IT-RECHTLICHE ANFORDERUNGEN – 
HAFTUNGSFALLEN FÜR UNTERNEHMEN 
Stephan Schmidt 
Rechtsanwalt und Fachanwalt für IT-Recht 
IHK Hanau-Gelnhausen-Schlüchtern 
12. November 2014
Agenda 
I. Begriffe 
II. Anwendbare Rechtsvorschriften 
III. Wer haftet eigentlich? 
IV. Praxisbeispiele 
© TCI Rechtsanwälte 2014 2
I. 
BEGRIFFE 
© TCI Rechtsanwälte 2014 3
Begriffe 
• Compliance = „Befolgung“ 
• Einhaltung von Gesetzen, Richtlinien und anderen 
Verhaltensmaßregeln im Unternehmen 
• Einrichtung und Dokumentation von Kontroll- und Steuerungsprozessen 
• Ziel ist das „vollständig regelkonforme Unternehmen“ 
• z.B. Korruption und unzulässige Kartellabsprachen, 
Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und 
aufzuklären 
• Aber auch das Compliance-Programm selbst muss den 
gesetzlichen Anforderungen genügen 
• IT-Compliance und Datenschutz bedingen sich oft gegenseitig 
• Europäische Datenschutz-Grundverordnung soll die drohenden 
Sanktionen bei Datenschutzverletzungen massiv verschärfen 
© TCI Rechtsanwälte 2014 4
Begriffe 
• IT-Compliance = Regelkonforme IT-Systeme 
• „Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder 
Vertraulichkeit von Informationen betreffen, durch 
Sicherheitsvorkehrungen 
1. in informationstechnischen Systemen oder Komponenten oder 
2. bei der Anwendung von informationstechnischen Systemen oder 
Komponenten.“ (§ 2 Abs. 2 BSIG) 
• IT-Compliance bedeutet Risikovermeidung 
• Datenschutz und Datensicherheit bedeutet Daten vor 
Zugriffen Dritter schützen 
© TCI Rechtsanwälte 2014 5
II. 
ANWENDBARE 
RECHTSVORSCHRIFTEN 
© TCI Rechtsanwälte 2014 6
Anwendbare 
Rechtsvorschriften 
• Internationale Vorschriften (Auswahl) 
• Basel II-Abkommen: 
• Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für 
Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. 
• Regeln müssen gemäß den EU Richtlinien 2006/48/EG und 2006/49/EG seit dem 1. 
Januar 2007 in den Mitgliedsstaaten der EU für alle Kredit- und 
Finanzdienstleistungsinstitute angewendet werden. 
• In Deutschland Umsetzung durch Kreditwesengesetz, Solvabilitätsverordnung und die 
Mindestanforderungen an das Risikomanagement (MaRisk). 
• Sarbanes-Oxley Act (SOX): 
• 2002 verabschiedet - Regelung von internen Kontrollen, die im Zusammenhang mit 
der Rechnungslegung stehen und Anforderungen an das interne Kontrollsystem für 
die Finanzberichterstattung 
• Solvency II: 
• Richtlinie des Europäischen Parlaments und des Rates betreffend die Aufnahme und 
Ausübung der Versicherungs- und der Rückversicherungstätigkeit 
• wie bei Basel II soll eine Erweiterung des Risikomanagements erreicht werden 
© TCI Rechtsanwälte 2014 7
Anwendbare 
Rechtsvorschriften 
• Nationale Vorschriften (Auswahl) 
• Kreditwesengesetz 
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 
• GoBS, GDPdU 
• Bundesdatenschutzgesetz 
• Telekommunikationsgesetz 
• Strafgesetzbuch 
• Versicherungsvertragsgesetz 
• Verwaltungsvorschriften, Verwaltungshandeln 
• Richtlinien und Standards 
• Allg. zivilrechtliche Verpflichtungen (z.B. aus Verträgen mit 
Kunden, aus Versicherungsverträgen, Deliktische Haftung 
gegenüber Dritten) 
© TCI Rechtsanwälte 2014 8
III. 
WER HAFTET? 
© TCI Rechtsanwälte 2014 9
Grundsätze der Haftung 
• Grundsatz: Haftung für Vorsatz und Fahrlässigkeit 
• Bei Delegation an Dienstleister: Verpflichtung zur 
sorgfältigen Auswahl und Beaufsichtigung 
• ggf. muss beim mangelnder eigener Fachkunde ein externer 
Berater für die Auswahl und Aufsicht herangezogen werden 
• interne Beauftragte müssen mit ausreichenden sachlichen und 
personellen Kapazitäten ausgestattet sein 
• bei externe Beauftragten muss sich die Geschäftsleitung von 
solchen Kapazitäten sorgfältig überzeugen 
• Beauftragter muss mit allen notwendigen Informationen versorgt 
© TCI Rechtsanwälte 2014 10 
werden
Haftung des Unternehmens 
• Haftung des Unternehmens für Ordnungswidrigkeiten 
• Bußgeld- und Strafvorschriften (z.B. aus dem BDSG, 
© TCI Rechtsanwälte 2014 11 
UrhG, StGB) 
• Geldstrafen bis zu 1 Million Euro 
• Schadensersatzansprüche gegen das Unternehmen 
• § 823 BGB: Eigentumsschäden durch Datenverlust, 
• Störung des Gewerbebetriebs Dritter 
• Schädigung der IT-Infrastruktur Dritter 
• Z.B. durch Versand von Viren, DOS-Attacken/Spam-Versand durch 
Unternehmensrechner 
• Bei Verschulden Schadensersatz (z.B. für Datenverlust, 
Mehraufwand etc.)
Haftung des Unternehmens 
• Auch ohne Verschulden Unterlassungsansprüche Dritter 
• Weitere Folgen: 
• Verweigerung des Bestätigungsvermerks durch 
© TCI Rechtsanwälte 2014 12 
Wirtschaftsprüfer 
• Ratingprobleme (Basel II) 
 Bessere IT > Besseres Rating > Weniger Eigenkapitalbedarf > 
günstigerer Kredit 
• Verlust des Versicherungsschutzes 
 Versicherer knüpfen den Schutz an Beachtung von 
Obliegenheitspflichten 
• Abmahnung wegen Wettbewerbsverstoß 
• Imageschaden bei Datenschutzverstößen
Haftung des Unternehmens 
Veröffentlich am 
12.10.2012 in Welt 
und Frankfurter 
Rundschau 
Kosten der 
Veröffentlichung 
ca. 25.000 – 30.000 € 
Imageschaden 
XXX € 
© TCI Rechtsanwälte 2014 13
Haftung der Geschäftsleitung 
• Mitglieder der Geschäftsführung (§ 43 GmbHG / § 93 
Abs. 2 AktG) 
• Sorgfaltspflichten 
• Leitungspflichten 
• Vermögensbetreuungspflicht 
• Überwachungspflichten 
• Pflicht zur ordnungsgemäßen Geschäftsführung 
• Unternehmerische Entscheidungen im Kernbereich 
• Selbst und höchstpersönlich 
• Delegation nur teilweise möglich 
• Jeder Kaufmann hat bei der Führung seiner 
Handelsbücher und der Aufbewahrung seiner 
Unterlagen in elektronischer Form die Sicherung der IT-Systeme 
zu gewährleisten (§§ 239, 261 HGB) 
© TCI Rechtsanwälte 2014 14
Haftung von Mitarbeitern 
• EDV-Leiter / Administrator 
• Persönliche Haftung aus: 
• Arbeitsvertrag - Gesteigerte vertragliche Pflicht zur Wahrung von 
Sicherheitsinteressen 
• „Delikt“ (§ 823 BGB) 
• Strafrecht 
• BDSG (Bayern: Bußgeld wegen offenem E-Mail-Verteiler) 
• Schadensersatzhaftung 
• Bei leichter Fahrlässigkeit: Keine Haftung 
• Bei mittlerer Fahrlässigkeit: Quotale Schadensteilung 
• Bei grober Fahrlässigkeit und Vorsatz: In der Regel volle 
Haftung; anders u.U. bei groben Missverhältnis zwischen 
Verdienst und Schaden 
© TCI Rechtsanwälte 2014 15
IV. 
PRAXISBEISPIELE 
© TCI Rechtsanwälte 2014 16
Praxisbeispiele 
• Interne Ermittlungen führen zu Datenschutzverstößen 
• Einsichtnahme und Auswertung von Mitarbeiter E-Mails 
• IT-Forensische Untersuchungen / Screenings 
• Information der Betroffenen 
• Regelungen zum Zugriff auf relevante Daten 
• Ist Einbindung des Datenschutzbeauftragten sichergestellt 
• Vernichtung von Ermittlungsergebnissen 
• Rechtslage bei Cloud-Lösungen 
• Mitarbeiter lässt Notebook im Zug liegen 
• „Stromsparmaßnahmen“ sorgen für Abschaltung des Stroms im 
© TCI Rechtsanwälte 2014 17 
Serverraum 
• Sekretärin soll tägliche Datensicherung manuell vornehmen. Sie 
sichert nur „ab und zu“, da ja „nie etwas passiert“. 
• Mitarbeiter nutzen Dropbox / Geschäftsführung nutzt Evernote
Geschafft… noch Fragen? 
Rechtsanwalt Stephan Schmidt 
Fachanwalt für Informationstechnologierecht 
TCI Rechtsanwälte 
Isaac-Fulda-Allee 5 
D-55124 Mainz 
Telefon: +49 - (0) 6131 - 302 90 460 
Telefax: +49 - (0) 6131 - 302 90 466 
E-Mail: sschmidt@tcilaw.de 
Internet: www.tcilaw.de 
© TCI Rechtsanwälte Mainz 2014 18

IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen

  • 1.
    IT-RECHTLICHE ANFORDERUNGEN – HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014
  • 2.
    Agenda I. Begriffe II. Anwendbare Rechtsvorschriften III. Wer haftet eigentlich? IV. Praxisbeispiele © TCI Rechtsanwälte 2014 2
  • 3.
    I. BEGRIFFE ©TCI Rechtsanwälte 2014 3
  • 4.
    Begriffe • Compliance= „Befolgung“ • Einhaltung von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln im Unternehmen • Einrichtung und Dokumentation von Kontroll- und Steuerungsprozessen • Ziel ist das „vollständig regelkonforme Unternehmen“ • z.B. Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären • Aber auch das Compliance-Programm selbst muss den gesetzlichen Anforderungen genügen • IT-Compliance und Datenschutz bedingen sich oft gegenseitig • Europäische Datenschutz-Grundverordnung soll die drohenden Sanktionen bei Datenschutzverletzungen massiv verschärfen © TCI Rechtsanwälte 2014 4
  • 5.
    Begriffe • IT-Compliance= Regelkonforme IT-Systeme • „Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.“ (§ 2 Abs. 2 BSIG) • IT-Compliance bedeutet Risikovermeidung • Datenschutz und Datensicherheit bedeutet Daten vor Zugriffen Dritter schützen © TCI Rechtsanwälte 2014 5
  • 6.
    II. ANWENDBARE RECHTSVORSCHRIFTEN © TCI Rechtsanwälte 2014 6
  • 7.
    Anwendbare Rechtsvorschriften •Internationale Vorschriften (Auswahl) • Basel II-Abkommen: • Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. • Regeln müssen gemäß den EU Richtlinien 2006/48/EG und 2006/49/EG seit dem 1. Januar 2007 in den Mitgliedsstaaten der EU für alle Kredit- und Finanzdienstleistungsinstitute angewendet werden. • In Deutschland Umsetzung durch Kreditwesengesetz, Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). • Sarbanes-Oxley Act (SOX): • 2002 verabschiedet - Regelung von internen Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen und Anforderungen an das interne Kontrollsystem für die Finanzberichterstattung • Solvency II: • Richtlinie des Europäischen Parlaments und des Rates betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit • wie bei Basel II soll eine Erweiterung des Risikomanagements erreicht werden © TCI Rechtsanwälte 2014 7
  • 8.
    Anwendbare Rechtsvorschriften •Nationale Vorschriften (Auswahl) • Kreditwesengesetz • Gesetz zur Kontrolle und Transparenz im Unternehmensbereich • GoBS, GDPdU • Bundesdatenschutzgesetz • Telekommunikationsgesetz • Strafgesetzbuch • Versicherungsvertragsgesetz • Verwaltungsvorschriften, Verwaltungshandeln • Richtlinien und Standards • Allg. zivilrechtliche Verpflichtungen (z.B. aus Verträgen mit Kunden, aus Versicherungsverträgen, Deliktische Haftung gegenüber Dritten) © TCI Rechtsanwälte 2014 8
  • 9.
    III. WER HAFTET? © TCI Rechtsanwälte 2014 9
  • 10.
    Grundsätze der Haftung • Grundsatz: Haftung für Vorsatz und Fahrlässigkeit • Bei Delegation an Dienstleister: Verpflichtung zur sorgfältigen Auswahl und Beaufsichtigung • ggf. muss beim mangelnder eigener Fachkunde ein externer Berater für die Auswahl und Aufsicht herangezogen werden • interne Beauftragte müssen mit ausreichenden sachlichen und personellen Kapazitäten ausgestattet sein • bei externe Beauftragten muss sich die Geschäftsleitung von solchen Kapazitäten sorgfältig überzeugen • Beauftragter muss mit allen notwendigen Informationen versorgt © TCI Rechtsanwälte 2014 10 werden
  • 11.
    Haftung des Unternehmens • Haftung des Unternehmens für Ordnungswidrigkeiten • Bußgeld- und Strafvorschriften (z.B. aus dem BDSG, © TCI Rechtsanwälte 2014 11 UrhG, StGB) • Geldstrafen bis zu 1 Million Euro • Schadensersatzansprüche gegen das Unternehmen • § 823 BGB: Eigentumsschäden durch Datenverlust, • Störung des Gewerbebetriebs Dritter • Schädigung der IT-Infrastruktur Dritter • Z.B. durch Versand von Viren, DOS-Attacken/Spam-Versand durch Unternehmensrechner • Bei Verschulden Schadensersatz (z.B. für Datenverlust, Mehraufwand etc.)
  • 12.
    Haftung des Unternehmens • Auch ohne Verschulden Unterlassungsansprüche Dritter • Weitere Folgen: • Verweigerung des Bestätigungsvermerks durch © TCI Rechtsanwälte 2014 12 Wirtschaftsprüfer • Ratingprobleme (Basel II)  Bessere IT > Besseres Rating > Weniger Eigenkapitalbedarf > günstigerer Kredit • Verlust des Versicherungsschutzes  Versicherer knüpfen den Schutz an Beachtung von Obliegenheitspflichten • Abmahnung wegen Wettbewerbsverstoß • Imageschaden bei Datenschutzverstößen
  • 13.
    Haftung des Unternehmens Veröffentlich am 12.10.2012 in Welt und Frankfurter Rundschau Kosten der Veröffentlichung ca. 25.000 – 30.000 € Imageschaden XXX € © TCI Rechtsanwälte 2014 13
  • 14.
    Haftung der Geschäftsleitung • Mitglieder der Geschäftsführung (§ 43 GmbHG / § 93 Abs. 2 AktG) • Sorgfaltspflichten • Leitungspflichten • Vermögensbetreuungspflicht • Überwachungspflichten • Pflicht zur ordnungsgemäßen Geschäftsführung • Unternehmerische Entscheidungen im Kernbereich • Selbst und höchstpersönlich • Delegation nur teilweise möglich • Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten (§§ 239, 261 HGB) © TCI Rechtsanwälte 2014 14
  • 15.
    Haftung von Mitarbeitern • EDV-Leiter / Administrator • Persönliche Haftung aus: • Arbeitsvertrag - Gesteigerte vertragliche Pflicht zur Wahrung von Sicherheitsinteressen • „Delikt“ (§ 823 BGB) • Strafrecht • BDSG (Bayern: Bußgeld wegen offenem E-Mail-Verteiler) • Schadensersatzhaftung • Bei leichter Fahrlässigkeit: Keine Haftung • Bei mittlerer Fahrlässigkeit: Quotale Schadensteilung • Bei grober Fahrlässigkeit und Vorsatz: In der Regel volle Haftung; anders u.U. bei groben Missverhältnis zwischen Verdienst und Schaden © TCI Rechtsanwälte 2014 15
  • 16.
    IV. PRAXISBEISPIELE ©TCI Rechtsanwälte 2014 16
  • 17.
    Praxisbeispiele • InterneErmittlungen führen zu Datenschutzverstößen • Einsichtnahme und Auswertung von Mitarbeiter E-Mails • IT-Forensische Untersuchungen / Screenings • Information der Betroffenen • Regelungen zum Zugriff auf relevante Daten • Ist Einbindung des Datenschutzbeauftragten sichergestellt • Vernichtung von Ermittlungsergebnissen • Rechtslage bei Cloud-Lösungen • Mitarbeiter lässt Notebook im Zug liegen • „Stromsparmaßnahmen“ sorgen für Abschaltung des Stroms im © TCI Rechtsanwälte 2014 17 Serverraum • Sekretärin soll tägliche Datensicherung manuell vornehmen. Sie sichert nur „ab und zu“, da ja „nie etwas passiert“. • Mitarbeiter nutzen Dropbox / Geschäftsführung nutzt Evernote
  • 18.
    Geschafft… noch Fragen? Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de © TCI Rechtsanwälte Mainz 2014 18