SlideShare ist ein Scribd-Unternehmen logo
Persönliche Verantwortung und
     Haftungsrisiken des
          CISO / IT-
   Sicherheitsbeauftragten
                 Stephan Schmidt
          Rechtsanwalt und Fachanwalt für IT-Recht



 Gesellschaft für Informatik e.V. – Frankfurt a.M. – 09.11.2012
„DER CISO IST PREDIGER, GEHEIM-
 AGENT UND NOTARZT IN EINEM.“
         SIMON HÜLSBÖMER, COMPUTERWOCHE




…UND DEN DEUTSCHEN GESETZEN
    GÄNZLICH UNBEKANNT.
               © TCI Rechtsanwälte 2012   2
I.

ERFORDERLICHKEIT EINES
CISO / ITSB

         © TCI Rechtsanwälte 2012   3
 Keine direkte gesetzliche Pflicht
   • Ausnahmen:
      • 109 Absatz 3 TKG
      • Leitlinien zur Gewährleistung der Informationssicherheit
        (Niedersachsen – Ziffer 6 ISLL)
 zahlreiche gesellschaftsrechtliche Einfallstore
  (Pflicht zur ordnungsgemäßen Geschäftsführung -
  Sorgfaltspflichten, Leitungspflichten,
  Überwachungspflichten – z.B. Gesetz zur
  Kontrolle und Transparenz im
  Unternehmensbereich, 43 GmbHG, 93 Absatz 2
  AktG und 116 AktG)
 Bestandteil dieser Pflichten ist die Zuständigkeit
  für wesentliche unternehmerische Entscheidungen
                         © RA Stephan Schmidt 2012                 4
 Geschäftsleitung muss sich selbst und
  höchstpersönlich um die Grundzüge der
  Unternehmenspolitik kümmern und darf diese
  Pflicht nicht delegieren,
 Grundzüge der Unternehmenspolitik liegen
  dann vor, wenn Aufgaben und
  Entscheidungen für das Unternehmen von
  besonderer Bedeutung sind
  (außergewöhnlich oder besondere Risiken)
 daher mittelbare Pflicht zur Ernennung eines
  CISO/ITSB, wenn betriebliche Erforderlichkeit
  gegeben (Ermessensfrage)
                 © RA Stephan Schmidt 2012    5
II.

TYPISCHE FUNKTIONEN UND
AUFGABEN

         © TCI Rechtsanwälte 2012   6
 Definition IT-Sicherheit
         2 Absatz 2 Gesetz über das Bundesamt für
        Sicherheit in der Informationstechnik: „Sicherheit in
        der Informationstechnik im Sinne dieses Gesetzes
        bedeutet die Einhaltung bestimmter
        Sicherheitsstandards, die die Verfügbarkeit,
        Unversehrtheit oder Vertraulichkeit von Informationen
        betreffen, durch Sicherheitsvorkehrungen
        1.   in informationstechnischen Systemen, Komponenten oder
             Prozessen oder
        2.   bei der Anwendung von informationstechnischen
             Systemen, Komponenten oder Prozessen.“
   Gegenwärtiger Stand der Technik zu
    gewährleisten (BSI-Grundschutzhandbuch,
    ISO/IEC 27001 oder ISO/IEC 15048)
                          © RA Stephan Schmidt 2012                  7
ITSB
 Mangels gesetzlicher Regelung nur zugewiesene
  einmalige und laufende Aufgaben
 In der Regel Stabsstelle mit ausschließlich
  beratender Funktion (Haftung dann nur für
  Erkennung von Risiken)
 Wenn gewünscht, aktive Einräumung von
  Befugnissen erforderlich
 Überwachungsfunktion erfordert auch
  Durchsetzungsmöglichkeiten
 gegenüber Geschäftsleitung immer nur Beratung
  möglich
 Berichtspflichten an Geschäftsleitung
                  © RA Stephan Schmidt 2012       8
CISO auf Leitungsebene
 Gleiche Aufgaben wie der ITSB
aber
 wenn Mitglied der Geschäftsleitung, dann
  direkte Weisungsbefugnisse und
  entsprechende Verantwortlichkeiten und
  Haftung



                © RA Stephan Schmidt 2012    9
III.

AUSWAHLKRITERIEN


        © TCI Rechtsanwälte 2012   10
ITSB
            Intern                                   Extern
• mögliche Kollision mit               • Risiko für vertrauliche
  anderen Aufgaben (z.B.                 Daten
  Tätigkeiten in IT-Abteilung,         • Zugriff auf Betriebsinterna
  Sicherheitsbeauftragter              • keine Privilegierte
  nach SGB und DSB (BAG,                 Arbeitnehmerhaftung
  Urteil v. 22.04.1994 – a.A.
  LAG Hamm, Beschluss v.               • Verschuldensvermutung bei
  8.4.2011)                              Pflichtverletzung
• eingeschränkte Haftung               • Personelle Kontinuität muss
• Keine Minderungs-                      sichergestellt sein
  möglichkeit bei
  Schlechtleistung
• Lohnfortzahlung im
  Krankheitsfall

                         © RA Stephan Schmidt 2012                 11
 Persönliche Eignung
    Anforderungen nicht gesetzlich geregelt
    erforderliche Fachkenntnisse und hohe
     Zuverlässigkeit erforderlich
    muss Risiken erkennen, Maßnahmen treffen und
     vermitteln können
    Eventuell Anlehnungen an seit 1.11.2012 geltende
     Anforderungen an Compliance-Beauftragten nach
     Wertpapierhandelsgesetz-
     Mitarbeiteranzeigeverordnung
    Zertifizierung möglich
    öffentlichen Verwaltung - Bundesakademie für
     öffentliche Verwaltung: "IT-Sicherheitsbeauftragter der
     Öffentlichen Verwaltung“
                      © RA Stephan Schmidt 2012           12
IV.

RECHTLICHE
AUSGESTALTUNG

        © TCI Rechtsanwälte 2012   13
 Interner ITSB  schriftliche Zusatzvereinbarung /
  Stellenbeschreibung zum Arbeitsvertrag
   Bloße Weisung nicht ausreichend!
   regelmäßige Überprüfung erforderlich
 Externer ITSB  Vertrag mit Dienst- und
  Werkvertraglichen Elementen
   Vorsicht bei reinen Dienstverträgen – oft keine
    ausreichende Mängelhaftung, wenn kein Werk
    geschuldet
 Grundsatzregelung mit Betriebsrat hinsichtlich
  erforderlicher Eilmaßnahmen des ITSB / CISO
  erforderlich (vorläufige Zulässigkeit trotz
  Beteiligungsrecht)
                     © RA Stephan Schmidt 2012        14
V.

HAFTUNG


          © TCI Rechtsanwälte 2012   15
 Interne ITSB (1):
   Haften als Arbeitnehmer aus arbeitsvertraglichen
    Pflichtverletzungen persönlich auf Schadensersatz,
    wenn Pflichtenkreis verletzt ist – gestaffelt nach
    Verschuldensgrad
      Vorsatz  Volle Haftung
      Grobe Fahrlässigkeit  Volle Haftung, wenn
       verhältnismäßig
      „mittlere“ Fahrlässigkeit  anteilige Haftung
      leichte Fahrlässigkeit  keine Haftung
   Wenn Arbeitsvertrag keinen Pflichtenkreis bestimmt,
    Rückgriff auf BSI-Grundschutzhandbuch Kapitel M
    2.193
   Mindestens vertragliche Nebenpflicht Arbeitgeber auf
    Bedrohungen und RA Stephan Schmidt 2012
                     ©
                       Risiken hinzuweisen              16
 Interne ITSB (2):
   Haftung gegenüber Dritten für eigenes
    Fehlverhalten
     ABER: Haftungsmaßstäbe sind streng auszulegen
      Beispiel: Vertragsgestaltung und -dokumentation
       bei komplexen Projekten ohne juristische
       Beratung
   Haftung nach allgemeinen Gesetzen wie z.B.
       823, 831 BGB und Spezialregelungen wie
      44 TKG und       7, 9 BDSG
   Mögliche strafrechtliche Haftung
    (Fernmeldegeheimnis, Computerstraftaten,
    Urkundenunterdrückung …)
                    © RA Stephan Schmidt 2012       17
 Externe ITSB:
   Ähnliche Haftung wie interner ITSB, nur aus
    schuldrechtlichem Vertrag
   aber kein arbeitsrechtliches Haftungsprivileg
   Individualvertragliche
    Haftungsbeschränkungen möglich
   von Haftungsbeschränkungen in
    Standardverträgen oder AGBs ist wegen den
    Einschränkungen des AGB-Rechts abzuraten
                  © RA Stephan Schmidt 2012     18
 CISO auf Leitungsebene:
   Haftung für Organisations- und
    Auswahlverschulden hinsichtlich Mitarbeiter
   Haftung für eigene Organisationsfehler
   Haftung bsp. nach 91 Abs. 2 AktG  keine
    vollständige Befreiung durch Delegation
    möglich
   Strafbarkeit wegen Unterlassen trotz
    Garantenstellung möglich
     BGH Urteil zum CCO v. 17.17.2009 - 5 StR 394/08

                  © RA Stephan Schmidt 2012         19
VI.

SCHUTZ VOR HAFTUNG


        © TCI Rechtsanwälte 2012   20
 Vertragsrechtliche Lösungen
   Ergänzende Haftungsbeschränkungen zum
    Arbeitsvertrag möglich
   jedoch unüblich und schwer durchzusetzen
   Bei externen ITSB Haftungsbegrenzung im Vertrag
    möglich

 Versicherungsrechtliche Lösungen
   D&O-Versicherungen nur für CISO auf
    Geschäftsleitungsebene
   Keine Lösung für interne ITSB
   Haftpflichtversicherungen für externe ITSB möglich
                    © RA Stephan Schmidt 2012            21
Geschafft…               noch Fragen?

             Rechtsanwalt Stephan Schmidt
             Fachanwalt für Informationstechnologierecht

             TCI Rechtsanwälte
             Isaac-Fulda-Allee 5
             D-55124 Mainz
             Telefon: +49 - (0) 6131 - 302 90 460
             Telefax: +49 - (0) 6131 - 302 90 466
             E-Mail: sschmidt@tcilaw.de
             Internet: www.tcilaw.de

         © TCI Rechtsanwälte 2012                          22

Weitere ähnliche Inhalte

Was ist angesagt?

CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
PECB
 
Disaster recovery-seminar
Disaster recovery-seminarDisaster recovery-seminar
Disaster recovery-seminar
Enrico Parisini
 
Building a Cyber Security Operations Center for SCADA/ICS Environments
Building a Cyber Security Operations Center for SCADA/ICS EnvironmentsBuilding a Cyber Security Operations Center for SCADA/ICS Environments
Building a Cyber Security Operations Center for SCADA/ICS Environments
Shah Sheikh
 
How To Set Security Awareness Strategic Goals, KPIs and Metrics
How To Set Security Awareness Strategic Goals, KPIs and MetricsHow To Set Security Awareness Strategic Goals, KPIs and Metrics
How To Set Security Awareness Strategic Goals, KPIs and Metrics
Terranova Security
 
Data Quality Strategy: A Step-by-Step Approach
Data Quality Strategy: A Step-by-Step ApproachData Quality Strategy: A Step-by-Step Approach
Data Quality Strategy: A Step-by-Step Approach
FindWhitePapers
 
Does Anyone Remember Enterprise Security Architecture?
Does Anyone Remember Enterprise Security Architecture?Does Anyone Remember Enterprise Security Architecture?
Does Anyone Remember Enterprise Security Architecture?
rbrockway
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
PECB
 
Chapter 04 information_security_policy
Chapter 04 information_security_policyChapter 04 information_security_policy
Chapter 04 information_security_policy
husseinalshomali
 
Business case for information security program
Business case for information security programBusiness case for information security program
Business case for information security program
William Godwin
 
1.1 Data Security Presentation.pdf
1.1 Data Security Presentation.pdf1.1 Data Security Presentation.pdf
1.1 Data Security Presentation.pdf
ChunLei(peter) Che
 
Real-World Data Governance: Data Governance Policy - Components and Content
Real-World Data Governance: Data Governance Policy - Components and ContentReal-World Data Governance: Data Governance Policy - Components and Content
Real-World Data Governance: Data Governance Policy - Components and Content
DATAVERSITY
 
Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatique
mohamed hadrich
 
CSF18 - BitLocker Deep Dive - Sami Laiho
CSF18 - BitLocker Deep Dive - Sami LaihoCSF18 - BitLocker Deep Dive - Sami Laiho
CSF18 - BitLocker Deep Dive - Sami Laiho
NCCOMMS
 
The Role of Data Governance in a Data Strategy
The Role of Data Governance in a Data StrategyThe Role of Data Governance in a Data Strategy
The Role of Data Governance in a Data Strategy
DATAVERSITY
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation Center
S.E. CTS CERT-GOV-MD
 
2019 04-17 10 steps to ccpa compliance
2019 04-17 10 steps to ccpa compliance2019 04-17 10 steps to ccpa compliance
2019 04-17 10 steps to ccpa compliance
TrustArc
 
The-Enterprise-Immune-System-Using-Machine-Learning-for-Next-Generation-Cyber...
The-Enterprise-Immune-System-Using-Machine-Learning-for-Next-Generation-Cyber...The-Enterprise-Immune-System-Using-Machine-Learning-for-Next-Generation-Cyber...
The-Enterprise-Immune-System-Using-Machine-Learning-for-Next-Generation-Cyber...
Amazon Web Services
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance Checklist
ControlCase
 
Master Data Management methodology
Master Data Management methodologyMaster Data Management methodology
Master Data Management methodology
Database Architechs
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
Gaudefroy Ariane
 

Was ist angesagt? (20)

CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
 
Disaster recovery-seminar
Disaster recovery-seminarDisaster recovery-seminar
Disaster recovery-seminar
 
Building a Cyber Security Operations Center for SCADA/ICS Environments
Building a Cyber Security Operations Center for SCADA/ICS EnvironmentsBuilding a Cyber Security Operations Center for SCADA/ICS Environments
Building a Cyber Security Operations Center for SCADA/ICS Environments
 
How To Set Security Awareness Strategic Goals, KPIs and Metrics
How To Set Security Awareness Strategic Goals, KPIs and MetricsHow To Set Security Awareness Strategic Goals, KPIs and Metrics
How To Set Security Awareness Strategic Goals, KPIs and Metrics
 
Data Quality Strategy: A Step-by-Step Approach
Data Quality Strategy: A Step-by-Step ApproachData Quality Strategy: A Step-by-Step Approach
Data Quality Strategy: A Step-by-Step Approach
 
Does Anyone Remember Enterprise Security Architecture?
Does Anyone Remember Enterprise Security Architecture?Does Anyone Remember Enterprise Security Architecture?
Does Anyone Remember Enterprise Security Architecture?
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
 
Chapter 04 information_security_policy
Chapter 04 information_security_policyChapter 04 information_security_policy
Chapter 04 information_security_policy
 
Business case for information security program
Business case for information security programBusiness case for information security program
Business case for information security program
 
1.1 Data Security Presentation.pdf
1.1 Data Security Presentation.pdf1.1 Data Security Presentation.pdf
1.1 Data Security Presentation.pdf
 
Real-World Data Governance: Data Governance Policy - Components and Content
Real-World Data Governance: Data Governance Policy - Components and ContentReal-World Data Governance: Data Governance Policy - Components and Content
Real-World Data Governance: Data Governance Policy - Components and Content
 
Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatique
 
CSF18 - BitLocker Deep Dive - Sami Laiho
CSF18 - BitLocker Deep Dive - Sami LaihoCSF18 - BitLocker Deep Dive - Sami Laiho
CSF18 - BitLocker Deep Dive - Sami Laiho
 
The Role of Data Governance in a Data Strategy
The Role of Data Governance in a Data StrategyThe Role of Data Governance in a Data Strategy
The Role of Data Governance in a Data Strategy
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation Center
 
2019 04-17 10 steps to ccpa compliance
2019 04-17 10 steps to ccpa compliance2019 04-17 10 steps to ccpa compliance
2019 04-17 10 steps to ccpa compliance
 
The-Enterprise-Immune-System-Using-Machine-Learning-for-Next-Generation-Cyber...
The-Enterprise-Immune-System-Using-Machine-Learning-for-Next-Generation-Cyber...The-Enterprise-Immune-System-Using-Machine-Learning-for-Next-Generation-Cyber...
The-Enterprise-Immune-System-Using-Machine-Learning-for-Next-Generation-Cyber...
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance Checklist
 
Master Data Management methodology
Master Data Management methodologyMaster Data Management methodology
Master Data Management methodology
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 

Ähnlich wie Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauftragten

Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODStephan Schmidt
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenStephan Schmidt
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Bernd Fuhlert
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
mmi-consult
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Michael Rohrlich
 
Home Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche RahmenbedingungenHome Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
André Zimmermann
 
Goldenstein & Partner - Wolfgang Matzke - Haftung von Entscheidern
Goldenstein & Partner - Wolfgang Matzke - Haftung von EntscheidernGoldenstein & Partner - Wolfgang Matzke - Haftung von Entscheidern
Goldenstein & Partner - Wolfgang Matzke - Haftung von Entscheidern
RaGoldenstein
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakte
id-netsolutions Digital Solutions GmbH
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
Konrad Becker
 
Betreiberpflichten für Immobilienbesitzer: einfach und verständlich
Betreiberpflichten für Immobilienbesitzer: einfach und verständlichBetreiberpflichten für Immobilienbesitzer: einfach und verständlich
Betreiberpflichten für Immobilienbesitzer: einfach und verständlich
WolfgangMaier3
 
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
TALOSCommunications
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Archivierung "rechtskonform"
Archivierung "rechtskonform"Archivierung "rechtskonform"
Archivierung "rechtskonform"
id-netsolutions Digital Solutions GmbH
 
Wie Manager Risiken absichern-insbesondere CyberRisiko
Wie Manager Risiken absichern-insbesondere CyberRisikoWie Manager Risiken absichern-insbesondere CyberRisiko
Wie Manager Risiken absichern-insbesondere CyberRisiko
Alexandra Kärner
 
Kurs it 2013 (2)
Kurs it 2013 (2)Kurs it 2013 (2)
Kurs it 2013 (2)
ICT Economic Impact
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
kreuzwerker GmbH
 
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzDeutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Stephan Schmidt
 
Recht für Gründer
Recht für GründerRecht für Gründer
Recht für Gründer
Henning Krieg
 

Ähnlich wie Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauftragten (20)

Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYOD
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 
Home Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche RahmenbedingungenHome Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
 
Goldenstein & Partner - Wolfgang Matzke - Haftung von Entscheidern
Goldenstein & Partner - Wolfgang Matzke - Haftung von EntscheidernGoldenstein & Partner - Wolfgang Matzke - Haftung von Entscheidern
Goldenstein & Partner - Wolfgang Matzke - Haftung von Entscheidern
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakte
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
 
Betreiberpflichten für Immobilienbesitzer: einfach und verständlich
Betreiberpflichten für Immobilienbesitzer: einfach und verständlichBetreiberpflichten für Immobilienbesitzer: einfach und verständlich
Betreiberpflichten für Immobilienbesitzer: einfach und verständlich
 
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
 
Archivierung "rechtskonform"
Archivierung "rechtskonform"Archivierung "rechtskonform"
Archivierung "rechtskonform"
 
Wie Manager Risiken absichern-insbesondere CyberRisiko
Wie Manager Risiken absichern-insbesondere CyberRisikoWie Manager Risiken absichern-insbesondere CyberRisiko
Wie Manager Risiken absichern-insbesondere CyberRisiko
 
Kurs it 2013 (2)
Kurs it 2013 (2)Kurs it 2013 (2)
Kurs it 2013 (2)
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
 
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzDeutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
 
Recht für Gründer
Recht für GründerRecht für Gründer
Recht für Gründer
 

Mehr von Stephan Schmidt

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-Marketing
Stephan Schmidt
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Stephan Schmidt
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk  –  Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk  –  Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Stephan Schmidt
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Stephan Schmidt
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenStephan Schmidt
 
Social Media & Recht
Social Media & RechtSocial Media & Recht
Social Media & Recht
Stephan Schmidt
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenStephan Schmidt
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestalten
Stephan Schmidt
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im Computerstrafrecht
Stephan Schmidt
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Stephan Schmidt
 

Mehr von Stephan Schmidt (10)

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-Marketing
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk  –  Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk  –  Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
 
Social Media & Recht
Social Media & RechtSocial Media & Recht
Social Media & Recht
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzen
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestalten
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im Computerstrafrecht
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
 

Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauftragten

  • 1. Persönliche Verantwortung und Haftungsrisiken des CISO / IT- Sicherheitsbeauftragten Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht Gesellschaft für Informatik e.V. – Frankfurt a.M. – 09.11.2012
  • 2. „DER CISO IST PREDIGER, GEHEIM- AGENT UND NOTARZT IN EINEM.“ SIMON HÜLSBÖMER, COMPUTERWOCHE …UND DEN DEUTSCHEN GESETZEN GÄNZLICH UNBEKANNT. © TCI Rechtsanwälte 2012 2
  • 3. I. ERFORDERLICHKEIT EINES CISO / ITSB © TCI Rechtsanwälte 2012 3
  • 4.  Keine direkte gesetzliche Pflicht • Ausnahmen: • 109 Absatz 3 TKG • Leitlinien zur Gewährleistung der Informationssicherheit (Niedersachsen – Ziffer 6 ISLL)  zahlreiche gesellschaftsrechtliche Einfallstore (Pflicht zur ordnungsgemäßen Geschäftsführung - Sorgfaltspflichten, Leitungspflichten, Überwachungspflichten – z.B. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, 43 GmbHG, 93 Absatz 2 AktG und 116 AktG)  Bestandteil dieser Pflichten ist die Zuständigkeit für wesentliche unternehmerische Entscheidungen © RA Stephan Schmidt 2012 4
  • 5.  Geschäftsleitung muss sich selbst und höchstpersönlich um die Grundzüge der Unternehmenspolitik kümmern und darf diese Pflicht nicht delegieren,  Grundzüge der Unternehmenspolitik liegen dann vor, wenn Aufgaben und Entscheidungen für das Unternehmen von besonderer Bedeutung sind (außergewöhnlich oder besondere Risiken)  daher mittelbare Pflicht zur Ernennung eines CISO/ITSB, wenn betriebliche Erforderlichkeit gegeben (Ermessensfrage) © RA Stephan Schmidt 2012 5
  • 6. II. TYPISCHE FUNKTIONEN UND AUFGABEN © TCI Rechtsanwälte 2012 6
  • 7.  Definition IT-Sicherheit  2 Absatz 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik: „Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponenten oder Prozessen oder 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.“  Gegenwärtiger Stand der Technik zu gewährleisten (BSI-Grundschutzhandbuch, ISO/IEC 27001 oder ISO/IEC 15048) © RA Stephan Schmidt 2012 7
  • 8. ITSB  Mangels gesetzlicher Regelung nur zugewiesene einmalige und laufende Aufgaben  In der Regel Stabsstelle mit ausschließlich beratender Funktion (Haftung dann nur für Erkennung von Risiken)  Wenn gewünscht, aktive Einräumung von Befugnissen erforderlich  Überwachungsfunktion erfordert auch Durchsetzungsmöglichkeiten  gegenüber Geschäftsleitung immer nur Beratung möglich  Berichtspflichten an Geschäftsleitung © RA Stephan Schmidt 2012 8
  • 9. CISO auf Leitungsebene  Gleiche Aufgaben wie der ITSB aber  wenn Mitglied der Geschäftsleitung, dann direkte Weisungsbefugnisse und entsprechende Verantwortlichkeiten und Haftung © RA Stephan Schmidt 2012 9
  • 10. III. AUSWAHLKRITERIEN © TCI Rechtsanwälte 2012 10
  • 11. ITSB Intern Extern • mögliche Kollision mit • Risiko für vertrauliche anderen Aufgaben (z.B. Daten Tätigkeiten in IT-Abteilung, • Zugriff auf Betriebsinterna Sicherheitsbeauftragter • keine Privilegierte nach SGB und DSB (BAG, Arbeitnehmerhaftung Urteil v. 22.04.1994 – a.A. LAG Hamm, Beschluss v. • Verschuldensvermutung bei 8.4.2011) Pflichtverletzung • eingeschränkte Haftung • Personelle Kontinuität muss • Keine Minderungs- sichergestellt sein möglichkeit bei Schlechtleistung • Lohnfortzahlung im Krankheitsfall © RA Stephan Schmidt 2012 11
  • 12.  Persönliche Eignung  Anforderungen nicht gesetzlich geregelt  erforderliche Fachkenntnisse und hohe Zuverlässigkeit erforderlich  muss Risiken erkennen, Maßnahmen treffen und vermitteln können  Eventuell Anlehnungen an seit 1.11.2012 geltende Anforderungen an Compliance-Beauftragten nach Wertpapierhandelsgesetz- Mitarbeiteranzeigeverordnung  Zertifizierung möglich  öffentlichen Verwaltung - Bundesakademie für öffentliche Verwaltung: "IT-Sicherheitsbeauftragter der Öffentlichen Verwaltung“ © RA Stephan Schmidt 2012 12
  • 13. IV. RECHTLICHE AUSGESTALTUNG © TCI Rechtsanwälte 2012 13
  • 14.  Interner ITSB  schriftliche Zusatzvereinbarung / Stellenbeschreibung zum Arbeitsvertrag  Bloße Weisung nicht ausreichend!  regelmäßige Überprüfung erforderlich  Externer ITSB  Vertrag mit Dienst- und Werkvertraglichen Elementen  Vorsicht bei reinen Dienstverträgen – oft keine ausreichende Mängelhaftung, wenn kein Werk geschuldet  Grundsatzregelung mit Betriebsrat hinsichtlich erforderlicher Eilmaßnahmen des ITSB / CISO erforderlich (vorläufige Zulässigkeit trotz Beteiligungsrecht) © RA Stephan Schmidt 2012 14
  • 15. V. HAFTUNG © TCI Rechtsanwälte 2012 15
  • 16.  Interne ITSB (1):  Haften als Arbeitnehmer aus arbeitsvertraglichen Pflichtverletzungen persönlich auf Schadensersatz, wenn Pflichtenkreis verletzt ist – gestaffelt nach Verschuldensgrad  Vorsatz  Volle Haftung  Grobe Fahrlässigkeit  Volle Haftung, wenn verhältnismäßig  „mittlere“ Fahrlässigkeit  anteilige Haftung  leichte Fahrlässigkeit  keine Haftung  Wenn Arbeitsvertrag keinen Pflichtenkreis bestimmt, Rückgriff auf BSI-Grundschutzhandbuch Kapitel M 2.193  Mindestens vertragliche Nebenpflicht Arbeitgeber auf Bedrohungen und RA Stephan Schmidt 2012 © Risiken hinzuweisen 16
  • 17.  Interne ITSB (2):  Haftung gegenüber Dritten für eigenes Fehlverhalten ABER: Haftungsmaßstäbe sind streng auszulegen  Beispiel: Vertragsgestaltung und -dokumentation bei komplexen Projekten ohne juristische Beratung  Haftung nach allgemeinen Gesetzen wie z.B. 823, 831 BGB und Spezialregelungen wie 44 TKG und 7, 9 BDSG  Mögliche strafrechtliche Haftung (Fernmeldegeheimnis, Computerstraftaten, Urkundenunterdrückung …) © RA Stephan Schmidt 2012 17
  • 18.  Externe ITSB:  Ähnliche Haftung wie interner ITSB, nur aus schuldrechtlichem Vertrag  aber kein arbeitsrechtliches Haftungsprivileg  Individualvertragliche Haftungsbeschränkungen möglich  von Haftungsbeschränkungen in Standardverträgen oder AGBs ist wegen den Einschränkungen des AGB-Rechts abzuraten © RA Stephan Schmidt 2012 18
  • 19.  CISO auf Leitungsebene:  Haftung für Organisations- und Auswahlverschulden hinsichtlich Mitarbeiter  Haftung für eigene Organisationsfehler  Haftung bsp. nach 91 Abs. 2 AktG  keine vollständige Befreiung durch Delegation möglich  Strafbarkeit wegen Unterlassen trotz Garantenstellung möglich  BGH Urteil zum CCO v. 17.17.2009 - 5 StR 394/08 © RA Stephan Schmidt 2012 19
  • 20. VI. SCHUTZ VOR HAFTUNG © TCI Rechtsanwälte 2012 20
  • 21.  Vertragsrechtliche Lösungen  Ergänzende Haftungsbeschränkungen zum Arbeitsvertrag möglich  jedoch unüblich und schwer durchzusetzen  Bei externen ITSB Haftungsbegrenzung im Vertrag möglich  Versicherungsrechtliche Lösungen  D&O-Versicherungen nur für CISO auf Geschäftsleitungsebene  Keine Lösung für interne ITSB  Haftpflichtversicherungen für externe ITSB möglich © RA Stephan Schmidt 2012 21
  • 22. Geschafft… noch Fragen? Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de © TCI Rechtsanwälte 2012 22