Weitere ähnliche Inhalte Ähnlich wie IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen Ähnlich wie IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen (20) Mehr von Stephan Schmidt (11) IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen1. IT-RECHTLICHE ANFORDERUNGEN –
HAFTUNGSFALLEN FÜR UNTERNEHMEN
Stephan Schmidt
Rechtsanwalt und Fachanwalt für IT-Recht
IHK Hanau-Gelnhausen-Schlüchtern
12. November 2014
2. Agenda
I. Begriffe
II. Anwendbare Rechtsvorschriften
III. Wer haftet eigentlich?
IV. Praxisbeispiele
© TCI Rechtsanwälte 2014 2
4. Begriffe
• Compliance = „Befolgung“
• Einhaltung von Gesetzen, Richtlinien und anderen
Verhaltensmaßregeln im Unternehmen
• Einrichtung und Dokumentation von Kontroll- und Steuerungsprozessen
• Ziel ist das „vollständig regelkonforme Unternehmen“
• z.B. Korruption und unzulässige Kartellabsprachen,
Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und
aufzuklären
• Aber auch das Compliance-Programm selbst muss den
gesetzlichen Anforderungen genügen
• IT-Compliance und Datenschutz bedingen sich oft gegenseitig
• Europäische Datenschutz-Grundverordnung soll die drohenden
Sanktionen bei Datenschutzverletzungen massiv verschärfen
© TCI Rechtsanwälte 2014 4
5. Begriffe
• IT-Compliance = Regelkonforme IT-Systeme
• „Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder
Vertraulichkeit von Informationen betreffen, durch
Sicherheitsvorkehrungen
1. in informationstechnischen Systemen oder Komponenten oder
2. bei der Anwendung von informationstechnischen Systemen oder
Komponenten.“ (§ 2 Abs. 2 BSIG)
• IT-Compliance bedeutet Risikovermeidung
• Datenschutz und Datensicherheit bedeutet Daten vor
Zugriffen Dritter schützen
© TCI Rechtsanwälte 2014 5
7. Anwendbare
Rechtsvorschriften
• Internationale Vorschriften (Auswahl)
• Basel II-Abkommen:
• Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für
Bankenaufsicht in den letzten Jahren vorgeschlagen wurden.
• Regeln müssen gemäß den EU Richtlinien 2006/48/EG und 2006/49/EG seit dem 1.
Januar 2007 in den Mitgliedsstaaten der EU für alle Kredit- und
Finanzdienstleistungsinstitute angewendet werden.
• In Deutschland Umsetzung durch Kreditwesengesetz, Solvabilitätsverordnung und die
Mindestanforderungen an das Risikomanagement (MaRisk).
• Sarbanes-Oxley Act (SOX):
• 2002 verabschiedet - Regelung von internen Kontrollen, die im Zusammenhang mit
der Rechnungslegung stehen und Anforderungen an das interne Kontrollsystem für
die Finanzberichterstattung
• Solvency II:
• Richtlinie des Europäischen Parlaments und des Rates betreffend die Aufnahme und
Ausübung der Versicherungs- und der Rückversicherungstätigkeit
• wie bei Basel II soll eine Erweiterung des Risikomanagements erreicht werden
© TCI Rechtsanwälte 2014 7
8. Anwendbare
Rechtsvorschriften
• Nationale Vorschriften (Auswahl)
• Kreditwesengesetz
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
• GoBS, GDPdU
• Bundesdatenschutzgesetz
• Telekommunikationsgesetz
• Strafgesetzbuch
• Versicherungsvertragsgesetz
• Verwaltungsvorschriften, Verwaltungshandeln
• Richtlinien und Standards
• Allg. zivilrechtliche Verpflichtungen (z.B. aus Verträgen mit
Kunden, aus Versicherungsverträgen, Deliktische Haftung
gegenüber Dritten)
© TCI Rechtsanwälte 2014 8
10. Grundsätze der Haftung
• Grundsatz: Haftung für Vorsatz und Fahrlässigkeit
• Bei Delegation an Dienstleister: Verpflichtung zur
sorgfältigen Auswahl und Beaufsichtigung
• ggf. muss beim mangelnder eigener Fachkunde ein externer
Berater für die Auswahl und Aufsicht herangezogen werden
• interne Beauftragte müssen mit ausreichenden sachlichen und
personellen Kapazitäten ausgestattet sein
• bei externe Beauftragten muss sich die Geschäftsleitung von
solchen Kapazitäten sorgfältig überzeugen
• Beauftragter muss mit allen notwendigen Informationen versorgt
© TCI Rechtsanwälte 2014 10
werden
11. Haftung des Unternehmens
• Haftung des Unternehmens für Ordnungswidrigkeiten
• Bußgeld- und Strafvorschriften (z.B. aus dem BDSG,
© TCI Rechtsanwälte 2014 11
UrhG, StGB)
• Geldstrafen bis zu 1 Million Euro
• Schadensersatzansprüche gegen das Unternehmen
• § 823 BGB: Eigentumsschäden durch Datenverlust,
• Störung des Gewerbebetriebs Dritter
• Schädigung der IT-Infrastruktur Dritter
• Z.B. durch Versand von Viren, DOS-Attacken/Spam-Versand durch
Unternehmensrechner
• Bei Verschulden Schadensersatz (z.B. für Datenverlust,
Mehraufwand etc.)
12. Haftung des Unternehmens
• Auch ohne Verschulden Unterlassungsansprüche Dritter
• Weitere Folgen:
• Verweigerung des Bestätigungsvermerks durch
© TCI Rechtsanwälte 2014 12
Wirtschaftsprüfer
• Ratingprobleme (Basel II)
Bessere IT > Besseres Rating > Weniger Eigenkapitalbedarf >
günstigerer Kredit
• Verlust des Versicherungsschutzes
Versicherer knüpfen den Schutz an Beachtung von
Obliegenheitspflichten
• Abmahnung wegen Wettbewerbsverstoß
• Imageschaden bei Datenschutzverstößen
13. Haftung des Unternehmens
Veröffentlich am
12.10.2012 in Welt
und Frankfurter
Rundschau
Kosten der
Veröffentlichung
ca. 25.000 – 30.000 €
Imageschaden
XXX €
© TCI Rechtsanwälte 2014 13
14. Haftung der Geschäftsleitung
• Mitglieder der Geschäftsführung (§ 43 GmbHG / § 93
Abs. 2 AktG)
• Sorgfaltspflichten
• Leitungspflichten
• Vermögensbetreuungspflicht
• Überwachungspflichten
• Pflicht zur ordnungsgemäßen Geschäftsführung
• Unternehmerische Entscheidungen im Kernbereich
• Selbst und höchstpersönlich
• Delegation nur teilweise möglich
• Jeder Kaufmann hat bei der Führung seiner
Handelsbücher und der Aufbewahrung seiner
Unterlagen in elektronischer Form die Sicherung der IT-Systeme
zu gewährleisten (§§ 239, 261 HGB)
© TCI Rechtsanwälte 2014 14
15. Haftung von Mitarbeitern
• EDV-Leiter / Administrator
• Persönliche Haftung aus:
• Arbeitsvertrag - Gesteigerte vertragliche Pflicht zur Wahrung von
Sicherheitsinteressen
• „Delikt“ (§ 823 BGB)
• Strafrecht
• BDSG (Bayern: Bußgeld wegen offenem E-Mail-Verteiler)
• Schadensersatzhaftung
• Bei leichter Fahrlässigkeit: Keine Haftung
• Bei mittlerer Fahrlässigkeit: Quotale Schadensteilung
• Bei grober Fahrlässigkeit und Vorsatz: In der Regel volle
Haftung; anders u.U. bei groben Missverhältnis zwischen
Verdienst und Schaden
© TCI Rechtsanwälte 2014 15
17. Praxisbeispiele
• Interne Ermittlungen führen zu Datenschutzverstößen
• Einsichtnahme und Auswertung von Mitarbeiter E-Mails
• IT-Forensische Untersuchungen / Screenings
• Information der Betroffenen
• Regelungen zum Zugriff auf relevante Daten
• Ist Einbindung des Datenschutzbeauftragten sichergestellt
• Vernichtung von Ermittlungsergebnissen
• Rechtslage bei Cloud-Lösungen
• Mitarbeiter lässt Notebook im Zug liegen
• „Stromsparmaßnahmen“ sorgen für Abschaltung des Stroms im
© TCI Rechtsanwälte 2014 17
Serverraum
• Sekretärin soll tägliche Datensicherung manuell vornehmen. Sie
sichert nur „ab und zu“, da ja „nie etwas passiert“.
• Mitarbeiter nutzen Dropbox / Geschäftsführung nutzt Evernote
18. Geschafft… noch Fragen?
Rechtsanwalt Stephan Schmidt
Fachanwalt für Informationstechnologierecht
TCI Rechtsanwälte
Isaac-Fulda-Allee 5
D-55124 Mainz
Telefon: +49 - (0) 6131 - 302 90 460
Telefax: +49 - (0) 6131 - 302 90 466
E-Mail: sschmidt@tcilaw.de
Internet: www.tcilaw.de
© TCI Rechtsanwälte Mainz 2014 18