computerwoche.de

IT-Services

Rechtsfalle IT-Outsourcing

Die zehn größten rechtlichen Risiken

17.08.2011
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alle Posts des Autors Email:

IT-Sicherheitsanalyse, Datenschutz & Steuerrecht

Risiko 6: Mangelnde IT-Sicherheitsanalyse der Datenverarbeitung im Ausland

Zudem gibt es in vielen Ländern instabile Verhältnisse im Bereich der inneren Sicherheit. Es kann daher nicht ausgeschlossen werden, dass deutsche Unternehmensdaten das Interesse der falschen Personen wecken - Stichwort Wirtschaftsspionage und organisierte Kriminalität. Hat ein Systemverwalter in einem solchen Land z.B. Verwaltungsrechte in einem weltweiten Active Directory, kann er Zugriff auf deutsche Systeme nehmen. Daher sollte eine entsprechende Rechtedelegation (SOD – Segregation of Duties) entwickelt werden, die dem daraus entstehenden Risiko vorbeugt (vgl. hierzu auch BSI-Grundschutz M 2.230 Planung der Active Directory-Administration).

Risiko 7: Non-Compliance in den Bereichen Datenschutz und Steuerrecht

Für die Datenverarbeitung im Auftrag des Kunden gelten in Deutschland die strengen Anforderungen des Paragraphen 11 im Bundesdatenschutzgesetz (BDSG) zur so genannten Auftragsdatenverarbeitung. Im Rahmen dieses Paragraphen sind bereits seit September 2009 bestimmte Mindestinhalte für das IT-Outsourcing in Deutschland vorgeschrieben. Deren Nicht-berücksichtigung stellt inzwischen sogar eine Ordnungswidrigkeit dar.

Neben der in Punkt sechs genannten IT-Sicherheitsanalyse müssen danach auch die An-forderungen des Datenschutzes und deren Einhaltung beim ausländischen Anbieter geprüft werden – und das am besten vor Ort. Außerdem sind die deutschen Gesetzesanforderungen mit den lokalen Anforderungen abzugleichen. Der Nachweis der Einhaltung der BDSG-Vorgaben und die Kontroll- und Weisungsrechte des Auftraggebers sind vertraglich zu vereinbaren. Schließlich gilt: Sobald die Datenverarbeitung die Grenzen des europäischen Wirtschaftsraumes verlässt, hilft auch der beste Auftragsdatenverarbeitungsvertrag nach Paragraph 11 BDSG nichts mehr.

Hier können dann nur noch EU-Standardvertragsklauseln oder Safe-Harbor-Zertifizierungen helfen.
Aber auch die Abgabenordnung ist zwingend in Sachen Compliance zu beachten: Soweit Daten als steuerlich relevant zu klassifizieren sind, fallen sie unter die handels- und steuerrechtlichen Aufbewahrungspflichten. Die steuerlich relevanten Daten unterliegen dann auch dem Datenzugriff der Finanzverwaltung. Damit sind die technischen Zugriffsarten Z 1 – Z 3 grundsätzlich einzurichten.

Die Aufbewahrungsfristen für steuerlich relevante Unterlagen betragen regelmäßig 6 bzw. 10 Jahre, beginnend mit dem Ende des Wirtschaftsjahres, in deren Jahresabschluss diese eingegangen sind. Soweit steuerliche Außenprüfungen durchgeführt werden, können sich diese Fristen noch weiter verlängern. Werden Daten außerhalb Deutschlands aufbewahrt und liegt keine Genehmigung durch die deutsche Finanzbehörde vor, können Bußgelder bis zu 250.000 Euro (pro Gesellschaft, pro System, pro Wirtschaftsjahr) verhängt werden.