Rechtliche Leitplanken Geheimschutz aufbauen, Datendiebstahl verhindern. RA Horst Speichert

Transkript

1 Rechtliche Leitplanken Geheimschutz aufbauen, Datendiebstahl verhindern RA Horst Speichert 1

2 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter Universität Stuttgart horst@speichert.de Internet: Informationssicherheit Compliance-Audit IT-Verträge Betriebsvereinbarungen Datenschutz ext. Datenschutzbeauftragter EDV- und Internet-Recht Vorträge, Schulung, Seminare 2

3 Literaturhinweis Speichert, Horst Praxis des IT-Rechts - Praktische Rechtsfragen der IT-Sicherheit und Internetnutzung Vieweg Verlag, 2. Auflage KES-Reihe ISBN: ,90 3

4 IT-Compliance 4

5 Begriff IT-Compliance IT-Compliance bedeuted die Einhaltung rechtlicher Bestimmungen Konformität mit gesetzlichen Standards Einhaltung der Gesetze, BV, Beachtung der Rechtsprechung Vertragspflichten Kunden, Geschäftspartner, Mitarbeiter Konformität mit Standards, Policies, Richtlinien Deutscher Corporate Governance Kodex Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen. 5

6 Anlage zu 9 BDSG Grundsätze ordnungsgemäßer DV technisches Sicherheitskonzept technische Konkretisierung Zutrittskontrolle räumliche, physische Sicherung Zugangskontrolle Paßwort, Firewall, Festplattenverschlüsselung Zugriffskontrolle effektive, rollenbasierte, Rechteverwaltung Weitergabekontrolle Verschlüsselung Verfügbarkeitskontrolle Virenschutz, Backup, Archivierung Protokollierung 6

7 IKS nach GoBS, MaRisk, KonTraG, SOX etc. Internes Kontrollsystem Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art Bereitstellung vollständiger, genauer, aussagefähiger und zeitnaher Aufzeichnungen Förderung der betrieblichen Effizienz durch Auswertung und Kontrolle der Aufzeichnungen Unterstützung der Befolgung der Regeln der vorgeschriebenen Geschäftspolitik Datensicherheit Datensicherheitskonzept Sicherung gegen Datenverlust Stand der Technik Dokumentation und Prüfbarkeit 7

8 IKS - Maßnahmen Vorabmaßnahmen - Basis Berechtigungskonzept Datensicherheitskonzept Dokumentation Protokollierung und Auswertung Einrichtung von Schlüsselkontrollen (Key-Controls) Bewertung wirksamer Kontrollen Information, Berichterstattung Einhaltung der Standards COBIT, COSO Risiko-Analyse Kontrolle Berichterstattung Monitoring 8

9 anerkannte Standards ISMS 9

10 anerkannte Standards, Zertifizierung Effektiver Schutz (pers. Haftung/Org.verschulden) Nachweis der geprüften Sicherheit nach außen/ Vergleichbarkeit mit Standards Anforderungen von externen Dritten: -Wirtschaftsprüfer (KonTraG), IT-Revision -Auftraggeber, Kreditgeber (Basel II) -Betriebsprüfer (Finanzamt) anerkannte Standards COBIT, ITIL, ISO ISO/IEC 27001: internationaler Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement Managementsystem für Informationssicherheit (ISMS) IT-Grundschutz-Vorgehensweise Risikoanalyse auf der Basis von IT-Grundschutz Notfallmanagement ISO Zertifizierung auf der Basis von IT-Grundschutz Erwerb durch Audit eines zertifizierten Auditors 10

11 IT-Grundschutz-Kataloge M 2.5 Aufgabenverteilung und Funktionstrennung M 2.7 Vergabe von Zugangsberechtigungen M 2.8 Vergabe von Zugriffsrechten M 2.11 Regelung des Passwortgebrauchs M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile M 2.38 Aufteilung der Administrationstätigkeiten M Richtlinien für die Zugriffs- bzw. Zugangskontrolle 11

12 Datenschutz im IT-Grundschutz des BSI 12

13 Baustein 1.5 Integration des Datenschutzes in den IT-Grundschutz Baustein 1.5 Datenschutz als Ergänzung für die IT-Grundschutzkataloge Inhaltsübersicht einleitende Beschreibung des Datenschutzes zuständige Kontrollinstanzen besondere datenschutzrechtliche Gefährdungen, entsprechend der Struktur der anderen Bausteine der Grundschutzkataloge zugehörige Maßnahmen, um diesen Gefährdungen zu begegnen Beschreibung eines eigenständigen Datenschutz-Management-Prozesses eigener Maßnahmenkatalog Tabellen für Relation zwischen Datenschutzgesetzen und konkreten Maßnahmen des IT-Grundschutzes europäischer Datenschutzstandard EuroPriSe 13

14 Rechtsvorteile der Standards Beweislastverteilung bei Schadensersatzprozessen im IT-Umfeld Beweiswirkung Einhaltung/ Auditierung anerkannter Standards Nachweis durch Zertifizierung Rechtsprechung des BGH zur Beweiswirkung Gerichtliche Sachverständigengutachten 14

15 Datenspionage Geheimnisverrat Know-how-Abfluss 15

16 Datenspionage Geheimnisverrat - Know-how-Abfluss Bundesregierung plant ab Nationales Cyber-Abwehrzentrum, NCAZ Angriffe auf Datennetze aus dem Ausland, insbesondere China Folge insbesondere von Stuxnet, WikiLeaks allgemeiner Zweck: Abwehr von Angriffen aus dem Internet unter Federführung des BSI 16

17 Datenspionage Geheimnisverrat Know-how-Abfluss Juristische Präventions- und Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen Geheimnisschutz durch Richtlinien Verpflichtungen im Arbeitsvertrag Sensibilisierung der Mitarbeiter Abmahnung: datenschutzkonforme Kontrolle, Beweisverwertungsverbot Strafanzeige, Verrat von Geschäfts- und Betriebsgeheimnissen, 17 UWG Whistleblowing datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen 17

18 Hinweispflicht Offenbaren innerbetrieblicher Vorgänge Gefahr des Anschwärzens und Denunziantentums entsprechende Verpflichtungen in Unternehmensrichtlinien (Codes of Conduct) Ethikrichtlinien (Codes of Ethic) Paradebeispiel: Liebesverbot von Wal-Mart, unzulässig als schwerwiegender Eingriff in das Persönlichkeitsrecht Pflicht, Interessenskonflikte und Fehlverhalten gegen den Kodex oder gegen Gesetze zu melden Regelungen zum Schutz der Hinweisgeber ("Whistleblower") Pflicht nach US-amerikanischem Recht (301 Abs. 4, 406, 806 SOA), einen "Code of business conduct and ethics" einzuführen 18

19 Risiko Soziale Netze 19

20 Datenspionage Geheimnisverrat - Know-how-Abfluss Soziale Netze - Facebook, StudiVZ, YouTube etc. Risiken Info-Abfluss Reputationsrisiko urheberrechtswidriger Upload, User Generated Content Verhaltensrichtlinien für Mitarbeiter 20

21 Social Media Guidelines 21

22 Quelle: Wirtschaftswoche Benutzerrichtlinien für Mitarbeiter Problem: auch Negativmeldungen verbreiten sich wie ein Lauffeuer ( Shitstorm, Empörungssturm) Beispiel: DHL-Videoclip Paketdienst Mitarbeiter, die verschlimmbessern nur ausgewählte Mitarbeiter dürfen Social Media nutzen? fragliche Seiten sperren? Nachteil: junge Fachkräfte erwarten Social Media besser: Verhaltensregeln für Kommentare auf Blogs, Wikis, Facebook etc. Binding Corporate Rules, BCR 22

23 Rechtsfolge Datenpanne 23

24 Informationspflicht bei Datenpannen neuer 42a BDSG: Informationspflicht bei unrechtmäßiger Kenntniserlangung besonders sensible Daten besondere Arten von Daten nach 3 Abs. 9 BDSG Berufsgeheimnisse Straftaten und Ordnungswidrigkeiten Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder sind auf sonstige Weise Dritten zur Kenntnis gelangt und drohen schwerwiegende Beeinträchtigungen für die Rechte oder Interessen der Betroffenen so besteht Mitteilungspflicht gegenüber Aufsichtsbehörde und den Betroffenen Anzeige in zwei bundesweiten Tageszeitungen 24

25 Kontrolle Monitoring 25

26 Dienstliche Nutzung 32 BDSG bei dienstlicher Nutzung oder unerlaubter Privatnutzung, kein Fernmeldegeheimnis Arbeitnehmer handelt für den Arbeitgeber, keine Dienstleistung statt TKG gilt BDSG, also Neuregelung Arbeitnehmerdatenschutz, Verhaltenskontrolle nach 32 BDSG 32 BDSG verdrängt 28 Abs. 1 Nr. 1 BDSG, sofern Zweck Arbeitsverhältnis Verhaltenskontrolle zur Aufdeckung von Straftaten nur nach 32 Abs. 1 Satz 2 BDSG tatsächliche Anhaltspunkte, die den Verdacht begründen diesbezügliche Dokumentationspflicht konkreter Verdacht gegen den Betroffenen 26

27 Dienstliche Nutzung 28 Abs. 1 Nr. 2 BDSG Wahrnehmung berechtigter Interessen nach 28 Abs. 1 Nr. 2 BDSG bleibt anwendbar, sofern anderer Zweck als Arbeitsverhältnis IKS, Wirtschaftsprüfung, Bekämpfung von Korruption und Wirtschaftsspionage? Güterabwägung der Überwachungsmaßnahmen nach Verhältnismäßigkeitsprinzip spezielle gesetzliche Pflichten oder Ermächtigungen bleiben unberührt freiwillige Einwilligung der Beschäftigten bleibt möglich weitergehende Eingriffe, aber nicht unbeschränkt äußere Verbindungsdaten, nicht aber Inhaltskontrollen, da mildere Maßnahmen möglich 27

28 Kontrolle, Monitoring Logfiles und Protokolldateien sind personenbezogene Daten, BVerfG vom Anwendbarkeit des BDSG/TKG Identitäts- und Berechtigungskontrolle Transaktionskontrolle im ERP-System Verhaltens- und Leistungskontrollen, Kontrollpflicht nach 130 OWiG Korruptionsbekämpfung Mitarbeiterscreening, Datenbankabgleiche die Fehler der Bahn Allmacht der administrativen Überwachungsmöglichkeiten Remote-Desktop Fernwartungssoftware, VNC-Client Einwilligung der Mitarbeiter Abwehr Wirtschaftsspionage Data Loss Prevention (DLP) 28

29 IT-Compliance Risikomanagement 29

30 Informations- und Risikomanagement KonTraG SOX COBIT, COSO Basel II konkretisiert durch MaRisk GoBS, GDPdU Vorgaben der Finanzbehörden für die steuerlich relevanten Daten BDSG Vorgaben für die technisch-organisatorische Datensicherheit, 9 BDSG plus Anlage Outsourcing, 11 BDSG Euro-SOX, BilMoG 30

31 KonTraG, Risikomanagement 91 II AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Organisations- und Sorgfaltspflichten des Vorstands zu: Frühwarnsystem: präventive Überwachung und Erkennung von Fehlentwicklungen, z.b. IT-Security Risikomanagement: Klassifizierung und Risiko-Controlling entsprechende Anwendung auf große GmbHs Eingriff des Gesetzgebers in die Corporate Governance (=Führung und Überwachung) des Unternehmens bisher keine Schadensersatzprozesse, aber keine Vorstandsentlastung ohne Risikomanagement, LG München I vom

32 IT-Haftung 32

33 Schadensersatz nach 7 BDSG Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat Beweislastumkehr 33

34 Eigenhaftung der IT-Verantwortlichen 34

35 Haftungsbeschränkung Grundsätze des BAG zur schadensgeneigten Tätigkeit vorsätzliches/ grobfahrlässiges Verhalten volle Haftung mittlere Fahrlässigkeit Schadensteilung leichte Fahrlässigkeit keine Haftung gilt grundsätzlich nur im Verhältnis zum Arbeitgeber im Verhältnis zu geschädigten Dritten aber Freistellungsanspruch des Arbeitnehmers gegen Arbeitgeber Ansprüche Dritter in der Praxis selten, das sich Geschädigter zumeist an Arbeitgeber hält für interne Datenschutzbeauftragte gelten die Grundsätze entsprechend, Externe haften voll 35

36 Strafbarkeit es gilt der Grundsatz der Eigenverantwortung Arbeitnehmer macht sich selbst strafbar arbeitsvertragliche Haftungserleichterung nicht anwendbar kein Befehlsnotstand, wenn der Mitarbeiter auf Anweisung seines Vorgesetzten handelt etwa nach 206 StGB oder nach 43, 44 BDSG BGH, Urteil vom , Az. 5 StR 394/08, Beihilfe zum Betrug durch Unterlassen auch für Compliance Officer 36

37 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter Universität Stuttgart horst@speichert.de Internet: Informationssicherheit Compliance-Audit IT-Verträge Betriebsvereinbarungen Datenschutz ext. Datenschutzbeauftragter EDV- und Internet-Recht Vorträge, Schulung, Seminare 37