Novus INFORMATIONSTECHNOLOGIE - Nach BAIT und VAIT kommen die KAIT ePrivacy-Verordnung vs. Cookies und Tracker - Ebner Stolz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
1. AUSGABE 2019 novus INFORMATIONSTECHNOLOGIE Nach BAIT und VAIT ePrivacy-Verordnung vs. IT-Sicherheitsgesetz 2.0 kommen die KAIT Cookies und Tracker
novus EDITORIAL
Anno 2019 – IT, or not IT,
that is the question
Das berühmte Zitat aus Hamlet „Sein oder Nichtsein, das ist hier die Frage“ (Englisch: “To be,
or not to be, that is the question“) lässt sich – in entsprechend angepasster Form – auch sehr
gut auf den Reifegrad von Sicherheit und Ordnung der Informationstechnologie in den Jahren
2019 und folgende beziehen. Dabei geht es nicht darum, ob und wie man auf IT verzichten
kann – diese Frage stellt sich nicht. Es geht vielmehr um die Anforderungen und gestiegenen
Erwartungshaltungen an die Sicherheit und Ordnung der Informationstechnologie – der verän-
derten bzw. sich ändernden Rolle der IT als ein bzw. der zentrale Dienstleister im Unternehmen.
Es zeigt sich an der Artikelauswahl in diesem novus, dass auch 2019 im Bereich der Informa-
tionstechnologie wieder ein äußerst ereignisreiches Jahr wird. Die Verabschiedung der Neu-
fassung der GoBD nach dem Entwurf Ende 2018 wird für 2019 erwartet. Ebenso die Anpas-
sung des bereits vier Jahre alten IT-Sicherheitsgesetzes (IT-Sig 2.0) sowie die Verabschiedung
der Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) nach BAIT und VAIT aus
2017 bzw. 2018, welche jeweils im Entwurf vorliegen und von uns behandelt werden. Um an
dieser Stelle nur einige zu nennen.
2019 wird in gewisser Weise jedoch auch ein Übergangsjahr sein. Im Bereich der elektro
nischen Rechnung müssen ab dem 27.11.2019 alle öffentlichen Auftraggeber des Bundes
elektronische Rechnungen empfangen und verarbeiten, zum 27.11.2020 weitet sich dies auf
alle Rechnungssteller an öffentliche Auftraggeber aus. Das Kassengesetz wird zum 1.1.2020
in Kraft treten – hier besteht im Jahr 2019 insbesondere noch Konkretisierungsbedarf, was
u. a. im März 2019 in den Entwurf eines BMF-Schreibens zu § 146a AO mündete.
Natürlich bleibt auch die Datenschutzgrundverordnung weiterhin ein Thema. Nach ca. einem
Jahr seit des Inkrafttretens der DSGVO bietet es sich an, ein erstes Resümee zu ziehen, ver-
bunden mit unseren persönlichen Erfahrungen aus der Beratung. Aber auch der datenschutz-
konforme Einsatz von Pseudonymisierungslösungen sowie die weiterhin im Entwurf befind
liche E-Privacy-Verordnung in Verbindung mit (Tracking-) Cookies sind ausgewählte und
aktuelle Themenfelder.
Wir starten zudem mit unserer dreiteiligen Reihe „IT-Notfallkonzept“ mit einem Artikel zur
Erstellung eines solchen Konzeptes. Aufbauend darauf folgt in unseren kommenden Ausga-
ben die Beschreibung von Maßnahmen zur Aufrechterhaltung des Notfallkonzeptes sowie
dessen praxisbezogene Umsetzung.
Wir wünschen Ihnen viel Freude bei der Lektüre unseres aktuellen novus und stehen Ihnen bei
Rückfragen natürlich gern zur Verfügung.
Mit freundlichen Grüßen
Holger Klindtworth Mark Alexander Butzke Marc Alexander Luge
Partner Partner Manager
2
INHALT
IT & WIRTSCHAFTSPRÜFUNG
Entwurf zur Neufassung der GoBD 4
ZUGFeRD 2.0 6
PEPPOL und die elektronische Rechnung 7
DATEV wird GoBD-konform 8
Updates Kassengesetz 2019 8
GoBD-konforme Archivierung von (elektronisch) eingehenden Rechnungen 9
Nach BAIT und VAIT kommen die KAIT 9
IT-RECHT
Anforderungen an datenschutzkonforme Pseudonymisierung 12
ePrivacy-Verordnung vs. Cookies und Tracker 13
Der erste Jahrestag DSGVO – Was ist passiert? 16
IT-SICHERHEIT
IT-Sicherheitsgesetz 2.0 18
Cybersecurity Act anno 2019 20
Supportende Windows 7 und Windows Server 2008 (R2) 21
Der Weg zur Erstellung eines (IT-)Notfallkonzepts 22
In-Memory Datagrids vs. In-Memory-Datenbanken 25
INTERN 27
3
novus IT & WIRTSCHAFTSPRÜFUNG
Entwurf zur Neufassung der GoBD
Die Grundsätze zur ordnungsgemäßen Füh- Zentrale geplante Änderungen für die 2) S
cannen mithilfe von Smartphones
rung und Aufbewahrung von Büchern, Auf- Buchhaltung (Rz. 130)
zeichnungen und Unterlagen in elektroni- Die Digitalisierung von Belegen wird
scher Form sowie zum Datenzugriff (GoBD) Grundsätzliche Neuerungen werden dabei gelockert. Mit dem Entwurf der Neu-
in ihrer jetzigen Form wurden am 14.11.2014 an vier Themen vorgenommen: fassung der GoBD soll zudem die bild-
(BStBl. I 2014, S. 1450) veröffentlicht. Nun liche Erfassung (Scannen/Abfotografieren)
hat sich aber vor allem im Bereich Digitalisie- 1) Speichermedium Cloud (Rz. 20) mittels Smartphone zulässig werden.
rung der Geschäftsprozesse seitdem einiges 2014 wurde das Cloudsystem als Spei- Dies soll vor allem Erleichterungen bei
geändert. Dies hat auch das Bundesfinanz- chermedium noch nicht in die abschlie- der bildlichen Erfassung von Reisekos-
ministerium (BMF) erkannt und Ende des ßende Aufzählung der Rz. 20 der GoBD ten, Schriftstücken, Geschehnissen o. Ä.
letzten Jahres einen Entwurf zur Neufassung aufgenommen. In dem Entwurf der Neu- bringen.
der GoBD an zahlreiche Verbände zur Stel- fassung wird das Cloudsystem als Spei-
lungnahme versandt. Der Entwurf ist bislang chermedium sowie als Bearbeitungs- 3) Ersetzendes Scannen und Buchfüh-
zwar noch nicht finalisiert. Die darin enthal- und Ablagetool in die abschließende rung im Ausland (Rz. 136)
tenen Änderungen werden sich jedoch auf Aufzählung aufgenommen und zählt nun Gemäß Rz. 140 der bisherigen GoBD
verschiedene Bereiche der Buchhaltung aus- als anerkanntes System für Haupt-, Vor- dürfen Dokumente zur Langzeitauf
wirken. und Nebensystem. Dabei ist jedoch der bewahrung eingescannt und das Papier-
Standort des Servers des Cloud-Systems dokument im Nachgang vernichtet wer-
entscheidend. Befindet sich dieser im den. Durch die Neufassung sollen dieser
Ausland, ist eine separate Genehmigung Vorgang und das Speichern in Zukunft
gemäß §146 Abs. 2a AO zur Aufbewah- auch im Ausland möglich sein. Jedoch soll
rung von Buchführungsunterlagen im dies nur zulässig sein, wenn auch die
Ausland erforderlich. Buchführung ins Ausland verlagert und
4
die Verlagerung genehmigt wurde und gen vorgenommen wurden, keine aufbe- Aktueller Stand und Ausblick
zudem der Prozess des zeitnahen Ein- wahrungspflichtigen Informationen bei
scannens der Unterlagen nach Übertra- der Konvertierung verloren gegangen Zurzeit befindet sich die Neufassung der
gung der Papierdokumente ins Ausland sind, die Umwandlung in einer Verfah- GoBD noch im Entwurfsstadium. Ausge-
gesichert ist. rensdokumentation dokumentiert und wählte Verbände können sich noch zu dem
somit nachvollziehbar ist und die maschi- Entwurf äußern. Nach diesem Prozessschritt
4) K onvertierung und Aufbewahrung nelle Auswertung durch die Konvertie- wird das BMF erneut über die Neufassung
(Rz. 135) rung nicht beeinträchtigt wird. und die eingegangenen Änderungsvorschlä-
In Rz. 134 der GoBD 2014 ist festgelegt, ge der Kritiker beratschlagen. Erst mit Veröf-
dass eingescannte Dokumente zwar in fentlichung eines entsprechenden BMF-
andere Formate konvertiert werden dür- Was bedeuten die Änderungen in der Schreibens werden die neuen GoBD
fen (z. B. hauseigene Formate), die Origi- Praxis? rechtskräftig. Ein konkreter Zeitplan hierzu
naldatei neben der konvertierten Datei liegt bislang noch nicht vor.
aber stets aufbewahrt und diese beiden Durch die geplanten Änderungen der
Dateien miteinander verknüpft werden GoBD wird Unternehmen die Möglichkeit
müssen. Durch die Neufassung soll dies der Weiterentwicklung und Digitalisierung
reformiert werden. Zukünftig soll das eröffnet. Die Buchhaltung kann stärker
Verwahren der Originaldatei bei einer digitalisiert, eingelagerte Papierdokumen-
verlustfreien Konvertierung nicht mehr te können aus Archiven entnommen und
verpflichtend sein. Die Originaldatei kann digital aufbewahrt und Cloud-Lösungen
somit gelöscht bzw. überschrieben wer- können stärker in Unternehmen verwen-
den, wenn bei der Konvertierung keine det werden.
bildlichen oder inhaltlichen Veränderun-
5
novus IT & WIRTSCHAFTSPRÜFUNG
ZUGFeRD 2.0
Wie bereits in unseren vorherigen Ausgaben Unterschiede 1.0 und 2.0 Tool zur Rechnungsversendung nutzen. Die
des novus Informationstechnologie berichtet XRechnung besteht hingegen aus einem
(vor allem 3. Ausgabe 2017 und 1. Ausgabe Zentraler Unterschied zwischen den Versio- reinen XML-Datenformat. Zweitens kann bei
2018), wächst das Anwendungsgebiet der nen des ZUGFeRD ist, dass es bei der Version der Erstellung von Rechnungen auf verschie-
E-Rechnung stetig. Bislang erfüllte jedoch 1.0 nur möglich war, die Rechnungen als dene Rechnungsanforderungen zurückge-
strenggenommen nur die XRechnung die An- hybride Rechnung, bestehend aus dem griffen werden. Es kann bei ZUGFeRD 2.0
forderungen der EU-Richtlinie 2014/55/EU XML-Format und einer PDF-Datei, zu versen- zwischen einer geringen Rechnungsanfor-
vom 16.4.2014 und der EN 16931. den. Mit der Version 2.0 und dem abgeän- derung (BASIC-Format), einer erhöhten
ZUGFeRD 1.0 als Zentraler User Guide des derten Rechnungs-Profil EN 16931 (früher Rechnungsanforderung (EXTENDED-Format)
Forums elektronische Rechnung Deutsch- Profil Comfort) ist es nun möglich, die bei- sowie einer gesetzlich anerkannten Rech-
land ist bereits 2014 als Spezifikation vor der den Formate in getrennten Dateien und nungsanforderung (EN 16931-Format) ge-
EU-Richtlinie erschienen und erfüllte in ihrer nur eine strukturierte XML-Datei zu versen- wählt werden. Für alle drei Rechnungsarten
Ursprungsversion nicht die EU-rechtlichen den. Somit ist auch der Rechnungsaustausch findet sich in dem generellen Download von
Anforderungen in vollem Umfang. mit den öffentlichen Stellen möglich, da die ZUGFeRD 2.0 eine Musterrechnung.
XML-Datei nicht mehr eingebettet in die
Um dies zu ändern, wurde am 11.3.2019 die PDF-Datei versandt wird, sondern auch
zweite Version des ZUGFeRD veröffentlicht. eigenständig verschickt werden kann. Fazit
Bereits seit einigen Jahren wurde an diesen
Veränderungen gearbeitet. Das darauf auf- Durch ZUGFeRD 2.0 ist von nun an nicht
bauende E-Rechnungs-Format ist für den Unterschiede zur XRechnung mehr nur die XRechnung durch die öffent
Rechnungsaustausch zwischen Unterneh- lichen Stellen anerkannt. Durch die Sepa
men, mit der öffentlichen Verwaltung und Die Version ZUGFeRD 2.0 hat gegenüber der ration der beiden Dateiformate kann auch
Verbrauchern geeignet. ZUGFeRD 2.0 ist in XRechnung zwei grundlegende Unterschie- nur das im Business-to-Government-Ge-
enger Abstimmung und Anlehnung an die de: Erstens besteht die ZUGFeRD-Rechnung schäft (B2G) anerkannte strukturierte XML-
Factur-X, dem französischen Standard, ent- als hybrides Rechnungsformat auch aus Format an die Behörden versandt werden.
wickelt worden. Somit sind beide Standards einer PDF/A-3-Datei (Bildteil), welche die Sicht- Nun ist eine Wahlmöglichkeit gegeben, wel-
technisch nahezu identisch und fördern komponente bildet und durch den Rech- che der beiden E-Rechnungsformate für das
das Ziel der EU-Richtlinie, die Rechnungs nungsempfänger verwendet werden kann. jeweilige Unternehmen sinnvoller ist und
formate auf europäischer Ebene zu standar- Vom Rechnungsempfänger können die zum Einsatz kommen soll. Insbesondere
disieren. strukturierten Rechnungsdaten ausgelesen der Aspekt, dass ZUGFeRD neben der XML-
und verarbeitet werden. Gleichzeitig wird Datei auch eine PDF-Datei erzeugt, könnte
eine inhaltlich identische XML-Datei der für Unternehmen interessant sein. Durch
Rechnung mitversandt, welche dann maschi- das Erstellen eines zusätzlichen bildlichen
nell weiterverarbeitet wird. Somit ist nicht Teils können Unternehmen, unabhängig
die technische Ausstattung des Rechnungs- von der technischen Aufstellung des Rech-
empfängers dafür entscheidend, in welcher nungsempfängers, einheitlich ein Tool zur
Form die E-Rechnung versendet wird. Das Rechnungserzeugung und -versendung
die Rechnung ausstellende Unternehmen verwenden.
kann unabhängig von der Software des
Empfängerunternehmens ein einheitliches
6
PEPPOL und die elektronische Rechnung
Bei PEPPOL (Pan-European Public Procure- PEPPOL und E-Rechnung Einrichtungen vorhanden sein muss. Die Frist
ment OnLine) handelt es sich ursprünglich um zur Implementierung von PEPPOL ist identisch
ein durch die Europäische Union gefördertes Durch die Richtline 2014/55/EU wurde mit den Fristen zur Umsetzung der Richtlinie
internationales Projekt, welches zur Standar- bislang nur der Standard für Rechnungs 2014/55/EU – dies bedeutet:
disierung der grenzüberschreitenden elektro- formate definiert. In welcher Form, also mit-
nischen Vergabeverfahren des öffentlichen hilfe welches Protokolls, die Übertragung der ff
Die obersten Bundesbehörden mussten
Sektors führen soll. PEPPOL stellt dabei ein E-Rechnungen im B2G-Geschäft stattfinden bereits ab dem 27.11.2018 in der Lage
Netzwerk dar, welches dem Austausch von soll, war bislang nicht definiert. Um diese Lü- sein, elektronische Rechnungen zu emp-
standardbasierten elektronischen Dokumen- cke zu schließen und damit öffentliche Ein- fangen und zu verarbeiten. Um diese
ten zwischen Handelspartnern dient. Als richtungen in Zukunft nicht alle Aus- Anforderung erfüllen zu können, wurde
standardbasierte Dokumente gelten hier tauschprotokolle (SFTP, AS2, AS4, X.400…) am 20.11.2018 die Zentrale Rechnungs-
unter anderem elektronische Bestellungen, bereitstellen und akzeptieren müssen, hat der eingangsplattform des Bundes (ZRE) ein-
Lieferscheine, Rechnungen, Kataloge. IT-Planungsrat im April 2018 beschlossen, geführt. Diese dient zur Rechnungsein-
dass PEPPOL in Zukunft auch als verpflichten- gangsverarbeitung von E-Rechnungen in
des Übermittlungstool im Bereich der E-Rech- Form einer XRechnung.
PEPPOL besteht dabei insbesondere aus nungsübertragung im öffentlichen Sektor ein-
gesetzt werden soll, dies jedoch nur, falls das ff
Alle anderen öffentlichen Auftraggeber
ff
den Dokumentenspezifikationen von jeweilige öffentliche Institut einen Webservice des Bundes folgen dann ein Jahr später
unterschiedlichen Geschäftsprozessen, zur Rechnungsübertragung anbietet. am 27.11.2019.
die den Aufbau der elektronischen Doku-
mente regeln (Business Interoperability Neben PEPPOL können weiterhin andere Über- ff
Alle Rechnungssteller werden gegenüber
Specification – BIS), tragungsweisen für E-Rechnungen gewählt öffentlichen Auftraggebern des Bundes
werden. PEPPOL stellt hier nur den Mindest- ab dem 27.11.2020 zur elektronischen
ff
dem PEPPOL Transportnetzwerk (eDelive- standard dar, welcher bei allen öffentlichen Rechnungsstellung verpflichtet.
ryNetwork) mit entsprechender Trans-
portprotokollstruktur,
ff
einem rechtlichen Rahmenwerk, das die
Zusammenarbeit im Netzwerk regelt (Trans- Rechnungssteller Rechnungsempfänger
port Infrastructure Agreements – TIA).
Um den Datenaustausch zu ermöglichen,
benötigt der Handelspartner einen PEPPOL
Access Point, welcher die Verbindung zum
PEPPOL-Netzwerk herstellt. Dabei kann der
Provider des Access Points frei gewählt
werden. Da es aufwändig ist, einen PEPPOL
Access Point zu erstellen und zu registrieren,
greifen viele Unternehmen auf spezialisierte
Dienstleister zurück.
Dieses Austauschnetzwerk wurde bereits PEPPOL Access Point eDelivery Network PEPPOL Access Point
Ende August 2012 europaweit erfolgreich
implementiert.
7
novus IT & WIRTSCHAFTSPRÜFUNG
DATEV wird GoBD-konform
Bislang war es in den DATEV-Programmen Praktisch konnte diese automatische Fest- Dies hatte Einfluss auf das Erfordernis des
zur Finanzbuchhaltung möglich, die auto- schreibung in DATEV durch die Vergabe zeitnahen Buchens sowie der Unveränder-
matische Festschreibung von Buchungssta- von Ausnahmerechten umgangen werden. barkeit des Belegstoffes.
peln beim Import auszuschalten. Durch die Diese Ausnahmerechte verhindern die auto-
Festschreibung können die importierten matische Festschreibung, wodurch die Mit der neuen Fassung 13.0 von DATEV
Buchungen nicht mehr abgeändert oder Buchungsstapel auch nach Import ohne wurden zentrale Änderungen vorgenom-
überschrieben werden. Für jede Änderung Nachweis und erneute Freigabe verändert men. Die importierten Stapel müssen nun
eines bereits importierten Buchungssatzes werden können. Diese Ausnahmerechte zwangsweise festgeschrieben werden, so-
wird im Falle der Festschreibung eine Ände- konnten in der Benutzer- und Rechtever dass diese nicht mehr nachträglich undoku-
rungs- oder Stornobuchung generiert. gabe vergeben werden. mentiert verändert werden können.
Updates Kassengesetz 2019
Ende 2016 ist das Gesetz zum Schutz vor Diese technischen Richtlinien wurden im Informationstechnologie, 2. Ausgabe 2018).
Manipulationen an digitalen Grundaufzeich- Februar 2019 überarbeitet und auf der Mitte Februar 2019 ist der Entwurf eines
nungen (sog. Kassengesetz) in Kraft getre- Homepage des BSI (www.bsi.bund.de) unter dritten Anwendungsschreibens an die Ver-
ten. Am 1.6.2017 wurde die sog. Kassen Publikationen veröffentlicht: bände zur Stellungnahme verschickt wor-
sicherungsverordnung (KassenSichV) vom den. Es zeigt sich, dass weiterhin Konkreti-
Bundestag verabschiedet, welche direkt an ff
BSI TR-03153 Technische Sicherheitsein- sierungsbedarf hinsichtlich der Umsetzung
das Kassengesetz anschließt und eine Konkre- richtung für elektronische Aufzeich- besteht.
tisierung der Anforderungen des § 146a AO nungssysteme, Version 1.0.1
vornimmt und deutlich macht, welche tech- Dieses Entwurfsschreiben beinhaltet z. B.
nischen Maßnahmen erforderlich sind. Das ff
BSI TR-03151 Secure Element API (SE Vorgaben zur Belegausgabepflicht. Wo
Kassengesetz gibt vor, dass ab 1.1.2020 API), Version 1.0.1 § 6 KassenSichV noch von einem standardi-
elektronische Aufzeichnungssysteme (insb. sierten Datenformat spricht, ist dies im Ent-
Registrierkassen) mittels einer technischen ff
BSI TR-03116 Kryptographische Vorga- wurfsschreiben mit Beispielen (JPG, PNG
Sicherheitseinrichtung (TSE) vor Manipula ben für Projekte der Bundesregierung Teil oder PDF) versehen. Hinsichtlich § 146a
tionen zu schützen sind. 5 – Anwendungen der Secure Element Abs. 1 Satz 2 AO (Schutz durch eine zertifi-
API, Stand 2019 zierte technische Sicherheitseinrichtung) soll
eine Präzisierung erfolgen, dass es keine
§ 5 KassenSichV – Geänderte technische Auf die aktualisierten technischen Richtlini- Beanstandungen gibt, sofern mehrere ein-
Anforderungen en wird mit BMF-Schreiben vom 28.2.2019 zelne elektronische Aufzeichnungssysteme
(BStBl. I 2019, S. 206) hingewiesen. (bspw. Verbundwaagen oder App-Systeme)
Für die am 1.6.2017 beschlossene Kassen- mit einem Kassensystem im Sinne von
SichV, welche aufbauend auf dem Kassenge- § 146a AO i. V. m. § 1 Satz 1 KassenSichV
setz die Anforderungen an die technischen Entwurf eines Anwendungsschreibens verbunden sind und durch eine zertifizierte
Maßnahmen konkretisiert, wurden im Juni zu § 146a AO technische Sicherheitseinrichtung geschützt
2018 durch das Bundesamt für Sicherheit werden, welche im gesamten Verbund
in der Informationstechnik (BSI) nach § 5 Das BMF hat bereits in 2018 zur Kassen- gemeinsam genutzt wird.
KassenSichV unter Mitwirkung des BMF die Nachschau (BMF-Schreiben vom 29.5.2018,
entsprechenden technischen Richtlinien an BStBl. I 2018, S. 699) sowie zur Einzelauf-
das Sicherheitsmodul, das Speichermedium zeichnungspflicht (BMF-Schreiben vom
und die einheitliche digitale Schnittstelle 19.6.2018, BStBl. I 2018, S. 706) seine Auf-
des elektronischen Aufzeichnungssystems fassung zur praktischen Umsetzung der ge-
veröffentlicht. setzlichen Vorgaben dargelegt (vgl. novus
8
GoBD-konforme Archivierung von (elektronisch)
eingehenden Rechnungen
Im Zuge eines digitalen Rechnungseingangs- Für die Archivierung von Mails mit Geschäfts- Unternehmen, welche E-Mail-Rechnungen
Workflows ist durch die GoBD definiert, dass brief-Charakter gilt dieselbe Aufbewah- erhalten, aber kein entsprechendes System
eingehende Rechnungen in ihrem originären rungsfrist wie für klassische Geschäftsbriefe im Einsatz haben, das neben der Aufbewah-
Format aufzubewahren sind. Dies bedeutet (mindestens sechs Jahre). Wird eine E-Mail rung u. a. die Unveränderbarkeit und Lesbar-
in einem ersten Schritt, dass die Aufbewah- selbst als Transportmittel (analog eines Brief- keit sicherstellt, verstoßen damit gegenwär-
rung im produktiven System, in einem umschlages) genutzt, ist ausschließlich der tig gegen die GoBD.
Archivsystem oder in einem Drittsystem er- Anhang (und damit die elektronische Rech-
folgen kann. Gleichzeitig sind die elektroni- nung) aufbewahrungspflichtig. Ist die E-Mail Es empfiehlt sich, für eingehende Rechnun-
schen Rechnungen (nicht nur) aufgrund der selbst die Rechnungsstellung, ist eben diese gen ein separates Postfach zu erstellen, das
Wahrung des Rechts auf Vorsteuerabzug so für einen Zeitraum von mindestens zehn Jah- automatisch ins Archivsystem geleitet wird.
aufzubewahren, dass diese vor Änderungen ren zu archivieren. Wichtig ist die Aufbewah- Die Weiterverarbeitung der Rechnung (bspw.
geschützt sind. Falls Änderungen vorgenom- rung im ursprünglichen Format. zur Rechnungsprüfung) für interne Zwecke
men werden, ist sicherzustellen, dass die kann dann weiter elektronisch erfolgen.
Änderungen erkennbar sind. Dies bietet
faktisch nur ein Archivsystem.
Nach BAIT und VAIT kommen die KAIT
Nachdem die Bundesanstalt für Finanzdienst- organisatorische Ausstattung der KVGen im IT-Strategie
leistungsaufsicht (BaFin) im November 2017 Bereich der Informationstechnologie. Die
mit den „Bankaufsichtliche Anforderungen an in den Mindestanforderungen an das Risiko- Es erfolgt eine Konkretisierung der Anfor-
die IT“ (BAIT) und im Juli 2018 den „Versiche- management von Kapitalverwaltungsgesell- derungen nach Ziffer 4.2 der Mindestanfor-
rungsaufsichtliche Anforderungen an die IT“ schaften (KAMaRisk) bereits definierten derungen an das Risikomanagement von
(VAIT) detaillierte Anforderungen an die tech- IT-Anforderungen bleiben bestehen und Kapitalverwaltungsgesellschaften (KAMa-
nisch organisatorische Ausstattung der IT veröf- werden z. T. konkretisiert. Risk). Die KVG muss über eine aktuelle und
fentlichte, erfolgt dies nun auch für Kapitalver- zur Geschäftsstrategie konsistente IT-Strate-
waltungsgesellschaften (KVGen). Am 8.4.2019 Betroffen von diesem Rundschreiben sind gie verfügen. Mindestinhalte werden zent-
wurde der Entwurf des Rundschreibens „Kapi- KVGen im Sinne des § 17 KAGB, sofern die- ral im Rundschreiben definiert, u. a. „Strate-
talverwaltungsaufsichtliche Anforderungen an se über eine Erlaubnis nach dem KAGB ver- gische Entwicklung der IT-Aufbau- und
die IT“ (KAIT) zur Konsultation gestellt. fügen. Ausgenommen sind u. a. registrierte IT-Ablauforganisation der KVG sowie der
KVGen nach § 44 KAGB oder extern verwal- Auslagerungen von IT-Dienstleistungen“.
tete Investmentgesellschaften. Dies ist u. a. bekannt aus den BAIT. Ergän-
Hintergrund und Anwendungsbereich zend zu den BAIT wird eine sinnvolle Über-
Ziel ist es, „einen flexiblen und praxisnahen prüfbarkeit von Zielen gefordert. Die Erst-
Die KAIT geben insb. auf der Grundlage der Rahmen für die technisch-organisatorische verabschiedung sowie eine erfolgte Verän-
§§ 28, 29 und 30 Kapitalanlagegesetzbuch Ausstattung der KVGen – insbesondere für derung der IT-Strategie sind dem Aufsichts-
(KAGB), §§ 4 bis 6 Verordnung zur Konkre das Management der IT-Ressourcen und für organ (z. B. Aufsichtsrat) zur Kenntnis zu
tisierung der Verhaltensregeln und Organisa- das IT-Risikomanagement“ vorzugeben. geben. Weiterhin wird eine Kommunikation
tionsregeln nach dem Kapitalanlagegesetz- von Veränderungen der IT-Strategie inner-
buch (KAVerOV) und den Art. 38 bis 66 der Die Anforderungen werden analog den BAIT halb der KVG gefordert.
Delegierten Verordnung (EU) Nr. 231/2013 aus November 2017 für insgesamt acht Be-
der Kommission vom 19.12.2012 zur Ergän- reiche definiert:
zung der Richtlinie 2011/61/EU des Euro
päischen Parlamentes und des Rates (AIFM
Level 2-VO) einen Rahmen für die technisch-
9
novus IT & WIRTSCHAFTSPRÜFUNG
IT-Governance Informationssicherheitsmanagement Löschung von Berechtigungen sowie die
regelmäßige Überprüfung vergebener Berech-
Im Rahmen der IT-Governance werden Struk- Durch das Management ist eine Informationssi- tigungen (Rezertifizierung) sind nachvollzieh-
turen zur Steuerung sowie Überwachung des cherheitsleitlinie zu definieren und zu kommu- bar und auswertbar zu dokumentieren. Es
Betriebs und der Weiterentwicklung der nizieren (Rz. 25f). Die KAIT stimmen hier mit handelt sich insgesamt um Konkretisierungen
IT-Systeme definiert. Im Wesentlichen sind den in 2017 veröffentlichten BAIT überein. Als der Anforderungen nach Ziff. 8.1 Tz. 3 sowie
dies die Regelungen zur IT-Aufbau- und IT- eine zentrale Neuerung für die KVGen defi- Ziff. 4.5 Tz. 7 KAMaRisk.
Ablauforganisation, zum Informationsrisiko- niert die KAIT aber auch die Einführung des
sowie Informationssicherheitsmanagement, Aufgabengebietes eines Informationssicher- Die Anforderungen an das Management der
hinsichtlich der Personalausstattung der IT heitsbeauftragten (ISB). Der ISB verantwortet Benutzerberechtigungen ist mit den Anforde-
sowie zum Umfang und zur Qualität der tech- neben der Wahrung der Informationssicher- rungen der BAIT identisch.
nisch-organisatorischen Ausstattung. heit in der KVG, insbesondere vor dem Hin-
tergrund der Auslagerung von IT-Dienstleis-
Die KVGen haben sicherzustellen, dass die tungen, diese auch gegenüber Dritten. Die IT-Projekte, Anwendungsentwicklung
IT-Geschäftsaktivitäten auf Basis von Organi- Funktion des ISB ist zur Vermeidung von (inkl. durch Endbenutzer in den Fach
sationsrichtlinien betrieben werden. Interessenskonflikten organisatorisch und bereichen)
prozessual unabhängig auszugestalten. Die-
Über die Konkretisierungen der BAIT hinaus se Tätigkeit ist grundsätzlich im eigenen In diesem Abschnitt werden organisatorische
gehen die KAIT bei der Funktionsfähigkeit von Haus vorzuhalten. Eine Auslagerung an Drit- sowie prozessuale Vorgehensweisen spezi
Notfallmaßnahmen. Diese sind regelmäßig zu te ist nur in zwei Fällen möglich: fiziert. Vorgegeben wird u. a., dass in IT-Pro-
testen. jekten
ff
„KVGen mit geringer Mitarbeiterzahl und
ohne wesentlichen eigenen IT-Betrieb, bei ff
wesentliche Risiken aus Projekten in das
Informationsrisikomanagement denen die IT-Dienstleistungen im Wesent- Unternehmensrisikomanagement einflie-
lichen durch einen externen IT-Dienstleis- ßen und regelmäßig sowie anlassbezogen
Zukünftig sind durch die KVGen Prozesse zu ter erbracht werden“, an das Management berichtet werden
implementieren, welche IT-Risikokriterien, ff
„konzernangehörige KVGen mit geringer müssen,
die Identifikation von IT-Risiken, den Schutz- Mitarbeiterzahl und ohne wesentlichen ff
diese angemessen zu überwachen sowie
bedarf sowie die Schutzziele identifizieren, eigenen IT-Betrieb, bei denen Dienstleis- zu steuern sind.
bewerten, überwachen und steuern. Wie bei tungen im Wesentlichen durch konzern-
den BAIT und VAIT erfolgt die Ermittlung des angehörige Unternehmen erbracht wer- In Bezug auf die Anwendungsentwicklung
Schutzbedarfs anhand der Schutzziele Integ- den“. von eigen entwickelten Applikationen oder
rität, Verfügbarkeit, Vertraulichkeit und durch Dritte entwickelte Applikationen ist
Authentizität. Ebenfalls ist ein Sollmaßnah- Wie beim Informationsrisikomanagement ist bspw. vorzusehen, dass
menkatalog zur Umsetzung der Schutzziele regelmäßig, mindestens vierteljährlich, über
zu erstellen. Die Risikoanalyse erfolgt dabei den Status der Informationssicherheit in Form ff
Prozesse für „die Vorgaben zur Anforde-
auf einem Soll-Ist-Abgleich der Maßnahmen. eines Statusberichts zu berichten. rungsermittlung, zum Entwicklungsziel,
Die Ergebnisse aus der Risikoanalyse sind zur (technischen) Umsetzung (einschließ-
in das übergeordnete Risikomanagement lich Programmierrichtlinien), zur Quali-
des Unternehmens zu integrieren sowie Benutzerberechtigungsmanagement tätssicherung, sowie zu Test, Abnahme
gegenüber der Geschäftsleitung regelmäßig, und Freigabe“ definiert werden müssen,
mindestens vierteljährlich, in Form eines Im Rahmen des Benutzerberechtigungs ff
durch externe Unternehmen zu internen
Statusberichts darzulegen. Die KAIT stellen managements wird konkretisiert, dass Mitar- Zwecken und durch interne Mitarbeiter
nochmals klar, dass bei der Festlegung des beiter ausschließlich jene Berechtigungen be- Anwendungen über eine für sachkundige
Schutzbedarfs und der Identifizierung der sitzen dürfen, welche diese zur Ausübung Dritte nachvollziehbare Dokumentation
Risiken auch die verbleibenden Restrisiken ihrer Tätigkeit direkt benötigen (Prinzip der verfügen müssen (Anwenderdokumenta-
zu berücksichtigen sind. minimalen Rechtevergabe bzw. des Need-to- tion, technische sowie prozessuale Sys-
Know-Prinzips). Spezifische Anforderungen temdokumentation, Betriebsdokumenta-
betreffen in diesem Zusammenhang bspw. die tion).
Erstellung von Berechtigungskonzepten sowie
die direkte Zuordnungsmöglichkeit eines nicht
personalisierten Benutzers (z. B. technischer
Benutzer) zu einer handelnden Person. Die
Einrichtung, Änderung, Deaktivierung und
10Dabei ergänzen die KAIT die Notwendigkeit, Auslagerungen und sonstiger Fremdbe- halb der Finanzbranche zu Diskussionen
Veränderungen auch auf die Auswirkungen zug von IT-Dienstleistungen geführt hat. Hier schaffen die KAIT gegen-
für bereits implementierte Kontrollverfahren über den BAIT eine deutliche Konkretisie-
zu berücksichtigen. Eine grundsätzliche Tren- Von zentraler Bedeutung ist die Definition, rung und Klarstellung.
nung von Produktiv- und Testumgebung wann eine Auslagerung vorliegt – dies ist
wird ebenfalls explizit gefordert. nach KAIT der Fall, wenn dritte Unterneh- Wie auch bei den BAIT definiert wurde, sind zu-
men mit der Wahrnehmung von Aufgaben künftig bei den Auslagerungen und dem sonsti-
Ebenfalls wird klargestellt, dass diese Anfor- beauftragt werden, die eigentlich in die Ver- gen Fremdbezug IT-Risikobetrachtungen vor der
derungen und Kriterien für die Risikoidentifi- antwortung der KVGen fallen. Unter den Be- Gesamtentscheidung zu berücksichtigen.
zierung, zur Ermittlung des Schutzbedarfs griff der Auslagerung fällt damit konkret:
sowie für die Verwendung von getrennten
Test- und Produktivsystemen auch für von ff
„die Anpassung der Software an die Fazit
den Fachbereichen selbst entwickelte An- Erfordernisse der KVG (Parametrisierung
wendungen (sog. individuelle Datenverarbei- und Customising), Die Anforderungen an die Informations-
tung, IDV) einzuhalten sind. ff
die entwicklungstechnische Erstellung sicherheit steigen, einhergehend mit der Erhö-
von Programmen oder Programmteilen hung des IT-Risikobewusstseins. Das hat die
und die Umsetzung von Änderungswün- BaFin bereits mit den BAIT und den VAIT
IT-Betrieb (inkl. Datensicherung) schen (Programmierung), verdeutlicht.
ff
das Testen, die Freigabe und die Imple-
Der Abschnitt IT-Betrieb konkretisiert die Anfor- mentierung der Software in die Produkti- Die KAIT können als weiterer Schritt der
derungen nach Ziffer 8.1 Tz. 1, Ziffer 4.3 Tz. 17 onsprozesse beim erstmaligen Einsatz Konkretisierung und Ausgestaltung der be-
sowie Ziffer 8.1 Tzn. 2 und 3 KAMaRisk. Vor- und bei wesentlichen Veränderungen, stehenden aufsichtsrechtlichen Anforderun-
gegeben wird u. a., dass insbesondere von programmtechnischen gen gesehen werden. Es ist vorstellbar, dass
Vorgaben, die hier formulierten, weitergehenden Kon-
ff
ein Lifecycle-Management zur Steuerung ff
Fehlerbehebungen gemäß der Anforde- kretisierungen zu den BAIT und VAIT in zu-
des IT-Systemportfolios zu implementieren rungs-/Fehlerbeschreibung des Auftrag- künftige Fassungen der BAIT und VAIT über-
ist, gebers oder Herstellers, nommen werden.
ff
Änderungen von IT-Systemen in geordneter ff
sonstige Unterstützungsleistungen (wie
Weise aufzunehmen, zu dokumentieren, zu z. B. der Betrieb und die Wartung von Die KAIT sollen ohne offizielle Übergangsfrist,
bewerten, zu priorisieren, zu genehmigen IT-Systemen durch Dritte).“ bis spätestens Ende Juni 2019 in Kraft treten.
sowie koordiniert und sicher umzusetzen Daher ist seitens der KVGen kurzfristig zu
sind, Als sonstiger Fremdbezug wird zum einen prüfen, inwieweit einzelne Anforderungen
ff
Störungen und damit Abweichungen der isolierte Bezug von handelsüblicher Stan- der BaFin bereits erfüllt werden und an wel-
vom Normalbetrieb in geeigneter Weise dard-Software bezeichnet. Standard-Soft- chen Stellen noch Anpassungsbedarf besteht.
zu erfassen, zu bewerten, zu priorisieren ware ist dabei eine Software, an der noch Grundsätzlich bleibt aber festzuhalten, dass
und zu eskalieren sind, keine unternehmenseigenen Anpassungen es sich bei den BAIT, VAIT und KAIT nicht
ff
die Anforderungen an die Datensiche- (inkl. automatischer Updates und Patches) um grundlegend neue Anforderungen han-
rung aus den Geschäftsprozessen sowie vorgenommen wurden. Zum anderen ist delt, sondern nur um eine Konkretisierung
dem Business-Continuity-Plan abzuleiten sonstiger Fremdbezug die Personalgestel- von bestehenden Anforderungen.
sind. Dies ist in einem Datensicherungs- lung, also die Beschäftigung bei einem Drit-
konzept mit den Anforderungen an die ten unter Fortsetzung des bestehenden
Verfügbarkeit, Lesbarkeit und Aktualität Arbeitsverhältnisses, zugunsten der KVG,
der Kunden- und Geschäftsdaten zu sofern auf den KVG-eigenen Systemen nach
dokumentieren. Regelmäßig, zumindest Einweisung und unter Kontrolle gearbeitet
einmal jährlich, ist ein Wiederherstel- wird.
lungstest aus der Datensicherung (auch
zur Sicherstellung der Lesbarkeit) vor Wesentlicher ergänzender Punkt zu den
zunehmen. BAIT ist hier, dass die Definition des Bezugs
von handelsüblicher Standard-Software,
Dieser Abschnitt in den KAIT wurde aus den nebst Updates und Patches sowie Erbrin-
BAIT unverändert übernommen. gung von Administrationstätigkeiten unter
der Kontrolle der KVG, als sonstiger Fremd-
bezug eingestuft wird. Dies war bisher ein
Punkt, welcher in der Vergangenheit inner-
11novus IT-RECHT
Anforderungen an datenschutzkonforme Pseudonymisierung
Nach der Europäischen Datenschutzgrund- den und technischen und organisatorischen Jede Pseudonymisierung muss bestimme Vor
verordnung (DSGVO) sind Unternehmen für Maßnahmen unterliegen, die gewährleisten, aussetzungen erfüllen, um auch wirklich als
den Schutz personenbezogener Daten ver- dass die personenbezogenen Daten nicht Pseudonymisierung im Sinne der DSGVO zu
antwortlich. Es sind angemessene Maßnah- einer identifizierten oder identifizierbaren gelten. Insbesondere muss sichergestellt
men zum Schutz personenbezogener Daten natürlichen Person zugewiesen werden“ sein, dass zusätzliche Informationen, mit de-
vorzusehen (siehe Art. 24, 25, 32 DSGVO). (Art. 4 Nr. 5 DSGVO). nen die personenbezogenen pseudonymi-
Technische Maßnahmen zum Schutz von sierten Daten einer konkreten Person zuge-
personenbezogenen Daten sind zum Beispiel Dies bedeutet: Pseudonymisierung ist die Ver- ordnet werden könnten (z. B. Zuordnungs-
die Anonymisierung und Pseudonymisie- wendung eines Pseudonyms anstelle des ur- tabellen, die jedem Mitarbeiter eine Perso-
rung. sprünglichen Namens oder des ursprünglichen nalnummer zuweisen), von den Pseudony-
Identifikationsmerkmals. Somit kann von dem men und den damit verbundenen Informati-
Die Fokusgruppe Datenschutz des Bundes- verwendeten Pseudonym nicht ohne Hinzuzie- onen getrennt aufbewahrt werden.
ministeriums des Innern hat ihr Arbeitspapier hen von zusätzlichen Informationen auf den
zu den Anforderungen an den datenschutz- konkret dahinterstehenden Menschen zurück- Grundsätzlich können zwei verschiedene
konformen Einsatz von Pseudonymisierungs- geschlossen werden. Pseudonyme sind z. B. Pseudonymisierungsverfahren gewählt wer-
lösungen veröffentlicht. Dieses Arbeitspapier Personalnummern, aber auch in Cookies ge- den. Entweder erfolgt die Pseudonymisie-
befasst sich mit der rechtlichen Einordnung, speicherte Nummern zur Identifikation von rung über eine Pseudonymisierungsliste oder
den Voraussetzungen sowie den technischen Computern. Der wesentliche Unterschied zwi- über ein Berechnungsverfahren. Eine Pseudo
und organisatorischen Anforderungen an schen Pseudonymisierung und Anonymisie- nymisierungsliste ordnet dabei einer Tabelle
die Pseudonymisierung. Es baut auf dem be- rung ist, dass bei der Pseudonymisierung eine Pseudonymen zu, wobei die Pseudonyme
reits 2017 veröffentlichten Arbeitspapier Rückführung auf die Einzelperson möglich ist. keinen funktionalen oder inhaltlichen Bezug
„Leitlinien für die rechtssichere Nutzung von Bei der Anonymisierung ist eine solche Re- zu den Identitätsdaten haben. Beim Berech-
Pseudonymisierungslösungen unter Berück- Identifikation nicht möglich. nungsverfahren werden die Pseudonyme al-
sichtigung der Datenschutzgrundverord- gorithmisch aus Identitätsdaten berechnet.
nung“ auf (siehe novus Informationstechno- Auch pseudonymisierte personenbezogene Wichtig ist hierbei, dass dieser Prozess der
logie, 3. Ausgabe 2017). Daten sind personenbezogene Daten. Die Transformation nach einem anerkannten
Pseudonymisierung von personenbezogenen und gültigen Verfahren (bspw. BSI-Richtlinie
Laut DSGVO bedeutet Pseudonymisierung Daten alleine macht daher eine Datenverar- TR-02102-1 – „Kryptographische Verfahren:
„die Verarbeitung personenbezogener Da- beitung noch nicht rechtmäßig. Auch für die Empfehlungen und Schlüssellängen“) zu er-
ten in einer Weise, dass die personenbezo- Speicherung, Nutzung oder Verarbeitung folgen hat. Beide Verfahren sind anerkannte
genen Daten ohne Hinzuziehung zusätz pseudonymisierter personenbezogener Da- Verfahren.
licher Informationen nicht mehr einer ten ist eine Rechtsgrundlage (Erlaubnisnorm)
spezifischen betroffenen Person zugeordnet erforderlich. Selbstverständlich gelten auch
werden können, sofern diese zusätzlichen alle anderen Anforderungen der DSGVO für
Informationen gesondert aufbewahrt wer- pseudonymisierte personenbezogene Daten.
12ePrivacy-Verordnung vs. Cookies und Tracker
Spätestens seit dem Start der öffentlichen zern bei der Nutzung von Webseiten selbst Die Einsatzzwecke von Cookies sind vielfältig.
Konsultationen zum Entwurf der ePrivacy-Ver- (z. B. Klickverhalten, Verweildauer auf bestimm- Cookies ermöglichen eine komfortable Nut-
ordnung (ePrivacy-VO-E) werden deren ge- ten Unterseiten der Webseite) fallen hierunter. zung der Webseite, indem etwa Zugangsein-
plante Regelungen insbesondere zwischen stellungen für die laufende Sitzung gespei-
Vertretern der Digitalwirtschaft und Verbrau- chert werden können oder in Formularfelder
cher- und Datenschützern kontrovers disku- Cookies und sonstige Tracking-Tools eingegebene Daten in einem Webshop nicht
tiert. Auch wenn mit einem Inkrafttreten der erneut eingegeben werden müssen, selbst
ePrivacy-Verordnung frühestens 2020 zu rech- Um die Nutzer einer Webseite bzw. deren wenn der Nutzer zwischendurch eine andere
nen ist, lohnt es sich angesichts der weitrei- Endgerät identifizieren zu können, werden Webseite in demselben Browser-Fenster auf-
chenden Folgen, bereits heute den aktuellen Cookies eingesetzt. Cookies sind kleine Da- gerufen haben sollte und danach zu der zu-
Entwurfsstand der ePrivacy-Verordnung und teien, die beim Besuch und der Nutzung einer erst aufgerufenen Webseite zurückkehrt.
die möglichen Konsequenzen für die Verwen- Webseite automatisch durch den Browser auf
dung von Cookies und sonstigen Tracking- dem Endgerät, sei es PC, Smartphone oder Tracking-Cookies wiederum dienen der Ana-
Tools auf Webseiten zu erörtern. Dabei stellen Tablet, des Nutzers gespeichert werden. In- lyse und Verfolgung des Nutzerverhaltens.
sich insbesondere Fragen, ob Cookies und halt dieser Cookies ist zunächst eine eindeuti- Ein bekanntes Beispiel sind die von Google
Tracker zukünftig überhaupt noch verwendet ge ID, die die Identifikation des wiederkeh- Analytics im Auftrag des Webseiten-Betrei-
werden dürfen und falls ja, unter welchen renden Endgeräts durch dieselbe Webseite bers gesetzten Tracking-Cookies. Sie werden
Voraussetzungen. Eine Analyse Ihrer Websei- ermöglicht sowie die Webseite bzw. Domain, oft nicht von der Webseite selbst, sondern
ten und der darauf eingesetzten Methoden von der das Cookie stammt. Bei einem erneu- durch einen Dritten (z. B. Adserver) zumeist
und Tools ist bereits zum jetzigen Zeitpunkt ten Aufruf einer solchen Seite sendet der über die Werbebanner oder ähnliche Inhalte
empfehlenswert, weil die Umsetzung der An- Browser das Cookie an den Webserver und der besuchten Seite gesetzt. Dadurch wird
forderungen und möglicher Alternativen eini- dieser kann das Endgerät identifizieren, auf personalisierte und zielgruppenspezifische
ge Zeit in Anspruch nehmen dürften und, so- seine gespeicherten Nutzungsdaten zugrei- Werbung möglich, die sich nach den Surfin-
fern Cookies oder Tracking-Tools zum Einsatz fen und die Webseite anpassen. Je nach Kon- teressen des einzelnen Nutzers richtet. Hier-
kommen, zumindest die Datenschutzgrund- figuration des Cookies kann es noch weitere bei werden Werbeflächen auf vielen ver-
verordnung (DSGVO) auf Cookies und Tra- Daten enthalten, wie etwa Eingabedaten des schiedenen Webseiten geschaltet, die jeweils
cking-Tools anwendbar ist und daher insofern Nutzers in Formulare auf der Webseite. Da- dasselbe Cookie nutzen, da es sich um den-
hohe Geldbußen verhängt werden können. ten über das Endgerät oder das Nutzungsver- selben Drittanbieter-Server handelt, der das
halten sind üblicherweise schon aufgrund der Cookie gesetzt hat. So wird eine Identifikati-
Die ePrivacy-Richtlinie (ePrivacy-RL), die ur- eingeschränkten Größe des Cookies nicht im on des Nutzers über einen Pool von Websei-
sprünglich bereits in 2002 beschlossen wur- Cookie selbst enthalten, sondern auf dem ten und personalisierte Werbeeinblendun-
de, ist als „Vorgängerin“ der geplanten ePri- Server gespeichert. Die Cookies werden nur gen möglich.
vacy-VO auch nach Inkrafttreten der DSGVO gespeichert, wenn die Browsereinstellungen
neben dieser gültig. Sie zielt unter anderem dies grundsätzlich zulassen. Ein Tracking ist aber auch ohne Cookies mög-
auf den Schutz personenbezogener Daten bei lich. Eine solche Tracking-Technik, die ohne
der elektronischen Kommunikation über Tele- Es gibt unterschiedliche Arten von Cookies. Cookies arbeitet, ist das sog. Canvas Finger-
kommunikationsnetze und sogenannte Tele- Sie können etwa nach ihrer Lebensdauer in printing. Dabei werden „technische“ Daten
medien wie z. B. Webseiten. Die ePrivacy-RL Sitzungscookies, die automatisch gelöscht des Computers, des Smartphones und der
enthält daher auch Regelungen für die Daten- werden, wenn der Browser geschlossen wird, Browser-Software ausgewertet, um anhand
verarbeitung während des Besuchs einer bis hin zu persistenten Cookies, die gespei- dieser Daten das Endgerät mit hoher Wahr-
Webseite. Wie die ePrivacy-RL enthält auch chert bleiben, bis sie durch den Nutzer explizit scheinlichkeit zu identifizieren. Viele dieser
die ePrivacy-VO-E zusätzliche Regelungen zur gelöscht werden, unterschieden werden. „technischen“ Daten müssen aus techni-
Verarbeitung elektronischer Kommunikati- schen Gründen zur richtigen Anzeige einer
onsdaten, die in Verbindung mit der Bereit- Hinsichtlich der Weitergabe von Daten ist Webseite ohnehin an den Server übermittelt
stellung und Nutzung elektronischer Kommu- zwischen Erstanbieter- und Drittanbieter- werden. Diese Form des Trackings ist nur
nikationsdienste, wie Telefon oder Webseiten, Cookies zu unterscheiden, d. h. Cookies, die schwer zu verhindern.
erfolgt. Solche Daten können personenbezo- durch den Anbieter der Webseite gesetzt und
gene Daten wie IP-Adressen, aber auch rein genutzt werden (Erstanbieter-Cookie/First- Eine weitere Möglichkeit des Trackings sind
„technische“ Daten über das Endgerät (z. B. Party-Cookie) und solchen, deren Ursprung sog. „Zählpixel“. Es handelt sich um kleine,
Smartphone-Typ) und über die benutzte Soft- bei einem Dritten, etwa einem Partnerunter- oft „unsichtbare“ Bilddateien, die beim Laden
ware (z. B. Webbrowser) sein. Aber auch nehmen des Webseitenbetreibers, liegt (Dritt einer Webseite automatisch „mitgeladen“
„Analysedaten“ über das Verhalten von Nut- anbieter-Cookie/Third-Party-Cookie). werden. Der Zählpixel wird aber nicht von dem
13novus IT-RECHT
Server geladen, auf dem die Webseite gespei- Regelungen der DSGVO gelten. Solange die spruchsmöglichkeit (Opt-Out) ermöglicht
chert ist, sondern von dem Server eines Drit- ePrivacy-VO noch nicht in Kraft getreten ist, be- wird. Diese Frage liegt aktuell dem EuGH zur
ten. Dadurch wird die IP-Adresse des Besu- stimmt sich nach deren Rechtsauffassung die Entscheidung vor. Es ist damit zu rechnen,
chers der Website aus technischen Gründen Zulässigkeit von Cookies und Tracking-Tools dass der EuGH sich der Auffassung der deut-
an diesen Dritten weitergeleitet – oft ohne ausschließlich anhand der datenschutzrechtli- schen Aufsichtsbehörden und der Argumen-
Wissen des Besuchers der Website. Dieser chen Erlaubnistatbestände in Art. 6 DSGVO. tation des Generalanwalts anschließen wird.
Dritte kann dadurch erkennen, wie oft die Die datenschutzrechtlichen Regelungen aus Das heißt, dass auch in Zukunft davon auszu-
Webseite von einem bestimmten Nutzer, dem dem deutschen TMG würden wegen der um- gehen ist, dass eine Einwilligung vor Setzen
eine IP-Adresse zugeordnet ist, aufgerufen fassenden Geltung der DSGVO keine Anwen- der Cookies bzw. vor Einsatz der Tracking-
wurde. dung mehr finden. Tracking könnte theore- Tools explizit durch den jeweiligen Websei-
tisch zwar auch unter Geltung der DSGVO ten-Betrachter erklärt werden muss. Für eine
Laut der Konferenz der deutschen Daten- aufgrund einer Interessenabwägung erlaubt Einwilligung reicht eine reine Information
schutzaufsichtsbehörden (DSK) und nach sein, sofern ein berechtigtes Interesse vorliegt. etwa durch „Cookie-Banner“ mit der Formu-
Auffassung des Europäischen Gerichtshofs Zusätzlich müsse das Tracking zur Wahrung lierung „Mit Nutzung dieser Webseite erklä-
(EuGH) handelt es sich beim Tracking um dieses Interesses erforderlich sein und die Inte- ren Sie sich einverstanden, dass Cookies
eine Form der Verarbeitung personenbezo- ressen der Webseitennutzer dürften nicht über- gesetzt werden.“ nicht aus.
gener Daten zur Nachverfolgung des indivi- wiegen (Art. 6 Abs. 1 lit. f DSGVO). Im Rahmen
duellen Verhaltens von Nutzern. dieser Interessenabwägung kommt die DSK Eine Lösung, um die erforderliche Einwilli-
allerdings zu dem Schluss, dass das Setzen von gung einzuholen, sind die sog. Cookie-Ban-
Da Cookies durch die Speicherung auf dem persistenten Cookies zumindest zu Tracking- ner, die beim Besuch einer Webseite erschei-
Endgerät und andere Tracking-Methoden po- Zwecken und der Einsatz sonstiger Tracking- nen und um eine explizite Zustimmung des
tentiell in die Privatsphäre der Nutzer eindrin- Methoden nicht aufgrund einer Interessenab- Webseiten-Betrachters bitten. Die Anforde-
gen und Tracking-Cookies oder andere Tra- wägung nach Art. 6 Abs. 1 lit. f DSGVO erlaubt rungen an eine wirksame Einholung der Ein-
cking-Methoden gar detaillierte Persönlich- ist. Die DSK zieht im Rahmen der Interessenab- willigung sind jedoch nicht zu unterschätzen.
keitsprofile liefern können, hatte der europäi- wägung folgende Aspekte heran: Zunächst darf vor Erklärung der Einwilligung
sche Gesetzgeber bereits mit der sog. Cookie- noch kein entsprechendes Tracking-Cookie
Richtlinie reagiert, durch die seit 2009 in ff
die Erwartung der Nutzer beim Besuch der gesetzt werden bzw. kein Tracking-Tool zum
Art. 5 Abs. 3 ePrivacy-RL eine Einwilligung Webseite, ob also der Nutzer mit dem Einsatz kommen. Es genügt z. B. nicht, wenn
erforderlich ist, sobald ein nicht absolut tech- Tracking rechnen muss, dieses Cookie wieder gelöscht wird, wenn
nisch „notwendiger“ Cookie gesetzt werden ff
die Möglichkeiten des Nutzers, ein solches die Einwilligung ausbleibt. Weiterhin muss
soll. Diese Regelung hat der deutsche Gesetz- Tracking zu verhindern, der Cookie-Banner dem Nutzer die Wahl las-
geber jedoch bis heute nicht vollständig ff
die Verknüpfung der durch das Tracking sen, ob er freiwillig dem Einsatz von Tracking-
umgesetzt. Vielmehr sieht er in § 15 Abs. 3 gewonnenen Daten mit Daten aus ande- Tools zustimmt oder dies ablehnt. Nutzer
Telemediengesetz (TMG) vor, dass (pseudony- ren Quellen (Big Data), müssen durch eine Handlung, etwa das Set-
me) Nutzerprofile mittels Cookies oder ande- ff
den Umfang der über einen Nutzer ge- zen eines Hakens oder Klicken auf eine
rer Tracking-Tools auch ohne Einwilligung speicherten Daten, Schaltfläche, ihren Willen kundtun ein Tra-
erstellt werden dürfen, wenn dem Nutzer ff
die Anzahl derjenigen Empfänger, die die cking-Cookie setzen lassen zu wollen. Die
ein Widerspruchsrecht eingeräumt wird (opt- Daten erhalten, und der Zweck, den diese Nutzer müssen bereits im Cookie-Banner
out-Lösung). Empfänger mit diesen Daten verfolgen über alle wesentlichen Umstände des Tra-
(z. B. Schaltung personalisierter Werbung), ckings informiert werden. Hierzu gehört ins-
ff
die Speicherdauer der Daten bzw. Gültig- besondere, welche Daten gespeichert wer-
Einwilligung oder Widerruf mittels Coo- keit der Cookies und den, wer Zugang zu den Trackingdaten
kie-Banner ff
die Kategorien der Daten. erhält, ob diese an Dritte weitergegeben
werden und zu welchen Zwecken die Daten
Die unvollständige Umsetzung von Art. 5 Häufig dürften beim Tracking daher die Inter- verarbeitet werden. Weitere Informationen,
Abs. 3 ePrivacy-RL in das deutsche Recht essen der Nutzer überwiegen, dass kein Per- wie z. B. die Gültigkeitsdauer von Cookies
führt aktuell zu einer unklaren Rechtslage. sönlichkeitsprofil über ihr Verhalten bei Nut- und die Speicherdauer der Daten, können
Diese Rechtsunsicherheit wird voraussichtlich zung von Websites erstellt wird. dagegen in der Datenschutzerklärung auf
erst mit Inkrafttreten der ePrivacy-VO beho- der Webseite veröffentlicht werden. Und zu-
ben werden. Die Aufsichtsbehörden verlangen daher eine letzt ist auf die jederzeitige Widerrufsmög-
Einwilligung (Opt-in) für Tracking-Cookies lichkeit der Einwilligung hinzuweisen. Auf
Die DSK, d. h. alle deutschen Datenschutzbe- oder sonstige Tracking-Methoden – selbst, der anderen Seite dürfen Einwilligungstexte
hörden, gehen jedoch schon jetzt davon aus, wenn pseudonyme Nutzerprofile erstellt wer- in Cookie-Bannern nicht „überfrachtet“ sein
dass wegen fehlender spezialgesetzlicher Re- den sollten. Es genügt also insbesondere und müssen aus Transparenzgründen so kurz
gelungen für Cookies und Tracking-Tools die nicht, dass dem Nutzer lediglich eine Wider- und einfach wie möglich formuliert sein.
14Verschwinden Cookie-Banner durch die der Unternehmen auf Cookie-Banner ver- Erstellung von Nutzerprofilen wird auch unter
ePrivacy-VO? zichten könnte und erhebliche Kostenein- DSGVO und ePrivacy-Verordnung zukünftig
sparungen und Vereinfachungen erreicht der informierten Einwilligung der Nutzer be-
Eines der erklärten Ziele der ePrivacy-VO ist werden. Dies erscheint zweifelhaft, da die dürfen, zumal die ePrivacy-Verordnung ledig-
eine Reduktion der Cookie-Banner. Um die- Anbieter der Browser nun für diese globale lich die Erhebung auf den Endgeräten regeln
ses Ziel zu erreichen, erlaubt die ePrivacy- Browsereinstellung unter anderem „alle wird, nicht jedoch die weitere Verarbeitung
VO-E (Art. 9 Abs. 2 ePrivacy-VO-E), dass wichtigen Informationen über die mit der der Daten. Auch wenn der europäische Ge-
Einwilligungen zum Setzen von Tracking- Annahme von Cookies von Drittanbietern setzgeber davon ausgeht, dass die Cookie-
Cookies auch mittels globaler Einstellungen verbundenen Risiken, wozu auch das Anle- Banner durch die Möglichkeit globaler Ein-
etwa im Browser eingeholt werden können. gen langfristiger Aufzeichnungen über die stellungen zur Privatsphäre in den Browsern
Diese Einstellungen müssen die Browser Browserverläufe des Betroffenen und die abnehmen werden, bleibt dies abzuwarten
nach Art. 10 ePrivacy-VO-E auch technisch Verwendung solcher Aufzeichnungen zur und erscheint eher zweifelhaft. Das Bemühen
zur Verfügung stellen und die Nutzer zur Übermittlung gezielter Werbung gehören“, der Webseitenbetreiber mit Inkrafttreten der
Entscheidung über die Einstellungen auffor- geben müssten. Eine informierte Einwilli- DSGVO wirksame Einwilligungen durch den
dern, wenn auch während der Installation gung ist auf diesem Weg jedenfalls nicht zu Einsatz „echter“ Cookie-Banner einzuholen,
und nicht etwa während der ersten Verwen- erhalten war insoweit nicht umsonst, sondern wird im
dung. Insbesondere sollen differenzierte Ein- Gegenteil auch weiterhin erforderlich sein.
stellungsmöglichkeiten von höherem Schutz
(„Cookies niemals annehmen“) über mittle- Fazit
ren Schutz („Cookies von Drittanbietern zu-
rückweisen“) bis zu niedrigerem Schutz Noch liegt die ePrivacy-Verordnung nur im Ent-
(„Cookies immer annehmen“) implemen- wurf vor und sowohl der Inhalt als auch der
tiert sein (ePrivacy-VO-E, Erwägungsgrund Zeitpunkt des Inkrafttretens ist nach drei Jah-
23). Der europäische Gesetzgeber erhofft ren intensiver Diskussion noch nicht absehbar.
sich dadurch, dass ein beträchtlicher Anteil Das Tracking von Webseitennutzern und die
15Sie können auch lesen
