SlideShare ist ein Scribd-Unternehmen logo

IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen

Stephan Schmidt
Stephan Schmidt
Recht
1 von 18
IT-RECHTLICHE ANFORDERUNGEN – HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014
Agenda I. Begriffe II. Anwendbare Rechtsvorschriften III. Wer haftet eigentlich? IV. Praxisbeispiele © TCI Rechtsanwälte 2014 2
I. BEGRIFFE © TCI Rechtsanwälte 2014 3
Begriffe • Compliance = „Befolgung“ • Einhaltung von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln im Unternehmen • Einrichtung und Dokumentation von Kontroll- und Steuerungsprozessen • Ziel ist das „vollständig regelkonforme Unternehmen“ • z.B. Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären • Aber auch das Compliance-Programm selbst muss den gesetzlichen Anforderungen genügen • IT-Compliance und Datenschutz bedingen sich oft gegenseitig • Europäische Datenschutz-Grundverordnung soll die drohenden Sanktionen bei Datenschutzverletzungen massiv verschärfen © TCI Rechtsanwälte 2014 4
Begriffe • IT-Compliance = Regelkonforme IT-Systeme • „Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.“ (§ 2 Abs. 2 BSIG) • IT-Compliance bedeutet Risikovermeidung • Datenschutz und Datensicherheit bedeutet Daten vor Zugriffen Dritter schützen © TCI Rechtsanwälte 2014 5
II. ANWENDBARE RECHTSVORSCHRIFTEN © TCI Rechtsanwälte 2014 6
Anwendbare Rechtsvorschriften • Internationale Vorschriften (Auswahl) • Basel II-Abkommen: • Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. • Regeln müssen gemäß den EU Richtlinien 2006/48/EG und 2006/49/EG seit dem 1. Januar 2007 in den Mitgliedsstaaten der EU für alle Kredit- und Finanzdienstleistungsinstitute angewendet werden. • In Deutschland Umsetzung durch Kreditwesengesetz, Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). • Sarbanes-Oxley Act (SOX): • 2002 verabschiedet - Regelung von internen Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen und Anforderungen an das interne Kontrollsystem für die Finanzberichterstattung • Solvency II: • Richtlinie des Europäischen Parlaments und des Rates betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit • wie bei Basel II soll eine Erweiterung des Risikomanagements erreicht werden © TCI Rechtsanwälte 2014 7
Anwendbare Rechtsvorschriften • Nationale Vorschriften (Auswahl) • Kreditwesengesetz • Gesetz zur Kontrolle und Transparenz im Unternehmensbereich • GoBS, GDPdU • Bundesdatenschutzgesetz • Telekommunikationsgesetz • Strafgesetzbuch • Versicherungsvertragsgesetz • Verwaltungsvorschriften, Verwaltungshandeln • Richtlinien und Standards • Allg. zivilrechtliche Verpflichtungen (z.B. aus Verträgen mit Kunden, aus Versicherungsverträgen, Deliktische Haftung gegenüber Dritten) © TCI Rechtsanwälte 2014 8
III. WER HAFTET? © TCI Rechtsanwälte 2014 9
Grundsätze der Haftung • Grundsatz: Haftung für Vorsatz und Fahrlässigkeit • Bei Delegation an Dienstleister: Verpflichtung zur sorgfältigen Auswahl und Beaufsichtigung • ggf. muss beim mangelnder eigener Fachkunde ein externer Berater für die Auswahl und Aufsicht herangezogen werden • interne Beauftragte müssen mit ausreichenden sachlichen und personellen Kapazitäten ausgestattet sein • bei externe Beauftragten muss sich die Geschäftsleitung von solchen Kapazitäten sorgfältig überzeugen • Beauftragter muss mit allen notwendigen Informationen versorgt © TCI Rechtsanwälte 2014 10 werden
Haftung des Unternehmens • Haftung des Unternehmens für Ordnungswidrigkeiten • Bußgeld- und Strafvorschriften (z.B. aus dem BDSG, © TCI Rechtsanwälte 2014 11 UrhG, StGB) • Geldstrafen bis zu 1 Million Euro • Schadensersatzansprüche gegen das Unternehmen • § 823 BGB: Eigentumsschäden durch Datenverlust, • Störung des Gewerbebetriebs Dritter • Schädigung der IT-Infrastruktur Dritter • Z.B. durch Versand von Viren, DOS-Attacken/Spam-Versand durch Unternehmensrechner • Bei Verschulden Schadensersatz (z.B. für Datenverlust, Mehraufwand etc.)
Haftung des Unternehmens • Auch ohne Verschulden Unterlassungsansprüche Dritter • Weitere Folgen: • Verweigerung des Bestätigungsvermerks durch © TCI Rechtsanwälte 2014 12 Wirtschaftsprüfer • Ratingprobleme (Basel II)  Bessere IT > Besseres Rating > Weniger Eigenkapitalbedarf > günstigerer Kredit • Verlust des Versicherungsschutzes  Versicherer knüpfen den Schutz an Beachtung von Obliegenheitspflichten • Abmahnung wegen Wettbewerbsverstoß • Imageschaden bei Datenschutzverstößen
Haftung des Unternehmens Veröffentlich am 12.10.2012 in Welt und Frankfurter Rundschau Kosten der Veröffentlichung ca. 25.000 – 30.000 € Imageschaden XXX € © TCI Rechtsanwälte 2014 13
Haftung der Geschäftsleitung • Mitglieder der Geschäftsführung (§ 43 GmbHG / § 93 Abs. 2 AktG) • Sorgfaltspflichten • Leitungspflichten • Vermögensbetreuungspflicht • Überwachungspflichten • Pflicht zur ordnungsgemäßen Geschäftsführung • Unternehmerische Entscheidungen im Kernbereich • Selbst und höchstpersönlich • Delegation nur teilweise möglich • Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten (§§ 239, 261 HGB) © TCI Rechtsanwälte 2014 14
Haftung von Mitarbeitern • EDV-Leiter / Administrator • Persönliche Haftung aus: • Arbeitsvertrag - Gesteigerte vertragliche Pflicht zur Wahrung von Sicherheitsinteressen • „Delikt“ (§ 823 BGB) • Strafrecht • BDSG (Bayern: Bußgeld wegen offenem E-Mail-Verteiler) • Schadensersatzhaftung • Bei leichter Fahrlässigkeit: Keine Haftung • Bei mittlerer Fahrlässigkeit: Quotale Schadensteilung • Bei grober Fahrlässigkeit und Vorsatz: In der Regel volle Haftung; anders u.U. bei groben Missverhältnis zwischen Verdienst und Schaden © TCI Rechtsanwälte 2014 15
IV. PRAXISBEISPIELE © TCI Rechtsanwälte 2014 16
Praxisbeispiele • Interne Ermittlungen führen zu Datenschutzverstößen • Einsichtnahme und Auswertung von Mitarbeiter E-Mails • IT-Forensische Untersuchungen / Screenings • Information der Betroffenen • Regelungen zum Zugriff auf relevante Daten • Ist Einbindung des Datenschutzbeauftragten sichergestellt • Vernichtung von Ermittlungsergebnissen • Rechtslage bei Cloud-Lösungen • Mitarbeiter lässt Notebook im Zug liegen • „Stromsparmaßnahmen“ sorgen für Abschaltung des Stroms im © TCI Rechtsanwälte 2014 17 Serverraum • Sekretärin soll tägliche Datensicherung manuell vornehmen. Sie sichert nur „ab und zu“, da ja „nie etwas passiert“. • Mitarbeiter nutzen Dropbox / Geschäftsführung nutzt Evernote
Geschafft… noch Fragen? Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de © TCI Rechtsanwälte Mainz 2014 18

Empfohlen

Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Stephan Schmidt
 
[DE] Die Anhörung | E-Mail, GDPdU und andere juristische Fallstricke | Dr. Ul...
[DE] Die Anhörung | E-Mail, GDPdU und andere juristische Fallstricke | Dr. Ul...[DE] Die Anhörung | E-Mail, GDPdU und andere juristische Fallstricke | Dr. Ul...
[DE] Die Anhörung | E-Mail, GDPdU und andere juristische Fallstricke | Dr. Ul...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODStephan Schmidt
 
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
FOTOGALERÏA Abril 2013
FOTOGALERÏA Abril 2013FOTOGALERÏA Abril 2013
FOTOGALERÏA Abril 2013Emilio Muruaga Márquez
 
Radio tlatoani
Radio tlatoaniRadio tlatoani
Radio tlatoaniGOMEZ-CRISTY
 
Computación
ComputaciónComputación
ComputaciónAngel Rosillo Jiménez
 
Auditorios SLG
Auditorios SLGAuditorios SLG
Auditorios SLGGiancarlo Bazan
 

Empfohlen

Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Stephan Schmidt
 
[DE] Die Anhörung | E-Mail, GDPdU und andere juristische Fallstricke | Dr. Ul...
[DE] Die Anhörung | E-Mail, GDPdU und andere juristische Fallstricke | Dr. Ul...[DE] Die Anhörung | E-Mail, GDPdU und andere juristische Fallstricke | Dr. Ul...
[DE] Die Anhörung | E-Mail, GDPdU und andere juristische Fallstricke | Dr. Ul...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODStephan Schmidt
 
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
FOTOGALERÏA Abril 2013
FOTOGALERÏA Abril 2013FOTOGALERÏA Abril 2013
FOTOGALERÏA Abril 2013Emilio Muruaga Márquez
 
Radio tlatoani
Radio tlatoaniRadio tlatoani
Radio tlatoaniGOMEZ-CRISTY
 
Computación
ComputaciónComputación
ComputaciónAngel Rosillo Jiménez
 
Auditorios SLG
Auditorios SLGAuditorios SLG
Auditorios SLGGiancarlo Bazan
 
Budismo
BudismoBudismo
BudismoDami Especialista
 
Sessió 5_IES NÚM.1 XÀBIA
Sessió 5_IES NÚM.1 XÀBIASessió 5_IES NÚM.1 XÀBIA
Sessió 5_IES NÚM.1 XÀBIARaquel Gómez Paredes
 
MapKit vs. Google Maps SDK @ Macoun 2014
MapKit vs. Google Maps SDK @ Macoun 2014MapKit vs. Google Maps SDK @ Macoun 2014
MapKit vs. Google Maps SDK @ Macoun 2014Ortwin Gentz
 
Terrorist
TerroristTerrorist
Terroristkandyhansi
 
Romantische Städte
Romantische StädteRomantische Städte
Romantische Städteantonilluchan
 
Gd james rodriguez
Gd james rodriguezGd james rodriguez
Gd james rodriguez100jamesrodriguez
 
Unidad iv y v.
Unidad iv y v.Unidad iv y v.
Unidad iv y v.adrix_esca18
 
RECURS 5.1 b) val_IES NÚM. 1, XÀBIA
RECURS 5.1 b) val_IES NÚM. 1, XÀBIARECURS 5.1 b) val_IES NÚM. 1, XÀBIA
RECURS 5.1 b) val_IES NÚM. 1, XÀBIARaquel Gómez Paredes
 
Rezitation
RezitationRezitation
Rezitationresub
 
Pechakucha slides
Pechakucha slidesPechakucha slides
Pechakucha slidesFlan *
 
Flinders1001
Flinders1001Flinders1001
Flinders1001flinderssteps
 
Questionari d'impacte: Origen de les CCBB i diagnòstic inicial
Questionari d'impacte: Origen de les CCBB i diagnòstic inicialQuestionari d'impacte: Origen de les CCBB i diagnòstic inicial
Questionari d'impacte: Origen de les CCBB i diagnòstic inicialRaquel Gómez Paredes
 
2
22
2misael saez
 
Presentación electronica (1)
Presentación electronica (1)Presentación electronica (1)
Presentación electronica (1)Taloo Yedlaf
 
Finalsätze
FinalsätzeFinalsätze
Finalsätzemschiffe
 
A TV Dinner - 8 April 2014
A TV Dinner - 8 April 2014A TV Dinner - 8 April 2014
A TV Dinner - 8 April 2014Rachel Aldighieri
 
Ceb 6 aegtqa
Ceb 6 aegtqaCeb 6 aegtqa
Ceb 6 aegtqaTaloo Yedlaf
 
BLOGGEN FÜR KÜNSTLER
BLOGGEN FÜR KÜNSTLERBLOGGEN FÜR KÜNSTLER
BLOGGEN FÜR KÜNSTLERAnke von Heyl
 
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIA
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIAUDI l'Orfeu a la Marina_millorada_IES N1 XÀBIA
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIARaquel Gómez Paredes
 
Was sind eigentlich Open Educational Ressources (OER)?
Was sind eigentlich Open Educational Ressources (OER)?Was sind eigentlich Open Educational Ressources (OER)?
Was sind eigentlich Open Educational Ressources (OER)?Björn Friedrich
 
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 

Weitere ähnliche Inhalte

Andere mochten auch

MapKit vs. Google Maps SDK @ Macoun 2014
MapKit vs. Google Maps SDK @ Macoun 2014MapKit vs. Google Maps SDK @ Macoun 2014
MapKit vs. Google Maps SDK @ Macoun 2014Ortwin Gentz
 
RECURS 5.1 b) val_IES NÚM. 1, XÀBIA
RECURS 5.1 b) val_IES NÚM. 1, XÀBIARECURS 5.1 b) val_IES NÚM. 1, XÀBIA
RECURS 5.1 b) val_IES NÚM. 1, XÀBIARaquel Gómez Paredes
 
Rezitation
RezitationRezitation
Rezitationresub
 
Pechakucha slides
Pechakucha slidesPechakucha slides
Pechakucha slidesFlan *
 
Questionari d'impacte: Origen de les CCBB i diagnòstic inicial
Questionari d'impacte: Origen de les CCBB i diagnòstic inicialQuestionari d'impacte: Origen de les CCBB i diagnòstic inicial
Questionari d'impacte: Origen de les CCBB i diagnòstic inicialRaquel Gómez Paredes
 
Presentación electronica (1)
Presentación electronica (1)Presentación electronica (1)
Presentación electronica (1)Taloo Yedlaf
 
Finalsätze
FinalsätzeFinalsätze
Finalsätzemschiffe
 
BLOGGEN FÜR KÜNSTLER
BLOGGEN FÜR KÜNSTLERBLOGGEN FÜR KÜNSTLER
BLOGGEN FÜR KÜNSTLERAnke von Heyl
 
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIA
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIAUDI l'Orfeu a la Marina_millorada_IES N1 XÀBIA
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIARaquel Gómez Paredes
 
Was sind eigentlich Open Educational Ressources (OER)?
Was sind eigentlich Open Educational Ressources (OER)?Was sind eigentlich Open Educational Ressources (OER)?
Was sind eigentlich Open Educational Ressources (OER)?Björn Friedrich
 

Andere mochten auch (20)

Budismo
BudismoBudismo
Budismo
 
Sessió 5_IES NÚM.1 XÀBIA
Sessió 5_IES NÚM.1 XÀBIASessió 5_IES NÚM.1 XÀBIA
Sessió 5_IES NÚM.1 XÀBIA
 
MapKit vs. Google Maps SDK @ Macoun 2014
MapKit vs. Google Maps SDK @ Macoun 2014MapKit vs. Google Maps SDK @ Macoun 2014
MapKit vs. Google Maps SDK @ Macoun 2014
 
Terrorist
TerroristTerrorist
Terrorist
 
Romantische Städte
Romantische StädteRomantische Städte
Romantische Städte
 
Gd james rodriguez
Gd james rodriguezGd james rodriguez
Gd james rodriguez
 
Unidad iv y v.
Unidad iv y v.Unidad iv y v.
Unidad iv y v.
 
RECURS 5.1 b) val_IES NÚM. 1, XÀBIA
RECURS 5.1 b) val_IES NÚM. 1, XÀBIARECURS 5.1 b) val_IES NÚM. 1, XÀBIA
RECURS 5.1 b) val_IES NÚM. 1, XÀBIA
 
Rezitation
RezitationRezitation
Rezitation
 
Pechakucha slides
Pechakucha slidesPechakucha slides
Pechakucha slides
 
Flinders1001
Flinders1001Flinders1001
Flinders1001
 
Questionari d'impacte: Origen de les CCBB i diagnòstic inicial
Questionari d'impacte: Origen de les CCBB i diagnòstic inicialQuestionari d'impacte: Origen de les CCBB i diagnòstic inicial
Questionari d'impacte: Origen de les CCBB i diagnòstic inicial
 
2
22
2
 
Presentación electronica (1)
Presentación electronica (1)Presentación electronica (1)
Presentación electronica (1)
 
Finalsätze
FinalsätzeFinalsätze
Finalsätze
 
A TV Dinner - 8 April 2014
A TV Dinner - 8 April 2014A TV Dinner - 8 April 2014
A TV Dinner - 8 April 2014
 
Ceb 6 aegtqa
Ceb 6 aegtqaCeb 6 aegtqa
Ceb 6 aegtqa
 
BLOGGEN FÜR KÜNSTLER
BLOGGEN FÜR KÜNSTLERBLOGGEN FÜR KÜNSTLER
BLOGGEN FÜR KÜNSTLER
 
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIA
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIAUDI l'Orfeu a la Marina_millorada_IES N1 XÀBIA
UDI l'Orfeu a la Marina_millorada_IES N1 XÀBIA
 
Was sind eigentlich Open Educational Ressources (OER)?
Was sind eigentlich Open Educational Ressources (OER)?Was sind eigentlich Open Educational Ressources (OER)?
Was sind eigentlich Open Educational Ressources (OER)?
 

Ähnlich wie IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen

Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Fujitsu Central Europe
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Bernd Fuhlert
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud AnbietersSwiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieterstopsoft - inspiring digital business
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)Gigya
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...kreuzwerker GmbH
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSKonrad Becker
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
E business – im spannungsfeld zwischen rechtssicherheit und datenschutz reto ...
E business – im spannungsfeld zwischen rechtssicherheit und datenschutz reto ...E business – im spannungsfeld zwischen rechtssicherheit und datenschutz reto ...
E business – im spannungsfeld zwischen rechtssicherheit und datenschutz reto ...Qumram
 
20070605 Telekom Austria
20070605 Telekom Austria20070605 Telekom Austria
20070605 Telekom AustriaINFOTIME
 

Ähnlich wie IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen (20)

[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
[DE] Gerichtsshow | Xing Content Management Lounge | Ulrich Kampffmeyer | IBM...
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
BSA Cloud Scorecard 2016: Deutsche Ergebnisse im Detail
BSA Cloud Scorecard 2016: Deutsche Ergebnisse im DetailBSA Cloud Scorecard 2016: Deutsche Ergebnisse im Detail
BSA Cloud Scorecard 2016: Deutsche Ergebnisse im Detail
 
Compliance als Chance [2009]
Compliance als Chance [2009]Compliance als Chance [2009]
Compliance als Chance [2009]
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 
Datenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im EventbereichDatenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im Eventbereich
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
 
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud AnbietersSwiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
 
[DE] „Aktuelles zu den rechtlichen Anforderungen an die Archivierung und Verf...
[DE] „Aktuelles zu den rechtlichen Anforderungen an die Archivierung und Verf...[DE] „Aktuelles zu den rechtlichen Anforderungen an die Archivierung und Verf...
[DE] „Aktuelles zu den rechtlichen Anforderungen an die Archivierung und Verf...
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
 
DSGVO
DSGVODSGVO
DSGVO
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
E business – im spannungsfeld zwischen rechtssicherheit und datenschutz reto ...
E business – im spannungsfeld zwischen rechtssicherheit und datenschutz reto ...E business – im spannungsfeld zwischen rechtssicherheit und datenschutz reto ...
E business – im spannungsfeld zwischen rechtssicherheit und datenschutz reto ...
 
20070605 Telekom Austria
20070605 Telekom Austria20070605 Telekom Austria
20070605 Telekom Austria
 

Mehr von Stephan Schmidt

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingStephan Schmidt
 
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzDeutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzStephan Schmidt
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenStephan Schmidt
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Stephan Schmidt
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieStephan Schmidt
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenStephan Schmidt
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenStephan Schmidt
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenStephan Schmidt
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im ComputerstrafrechtStephan Schmidt
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Stephan Schmidt
 

Mehr von Stephan Schmidt (11)

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-Marketing
 
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzDeutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
 
Social Media & Recht
Social Media & RechtSocial Media & Recht
Social Media & Recht
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzen
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestalten
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im Computerstrafrecht
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
 

IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen

  • 1. IT-RECHTLICHE ANFORDERUNGEN – HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014
  • 2. Agenda I. Begriffe II. Anwendbare Rechtsvorschriften III. Wer haftet eigentlich? IV. Praxisbeispiele © TCI Rechtsanwälte 2014 2
  • 3. I. BEGRIFFE © TCI Rechtsanwälte 2014 3
  • 4. Begriffe • Compliance = „Befolgung“ • Einhaltung von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln im Unternehmen • Einrichtung und Dokumentation von Kontroll- und Steuerungsprozessen • Ziel ist das „vollständig regelkonforme Unternehmen“ • z.B. Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären • Aber auch das Compliance-Programm selbst muss den gesetzlichen Anforderungen genügen • IT-Compliance und Datenschutz bedingen sich oft gegenseitig • Europäische Datenschutz-Grundverordnung soll die drohenden Sanktionen bei Datenschutzverletzungen massiv verschärfen © TCI Rechtsanwälte 2014 4
  • 5. Begriffe • IT-Compliance = Regelkonforme IT-Systeme • „Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.“ (§ 2 Abs. 2 BSIG) • IT-Compliance bedeutet Risikovermeidung • Datenschutz und Datensicherheit bedeutet Daten vor Zugriffen Dritter schützen © TCI Rechtsanwälte 2014 5
  • 6. II. ANWENDBARE RECHTSVORSCHRIFTEN © TCI Rechtsanwälte 2014 6
  • 7. Anwendbare Rechtsvorschriften • Internationale Vorschriften (Auswahl) • Basel II-Abkommen: • Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. • Regeln müssen gemäß den EU Richtlinien 2006/48/EG und 2006/49/EG seit dem 1. Januar 2007 in den Mitgliedsstaaten der EU für alle Kredit- und Finanzdienstleistungsinstitute angewendet werden. • In Deutschland Umsetzung durch Kreditwesengesetz, Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). • Sarbanes-Oxley Act (SOX): • 2002 verabschiedet - Regelung von internen Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen und Anforderungen an das interne Kontrollsystem für die Finanzberichterstattung • Solvency II: • Richtlinie des Europäischen Parlaments und des Rates betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit • wie bei Basel II soll eine Erweiterung des Risikomanagements erreicht werden © TCI Rechtsanwälte 2014 7
  • 8. Anwendbare Rechtsvorschriften • Nationale Vorschriften (Auswahl) • Kreditwesengesetz • Gesetz zur Kontrolle und Transparenz im Unternehmensbereich • GoBS, GDPdU • Bundesdatenschutzgesetz • Telekommunikationsgesetz • Strafgesetzbuch • Versicherungsvertragsgesetz • Verwaltungsvorschriften, Verwaltungshandeln • Richtlinien und Standards • Allg. zivilrechtliche Verpflichtungen (z.B. aus Verträgen mit Kunden, aus Versicherungsverträgen, Deliktische Haftung gegenüber Dritten) © TCI Rechtsanwälte 2014 8
  • 9. III. WER HAFTET? © TCI Rechtsanwälte 2014 9
  • 10. Grundsätze der Haftung • Grundsatz: Haftung für Vorsatz und Fahrlässigkeit • Bei Delegation an Dienstleister: Verpflichtung zur sorgfältigen Auswahl und Beaufsichtigung • ggf. muss beim mangelnder eigener Fachkunde ein externer Berater für die Auswahl und Aufsicht herangezogen werden • interne Beauftragte müssen mit ausreichenden sachlichen und personellen Kapazitäten ausgestattet sein • bei externe Beauftragten muss sich die Geschäftsleitung von solchen Kapazitäten sorgfältig überzeugen • Beauftragter muss mit allen notwendigen Informationen versorgt © TCI Rechtsanwälte 2014 10 werden
  • 11. Haftung des Unternehmens • Haftung des Unternehmens für Ordnungswidrigkeiten • Bußgeld- und Strafvorschriften (z.B. aus dem BDSG, © TCI Rechtsanwälte 2014 11 UrhG, StGB) • Geldstrafen bis zu 1 Million Euro • Schadensersatzansprüche gegen das Unternehmen • § 823 BGB: Eigentumsschäden durch Datenverlust, • Störung des Gewerbebetriebs Dritter • Schädigung der IT-Infrastruktur Dritter • Z.B. durch Versand von Viren, DOS-Attacken/Spam-Versand durch Unternehmensrechner • Bei Verschulden Schadensersatz (z.B. für Datenverlust, Mehraufwand etc.)
  • 12. Haftung des Unternehmens • Auch ohne Verschulden Unterlassungsansprüche Dritter • Weitere Folgen: • Verweigerung des Bestätigungsvermerks durch © TCI Rechtsanwälte 2014 12 Wirtschaftsprüfer • Ratingprobleme (Basel II)  Bessere IT > Besseres Rating > Weniger Eigenkapitalbedarf > günstigerer Kredit • Verlust des Versicherungsschutzes  Versicherer knüpfen den Schutz an Beachtung von Obliegenheitspflichten • Abmahnung wegen Wettbewerbsverstoß • Imageschaden bei Datenschutzverstößen
  • 13. Haftung des Unternehmens Veröffentlich am 12.10.2012 in Welt und Frankfurter Rundschau Kosten der Veröffentlichung ca. 25.000 – 30.000 € Imageschaden XXX € © TCI Rechtsanwälte 2014 13
  • 14. Haftung der Geschäftsleitung • Mitglieder der Geschäftsführung (§ 43 GmbHG / § 93 Abs. 2 AktG) • Sorgfaltspflichten • Leitungspflichten • Vermögensbetreuungspflicht • Überwachungspflichten • Pflicht zur ordnungsgemäßen Geschäftsführung • Unternehmerische Entscheidungen im Kernbereich • Selbst und höchstpersönlich • Delegation nur teilweise möglich • Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten (§§ 239, 261 HGB) © TCI Rechtsanwälte 2014 14
  • 15. Haftung von Mitarbeitern • EDV-Leiter / Administrator • Persönliche Haftung aus: • Arbeitsvertrag - Gesteigerte vertragliche Pflicht zur Wahrung von Sicherheitsinteressen • „Delikt“ (§ 823 BGB) • Strafrecht • BDSG (Bayern: Bußgeld wegen offenem E-Mail-Verteiler) • Schadensersatzhaftung • Bei leichter Fahrlässigkeit: Keine Haftung • Bei mittlerer Fahrlässigkeit: Quotale Schadensteilung • Bei grober Fahrlässigkeit und Vorsatz: In der Regel volle Haftung; anders u.U. bei groben Missverhältnis zwischen Verdienst und Schaden © TCI Rechtsanwälte 2014 15
  • 16. IV. PRAXISBEISPIELE © TCI Rechtsanwälte 2014 16
  • 17. Praxisbeispiele • Interne Ermittlungen führen zu Datenschutzverstößen • Einsichtnahme und Auswertung von Mitarbeiter E-Mails • IT-Forensische Untersuchungen / Screenings • Information der Betroffenen • Regelungen zum Zugriff auf relevante Daten • Ist Einbindung des Datenschutzbeauftragten sichergestellt • Vernichtung von Ermittlungsergebnissen • Rechtslage bei Cloud-Lösungen • Mitarbeiter lässt Notebook im Zug liegen • „Stromsparmaßnahmen“ sorgen für Abschaltung des Stroms im © TCI Rechtsanwälte 2014 17 Serverraum • Sekretärin soll tägliche Datensicherung manuell vornehmen. Sie sichert nur „ab und zu“, da ja „nie etwas passiert“. • Mitarbeiter nutzen Dropbox / Geschäftsführung nutzt Evernote
  • 18. Geschafft… noch Fragen? Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de © TCI Rechtsanwälte Mainz 2014 18