Lade Inhalt...

Gesetzliche Anforderungen an Rechenzentren

Seminararbeit 2012 15 Seiten

Informatik - Wirtschaftsinformatik

Leseprobe

Inhaltsverzeichnis

1.1 Einleitung

2.1 Einen Exkurs in die Begrifflichkeit der Rechtsquelle

3.1 Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement
3.1.1 Bürgerliches Gesetzbuch (BGB)
3.1.2 Handelsgesetzbuch (HGB)
3.1.3 Gesellschaft mit beschränkter Haftung Gesetz (GmbHG)
3.1.4 Aktiengesetz (AktG)
3.1.5 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
3.1.6 Sarbanes Oxley Act
3.1.7 Datenschutzgesetze, Urheberrecht
3.1.8 Strafgesetzbuch
3.1.9 Standards zur IT-Sicherheit und zum Risikomanagement

4.1 Fazit

1.1 Einleitung

Bevor wir uns mit der Frage der konkreten gesetzlichen Anforderungen und einschlägigen Industrienormen bzgl. des Betriebs von Rechenzentren beschäftigen, lohnt es sich die Notwendigkeit solcher Regelungen zu hinterfragen. Dabei hilft es, sich ein Bild von einem gängigen Rechenzentrum zu machen.

Mit Rechenzentrum bezeichnet man sowohl das Gebäude bzw. die Räumlichkeiten, in denen die zentrale Rechentechnik (z. B. Rechner aber auch die zum Betrieb notwendige Infrastruktur) einer oder mehrerer Unternehmen bzw. Organisationen untergebracht sind, als auch die Organisation selbst, die sich um diese Computer kümmern. Moderne Rechenzentren stellen eine hochredundantea Infrastruktur bereit, in der Server mit minimal geplanten Ausfallzeiten arbeiten können.

Ein normales Rechenzentrum sieht im Rahmen der Betreuung der Geräte eine organisa- torische Dreiteilung vor. Diese beinhaltet die Systemtechnik, die Systemverwaltung und das Operating. Die Systemtechnik ist für die Hardware verantwortlich. Die Systemver- waltung ist für die Administration der Maschinen zuständig. Das Operating übernimmt tendenziell Hilfsaufgaben, die vom Wechseln des Druckerpapiers, dem Schneiden der Ausdrucke und deren Verteilung oder dem Einlegen von Magnetbändern oder ähnli- chem bis zur Umdefinition von Prioritäten in den Prozessabläufen reichen.

Ein Rechenzentrum auf dem Stand der Technik ist mit zwei Räumen ausgestattet, einem Sicherheitsraum für die sogenannte Feintechnik (IT-Systeme) und einem Raum für die sogenannte Grobtechnik (Klimatisierung, Energieversorgung, Löschmittel etc.). Abhän- gig vom administrativen Umfeld gibt es unterschiedlich starke Sicherheitsanforderungen an Rechenzentren. Meist wird lediglich der Zutritt kontrolliert und die Räume sind durch Alarmanlagen gesichert. Einige sind sogar in einem „atombombensicheren Bunker“ un- tergebracht, der unterirdisch mehrere Stockwerke umfasst und zudem noch EMP-b gesi- chert ist. Der Zutritt ist auf jeden Fall strikt reglementiert. Auch dem Brandschutz und der Vermeidung von Feuern wird ein besonderer Stellenwert eingeräumt. Neben Bran- dabschottungen sind es Löschanlagen, die Hardwareschäden minimieren können. Was- ser, Löschschaum oder Pulverlöschsysteme können einem Großrechner mehr Schaden zufügen als ein verschmortes Kabel. Aus diesem Grund werden in modernen Rechen- zentren vielfach Halone als Löschmittel vorgehalten.

Um für Katastrophen, engl. disaster, (z. B. ein Erdbeben, ein Terror-Anschlag oder ein Brand) oder Ausfallzeiten, engl. downtime, (geplant für z. B. Updates oder ungeplant bei Störungen) gerüstet zu sein, gibt es als «Redundanz-Szenario» das sogenannte „Backup- Rechenzentrum“ (auch bezeichnet als Geo-Redundanz). Dabei wird ein zweites Rechen- zentrum, räumlich vom Originalrechenzentrum deutlich getrennt (je nach Anforderung und möglichen Ausfallszenarien in einem anderen Stadtteil, Land oder sogar Kontinent), möglichst komplett dupliziert. Die Duplizierung gilt sowohl für die Hardware als auch für die Software und die jeweils aktuellen Daten. Sollte das Originalrechenzentrum aus- fallen, so kann der Betrieb im Backuprechenzentrum fortgesetzt werden. In jeder Kon- figuration von Rechenzentren ist ein Notfall- oder Katastrophenmanagement unabdingbar. Jeder Beteiligte muss im Ernstfall wissen, was zu tun und wer zu informieren ist. Die Grundlage dieses Wissens und Handelns ist das Notfallhandbuch, in dem alle relevanten Informationen über das Rechenzentrum, die eingesetzten Systeme und Infrastrukturen, die „schnelle Eingreiftruppe“ und der Ablaufplan inklusiv aller Personen und deren Kontaktdaten enthalten sein müssen.[1]

Im Hinblick der bisher eingegangenen Beschreibung eines Rechenzentrums, verstehen wir was einem Rechenzentrum ausmacht. Maßgeblich sind folgende drei Komponente:

- Elektronische (insbesondere Daten verarbeitende) Geräte;
- Energie (insbesondere Strom); und,
- Menschen.

Wenn der Zusammenspiel dieser drei Komponenten nicht reibungslos funktioniert, da kann der Ernstfall eintreten. Das Thema IT-Sicherheit hat in den letzten Jahren zuneh- mend sowohl in den privatwirtschaftlich organisierten Unternehmen als auch in den öffentlichen Verwaltungen an Bedeutung gewonnen. Erfolgreiche Hackerattacken auf Internet-Portale, aber auch hohe materielle Schäden - verursacht z. B. durch überlas- tete oder nicht mehr verfügbare Systeme - haben dazu geführt, dass IT-Sicherheit ver- stärkt zum Bestandteil eines unternehmens- oder organisationsinternen Risikomanage- ment geworden ist.[2] Aus diesem Grund, sind über die Jahre durch die Ansammlung der Erfahrungswerte und durch die Auswertung wissenschaftlicher Studien eine Reihe an Gesetze, Industriestandards oder auch Best-Practices Normen entstanden. Ziel all dieser Bemühungen ist die Minimierung der Risiken bezogen auf die IT-Sicherheit. In der vor- liegenden Arbeit, wollen wir das Spektrum der rechtlichen Rahmenbedingungen für den Betrieb der Rechenzentren etwa näher betrachten.

2.1 Einen Exkurs in die Begrifflichkeit der Rechtsquelle

Die Rechtsquelle bezeichnet den „Erkenntnisgrund für etwas als Recht“.[6] Rechtsquellen können unterschieden werden in:

- Rechtserzeugungsquellen, die die Vorstellungen und das Verhalten der Betroffenen umfassen, welche das Recht bestimmen;
- Rechtswertungsquellen, die allgemeine Maßstäbe, wie z. B. Gerechtigkeit oder Frei- heit umfassen; und
- Rechtserkenntnisquellen, die Rechtsquellen im engeren Sinne, also Gesetze, Verord- nungen, Satzungen und Verwaltungsvorschriften.

Grundsätzlich gibt es in den Staaten, deren Gefüge oder Verfassung nur eine Gewalt kennt, die die Kompetenz zum Erlass von Rechtssätzen hat, nur eine Rechtsquelle. Mehrere Normgeber wie sie in modernen, demokratischen und pluralistischen Staaten üblich sind, führen zu unterschiedlichen Arten von Rechtsquellen und Rechtssätzen. Die Rechtsquellen werden üblicherweise von der Verfassung vorgegeben.

Die verschiedenen Rechtsquellen stehen nicht unvermittelt nebeneinander. Sie werden nach Art einer Hierarchie im Verhältnis zueinander geordnet. Grund hierfür ist, dass derselbe Sachbereich von verschiedenen Gesetzgebern gleichzeitig geregelt worden sein kann. Dann stellt sich die Frage, welche Rechtsnorm Anwendung findet. Dabei unter- scheidet man grundsätzlich zwischen dem Geltungs- und dem Anwendungsvorrang:

Der Geltungsvorrang beschreibt die im Sinne einer Über- und Unterordnung entworfe- ne Reihenfolge, in der die Rechtsnormen im Verhältnis zueinander stehen sollen und es gilt, dass das „niederrangige“ Recht mit dem „höherrangigen“ zu vereinbaren sein muss.

Der Anwendungsvorrang hingegen bestimmt, dass eine Rechtsnorm im Verhältnis zu ei- ner anderen vorrangig anzuwenden sei; die Geltung der nicht anzuwendenden Norm wird hiervon nicht berührt. Beide Normen gelten innerhalb des Bereichs, für den sie wirksam in Kraft gesetzt worden sind, weiter; diejenige Norm, der ein Anwendungs- vorrang zukommt, verdrängt die andere Norm nur hinsichtlich ihrer Anwendbarkeit. Anwendungsvorrang genießt etwa europäisches Unionsrecht im Verhältnis zu mitglied- staatlichem Recht. Zum Beispiel, steht eine Norm des mitgliedstaatlichen Rechts im Wi- derspruch zu einer Norm des Unionsrechts, so darf das mitgliedstaatliche Gericht die mitgliedstaatliche Norm nicht anwenden. Es muss den Fall anhand der unionsrechtli- chen Regelung entscheiden.[7]

Im Hinblick auf die vorige Erläuterung der Rechtsquellen, es wäre berechtigt sich zu hinterfragen was oder welches Recht gilt nun? Jedoch diese Frage lässt sich nicht so einfach beantworten. Tatsächlich werden es im Zusammenhang mit IT-Projekten immer häufiger eine Vielzahl an rechtlichen Anforderungen gestellt, die sich aus Rechtsquellen unterschiedlichster Art, mit mehr oder weniger hoher Verbindlichkeit und vielfältigen Konsequenzen ergeben. Dabei sollte im Sinne einer effizienten Umsetzungsstrategie danach unterschieden werden, welche Regelungen allgemeingültig und damit zwingend zu beachten sind, welche nur einen mittelbaren (faktischen) Zwang entfalten oder gegebenenfalls keiner weiteren intensiven Beachtung bedürfen.

Regelungen mit „Gesetzescharakter“ gelten gegenüber jedermann.

Nach Art. 2 Einführungsgesetz zum Bürgerlichen Gesetzbuch (BGBEG) ist „Gesetz“ im Sinne des Bürgerlichen Gesetzbuches jede Rechtsnorm. Der Begriff des Gesetzes kann sowohl im materiellen wie auch im formellen Gesetz gemeint sein.[3]

Das formelle Gesetz bestimmt den Rechtsakt als eine Handlung, die im Rahmen eines förmlichen Gesetzgebungsprozesses zustande gekommen ist. Im modernen Rechtsstaat sind dies alle Akte, die durch das Parlament zustande kommen.

Das materielle Gesetz hingegen ist inhaltlich terminiert. Das Gesetz enthält abstrakt-generelle Regelungen von menschlichem Verhalten. Dieser Gesetzesbegriff erstreckt sich also so- wohl auf die Gesetze im engeren Sinne als auch auf Verordnungen und Satzungen sowie Gewohnheitsrechtc.

Rechtsnormen sind also Regeln, die eine «abstrakt-generelle» Geltung und Außenwirkung haben, d.h. die jeder beachten muss. Andere Anforderungen dienen - auf den ersten Blick - lediglich als Richtschnur, können aber „über Umwege“ Verbindlichkeit erhalten, z.B. wenn ein Gesetz dies anordnet oder wenn sich ein Sicherheitsstandard in einer Branche so durchgesetzt hat, dass dessen Nichtbeachtung negative Folgen haben könnte (z.B. im Gerichtsverfahren bei der richterlichen Beweiswürdigung).[4]

Grundsätzlich lassen sich die rechtlichen Rahmenbedingungen wie folgt strukturieren:[5]

- Gesetzliche Regelungen bleiben üblicherweise eher allgemein, da sie eine Vielzahl von Situationen regeln und letztlich nur das Endziel vorgeben wollen.
- Richtlinien weisen hingegen meistens die Handschrift von Praktikern auf und be- ziehen Handlungsempfehlungen ein.
- Standards enthalten die am konkretesten formulierten Vorgaben und entstehen in der Regel im Konsens der jeweiligen Interessengruppen.

Gesetze beinhalten nicht nur die nationalen Gesetze sondern umfassen auch das interna- tionale Völkerrecht. Dies hat zur Folge, dass bestimmte Regelungen aus internationalen zwischenstaatlicher Abkommen auf nationale Ebene den Gesetzesrang erlangen.

3.1 Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement

Ausgehend vom Standpunkt der Datensicherheit und bezüglich der daraus ergebenden Haftungsansprüche und ggf. strafrechtlichen Folgen sind folgende gesetzliche Regelungen von entscheidender Bedeutung:

- Bürgerliches Gesetzbuch (BGB);
- Handelsgesetzbuch (HGB);
- Gesellschaft mit beschränkter Haftung Gesetz (GmbHG);
- Aktiengesetz (AktG);
- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG);
- Sarbanes Oxley Act;
- Basel II;
- Datenschutzgesetze, Urherberrecht; und,
- Strafgesetzbuch.

3.1.1 Bürgerliches Gesetzbuch (BGB)

Im Kontext des Betriebs von Rechenzentren und der IT-Sicherheit sind die Vorschriften aus dem BGB (insbesonere §§ 276, 280 BGB) dahingehend interessant, dass diese die Frage der persönlichen Schuld eines Arbeitnehmers (z. B. Mitarbeiter mit IT-bezogenen Tätigkeiten) bei der mangelhaften Ausübung einer Tätigkeit und die daraus ergebenden Haftungsansprüche gegenüber dem Arbeitgeber und dem Dritten regeln.

Gemäß § 280 Abs. 1 BGB unterläge der Arbeitnehmer einer betragsmäßig unbegrenzten Haftung für Vorsatz und jede Form der Fahrlässigkeit. Jedoch diese Haftung der Arbeit- nehmer ist im normalen Fall als begrenzt zu sehen, denn sogar bei einer sehr gewis- senhaften Arbeitsweise Fehler durch die Angestellten zustande kommen können. Aus diesem Grund seien, nach Auffassung der obergerichtlichen Rechtsprechung, die Haft- pflichtansprüche des Arbeitgebers gegenüber seinen Arbeitnehmern (auch für leitende Angestellte) in ihren Folgen für den Arbeitnehmer abzumildern. Diese Abmilderung er- folgt im Wege einer Begrenzung der Haftung des Arbeitnehmers, für die die Rechtspre- chung ein System der gestuften Haftungsbegrenzung für von Arbeitnehmern verursach- te Schäden entwickelt hat, das nach der Schwere des Verschuldens des Arbeitnehmers beim schädigenden Verhalten wie folgt differenziert:

- Für vorsätzliches Verhalten soll der Arbeitnehmer für den ganzen von ihm verur- sachten Schaden haften.
- Dies gilt im Grundsatz auch für grob fahrlässig herbeigeführte Schäden, es sei denn, es bestünde ein grobes Missverhältnis zwischen der Höhe des Einkommens des schädigenden Arbeitnehmers und des von ihm verursachten Schadens.
- Für Schäden, die auf mittlere Fahrlässigkeit des Arbeitnehmers zurückzuführen sind, soll eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer erfolgen.
- Für Schäden, die der Arbeitnehmer lediglich leicht fahrlässig herbeigeführt hat, soll er schließlich überhaupt nicht haften.[8]

Aufgrund der oben dargelegten und durchaus schwierigen Frage der Haftungsausschluss bzw. Haftungserweiterung des Arbeitsnehmers, es ist sinnvoll solche Systeme beim Be- trieb eines Rechenzentrums zu installieren die Fehlerquoten möglichst minimieren kön- nen.

3.1.2 Handelsgesetzbuch (HGB)

Das Handelsgesetzbuch (HGB) stellt die wesentliche Grundlage für das deutsche Han- delsrecht dar. Den direkten Bezug zu den Vorschriften, die sich mit IT-Sicherheit beschäf- tigen gibt es im HGB nicht. Jedoch gibt es einige Vorschriften, die die Verpflichtungen des „Kaufmanns“ darlegen. So wird z.B. die Buchführungspflicht speziell in HGB § 238 er- wähnt. Die Buchführung muss demnach so beschaffen sein, dass sie einem sachverstän- digen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann, und sie muss den Grundsätzen ordnungsgemäßer Buchführung (GoB) entsprechen. Die Anforderungen der §§ 238, 239 und 257 HGB sind bei der Gestaltung einer IT-gestützen Rechnungslegung zu beachten. Im Einzelnen sind dies:

- die Beachtung der Grundsätze ordnungsgemäßer Buchführung in Verbindung mit den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDP- dU) und die Berücksichtigung der damit verbundenen Anforderungen an die Si- cherheit IT-gestützter Rechnungslegung (vgl. § 239 Abs. 4 HGB i.V.m. §§ 146 Abs. 5, 147 Abs. 6 Abgabenordnung);

- die Nachvollziehbarkeit der Buchführungs- bzw. Rechnungslegungsverfahren (§ 238 Abs. 1 Satz 2 HGB);
- die Nachvollziehbarkeit der Abbildung der einzelnen Geschäftsvorfälle in ihrer Entstehung und Abwicklung (§ 238 Abs. 1 Satz 3 HGB); und,
- die Einhaltung der Aufbewahrungsvorschriften (§ 239 Abs. 4, § 257 HGB).

Sind Teile der Buchhaltung an einen Dritten ausgelagert, müssen demnach Vorkehrun- gen getroffen werden, die Einhaltung der GoB auch für die ausgelagerten Prozesse, in- sofern «rechnungslegungsrelevant» regelmäßig überprüfen zu können. Die Elemente des IT-Systems sind rechnungslegungsrelevant, wenn sie dazu dienen, Daten über Geschäfts- vorfälle oder betriebliche Aktivitäten zu verarbeiten, die entweder dire kt in die IT ge- stützte Rechnungslegung einfließen oder als Grundlage für Buchungen dem Rechnungs- legungssystem in elektronischer Form zur Verfügung gestellt werden (rechnungslegungs- relevante Daten). Der Begriff der Rechnungslegung umfasst dabei die Buchführung, den Jahresabschluss und den Lagebericht bzw. auf Konzernebene den Konzernabschluss und den Konzernlagebericht. In HGB §§ 316-324 werden die entscheidenden Vorgaben für den Abschlussprü fer der betroffenen Gesellschaft aufgeführt.[9]

[...]


[1] Seite „Rechenzentrum“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 30. Januar 2012, 12:10 UTC. http://de.wikipedia.org/w/index. php?title=Rechenzentrum&oldid=99025315 (Abgerufen: 4. Februar 2012, 15:29 UTC)

[2] datenschutz nord GmbH (gegründet als Landesgesellschaft der Freien Hansestadt Bremen) (Mai 2007): NEWSLETTER Rechtliche Vorgaben und Standards zur ITSicherheit und zum Risikomanagement, S. 1

[3] Seite „Rechtsquelle“. In:Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 15. Januar 2012, 08:52 UTC. http://de.wikipedia.org/w/index.php?title= Rechtsquelle&oldid=98380359 (Abgerufen: 5. Februar 2012, 15:17 UTC)

[4] BITKOM e.V., Projektgruppe «Compliance in IT-Outsourcing-Projekten» im Arbeitskreis Outsourcing (2006): Compliance in IT-Outsourcing Projekten. LEITFADEN zur Umsetzung rechtlicher Rahmenbedingungen, S. 18

[5] BITKOM e.V., Projektgruppe «Compliance in IT-Outsourcing-Projekten» im Arbeitskreis Outsourcing (2006): Compliance in IT-Outsourcing Projekten. LEITFADEN zur Umsetzung rechtlicher Rahmenbedingungen, S. 19

[6] Ross, Alf Niels Christian (1929): Theorie der Rechtsquellen. Ein Beitrag zur Theorie des positiven Rechts auf Grundlage dogmengeschichtlicher Untersuchungen.

[7] Seite „Rechtsquelle“. In:Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 15. Januar 2012, 08:52 UTC. http://de.wikipedia.org/w/index.php?title= Rechtsquelle&oldid=98380359 (Abgerufen: 14. Februar 2012, 14:44 UTC)

[8] Schrey, Prof. Dr. Joachim, Rechtsanwalt & Partner, Rechtsanwaltskanzlei Clifford Chance (Frankfurt am Main) In: Online Beitrag „Professioneller Rechenzentrumsbau“ auf der Webseite der Firma proRZ Rechenzentrumsbau GmbH. http: //www.prorz.de/de/Downloads/Beitrag_Prof.Dr.Schrey.html (Abgerufen: 27.Dezember 2011, 20:09 UTC)

[9] BITKOM e.V., Projektgruppe «Compliance in IT-Outsourcing-Projekten» im Arbeitskreis Outsourcing (2006): Compliance in IT-Outsourcing Projekten. LEITFADEN zur Umsetzung rechtlicher Rahmenbedingungen, S. 26-27

a Der Begriff Redundanz (lat. redundare -im Überfluss vorhanden sein) bezeichnet allgemein in der Technik das zusätzliche Vorhandensein funktional gleicher oder vergleichbarer Ressourcen eines technischen Systems, wenn diese bei einem störungsfreien Betrieb im Normalfall nicht benötigt werden.

b Ein elektromagnetischer Puls, abgekürzt EMP, bezeichnet einen einmaligen kurzzeitigen, hochenergetischen, breitbandigen elektromagnetischen Ausgleichsvorgang.

c Das Gewohnheitsrecht ist ungeschriebenes Recht, das nicht durch Gesetzgebung zustande kommt, sondern durch eine andauernde Anwendung von Rechtsvorstellungen oder Regeln, die von den Beteiligten als verbindlich akzeptiert worden sind.

Details

Seiten
15
Jahr
2012
ISBN (Buch)
9783656164067
Dateigröße
516 KB
Sprache
Deutsch
Katalognummer
v190921
Institution / Hochschule
Universität Potsdam
Note
Schlagworte
Betrieb von Rechnernetzen Gesetzliche Anforderungen an Rechenzentren Best Practices beim Betrieb von Rechenzentren

Autor

Zurück

Titel: Gesetzliche Anforderungen an Rechenzentren