Das Dokument behandelt die it-rechtlichen Anforderungen und Haftungsfallen für Unternehmen, insbesondere in Bezug auf Compliance, IT-Compliance und Datenschutz. Es werden relevante nationale und internationale Vorschriften sowie Haftungsgrundsätze für Unternehmen, Geschäftsleitung und Mitarbeiter beschrieben. Zudem werden praktische Beispiele für mögliche Datenschutzverletzungen und die Konsequenzen für Unternehmen aufgezeigt.

1. IT-RECHTLICHE ANFORDERUNGEN –
HAFTUNGSFALLEN FÜR UNTERNEHMEN
Stephan Schmidt
Rechtsanwalt und Fachanwalt für IT-Recht
IHK Hanau-Gelnhausen-Schlüchtern
12. November 2014

2. Agenda
I. Begriffe
II. Anwendbare Rechtsvorschriften
III. Wer haftet eigentlich?
IV. Praxisbeispiele
© TCI Rechtsanwälte 2014 2

3. I.
BEGRIFFE
© TCI Rechtsanwälte 2014 3

4. Begriffe
• Compliance = „Befolgung“
• Einhaltung von Gesetzen, Richtlinien und anderen
Verhaltensmaßregeln im Unternehmen
• Einrichtung und Dokumentation von Kontroll- und Steuerungsprozessen
• Ziel ist das „vollständig regelkonforme Unternehmen“
• z.B. Korruption und unzulässige Kartellabsprachen,
Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und
aufzuklären
• Aber auch das Compliance-Programm selbst muss den
gesetzlichen Anforderungen genügen
• IT-Compliance und Datenschutz bedingen sich oft gegenseitig
• Europäische Datenschutz-Grundverordnung soll die drohenden
Sanktionen bei Datenschutzverletzungen massiv verschärfen
© TCI Rechtsanwälte 2014 4

5. Begriffe
• IT-Compliance = Regelkonforme IT-Systeme
• „Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder
Vertraulichkeit von Informationen betreffen, durch
Sicherheitsvorkehrungen
1. in informationstechnischen Systemen oder Komponenten oder
2. bei der Anwendung von informationstechnischen Systemen oder
Komponenten.“ (§ 2 Abs. 2 BSIG)
• IT-Compliance bedeutet Risikovermeidung
• Datenschutz und Datensicherheit bedeutet Daten vor
Zugriffen Dritter schützen
© TCI Rechtsanwälte 2014 5

6. II.
ANWENDBARE
RECHTSVORSCHRIFTEN
© TCI Rechtsanwälte 2014 6

7. Anwendbare
Rechtsvorschriften
• Internationale Vorschriften (Auswahl)
• Basel II-Abkommen:
• Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für
Bankenaufsicht in den letzten Jahren vorgeschlagen wurden.
• Regeln müssen gemäß den EU Richtlinien 2006/48/EG und 2006/49/EG seit dem 1.
Januar 2007 in den Mitgliedsstaaten der EU für alle Kredit- und
Finanzdienstleistungsinstitute angewendet werden.
• In Deutschland Umsetzung durch Kreditwesengesetz, Solvabilitätsverordnung und die
Mindestanforderungen an das Risikomanagement (MaRisk).
• Sarbanes-Oxley Act (SOX):
• 2002 verabschiedet - Regelung von internen Kontrollen, die im Zusammenhang mit
der Rechnungslegung stehen und Anforderungen an das interne Kontrollsystem für
die Finanzberichterstattung
• Solvency II:
• Richtlinie des Europäischen Parlaments und des Rates betreffend die Aufnahme und
Ausübung der Versicherungs- und der Rückversicherungstätigkeit
• wie bei Basel II soll eine Erweiterung des Risikomanagements erreicht werden
© TCI Rechtsanwälte 2014 7

8. Anwendbare
Rechtsvorschriften
• Nationale Vorschriften (Auswahl)
• Kreditwesengesetz
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
• GoBS, GDPdU
• Bundesdatenschutzgesetz
• Telekommunikationsgesetz
• Strafgesetzbuch
• Versicherungsvertragsgesetz
• Verwaltungsvorschriften, Verwaltungshandeln
• Richtlinien und Standards
• Allg. zivilrechtliche Verpflichtungen (z.B. aus Verträgen mit
Kunden, aus Versicherungsverträgen, Deliktische Haftung
gegenüber Dritten)
© TCI Rechtsanwälte 2014 8

9. III.
WER HAFTET?
© TCI Rechtsanwälte 2014 9

10. Grundsätze der Haftung
• Grundsatz: Haftung für Vorsatz und Fahrlässigkeit
• Bei Delegation an Dienstleister: Verpflichtung zur
sorgfältigen Auswahl und Beaufsichtigung
• ggf. muss beim mangelnder eigener Fachkunde ein externer
Berater für die Auswahl und Aufsicht herangezogen werden
• interne Beauftragte müssen mit ausreichenden sachlichen und
personellen Kapazitäten ausgestattet sein
• bei externe Beauftragten muss sich die Geschäftsleitung von
solchen Kapazitäten sorgfältig überzeugen
• Beauftragter muss mit allen notwendigen Informationen versorgt
© TCI Rechtsanwälte 2014 10
werden

11. Haftung des Unternehmens
• Haftung des Unternehmens für Ordnungswidrigkeiten
• Bußgeld- und Strafvorschriften (z.B. aus dem BDSG,
© TCI Rechtsanwälte 2014 11
UrhG, StGB)
• Geldstrafen bis zu 1 Million Euro
• Schadensersatzansprüche gegen das Unternehmen
• § 823 BGB: Eigentumsschäden durch Datenverlust,
• Störung des Gewerbebetriebs Dritter
• Schädigung der IT-Infrastruktur Dritter
• Z.B. durch Versand von Viren, DOS-Attacken/Spam-Versand durch
Unternehmensrechner
• Bei Verschulden Schadensersatz (z.B. für Datenverlust,
Mehraufwand etc.)

12. Haftung des Unternehmens
• Auch ohne Verschulden Unterlassungsansprüche Dritter
• Weitere Folgen:
• Verweigerung des Bestätigungsvermerks durch
© TCI Rechtsanwälte 2014 12
Wirtschaftsprüfer
• Ratingprobleme (Basel II)
 Bessere IT > Besseres Rating > Weniger Eigenkapitalbedarf >
günstigerer Kredit
• Verlust des Versicherungsschutzes
 Versicherer knüpfen den Schutz an Beachtung von
Obliegenheitspflichten
• Abmahnung wegen Wettbewerbsverstoß
• Imageschaden bei Datenschutzverstößen

13. Haftung des Unternehmens
Veröffentlich am
12.10.2012 in Welt
und Frankfurter
Rundschau
Kosten der
Veröffentlichung
ca. 25.000 – 30.000 €
Imageschaden
XXX €
© TCI Rechtsanwälte 2014 13

14. Haftung der Geschäftsleitung
• Mitglieder der Geschäftsführung (§ 43 GmbHG / § 93
Abs. 2 AktG)
• Sorgfaltspflichten
• Leitungspflichten
• Vermögensbetreuungspflicht
• Überwachungspflichten
• Pflicht zur ordnungsgemäßen Geschäftsführung
• Unternehmerische Entscheidungen im Kernbereich
• Selbst und höchstpersönlich
• Delegation nur teilweise möglich
• Jeder Kaufmann hat bei der Führung seiner
Handelsbücher und der Aufbewahrung seiner
Unterlagen in elektronischer Form die Sicherung der IT-Systeme
zu gewährleisten (§§ 239, 261 HGB)
© TCI Rechtsanwälte 2014 14

15. Haftung von Mitarbeitern
• EDV-Leiter / Administrator
• Persönliche Haftung aus:
• Arbeitsvertrag - Gesteigerte vertragliche Pflicht zur Wahrung von
Sicherheitsinteressen
• „Delikt“ (§ 823 BGB)
• Strafrecht
• BDSG (Bayern: Bußgeld wegen offenem E-Mail-Verteiler)
• Schadensersatzhaftung
• Bei leichter Fahrlässigkeit: Keine Haftung
• Bei mittlerer Fahrlässigkeit: Quotale Schadensteilung
• Bei grober Fahrlässigkeit und Vorsatz: In der Regel volle
Haftung; anders u.U. bei groben Missverhältnis zwischen
Verdienst und Schaden
© TCI Rechtsanwälte 2014 15

16. IV.
PRAXISBEISPIELE
© TCI Rechtsanwälte 2014 16

17. Praxisbeispiele
• Interne Ermittlungen führen zu Datenschutzverstößen
• Einsichtnahme und Auswertung von Mitarbeiter E-Mails
• IT-Forensische Untersuchungen / Screenings
• Information der Betroffenen
• Regelungen zum Zugriff auf relevante Daten
• Ist Einbindung des Datenschutzbeauftragten sichergestellt
• Vernichtung von Ermittlungsergebnissen
• Rechtslage bei Cloud-Lösungen
• Mitarbeiter lässt Notebook im Zug liegen
• „Stromsparmaßnahmen“ sorgen für Abschaltung des Stroms im
© TCI Rechtsanwälte 2014 17
Serverraum
• Sekretärin soll tägliche Datensicherung manuell vornehmen. Sie
sichert nur „ab und zu“, da ja „nie etwas passiert“.
• Mitarbeiter nutzen Dropbox / Geschäftsführung nutzt Evernote

18. Geschafft… noch Fragen?
Rechtsanwalt Stephan Schmidt
Fachanwalt für Informationstechnologierecht
TCI Rechtsanwälte
Isaac-Fulda-Allee 5
D-55124 Mainz
Telefon: +49 - (0) 6131 - 302 90 460
Telefax: +49 - (0) 6131 - 302 90 466
E-Mail: sschmidt@tcilaw.de
Internet: www.tcilaw.de
© TCI Rechtsanwälte Mainz 2014 18