Rechtliche Rahmenbedingungen für „Software as a Service“

SOFTWARE AS A SERVICE

Rechtliche Rahmenbedingungen für

„Software as a Service“

Rechtsanwalt

Ausbildung zum IT-Sicherheitsbeauftragten

Fachanwaltskurs Steuerrecht

Schwerpunkte: Datenschutz und IT-Vertragsrecht

Haiko Ferber

Rechtliche Rahmenbedingungen für Software as a Service2

Führender Anbieter von spezialisierten Beratungs- und Prüfungsleistungen in den Bereichen Risikomanagement, Informationssicherheit und Datenschutz

Schnittmenge zwischen Wirtschaftsprüfung, IT-Rechts- und IT-Managementberatung

Hauptsitz in Berlin | Büros in Frankfurt am Main, München

PERSICON Gruppe

3 Rechtliche Rahmenbedingungen für Software as a Service

Leistungsschwerpunkte

Prüfung, Zertifizierung, Beratung und Coaching in den Bereichen Risikomanagement, Ordnungsmäßigkeit, Datenschutz und Informationssicherheit

Implementierung und Zertifizierung von Informationssicherheit

Datenschutzberatung und Stellung des Datenschutzbeauftragten

Erstellung von Richtlinien, Verfahrensverzeichnissen, IT-Regelwerken, Betriebs-und Sicherheitskonzepten Design, Dokumentation und Prüfung interner Kontrollsysteme (IKS)

Co- und Outsourcing der internen Revision

Kontinuitäts- und Notfallmanagement

Ausbildung von beispielsweise IT-Sicherheits-, Datenschutzbeauftragten und Risikomanagern

Best Practices: ITIL, COBIT, IDW, ISO 27001 und BSI IT-Grundschutz


Nicht-öffentlicher Sektor

Deutsche Post/Williams Lea Deutsche Telekom/T-Systems Pfizer Deutschland E.ON RWE enviaM Bertelsmann/arvato ThyssenKrupp MAN Nutzfahrzeuge Talanx Versicherungsgruppe/HDI Gerling VHV Versicherungen Microsoft Sennheiser Savills TLG IMMOBILIEN Francotyp-Postalia Interoute Stadtwerke Dresden (DREWAG) Stadtwerke Neubrandenburg Berliner Wasserbetriebe Kommunale Wasserwerke Leipzig Diverse Sparkassen

Öffentlicher Sektor

Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ)

Bundesamt für Sicherheit in der Informationstechnik (BSI) Staatskanzlei des Landes Sachsen-Anhalt Ministerium für Jugend, Bildung und Sport des Landes

Brandenburg Ministerium für Ländliche Entwicklung, Umwelt und

Verbraucherschutz des Landes Brandenburg Thüringer Ministeriums für Landwirtschaft und Umwelt Ministerium für Wirtschaft, Verkehr, Landwirtschaft und

Weinbau des Landes Rheinland-Pfalz Landesamt für Gebäudebewirtschaftung Berlin Landesinformationszentrum Sachsen-Anhalt Bayerisches Landesamt für Statistik und

Datenverarbeitung Landesamt für Verbraucherschutz, Landwirtschaft und

Flurneuordnung des Landes Brandenburg Arbeiterwohlfahrt Bundesverband der Allgemeine Ortskrankenkassen (AOK) Berliner Verkehrsbetriebe/BT Berlin Transport Rundfunk Berlin-Brandenburg (RBB) Filmförderungsanstalt des Bundes

Referenzen (Auszug)


Alleinstellungsmerkmale

PERSICON zeichnet sich durch die einmalige Kompetenzbündelung am Spannungsfeld zwischen Wirtschaftsprüfung, Risikomanagement, Informationssicherheit und IT-Recht aus.

Mitgestaltung wesentlicher relevanter Normen und Standards, beispielsweise

BSI IT-Grundschutz oder ISO 27001

Hohe Spezialisierung und Coaching-Gedanke: „Hilfe zur Selbsthilfe“

Unabhängigkeit vom Lösungs- und Umsetzungsgeschäft

Fachübergreifende Teams aus Wirtschaftsinformatikern, Informatikern, Rechtsanwälten, Mathematikern, Kaufleuten, Ingenieuren und Technikern

Hohe Qualität und ständige Qualifikation der Mitarbeiter, jeweils weit über dem Branchendurchschnitt

Aktive Zusammenarbeit mit verschiedenen Universitäten und Lehrstühlen


Allgemeine Compliance Anforderungen

Software as a Service


Überblick

Handelsgesetzbuch (HGB)

Aktien-Gesetz (AktG)

Abgabenordnung (AO) und Grundsätze der Prüfbarkeit digitaler Unterlagen (GDPdU)

Bundesdatenschutzgesetz (BDSG)

Sonstige Datenschutzgesetze

Strafgesetzbuch (StGB)

Kreditwesengesetz (KWG) und Mindestanforderungen an das Risikomanagement (MaRisk)

Versicherungsaufsichtsgesetz (VAG) und Mindestanforderungen an das Risikomanagement (MaRisk VA)

Standards des Instituts des Wirtschaftsprüfer (IDW)

…


Handelsgesetzbuch (HGB)

Handelsgesetzbuch in Verbindung mit den Grundsätzen ordnungsgemäßer Buchführung (GoB)

Das HGB enthält selbst keine Vorschriften, die Anforderungen an SaaS-Projekte enthalten.

Es existieren jedoch einige Verpflichtungen des Kaufmanns, die Auswirkungen auf SaaS-Projekte haben:

– die Beachtung der Grundsätze ordnungsgemäßer Buchführung (§ 239 Abs. 4 HGB) und

– die Berücksichtigung der damit verbundenen Anforderungen an die Sicherheit IT-gestützter Rechnungslegung,

– die Nachvollziehbarkeit der Buchführungs- bzw. Rechnungslegungsverfahren (§ 238 Abs. 1 Satz 2 HGB),

– die Nachvollziehbarkeit der Abbildung der einzelnen Geschäftsvorfälle in ihrer Entstehung und Abwicklung (§ 238 Abs. 1 Satz 3 HGB),

– die Einhaltung der Aufbewahrungsvorschriften (§ 239 Abs. 4, § 257 HGB).


Aktien-Gesetz (AktG)

In Rahmen des obligatorischen Risikomanagements ist die Richtigkeit der Buchführung sicherzustellen.

Zudem muss das Risikomanagement alle outgesourcten Dienstleistungen beinhalten, also auch die Verwendung von SaaS.

§ 91 AktG (Buchführungspflicht)

§ 93 AktG (Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder)

§ 116 AktG (Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder)

§ 161 (Erklärung zum Corporate Governance Kodex)


Abgabenordnung (AO)

Die Abgabenordnung regelt grundlegend für alle Steuerarten das Besteuerungsverfahren.

Im Zusammenhang mit der AO sind die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu sehen.

Es muss sichergestellt sein, dass im Rahmen der Betriebsprüfung die betriebswirtschaftlichen Daten vom Prüfer bzw. der speziellen Prüfungs-Software erfasst werden können.

Zu beachten sind ferner die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBs)

§ 140 AO (Buchführungs- und Aufzeichnungspflichten)

§ 146 AO (Ordnungsvorschriften für die Buchführung und Aufzeichnungen)

§ 147 AO (Ordnungsvorschriften für die Aufbewahrung von Unterlagen)

§ 193 AO (Rechtsgrundlage für die steuerliche Außenprüfung)

§ 200 AO (Mitwirkungspflichten des Steuerpflichtigen)


Bundesdatenschutzgesetz (BDSG)

Die Anwendbarkeit des BDSG hat mitunter großen Einfluss auf die Ausgestaltung von Service-Level-Agreements (SLA) und der Umsetzung des SaaS-Vorhabens.

Sofern personenbezogene Daten betroffen sind, sind insbesondere folgende Normen von Relevanz:

– § 9 BDSG und Anlage zu § 9 BDSG

– § 11 BDSG (Auftragsdatenverarbeitung)


Sonstige Datenschutzgesetze

Landesdatenschutzgesetze (LDSG)

Entsprechend dem BDSG sind datenschutzrechtliche Normen auch bei der Verwendung von SaaS im öffentlich-rechtlichen Sektor zu beachten.

Ferner können Spezialgesetze in Anhängigkeit des SaaS-Vorhabens Anwendung finden, wie bspw.

– Telekommunikationsgesetz (TKG)

– Telemediengesetz (TMG)


Strafgesetzbuch (StGB)

Das Strafgesetzbuch enthält keine expliziten Regelungen zu SaaS.

In Verbindung mit dem Bundesdatenschutzgesetz sind jedoch im Licht des Datenschutzes insbesondere folgende Regelungen zu beachten:

– § 202a StGB (Ausspähen von Daten)

– § 202b StGB (Abfangen von Daten)

– § 203 StGB (Verletzung von Privatgeheimnissen)

– § 206 StGB (Verletzung des Post- und Fernmeldegeheimnisses)


Kreditwesengesetz (KWG)

Das KWG gilt für Kreditinstitute und Finanzdienstleistungsinstitute.

Das Gesetz dient der Sicherung und Erhaltung der Funktionsfähigkeit der Kreditwirtschaft sowie dem Schutz der Gläubiger von Kreditinstituten vor Verlust ihrer Einlagen.

Relevant ist § 25a KWG (Besondere organisatorische Pflichten von Instituten).

Konkretisiert werden die Anforderungen aus § 25a KWG in den MaRisk.


Versicherungsaufsichtsgesetz (VAG)

Das VAG enthält Regelungen zur Ausgestaltung eines Risikomanagementsystems.

Die IT ist als Teil des umfassenden Risikomanagementsystems anzusehen.

Das Risikomanagement muss alle Risiken eines SaaS-Vorhabens nach § 64a VAG umfassen, also auch SaaS-Projekte .

Die Anforderungen des § 64a VAG werden seit Anfang 2009 in den MaRisk VA konkretisiert.


Anforderungen an das Risikomanagement

Mindestanforderungen an das Risikomanagement (MaRisk)

– Die MaRisk sind die verbindliche Vorgabe der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten.

– In den MaRisk hat die BaFin als Aufsichtsbehörde die Anforderungen des §25a KWG konkretisiert. Die MaRisk sind also nur anwendbar, wenn die Anwendbarkeit des § 25a KWG eröffnet ist.

Mindestanforderungen an das Risikomanagement in der Versicherungsbranche (MaRisk VA)

– Die MaRisk VA sind ebenfalls verbindliche Vorgaben der BaFin für die Ausgestaltung eines internen Kontrollsystems bei Versicherungsunternehmen.

– Im Rahmen des Risikomanagements ist die Einhaltung einschlägiger rechtlicher Anforderungen sicherzustellen.


Standards des Instituts der Wirtschaftsprüfer (IDW)

Das Institut der Wirtschaftsprüfer entwickelt Standards, die den Wirtschaftsprüfern als Werkzeug für ihre Prüfungstätigkeit dienen sollen.

Ausgewählte Standards konkretisieren die aus den §§ 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels IT-gestützter Systeme.

Es wird zugleich versucht, die beim Einsatz von IT möglichen Risiken für die Einhaltung der Grundsätze ordnungsmäßiger Buchführung zu verdeutlichen.

Die Standards beziehen sich in Teilen auch auf ausgelagerte IT-Prozesse, sofern diese rechnungslegungsrelevant sind.

Relevante Standards: IDW PS 330, IDW PS 951, FAIT 1


Datenschutzanforderungen

Software as a Service


Datenschutz

Datenschutz :

Schutz der informellen Selbstbestimmung von natürlichen Personen.

Informelle Selbstbestimmung:

Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.

Drei Schutzziele:

Vertraulichkeit

Verfügbarkeit

Integrität


Zweck des Datenschutzes

Gesetzliche Verankerung in § 1 Abs. 1 BDSG:

„[…] den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Jeder Mensch soll grundsätzlich selbst entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen.

Der Datenschutz will den „gläsernen Menschen“ verhindern.


Klassisches Szenario

Zentralen Anwendungen des Anbieters A laufen in einem externen Rechenzentrum der Firma R.

Die Erfassung und die Bearbeitung der Personal-, Auftrags- und Kundendaten erfolgt im eigenen Betrieb des SaaS-Nutzers.

Die Daten werden im externen Rechenzentrum der Firma R gespeichert.

Daraus resultiert die Notwendigkeit, vertrauliche Daten über das Internet transferieren zu müssen.

Welche datenschutzrechtlichen Konsequenzen ergeben sich nun daraus aus Sicht der SaaS-Nutzers?


Datenschutzanforderungen an den SaaS-Nutzer (1)

Der SaaS-Nutzer hat regelmäßig die für ihn geltenden rechtlichen und regulatorischen Anforderungen zu prüfen.

Die Anforderungen richten sich danach, in welchen Bereichen SaaS-Services genutzt werden.

Insbesondere sind die Anforderungen an die Auftragsdatenverarbeitung im Sinne des § 11 BDSG zu beachten!


Datenschutzanforderungen an den SaaS-Nutzer (2)

Grundsätzlich hat der SaaS-Nutzer folgende Aspekte zu berücksichtigen:

– Aufrechterhaltung eines angemessen Datenschutzniveaus im eigenen Betrieb

– Sicherstellung eines angemessen Datenschutzniveaus beim SaaS-Anbieter

– Sicherstellung einer angemessen sicheren Übermittlung der Daten zwischen SaaS-Nutzer und SaaS-Anbieter

Dazu sollte ein geplantes und dokumentiertes Auswahlverfahren zur …

– Auswahl des SaaS-Anbieters

– Auswahl der Software (vorherige Tests)

durchgeführt werden.


Exkurs: Anforderungen nach § 9 BDSG (1)

Technisch-organisatorische Maßnahmen nach § 9 BDSG und der Anlage zu § 9 BDSG sind zu treffen, die erforderlich sind, um die Anforderung dieses Gesetzes zu realisieren.

Erforderlich ist nur das, was im angemessenen Aufwand zum Schutzzweck steht.

Orientierung an den IT-Grundschutzkatalogen BSI - insbesondere Baustein 1.5 Datenschutz des BSI



Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),



5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.


Auftragsdatenverarbeitung - Überblick

Die folgenden Aspekte stellen die Mindestanforderungen an eine angemessene und konforme Auftragsverarbeitung dar:

– Auswahl eines zuverlässigen Anbieters

– Vertragliche Ausgestaltung der Pflichten zwischen den Vertragsparteien

– Überprüfung der Einhaltung der vertraglichen Pflichten


Auswahl der Software

Die verwendete Software hat den Anforderungen des BDSG zu genügen.

Insbesondere sind folgende exemplarische Eigenschaften sicherzustellen:

– Zugriffskontrolle

– Rollenbasierte Benutzerrechteverwaltung

– Kontrollen zur Datenintegrität


Service Level Agreement/Vertrag zur Auftragsdatenverarbeitung (1)

Gemäß § 11 Absatz 2 Satz 2 Nr. 1-10 BDSG sind insbesondere festzulegen:

– der Gegenstand und die Dauer des Auftrags (Nr.1),

– der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen (Nr.2),

– die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen (Nr.3),

– die Berichtigung, Löschung und Sperrung von Daten (Nr.4),

– die nach Absatz 4 bestehenden Pflichten des Auftragsnehmers, insbesondere die von ihm vorzunehmenden Kontrollen (Nr.5),



– die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen (Nr.6),

– die Kontrollrechte des Auftragsgebers und die entsprechenden Duldungs-und Mitwirkungspflichten des Auftragsnehmers (Nr.7),

– mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen (Nr.8),

– der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält (Nr.9),

– die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (Nr.10).



Weitere mögliche Regelungsgegenstände:

Verfügbarkeit

Reaktionszeiten

Eskalationsverfahren im Fehler- oder Notfall

Regelung bei Kündigung und Anbieterwechsel

…



Welche Fragen haben Sie?


Vielen Dank für Ihre Aufmerksamkeit.

Haiko [email protected]

www.persicon.com

http://www.persicon.com/

Rechtliche Rahmenbedingungen für „Software as a Service“

Technology