KI – Eine Bedrohung für den Datenschutz? 

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als “verantwortlich” einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

/von

Schutz für Whistleblower! Das Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten

Das Hinweisgeberschutzgesetz (HinSchG) als nationales Gesetz zur EU-Whistleblower-Richtlinie ist am 2. Juli 2023 in Kraft getreten. Institutionen mit mehr als 250 Beschäftigten müssen die Anforderungen bis dahin umsetzen. Sind ensprechende Kanäle nicht eingerichtet, werden ab 1. Dezember 2023 Bußgelder von bis zu 50.000 € möglich. Das neue Hinweisgeberschutzgesetz (HinSchG) wird begleitet von notwendigen Anpassungen bestehender gesetzlicher Regelungen.

Das Ziel des Gesetzes ist der Schutz der hinweisgebenden Personen und weiterer von einer Meldung betroffenen Personen zu stärken und abzusichern, dass ihnen keine Benachteiligung droht. Die Voraussetzungen für den Schutz der hinweisenden Person sind den §§ 35 ff HinSchG abgebildet. Der Schutz besteht allerdings nicht, wenn vorsätzlich oder grob fahrlässig unrichtige Informationen weitergegeben.

Welche Verstöße gegen geltende Vorschriften und Rechtsnormen umfasst das HinSchG? 

  • Arbeitsschutz
  • Gesundheitsschutz
  • Mindestlohngesetz
  • Arbeitnehmerüberlassungsgesetz
  • Betriebsverfassungsgesetz
  • Regelungen zur Bekämpfung der Geldwäsche
  • Produktsicherheitsvorgaben
  • Vorgaben Gefahrgutbeförderung
  • Vorgaben zu Umwelt- und Strahlenschutz
  • Standards zu Arzneimittel und Medizinprodukten
  • Verbraucherschutz
  • Datenschutz
  • Informationssicherheit
  • Vergaberecht
  • GoBD Regelungen

sowie jegliche Verstöße gegen Strafvorschriften des deutschen Rechts. 

Wer ist zur Umsetzung des HinSchG verpflichtet?

Der Gesetzgeber möchte ein weitreichendes und einheitliches Schutzniveau erreichen und hat daher den Umfang der Unternehmen weit ausgedehnt. Diese sind:

  • juristische Personen des Privatrechts wie der eingetragene Verein, die eingetragene Genossenschaft, die Aktiengesellschaft, die Kommanditgesellschaft auf Aktien, die Gesellschaft mit beschränkter Haftung und Stiftungen des Privatrechts,
  • juristischen Personen des öffentlichen Rechts, insbesondere Gebietskörperschaften, Personalkörperschaften sowie Verbandskörperschaften auf Bundes- und Landesebene,
  • rechtsfähige Personengesellschaften und sonstige rechtsfähige Personenvereinigungen,
  • Anstalten, wie die Landesrundfunkanstalten,
  • öffentlich-rechtliche Stiftungen,
  • die evangelische und katholische Kirche mit ihren Kirchengemeinden,
  • sonstige gemäß Artikel 140 GG, Artikel 137 Absatz 5 der Weimarer Reichsverfassung als Körperschaften des öffentlichen Rechts oder nach entsprechenden Bestimmungen des Landesrechts anerkannte oder als Vereine des BGB konstituierte Kirchen und   sonstige Religionsgemeinschaften.

Wo kann die hinweisgebende Person seine Meldung platzieren?

Die hinweisgebende Person kann frei wählen, ob sie sich an eine „interne Meldestelle“ des Unternehmens oder an eine „externe Meldestelle“ der Behörden wendet.

Im Referentenentwurf des HinSchG sind verpflichtende Regelungen für die Bereitstellung einer internen Meldestelle festgelegt:

  • für Beschäftigungsgeber mit mehr als 250 Mitarbeiter sofort nach Inkrafttreten des Gesetzes,
  • für Beschäftigungsgeber mit mehr als 50 Mitarbeiter (und bis 249 Mitarbeiter) ab dem 17.12.2023. Diese können gemäß § 14 Abs. 2 HinSchG eine „gemeinsame Meldestelle“ betreiben oder auch einem „Dritten“ mit der Aufgabe betreuen (§ 15 HinSchG). Zu beachten ist das der sog. „Dritte“ bei der Ausübung der Tätigkeit unabhängig ist und das Vertraulichkeitsgebot beachtet.
  • für Gemeinden und Gemeindeverbände richtet sich die Pflicht zur Einrichtung interner Meldestellen nach dem jeweiligen Landesrecht, da dem Bund insoweit infolge des
    „Durchgriffsverbots“ eine unmittelbare Aufgabenübertragung an Gemeinden und Gemeindeverbände verwehrt ist. Im jeweiligen Landesrecht kann vorgesehen werden, dass Gemeinden und Gemeindeverbände mit weniger als 10 000 Einwohnern von der Pflicht zur Einrichtung interner Meldestellen ausgenommen werden. Hier werden also zeitnah noch Landesgesetze der Bundesländer zu erlassen sein.

Wie kann die hinweisgebende Person ihre Meldung abgeben?

Meldekanäle für mündliche oder schriftliche Meldungen sind wie folgt zu gestalten:

  • Einrichtung einer telefonischen Hotline,
  • Einrichtung eines IT-gestützten Hinweisgebertools,
  • Persönliche / physische Zusammenkunft, bei anonymen Hinweisen eher schwierig umzusetzen.
    In dem bisher vorliegenden Gesetzesentwurf ist keine Verpflichtung enthalten, dass Meldekanäle anonyme Meldungen ermöglichen müssen.

Die Umsetzung der neuen gesetzlichen Regelungen ist verpflichtend, da sonst eine Schadensersatzforderung oder auch Bußgeldforderung auf Grund einer Ordnungswidrigkeit entstehen kann.

Die deutschen Datenschutzbehörden haben als Umsetzungshilfe eine Orientierungshilfe veröffentlicht. „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ (Stand 2018) Da die Meldung von Verstößen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet, bedarf es im Einzelfall einer Datenschutz-Folgenabschätzung. 

Das ein umfangreiches Beschwerdemanagement in jedem Unternehmen etabliert sein sollte, unterstreicht auch das bereits gültige Lieferkettensorgfaltspflichtengesetz(LkSG) § 8. Dieses definiert entsprechend der Unternehmensgröße eine verpflichtende Umsetzung im Rahmen eines Beschwerdeverfahrens.

Prüfen Sie schon jetzt, wie Sie in Ihrem Unternehmen das deutsche Hinweisgeberschutzgesetz umsetzen oder in Ihr bestehendes Beschwerdemanagement integrieren können. Bei Suche nach einer IT-gestützten Lösung unterstützen wir Sie kompetent und unabhängig.

 

Bild: istockphoto/oxinoxi

/von

Einheitliche Regelungen für Bußgelder im europäischen Datenschutz 

Der Europäische Datenschutzausschuss (EDSA) beschloss in seiner Sitzung am 24. Mai 2023 die endgültigen Leitlinien zur Bußgeldzumessung bei Datenschutzverstößen.

Die EDSA mit seinen Repräsentantinnen aus den verschiedenen EU-Ländern einigten sich auf einheitliche Maßstäbe in der Bußgeldpraxis.

Die europäischen Aufsichtsbehörden sind berechtigt Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu erlassen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes von Unternehmen betragen. Die europaweit harmonisierten Leitlinien sehen hier ein aus fünf Schritten bestehendes Zumessungsverfahren vor, das spezifisch die Art und Schwere der Datenschutzverstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt. Damit sind klare Regelungen für die Höhe der Geldbußen gegeben und das trägt zu einem nachvollziehbaren Handeln der Behörden bei.

Die Vereinheitlichung der Bußgeld-Leitlinien in unterschiedlichen europäischen Mitgliedstaaten ist ein wichtiger Schritt in der europäischen Integration und können Vorbild sein für die Durchsetzung anderer EU-Gesetze.

Die Leitlinien finden Sie auf der Internetseite der EDSA.

Haben Sie Fragen in Sachen Datenschutz? Sie sind auf der Suche nach einem externen Datenschutzbeauftragten? In beiden Fällen können wir Ihnen helfen!
Schreiben Sie uns gern eine Mail mit Ihrem Anliegen.

/von

Cloud Security nach BSI C5 – Was bringt ein C5-Testat?

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist BSI C5?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

Der Nutzen einer C5-Testierung liegt in zwei grundlegenden Bereichen:

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine C5-Testierung orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen kommt eine BSI C5-Testierung in Frage?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist eine C5-Testierung insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet BSI C5?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf eine BSI C5-Testierung durchführen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.

/von

Wesentlichkeitsanalyse – der Einstieg in Ihr Nachhaltigkeitsreporting

Notwendigkeit der Wesentlichkeitsanalyse

Mit der kommenden Berichtspflicht gemäß CSRD werden nicht nur bislang bereits nach der NFRD berichtspflichtige Unternehmen einen Nachhaltigkeitsbericht erstellen müssen, sondern auch kleinere Unternehmen, sofern Sie den stufenweise gesenkten Mindestkriterien für die Berichtspflicht entsprechen. Aber auch Unternehmen, die nicht direkt berichtspflichtig sind oder werden, müssen aufgrund der Ausweitung der Berichtspflicht auf die Lieferketten ihren Kunden gegenüber über die Nachhaltigkeit ihrer Geschäftsaktivitäten Auskunft geben können. Die Wesentlichkeitsanalyse ist dabei der Einstieg in die Erstellung eines solchen Nachhaltigkeitsberichts.

Erfahrungsgemäß ist der Aufbau eines Nachhaltigkeitsreportings u.a. stark abhängig von der Art der Geschäftsaktivitäten, der Branchenzugehörigkeit, der Größe des Unternehmens sowie der geografischen Verteilung des Unternehmensstandorte. Je komplexer die Lieferketten und die Produktionsprozesse sind, desto herausfordernder ist es, Transparenz über deren Nachhaltigkeit entlang der Kriterien und Vorgaben des herangezogenen Berichtsstandards herzustellen. Dementsprechend ist es ratsam, mit der Erstellung des Nachhaltigkeitsberichts nicht erst dann zu beginnen, wenn dieser von einem Kunden nachgefragt wird oder im Rahmen des Jahresabschlusses tatsächlich erstellt werden muss, sondern diesen mit ausreichendem Vorlauf zu erstellen.

Die Ersterstellung eines Berichts ist aufgrund der nicht vorhandenen Erfahrung mit der Thematik und den knappen Ressourcen ein größerer Kraftakt, kostet meist mehr Zeit als geplant und resultiert in einer Vielzahl an Erfahrungen und Optimierungsmöglichkeiten. Wenn ein Nachhaltigkeitsbericht externen Interessenten nicht im Rahmen der Ersterstellung vorgelegt werden muss, sondern als Folgebericht, können die bisherigen Erfahrungen sowie Verbesserungspotenziale bereits im Reporting berücksichtigt werden. Insofern sollte mit dem Einstieg in den Aufbau des eigenen Nachhaltigkeitsreportings nicht gewartet werden, sondern das Thema mit ausreichendem Vorlauf initiiert werden.

Als Einstieg in die Erstellung eines  Nachhaltigkeitsberichts ist die Ermittlung der für das eigene Unternehmen tatsächlich relevanten und wichtigen Nachhaltigkeitsthemen und Fragestellungen durch die sogenannte Wesentlichkeitsanalyse erforderlich. Diese legt die Grundlage für die Berichterstattung  und hat gemäß CSRD verpflichtenden Charakter.

Doppelte Wesentlichkeit

Die Wesentlichkeitsanalyse gemäß CSRD umfasst – anders als bei den bisher gültigen gesetzlichen Vorgaben – die sogenannte Doppelte Wesentlichkeit und beinhaltet damit zwei unterschiedliche Perspektiven auf die Nachhaltigkeit der Geschäftsaktivitäten:

  • Outside-In:  Auswirkungen von (Umfeld-bezogenen) Nachhaltigkeitsthemen auf das Unternehmen (Financial materiality)
  • Inside-Out: Auswirkung der Geschäftsaktivitäten auf das Unternehmens-externe Umfeld (Impact materiality)

Bei der Bewertung und Risikobetrachtung sind dabei sowohl vergangenheitsbezogene Informationen und Entwicklungen, als auch zukunftsorientierte Auswirkungen zu berücksichtigen, die anhand von erwarteten Entwicklungen, Prognosen oder Wahrscheinlichkeiten bewertet werden.

Stakeholder-Relevanz

Gemäß CSRD soll die Berichterstattung zur Nachhaltigkeit alle wesentlichen Informationen enthalten, die für Stakeholder des Unternehmens bedeutend sind und Einfluss auf deren Entscheidungen haben.  Stakeholder können somit zum einen alle Personen oder Gruppen sein, welche durch die Unternehmensaktivitäten betroffen sind oder potenziell beeinflusst werden können.

Zum anderen sind Stakeholder aber auch alle Interessenten der Nachhaltigkeitsberichterstattung, deren eigenen Verhaltensentscheidungen und Aktivitäten von dieser abhängen, wie z.B. Investoren, Geschäftspartner, Kunden, Verbände, etc. Insofern ist es im Rahmen der Wesentlichkeitsanalyse erforderlich, die wesentlichen Themen nicht nur aus dem eigenen unternehmensinternen Blickwickel zu identifizieren, sondern auch die aus Perspektive aller externen Stakeholder.

Beweislastumkehr

Anders als in den bisherigen gesetzlichen Vorgaben, sind im Rahmen der Wesentlichkeitsanalyse der CSRD nicht die wesentlichen Themen zusammenzutragen bzw. zu identifizieren und herauszukristallisieren, sondern es wird vom Gesetzesgeber davon ausgegangen, dass alle der CSRD zugrundeliegende und in den ESRS-Standards definierten Nachhaltigkeitsaspekte per se wesentlich sind.

Jedes Unternehmen muss dann im Rahmen der Wesentlichkeitsanalyse nachvollziehbar begründen, warum einzelne Nachhaltigkeitsaspekte möglichweise nicht relevant, und somit im Nachhaltigkeitsreporting nicht enthalten sind.

Dokumentation der Wesentlichkeitsanalyse

Im Rahmen des Nachhaltigkeitsberichts sind vom berichtenden Unternehmen alle Teile der Wesentlichkeitsanalyse nachvollziehbar zu dokumentieren. Dabei sind nicht nur die Ergebnisse des Analyseprozesses zu beschreiben, welche Nachhaltigkeitsthemen als unwesentlich, und welche ggf. unternehmensspezifisch als zusätzlich relevant eingestuft werden.  Es ist auch nachvollziehbar zu dokumentieren, nach welcher Methodik vorgegangen wurde, und wie und warum das Unternehmen die unwesentlichen Themen vom Gesamt-Set aller Nachhaltigkeitsthemen herausgenommen hat.

3 Schritte zur Erstellung einer Wesentlichkeitsanalyse?

1. Umfeldanalyse

Vor der Durchführung der eigentliche Wesentlichkeitsanalyse sollte für alle Beteiligten im Hinblick auf Nachhaltigkeit der Geschäftsaktivitäten Klarheit über die Unternehmensumfeld und die grundlegenden Rahmenbedingungen geschaffen werden. Folgende Aspekte sollten im Rahmen der Umfeldanalyse dabei diskutiert und als Input für den späteren Nachhaltigkeitsbericht sauber dokumentiert werden: 

  • Unternehmensumfeld, Branchenspezifika, Wettbewerbsumfeld
  • Relevante gesellschaftliche und technologische Trends und Entwicklungen
  • Regulatorische und gesetzliche Vorgaben
  • Aktuelle Risiken und Chancen

2. Stakeholderanalyse

Als zweiter wichtiger Schritt muss die sogenannte Stakeholder-Analyse durchgeführt, bei der alle relevanten, unternehmensinternen als auch -externen betroffenen oder interessierte Personen oder Gruppen identifiziert werden müssen. Beispiele für Stakeholder sind:

  • Interne Stakeholder: Mitarbeiter, Management, Betriebsrat, Gremien
  • Externe Stakeholder: Kunden, Lieferanten, Shareholder, Medien, Behörden, Verbände, etc.

3. Wesentlichkeitsanalyse

Mit den identifizierten Stakeholdern, oder – falls diese nicht direkt einbezogen werden können – mit dem Blickwinkel dieser Stakeholder auf die Nachhaltigkeitsthemen des Unternehmens wird nachfolgend die eigentliche Wesentlichkeitsanalyse durchgeführt. Hierbei sind insbesondere folgende Schritte durchzuführen:

  • Bewertung und Einstufung der Wesentlichkeit aller Nachhaltigkeitsthemen der ESRS-Standards
  • Kennzeichnung der für das Unternehmen als nicht wesentlich identifizierten Themen unter Berücksichtigung der doppelten Wesentlichkeit (inside out / outside in)
  • Aufnahme und Dokumentation der Begründung zur Gewährleistung der Nachvollziehbarkeit

Nachhaltigkeitsreporting

Die bis dahin erarbeiteten Ergebnisse der Umfeldanalyse, der Stakeholderanalyse sowie der eigentlichen Wesentlichkeitsanalyse legen die Basis für die weitere Erstellung des Nachhaltigkeitsreportings. Die wesentlichen Eckpunkte und Arbeitspakete sind dabei:   

  • Festlegung der Leitlinien, Managementsysteme, Verantwortlichkeiten
  • Beschreibung des aktuellen Ist-Zustands und Aktivitäten für die als wesentlich identifizierten Nachhaltigkeitsthemen
  • Festlegung der Zielsetzung und konkrete Maßnahmenplanung
  • Definition von Nachhaltigkeits-KPIs, Kennziffern und Indikatoren für die kontinuierliche Erhebung der Nachhaltigkeitsaktivitäten und Maßnahmen
  • Implementierung der erforderlichen Erhebungs- und Berichts-Prozesse für regelmäßige Updates des Nachhaltigkeitsberichts
  • Erstmalige Erstellung des Nachhaltigkeitsbericht bzw. jährliche Aktualisierung

Unabhängig davon, ob das eigene Unternehmen in den kommenden Jahren der Berichtspflicht unterliegt, wird früher oder später jedes Unternehmen einen Bericht zur Nachhaltigkeit erstellen müssen, der den Ansprüchen der eigenen Anspruchsgruppen (Kunden, Lieferanten, Investoren, Öffentlichkeit, etc.) entsprechen sollte. Die Wesentlichkeitsanalyse mit der ihr vorgelagerten Stakeholder-Analyse legt den Grundstein für die Erstellung des Nachhaltigkeitsreportings.

Unsere iAP-Berater verfügen über eine langjährige Erfahrung in diesem Umfeld. Wir unterstützen Sie bei der Bewältigung ihrer Herausforderungen zum Thema Nachhaltigkeit – von der Wesentlichkeitsanalyse bis zum Nachhaltigkeitsreporting – gemäß den gesetzlichen Vorgaben.

Nehmen Sie gern mit uns Kontakt auf!

Foto: istockphoto/Petmal

/von

Handelsregisterverordnung den Vorgaben der DSGVO angepasst

Die Handelsregisterverordnung (HRV) wurde zum 23.12.2022 durch das Bundesjustizministerium angepasst. Das Ziel ist, personenbezogenen Daten im digitalen Handelsregister einen besseren Schutz zu geben.

Bisher ließen sich seit dem 01.08.2022 sämtliche Einträge im Handels-, Genossenschafts-, Partnerschafts- und Vereinsregister per Webformular abrufen. Damit waren Dokumente zugänglich, die oft sensible persönliche Daten wie Adresse, Geburtsdaten, Bankverbindung oder auch Unterschriften enthielten. Diese Lücke im Datenschutz entstand durch eine Gesetzesänderung zur Umsetzung der EU-Digitalisierungsrichtlinie. Betreiber des Handelsregisterportals sind die einzelnen Bundesländer und das ist der einzige Bereich, in dem das Bundesjustizministerium selbst als Verordnungsgeber tätig werden kann.

Kritik der Datenschützer am Schutz der Informationen in dem Online-Verzeichnis führte zu Änderungen in der Handelsregisterverordnung. § 9 HRV beinhaltet jetzt, dass nur Unterlagen aufgenommen werden, die aufgrund besonderer Rechtsvorschriften zwingend einzureichen seien, also beispielsweise keine Ausweiskopien. Gleichzeitig wird klargestellt, dass Erbscheine, Erbverträge, öffentliche Testamente und andere nach § 12 Abs. 1 Satz 5 HGB hinterlegte Urkunden nicht in das Register aufgenommen werden sollen. Ebenfalls wurde in dem neuen Absatz 7 § 9 HRV die Möglichkeit des Austausches von Dokumenten geregelt. Damit kann der Betroffene ein neues Dokument ohne die fraglichen Inhalte einreichen und geben das alte Dokument austauschen.

Fazit: Der Prozess ist noch nicht abgeschlossen. Das Bundesministerium der Justiz, die Justizbehörden der Länder und die Bundesnotarkammer arbeiten weiterführend daran, technische Lösungen zur datenschutzrechtlichen Bearbeitung von bereits eingestellten Daten zu finden.

Foto: istockphoto/fotogestoeber

/von

DNK Nachhaltigkeitssiegel für iAP

DNK Kriterien: Strategie, Prozessmanagement, Umwelt und Gesellschaft

Als eines der ersten IT-Beratungsunternehmen erhielt iAP das Siegel des Deutscher Nachhaltigkeitskodex (DNK).

Wir haben uns ganz bewusst für dieses Siegel entschieden!

Der DNK unterstützt den Aufbau einer Nachhaltigkeitsstrategie und bietet einen Einstieg in die Nachhaltigkeitsberichterstattung. Die regelmäßige Berichterstattung macht die Entwicklung im Thema Nachhaltigkeit des Unternehmens im Zeitverlauf sichtbar. Um den DNK zu erfüllen, haben wir in der Datenbank eine Erklärung zu zwanzig DNK-Kriterien und den ergänzenden nichtfinanziellen Leistungsindikatoren erstellt. Kriterien sind u.a. Strategie, Regeln, Wesentlichkeit, Ziele, Menschenrechte.

Wir berichten im DNK nach dem “comply-or-explain”-Prinzip zu allen Kriterien und den dazugehörigen Aspekten und Leistungsindikatoren. 

Innerhalb der Berichterstattung nach den Kriterien ist uns besonders wichtig, unsere Entwicklung in Bezug auf Nachhaltigkeit aufzuzeigen. Wir haben uns für das Leistungsindikatoren-Set nach GRI (Global Reporting Initiative) entschieden. Die Zusatzoption, mithilfe des DNK nach dem CSR-Richtlinie-Umsetzungsgesetz (CSR-RUG), im Sinne der EU-Taxonomie und/oder dem Nationalen Aktionsplan (NAP) Wirtschaft und Menschenrechte zu berichten, haben wir bisher noch nicht gewählt und planen dies in einer nächsten Stufe der Berichterstattung im Jahr 2023 für das Berichtsjahr 2022. 

Wie stellte sich die Einführung der Nachhaltigkeitskriterien und die Berichterstattung für uns in der Praxis dar?

Stakeholder Analyse – Wesentlichkeitsanalyse – Workshops

Die Berichterstattung erfolgte über die Bereiche Strategie, Prozessmanagement, Umwelt und Gesellschaft. In einer Analyse der Interessensgruppen im Unternehmen und außerhalb der iAP haben wir die wichtigsten Kontaktpunkte in einer Stakeholder Analyse identifiziert. Mit einer anschließenden Wesentlichkeitsanalyse wurden die Themen ermittelt und bewertet, die für diese Kontaktgruppen von wesentlicher Bedeutung sind.  

In Workshops haben wir die wesentlichen Aspekte begutachtet, welche in unserer Geschäftstätigkeit Auswirkungen auf die Umwelt haben und welche wesentlichen Aspekte der Umwelt Auswirkungen auf unsere Geschäftstätigkeit haben.
Es galt, die positiven wie negativen Wirkungen zu qualifizieren und quantifizieren, um diese Erkenntnisse dann in die Geschäftsprozesse einfließen zu lassen.
Konkret haben wir zum Beispiel im Vertriebsprozess die Form der Kommunikation und Anbahnung der Geschäftsbeziehungen deutlich verändert und Anforderungen auch an potenzielle Auftraggeber formuliert. Dies beinhaltet sowohl die Kommunikation und Besprechung via Internet-Video-Konferenzen als auch den Arbeitseinsatz über flexible Arbeitszeiten mit einem Remote-Anteil der Auftragsdurchführung von mindestens 75%. 

Um dem Nachhaltigkeitsmanagement eine effektive Stoßrichtung zu geben, haben wir unseren Fokus auf die Lösung vermeintlich drängender Probleme gelegt. Dafür musste im Vorfeld geklärt werden, welche Unternehmensaktivitäten mit wichtigen ökologischen und/oder sozialen Problemen verknüpft sind oder auf diese einwirken. Hier arbeiteten wir zum Thema “Verbrauch natürlicher Ressourcen” sowohl unserer Mitarbeiter als auch in Bezug auf die eingesetzten IT-Ressourcen.  

Aber auch von außen wirken ökologische wie gesellschaftliche Herausforderungen auf das Geschäftsmodell unseres Unternehmens. Hier haben wir z.B. die zunehmenden Risiken aus der politischen und sicherheitspolitischen Entwicklung beständig im Blick und schärfen unsere Beratungsprodukte bei Bedarf. 

Wie sind wir vorgegangen?

Für die Entwicklung einer erfolgreichen Nachhaltigkeitsstrategie ist es unabdingbar, Stakeholder innerhalb und außerhalb des Unternehmens zu identifizieren und deren Interessen sowie Einflussmöglichkeiten auf den Nachhaltigkeitsprozess des Unternehmens zu analysieren.  

Die internen Stakeholder der iAP waren schnell identifiziert und das Engagement am Nachhaltigkeitsprozess in Umfragen und Diskussionen qualifiziert.  

Für die Erhebung der externen Stakeholder war es wichtig, im Vorfeld zu analysieren, wie das Unternehmen in die Gesellschaft eingebettet ist und welche Besonderheiten sich daraus ergeben. Daher erfragte der erste Aspekt in der Checkliste “Besonderheiten des Umfelds”, wie etwa die Bedeutung unseres Unternehmens als Arbeitgeber in der Region, ökonomische Verflechtungen, ökologische Besonderheiten (Gewässer, Naturschutzgebiete usw.) in direkter Nachbarschaft oder auch ökologische und soziale Themen, mit denen unsere Branche häufig in den Medien verknüpft wird. Es entstand eine Liste mit Personen, Unternehmen, Ämtern und Verbänden. Im Dialog mit den wichtigsten Stakeholdern wurden deren Erwartungen und Einflussmöglichkeiten erörtert und festgehalten.  

Was machen wir mit den Ergebnissen aus der Stakeholder- und Wesentlichkeitsanalyse?

Wesentlichkeitsmatrix als Grundlage der Nachhaltigkeitsstrategie

Im folgenden Schritt konnten wir dann mit der Wesentlichkeitsanalyse auf diese Betrachtung des Umfelds aufbauen. Die folgenden 4 Aspekte des DNK haben uns geholfen, hier präziser zu arbeiten:  

Aspekt 1: 
Beschreiben Sie die ökologischen, sozioökonomischen und politischen Besonderheiten des Umfelds, in denen Ihr Unternehmen tätig ist. 

Aspekt 2: 
Beschreiben Sie, welche wesentlichen Nachhaltigkeitsthemen durch Ihre Geschäftstätigkeit beeinflusst werden. Stellen Sie sowohl die positiven als auch die negativen Auswirkungen dar (Inside-out-Perspektive). 

Aspekt 3: 
Beschreiben Sie, welche wesentlichen Nachhaltigkeitsthemen auf Ihre Geschäftstätigkeit einwirken. Stellen Sie sowohl die positiven als auch die negativen Auswirkungen dar (Outside-in-Perspektive). 

Aspekt 4: 
Erläutern Sie, welche Chancen und Risiken sich für Ihr Unternehmen aus dem Umgang mit den beschriebenen Nachhaltigkeitsthemen ergeben. Nennen Sie Schlussfolgerungen, die Sie daraus für Ihr Nachhaltigkeitsmanagement ableiten. 

Unsere erarbeiteten Nachhaltigkeitsthemen zu diesen Aspekten haben wir in einer Wesentlichkeitsmatrix nach der Höhe ihrer Relevanz für die iAP und ihrer Stakeholder abgetragen. Diese Matrix bildet eine Grundlage der Nachhaltigkeitsstrategie und der Berichterstattung zur Nachhaltigkeit.  

Zu unseren wichtigsten Nachhaltigkeitsthemen gehören

  • Reduzierung unseres CO2-Fußabdruckes 
  • Gesundheit und Wohlergehen unserer Mitarbeiter 
  • Gesellschaftliches Engagement 

Wie setzen wir das um?

Die erarbeiteten wesentlichen Aspekte und Maßnahmen sind Bestandteil der Jahresstrategie. 

Um diese umzusetzen, übernehmen wir diese quartalsweise in unsere OKRs (Objective key results). Jeder Mitarbeiter wählt mindestens ein Nachhaltigkeitsziel für seine persönlichen OKRs, weitere Nachhaltigkeitsziele werden in den OKRs auf Unternehmensebene festgehalten.

Bei den monatlichen Validierungen besprechen wir die Leistungsindikatoren, insbesondere unsere Werte und Grundsätze, aber auch Standards und Verhaltensnormen. Uns ist sehr daran gelegen, unsere Nachhaltigkeitsziele aus der Jahresstrategie im Auge zu behalten. Mit dem Fokus auf die Leistungsindikatoren Werte und Grundsätze setzen wir auf eine gute Gemeinschaft und einen Geschäftsverbund.

Das alles ist ein lebendiger und sich ständig verändernder Prozess, bei dem wir uns als iAP-Team weiterentwickeln und wachsen. Wir fragen uns regelmäßig: Was können wir besser machen?  

Diese Maßnahmen zahlen auf die von uns erarbeiteten Nachhaltigkeitsziele ein:

  • Für Dienstreisen und die Fahrt ins Büro nutzen wir öffentliche Verkehrsmittel und Fahrräder. 
  • Unterstützung eines Kollegen bei  der Neuanschaffung eines Fahrrades. 
  • Wir arbeiten Mobil, allen Mitarbeitern ist es freigestellt, ob sie im Homeoffice oder im Büro arbeiten.
  • Unsere Mitarbeiter arbeiten mit flexiblen Arbietszeitmodellen.
  • Im Rahmen der betrieblichen Gesundheitsförderung haben wir für unsere Mitarbeiter ein wöchentlich stattfindendes sportliches Angebot entwickelt.
  • Wir fördern einen gemeinnützigen Verein in unserem Heimatbezirk Lichtenberg.  

Im nächsten Nachhaltigkeitsbericht für das Berichtsjahr 2022 werden wir ganz sicher über Erfolge berichten können. 

Unseren ersten Nachhaltigkeitsbericht können Sie auf der Seite des DNK einsehen: Deutscher Nachhaltigkeitskodex – Datenbank (deutscher-nachhaltigkeitskodex.de) 

Wie iAP Ihnen bei der Verfolgung Ihrer Nachhaltigkeitsziele helfen kann? Lesen Sie hier: Leistungen > Nachhaltigkeit & ESG

/von

SOC 1, SOC 2 oder SOC 3, welcher Compliance Standard passt für Sie?

Viele Dienstleister – vor allem Rechenzentrumbetreiber, Cloud Provider und IT-Service Provider aller Art möchten sicherstellen und auch ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen installiert haben.   

Auf der anderen Seite suchen die Kunden von Dienstleistungsunternehmen den richtigen Partner für die Auslagerung von Geschäftsprozessen. Dabei spielt es eine immer wichtigere Rolle, wie effektiv und verlässlich die internen Kontrollen zur Gewährleistung einer hochverfügbaren und sicheren Datenverarbeitung der Dienstleister sind.   

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z.B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert. 

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach so genannten SOC-Reports bzw. -Zertifizierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Zertifizierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 und daraus resultierend, welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch eine Wirtschaftsprüfer-Testat nachweisen wollen. 

SOC 1® — Internal Control over Financial Reporting (ICFR)

Der SOC 1 Standard wurde speziell für die Überprüfung derjenigen Kontrollen bei den Dienstleistern konzipiert, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Die Auditoren bzw. Wirtschaftsprüfer des Dienstleistungsnehmers nehmen im Rahmen der Prüfung für einen SOC 1-Bericht i.d.R. eine Risikobewertung vor und erstellen mit dem SOC 1-Bericht einen Prüfungsnachweis über die Kontrollen des Dienstleisters.  

Für den SOC 1 Bericht gibt es zwei Berichts-Typen: 

Typ 1

Bericht über die Eignung des Aufbaus und der Angemessenheit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele zu einem bestimmten Zeitpunkt 

Typ 2

Bericht über die Wirksamkeit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele während eines bestimmten Zeitraums (üblicherweise 6 Monate oder 1 Jahr). 

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht wurde konzipiert für die Überprüfung der Kontrollen bzgl. Sicherheit (security), Verfügbarkeit (availability), Integrität (processing integrity) der Systeme, die der Dienstleister für die Verarbeitung der Daten der Dienstleistungsnehmer verwendet, sowie der Kontrollen zu Datenschutz und Vertraulichkeit (privacy of the information) der verarbeiteten Daten. 

Die Dienstleister für die ausgelagerten Dienstleistungen agieren dabei praktisch als „Lieferanten“ für ihre Kunden. Die SOC 2-Berichte dienen dazu, zum Risikomanagement des Dienstleistungsnehmers eine adäquate und mit einem angemessenen Detaillierungsgrad versehene Bewertung unter Berücksichtigung des SOC 2 Standards abzugeben. Die Berichte setzen ein angemessenes Maß an Fachkenntnissen und Wissen über die Abläufe, sowie die Art und Weise voraus, wie die Dienstleistungen hergestellt und angeboten werden. Daher ist Anwenderkreis für den SOC 2-Bericht eingeschränkt auf das Management des Dienstleistungsunternehmens, den Dienstleistungsnehmer und seine Wirtschaftsprüfer, aktuelle und potenzielle Geschäftspartner und Revisoren. 

Die zu überprüfenden Kontrollen bei SOC 2 und SOC 3 Berichten werden gegen die so genannten Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy geprüft. 

SOC 2 Berichte können ebenfalls als Typ 1 (Angemessenheit der Kontrollen) oder Typ 2 (Wirksamkeit der Kontrollen über einen bestimmten Zeitraum) erstellt werden. 

SOC 3® – Trust Services Criteria for General Use Report 

Genauso wie bei einem SOC 2 Bericht bezieht sich auch ein SOC 3 Bericht auf die Kontrollen bzgl. Sicherheit, Verfügbarkeit, Integrität sowie Datenschutz/Vertraulichkeit. Die SOC 3 Berichte unterliegen den gleichen Prüfkriterien wie SOC 2 Berichte. Es gibt allerdings einige Unterschiede zwischen SOC 2 und SOC 3: Zum einen sind die SOC 2 Berichte vertraulich und werden nur bestimmten Kunden zur Verfügung gestellt. Die SOC 3 Berichte sind hingegen für die Öffentlichkeit gedacht und stehen in der Regel als Marketing-Instrument auf der Webseite der Unternehmen (der Dienstleister).  

SOC 3 Berichte beinhalten im Gegensatz zu SOC 2 Berichten keine detaillierten Informationen über die internen Prozesse oder Kontrollen des Unternehmens sowie die exakte Art und Weise, wie die Kontrollen getestet wurden oder was das Ergebnis der jeweiligen Tests und Prüfungen im Detail war. Der Bericht ist wesentlich kurzer gefasst und wird i.d.R. in Form eines Whitepapers bereitgestellt. Ein weiterer Unterschied ist, dass ein SOC 3 Bericht nur für einen Berichtszeitraum, also als Typ 2-Bericht erstellt wird. 

Fazit

Wenn rechnungslegungsrelevante bzw. finanzkritische Daten und Verarbeitungsprozesse ausgelagert werden, sollten Unternehmen bei ihren künftigen Dienstleistern nach einem SOC 1 Bericht fragen, z.B. wenn Unternehmen ihre E-Commerce-Aktivitäten auslagern möchten. 

Wenn ein Unternehmen, z.B. die Verarbeitung seiner sensiblen Kundendaten an einen externen Dienstleister auslagern möchte (Cloud/RZ), kommt für den betreffenden IT-Dienstleister der SOC 2-Bericht in Frage. Der Dienstleistungsnehmer möchte mit seiner Anfrage nach einem solchen Bericht sicherstellen, dass der Dienstleister wirksame Mechanismen (Kontrollen) installiert hat, die die Daten seiner Kunden vor fremdem Zugriff schützen und die Hochverfügbarkeit der IT-Umgebung des Dienstleisters sicherstellen. 

Nach einem SOC 3 Bericht fragen die Kunden der Dienstleister i.d.R. nicht. Die Dienstleister stellen den SOC 3 Bericht der Öffentlichkeit selbst zur Verfügung und transportieren damit eine zertifizierte Sicherheit ihrer Dienstleistungen, ohne zu viele Details kommunizieren zu müssen. 

/von

DSGVO: Neue Entscheidung zum Einsatz von Cloud-Anbietern aus den USA

Der Einsatz von Tochterunternehmen von US-amerikanischen Cloud-Anbietern ist per se nicht rechtswidrig im Sinne der DSGVO. 

Das OLG Karlsruhe präsentierte seine aktuelle Entscheidung zum Datenschutz kontroversen Einsatz von US- Cloud- Dienstleistern. 

Der Hintergrund zur Entscheidung 

ist ein Beschluss der von Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 23/22), welcher den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind, thematisiert. Es wurde begründet, dass mit der damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, ein Risiko eines Zugriffs durch U.S.-Behörden einhergeht. In diesem Fall betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus- und Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit US amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Vergabekammer führte in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung nicht relevant. 

Der Einsatz von Cloud Anbietern mit Hosting Leistungen ist für viele Unternehmen Realität und eine Abwahl dieser undenkbar. Der Beschluss der Vergabekammer löste große Unsicherheiten aus und wurde durch Datenschutzbehörden heiß diskutiert (Stellungnahme des LfDI v. 15.8.22). Gegen den Beschluss wurde Beschwerde beim OLG Karlsruhe eingelegt. 

Die Entscheidung zum Einsatz von Cloud – Anbietern aus den USA

der Karlsruher Richter wurde nach nur 8 Wochen getroffen. Am 07. September 2022 wurde die Beschlussfassung der Vergabekammer Baden-Württemberg aufgehoben (Az. 15 Verg 8/22).  

Wörtlich führt der Senat dazu aus: 

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.”
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22) 

Damit vertritt das OLG Karlsruhe die Meinung, das bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen ist, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Im vorliegenden Fall hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Beschlussfassung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen. 

Die Bedeutung beim Einsatz von US-Clouds,

wie Google, Amazon, Microsoft & Co ist groß, denn es wird keine pauschale Einschätzung zur DSGVO-Konformität getroffen. Damit wird Klarheit zum Einsatz von Tochterunternehmen der US-amerikanischen Cloud-Anbietern geschaffen.  

Ergänzend möchten wir darauf hinweisen, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Die vorliegenden Rahmenbedingungen des Auftragsverarbeiters müssen im Transfer Impact Assessment (Artikel zum Thema TIA) aufgenommen werden und in die Datenübertragungsbewertung einfließen. 

Das wird nicht die letzte Entscheidung zu diesem Thema sein, denn nach der Schrems- II- Entscheidung des EuGH vom Juli 2020 verhandeln die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield.  

Mehr zum Thema Datenschutz erfahren Sie hier: Leistungen > Datenschutz

/von

Sustainable IT – 5 Themenfelder für Nachhaltigkeit im IT-Bereich

Die Ausrichtung auf Sustainable IT im Unternehmen rückt aufgrund der Energie- und Ressourcenintensität bei Herstellung und Betrieb immer mehr in den Fokus.

Aufgrund des gesellschaftlichen Wandels sowie der sich verschärfenden Regulierung und Gesetzesvorgaben zum Thema Nachhaltigkeit richten immer mehr Unternehmen ihre Geschäftsaktivitäten auf nachhaltige Geschäftsprozesse aus und schaffen Transparenz durch entsprechende Nachhaltigkeitsberichte. Im Fokus stehen dabei – insbesondere auch aufgrund der Vorgaben zur Nachhaltigkeit der Lieferkette – zuallererst die Kerngeschäftsprozesse der Unternehmen.

Das Thema Nachhaltigkeit der Unternehmens-IT bzw. Sustainable IT ist dabei typischerweise eher nicht auf der Agenda der priorisierte Nachhaltigkeitsaktivitäten zu finden, was insbesondere der Komplexität der Umstellung sowie den damit verbundenen hohen Umstellungskosten und den Bedenken im Hinblick auf den reibungslosen IT-Betrieb während der Umstellung geschuldet ist. Zudem wird der Beitrag der Unternehmens-IT zur Steigerung der Nachhaltigkeit von vielen Unternehmen nicht als besonders signifikant wahrgenommen.

Dennoch kann sich die Umstellung auf Nachhaltigkeit der Unternehmens-IT für Unternehmen jeder Größe auszahlen, denn neben der Verbesserung des eigenen Images und der Wahrnehmung bei Kunden und in der Öffentlichkeit lassen sich auch Liquiditätsvorteile, erhöhter Flexibilität sowie handfeste Einsparungen realisieren.

In welchen Bereichen lässt sich Nachhaltigkeit in der Unternehmens-IT umsetzen?

Unternehmensverantwortung und Governance

Die Verankerung des Themas Nachhaltigkeit in der DNA eines Unternehmens legt die Grundlage für die entsprechende Ausrichtung auf Sustainable IT. Hierfür müssen von der Unternehmensleitung eine auf Nachhaltigkeit ausgerichtete Gesamtstrategie formuliert werden, entsprechende Vorgaben und Richtlinien für den IT-Bereich definiert und Governance-Strukturen eingerichtet werden.

Von besonderer Relevanz sind dabei die folgenden Punkte:

  • Erstellung einer Nachhaltigkeits-Richtlinie für Sustainable IT
  • Erstellung einer Green-IT Strategie
  • Commitment der Geschäftsleitung durch Bereitstellung der personellen und finanziellen Ressourcen zur Umsetzung von Sustainable IT
  • Durchleuchtung der Lieferanten im IT-Bereich auf Nachhaltigkeit
  • Verbesserung der Mitarbeiter-Awareness zum Thema Nachhaltigkeit

IT-Architektur und Systemdesign

Ausgerichtete an der Unternehmensstrategie zum Thema Nachhaltigkeit leitet sich die nachhaltige IT-Strategie und davon das Maßnahmenprogramm zur Umsetzung ab.

Mögliche Maßnahmen im Hinblick auf die übergreifende IT-Architektur sowie die Ausgestaltung des Designs von Komponenten und Anwendungen sind unter anderen:

  • Anpassung der IT-Kapazitäten an den tatsächlichen Bedarf durch Verlagerung des IT-Betriebs in die Cloud
  • Fokus auf Standardisierung der IT-Komponenten und Nutzung von Open Source Software
  • Nutzung von Automatisierungspotenzialen zur Effizienzsteigerung

Nachhaltige Beschaffung

Die nachhaltige Beschaffung von IT-Komponenten nimmt aufgrund des hohen Verbrauchs von seltenen Metallen und dem hohen Energieeinsatz bei der Herstellung eine wichtige Rolle ein.

Hierbei sollte insbesondere auf folgende Aspekte geachtet werden:

  • Beschaffung von IT-Komponenten mit verifizierbaren Nachhaltigkeits-Siegeln
  • Nutzung von pre-owned bzw. refurbished Hardware statt Neu-Ware
  • Nutzung von Open Source-Hardware, wie z.B. aus dem Open Compute Project

Nachhaltiger IT-Betrieb

Beim Betrieb der IT-Umgebung steht die effiziente und nachhaltige Nutzung von Energie im Vordergrund. Dabei sollte darauf geachtet werden, dass die dafür erforderliche Elektrizität durch erneuerbare Energien erzeugt wird und die IT-Systeme nur dann laufen, wenn Sie tatsächlich benötigt werden. Insbesondere bei Betreibern von Rechenzentren spielt auch die effiziente Nutzung der anfallenden Wärme durch den Serverbetrieb eine immer wichtigere Rolle.

Folgende Punkte sollten für den nachhaltigen IT-Betrieb betrachtet werden:

  • Nutzung von Green Energy im gesamten Unternehmen
  • Auswahl von nachhaltig operierenden RZ-Dienstleistern
  • Einrichtung von Standby bei Nichtnutzung von IT-Komponenten (Auto off-Funktion)
  • Verlängerung der Nutzungsdauer durch Senkung der Austausch-Häufigkeit

Refurbishment und nachhaltige Entsorgung

Sofern die Entscheidung für den Austausch von IT-Komponenten getroffen wurde, sollten im Hinblick auf die Nachhaltigkeit bei der Beendigung des Life Cycles im Unternehmen folgende Punkte berücksichtigt werden:

  • Wenn möglich – Übergabe von alter Hardware an einen Refurbishment-Dienstleister statt Entsorgung
  • Sofern erforderlich – Entsorgung von Elektroabfall bei Entsorgern mit Nachhaltigkeits-Siegel

Wie jedes Projekt erfordert die Umsetzung von Sustainable IT eine detaillierte Bestandsaufnahme der Ist-Situation, eine Festlegung des konkreten Ziel-Zustands und ein abgeleitetes Programm zur Umsetzung, unterfüttert mit geeigneten Einzelmaßnahmen, deren Umsetzung über ein nachhaltiges Projektmanagement überwacht und nachgesteuert werden sollte.

 

Foto: Adobe Stock/j-mel

/von