummer, Personalnummer.136

Personenbezogene Daten enthalten auch besondere Kategorien von Daten, die besonders schützenswert sind.137