Österreich
Secure Your Business
 

Gerichtsgültige Beweiskraft der
Dokumentation nach ISO 27001 & 20000

 

Gemäß DSG gilt Beweislastumkehr: Geklagte müssen Unschuld beweisen.
ISO-27001-Dokumentation kann „lebensrettend“ sein.


frank(Juni 2012) - Im Strafrecht, im allgemeinen Bürgerlichen Recht und nach unserem „privaten“ Rechtsverständnis gilt zunächst immer die Unschuldsvermutung „im Zweifel für den Angeklagten“: Der Kläger muss demnach beweisen, dass der Geklagte einen Schaden verursacht hat. In geschäftlichen Vertragsbeziehungen und gemäß Datenschutzgesetz im Besonderen verhält sich dies nicht immer so. Für Ersatzansprüche nach dem DSG (§ 33) gilt die Beweislastumkehr, wonach der Geklagte seine Unschuld beweisen muss. Dadurch wird die Position des Klägers tendenziell begünstigt. Hier kommt die Intention des Gesetzgebers deutlich zum Ausdruck, dass dem Schutz von Daten und Informationen höchste Priorität einzuräumen ist.

Forderungen des DSG
In jedem Unternehmen, gleichgültig aus welcher Branche, verlangt § 14 DSG die Einrichtung eines angemessenen IT-Sicherheitssystems zum Zweck, verarbeitete Daten vor Verlust, Verfälschung und Missbrauch zu schützen. Als Mittel zur Zielerreichung fordert das DSG, dass Datenschutz „nach dem Stand der technischen Möglichkeiten“ gewährleistet werden muss, u.a. mit Zutrittsberechtigungen, Protokollierungs- und Dokumentationsmaßnahmen …“ – Forderungen, die in der Praxis alle durch ein Managementsystem für Informationssicherheit nach ISO 27001 abgedeckt werden.

Mögliche Folgen und Strafen
Schäden aufgrund eines Verstoßes gegen das Datenschutzgesetz liegen keinesfalls „nur“ in derwaage vielzitierten Verwaltungsstrafe von bis zu 25.000 Euro. Neben „Soft-Schäden“ wie Imageverlust Mitarbeiter-Demotivation oder Kunden-Misstrauen drohen die faktischen finanziellen Schäden zur Behebung des Datenverlustes, weiters Schadenersatzforderungen und Strafen. Im Internet sind Daten räumlich nicht gebunden: Strafen weit über der Millionengrenze wurden wegen Missbrauch mit Daten bei Banken z.B. in Großbritannien verhängt. Schadenersatzforderungen Dritter wegen Datenpannen können auch in Österreich sehr hoch werden.

Haftungsvoraussetzung
Als Haftungsvoraussetzung gilt das Verschulden der geklagten Partei. Der Geklagte muss im Wesentlichen folgende Aspekte erfüllen und gemäß Beweislastumkehr nachvollziehbar belegen:

  • „Ausreichende Sicherheitsmaßnahmen“ (§ 14 DSG) 
  • nach dem „Stand der Technik“ 
  • „Sorgfalt eines ordentlichen Unternehmers“ gemäß § 347 UGB – schließt Datenschutzmaßnahmen ein und erlaubt keine Fahrlässigkeit.

Dokumentation und Aufzeichnungen
In Gerichtsverfahren können Dokumentation und Aufzeichnungen gemäß ISO 27001 – und gemäß ISO 20000 (Security Management) – „lebensrettend“ sein. Warum, wird im Folgenden dargelegt. In Kapitel 4.3 der ISO 27001 werden die Dokumentationsanforderungen ausgeführt:

Inhalt der Dokumentation: 

  • Politik und Ziele
  • Anwendungsbereich der ISMS
  • Verfahren und Maßnahmen, die das ISMS unterstützen
  • Risikobewertung und -behandlung
  • Dokumentierte Verfahren zur wirksamen Planung, Durchführung und Kontrolle
  • geforderte Aufzeichnungen gemäß Pkt. 4.3.3

Anforderungen an Dokumente und Aufzeichnungen: 

  • Richtigkeit und Aktualisierung
  • Nachvollziehbarkeit
  • Herkunft und Vertrauenswürdigkeit
  • Auffindbarkeit und Lesbarkeit
  • Verteilung und Geheimhaltung
  • Kontrolle
  • Schutz gegen Missbrauch, Veränderung, Verlust

Juristische Bedeutung der Zertifizierung
Eine solcherart strukturierte Vorgehensweise bei Dokumenten und Aufzeichnungen liefert ausreichende und nachvollziehbare Informationen, die als gerichtlich anzuerkennendes Beweismaterial verwendbar sind. Im Rahmen eines ISO-27001-zertifizierten und somit von einer unabhängigen Prüfstelle laufend kontrollierten Managementsystems haben Dokumente und Aufzeichnungen einen erhöhten Stellenwert in Gerichts- und Behördenverfahren. Denn die Bescheinigung eines Prüfungsergebnisses hat (gemäß (ZPO, StPO, AVG etc.) grundsätzlich dann Beweiskraft, wenn die entsprechende Prüfung von glaubwürdigen Personen oder Organisationen nachvollziehbar und dokumentiert durchgeführt wurde. Diese Anforderungen treffen auf Zertifizierungen nach ISO 27001 und ISO 20000 zu: Eine staatlich akkreditierte Prüforganisation führt Prüfungen durch, deren Ergebnisse in Auditberichten nachvollziehbar festgehalten werden. Prüfungszertifikate akkreditierter Zertifizierungsgesellschaften besitzen eine erhöhte Beweiskraft, dass ein angemessenes Sicherheitssystem eingerichtet ist, weil die Prüfungen erfolgen:

  • durch externe, unabhängige, 
  • staatlich geprüfte und zugelassene, 
  • sachkundige Personen,
  • deren Vertrauenswürdigkeit regelmäßig überwacht wird.
     
  • In nachvollziehbarer Weise,
  • in regelmäßiger Wiederholung, 
  • mit sinnvoll geregelter Dokumentation,
  • zusätzlich durch interne Audits, 
  • mit dem Ziel ständiger Verbesserungen.

Vorbeugung gegen Strafen und Haftung
Schlussfolgerung: Ein Informationssicherheits-Managementsystem nach ISO 27001 oder ein IT-Service-Managementsystem nach ISO 20000 trägt nicht nur wesentlich zur Vermeidung von Schadensfällen bei. Die Dokumente und Aufzeichnungen nach ISO 27001 oder ISO 20000 liefern auch wesentliche Beweismittel zur Aufklärung von Schadensursachen, gegen ein Verschulden und gegen die Beweislastumkehr. Somit nehmen zertifizierte Managementsysteme eine wesentliche Rolle zur Vorbeugung gegen Strafen oder Haftung für Schäden ein.

 

Präsentation auf dem 8. Information-Security-Symposium


Rechtsanwalt Dr. Markus Frank, LLM, leitet interdisziplinäre Untersuchungen von Schadenursachen bei Wirtschaftsdelikten und schweren Vertragsverletzungen, um Ansprüche seiner Klienten durchzusetzen oder Haftungen abzuwehren. Vor diesem Hintergrund ist er als Rechtsexperte im Beirat der Zertifizierungsorganisation CIS vertreten und fungiert als Trainer im Rahmen des Lehrgangs zum „Information Security Manager nach ISO 27001“.

 


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB