IT-Compliance - Welche rechtlichen Fallstricke sind zu beachten?

Transkript

1 Titel der Präsentation oder Nennung des Fachbereichs Falls nötig Untertitel, Datum oder ähnliches 0 IT-Compliance - Welche rechtlichen Fallstricke sind zu beachten? Dr. Oliver Hornung Nürnberg, den 01. April 2014

2 Titel der Präsentation oder Nennung des Fachbereichs Falls nötig Untertitel, Datum oder ähnliches 1 IT-Recht, Internet und E-Business Gestaltung und Betreuung von IT-Vorhaben und IT-Projekten / Vertrieb und Beschaffung von Software und Hardware / Cloud Computing / Open Source Software / Datenschutz / Gerichts- und Schiedsverfahren / Strukturierung und Betreuung von E-Business-Konzepten und -Produkten / B2B-Verträge und Allgemeine Geschäftsbedingungen gegenüber Usern / Verantwortlichkeit von Internet-Anbietern / Social Media / Webseiten-Check

3 Titel der Präsentation oder Nennung des Fachbereichs Falls nötig Untertitel, Datum oder ähnliches 2 IT-Recht, Internet und E-Business Durch den Branchendienst Juve ausgezeichnet als Kanzlei des Jahres für Informationstechnologie 2011, mit vielen häufig empfohlenen Anwälten im Ranking unter den Top-Kanzleien für IT. Beratung im Tagesgeschäft und bei strategischen Themen, von kleineren Unternehmen bis zu DAX-Konzernen zu allen Fragen im Zusammenhang mit moderner Informationstechnologie, Internet, E-Business und Datenschutz sowie entsprechenden Geschäftsmodellen, Gestaltung von innovativen Businessansätzen bis zur konkreten Umsetzung und Vertretung namhafter Mandanten bei der Konfliktlösung auch in gerichtlichen Verfahren.

4 3 3 Aussagen vergleichsweise identischen Wahrheitsgehalts 1. IT-Compliance ist zu vernachlässigen 2. Eintracht Frankfurt wird Deutscher Meister 3. Die Erde ist eine Scheibe

5 IT-Leiterkreis Titel der Präsentation 2014 oder Nennung des Fachbereichs Falls nötig Untertitel, Datum oder ähnliches 4 Inhalt / Agenda 01 Compliance und IT-Compliance Was streckt dahinter? 02 Ausgangssituation und rechtliche Anknüpfungspunkte 03 IT-Sicherheit als unternehmerische Pflicht 04 Datenschutz 05 Weitere Aspekte von IT-Compliance 06 Rechtsfolgen bei Verstößen 07 Einrichtung eines IT-Risikomanagements

6 5 Was steckt dahinter? Compliance: Befolgung rechtlicher Pflichten für Unternehmen IT-Compliance: Befolgung der an die IT eines Unternehmens gestellten rechtlichen Anforderungen unmittelbar auf IT gerichtet nicht unmittelbar auf IT gerichtet, faktisch jedoch mittels IT umgesetzt

7 6 Ausgangssituation Kein IT-Compliance Gesetzbuch Querschnittsmaterie Diverse Anknüpfungspunkte, insbesondere IT-Sicherheit und Datenschutz Schutz von Daten im weitestgehenden Sinne

8 7 Keine einheitliche gesetzliche Regelung Rechtliche Anknüpfungspunkte Es fehlt an einer IT-Sicherheitskultur. (Präsident des BSI) Vereinzelte Initiativen zur Regelung von IT-Sicherheit: BSI IT-Grundschutz-Kataloge (12. EL) Standards und Best Practices 100-1: Managementsysteme für Informationssicherheit (ISMS) 100-2: IT-Grundschutz-Vorgehensweise 100-3: Risikoanalyse auf der Basis von IT-Grundschutz 100-4: Notfallmanagement ISO 27001, ISO/IEC CobiT ITIL IDW Prüfungsstandards u. a. Brancheninitiativen: zum Bespiel: BITKOM-Leitfäden und Positionspapiere

9 8 2 Abs. 2 BSIG: Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten. IT-Security Datenschutz Verfügbarkeit Unversehrtheit Vertraulichkeit Zurechenbarkeit Informationelle Selbstbestimmung Qualitätsprüfung Schutz des Zugangs zu Daten/IT-Systemen, Schutz vor inhaltlicher Manipulation, Schutz vor unbefugter Kenntnisnahme, Schutz vor gefälschter Identität/Herkunft regelmäßige Überprüfung der sachgerechten Umsetzung der Sicherheitsmaßnahmen Vermeidung von Risiken

10 9 Gesellschaftsrecht 91 Abs. 2 AktG (analog); 111 AktG (analog); 43 Abs. 1 GmbHG Handelsrecht Steuerrecht Revisionssicherheit IT-Sicherheit als unternehmerische Pflicht Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden Sicherstellung von IT-Sicherheit als Bestandteil des Risikomanagements 239 Abs. 4 S. 2; 257; 261 HGB; 147 AO; GoB; GoBS; GDPdU Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der Systeme zu gewährleisten und seinen Aufbewahrungs- und Archivierungspflichten nachzukommen außerdem: Mitwirkungspflicht und Betriebsprüfungen Bürgerliches Recht Allgemein rechtliche Regelungen, z. B. 241 Abs. 2 BGB Vertragsrecht: Pflicht zur IT-Compliance kann sich vertraglich ergeben (z. B. vertragliche Vereinbarung von Sicherheitsstandards) Deliktrecht: Organisationsverschulden bei unzureichender IT-Sicherheit Datenschutzrecht Verpflichtung zu technischen und organisatorischen Schutzmaßnahmen, berufsspezifische Sondervorschriften Anknüpfungspunkt personenbezogene Daten 9 BDSG Acht Gebote der Datensicherheit Gegebenenfalls sondergesetzliche und berufgruppenspezifische datenschutzrechtliche Vorschriften Anforderungen an Auftragsdatenverarbeitung (ADV)

11 10 Datenschutz - Wesentliche Grundsätze Verpflichtung zu technischen und organisatorischen Schutzmaßnahmen personenbezogene Daten insbesondere Kunden- und Angestelltendaten 9 BDSG Acht Gebote der Datensicherheit gegebenenfalls sondergesetzliche Vorschriften Sozialdaten berufsgruppenspezifische und tätigkeitsfeldbezogene Vorschriften Privilegierung: Auftragsdatenverarbeitung ( 11 BDSG) Strenge Voraussetzungen! Sonstige Daten (Know-how, Geschäftsgeheimnisse,...)

12 11 Datenschutz Cloud Computing Anforderungen 11 Abs. 2 BDSG Cloud Computing Im Vergleich: Public Cloud Private Cloud IT-Outsourcing Schriftliche Vereinbarung theoretischx X X Nr. 1: Auftragsgegenstand und dauer theoretischx X X Nr. 2: Daten(-verarbeitung), Betroffene theoretischx X X Nr. 3:Schutzmaßnahmen ( 9 BDSG) - X X Nr. 4: Berichtigung, Sperrung und Löschung theoretischx X X Nr. 5: Pflichten des Auftragnehmers - X X Nr. 6: Unterauftragsverhältnisse - X X Nr. 7: Kontrollrechte des Auftraggebers - X X Nr. 8: Mitzuteilende Verstöße - X X Nr. 9: Weisungsbefugnisse des Auftraggebers - X X Nr. 10: Rückgabe und Löschung - X X X = erfüllt - = nicht erfüllt theoretischx = Erfüllbarkeit theoretisch denkbar, praktisch jedoch in aller Regel ausgeschlossen

13 12 Weitere datenschutzrechtliche Überlegungen USA PATRIOT Act PRISM Uniting and Strengthining America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 Datenschutz-Grundverordnung

14 13 Vorgehensweise bei Datenverlust Prüfung: Sensible Daten: Besondere Daten (s. o.)? Berufsgeheimnis? Strafbare Handlungen oder Ordnungswidrigkeit? Bank- oder Kreditkartenkonten? Verlust: Gehackt? Gestohlen? Untreue? Aus Versehen offengelegt? Besondere Gefahr für Betroffene? Maßnahmen: Leck schließen Beweise sichern Unverzügliche und ausführliche Information der Behörde Information der Betroffenen, sobald Strafverfolgung nicht mehr gefährdet, mit Empfehlung zum Schutz Alternativ: Halbseitige Anzeige in zwei überregionalen Tageszeitungen o. ä.

15 14 Ist Ihre Internetseite rechtskonform? Beachte insbesondere BDSG und TMG Korrekte Datenschutzerklärung? Korrekte Anbieterkennzeichnung ( Impressum )? Online-Shop: Korrekte AGBs (inkl. WiderrufsR)? Button-Lösung ( 312g Abs. 3 und 4 BGB) Aktuell: Die große Novelle der Verbraucherrechte Umsetzung der Verbraucherrichtlinie in deutsches Recht zum 13. Juni 2014 (siehe SKW Schwarz Sonderticker)

16 15 Leitlinien für den Datenschutz bei Big-Data-Projekten Kundendatenbank und Werbung Datenherkunft: Bestandsdaten, Maßnahmen zur Adressgewinnung (Preisausschreiben etc.), allgemeine zugängliche Verzeichnisse Listendaten: Name, Anschrift, Berufs-, Branchen- und Geschäftsbezeichnung etc. Aber nicht -Adresse Hinzuspeichern weiterer Daten Hinweis auf Widerspruchsrecht: Bei Erstansprache und jeder Werbeansprache Werbung per Brief zulässig; aber: Bei - und Telefonwerbung ausdrückliche Einwilligung erforderlich

17 16 Leitlinien für den Datenschutz bei Big-Data-Projekten Data Warehouse und Data Mining (Profilbildung) Profilbildung nur mit Einwilligung Einwilligung, 4a, 28 Abs. 3a BDSG Allgemeine Geschäftsbedingungen: Besondere Hervorhebung Hinweis auf Zweck der Datenverarbeitung Reichweite der Einwilligung vs. ausreichende Bestimmtheit Entscheidungsfreiheit des Betroffenen Jederzeitige Widerrufsmöglichkeit

18 17 Leitlinien für den Datenschutz bei Big-Data-Projekten Social Media Monitoring Systematische Analyse von Beiträgen in sozialen Netzwerken, Blogs, Foren etc. Wachsende Bedeutung Kaufempfehlungen von Kontakten Ersatz von Konsumentenbefragungen Erkennen drohender Shitstorms Praxis Analyse durch Dienstleister Übermittlung in anonymisierter Form Rechtliche Anforderungen Beiträge allgemein zugänglich Keine Verletzung berechtigter Interessen (z. B. Profilbildung) Beachtung möglicher Urheberrechte Frühe Anonymisierung

19 18 Lizenzrechtliche Anforderungen Insbesondere Softwarelizenzen o 69a ff. UrhG o Bin ich hinreichend lizenziert? Gebrauchssoftware? o BGH, Urteil vom (Oracle./. UsedSoft II) o U.U. analog Anwendung des Erschöpfungsgrundsatzes auf online erworbene Software

20 19 Rechtsfolgen bei Verstößen Ordnungswidrigkeit 130 Abs. 1 i. V. m ii. 30 OWiG Schadensersatzansprüche Haftung der Geschäftsleitung für vorsätzliches oder fahrlässiges Unterlassen der Aufsichtsmaßnahmen, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten zu verhindern, die die Geschäftsleitung treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Haftung des Unternehmens für Ordnungswidrigkeit, 30 OWiG Individualhaftung (IT-Verantwortliche, Systemadministratoren, u. a.) Bußgeld i. H. v. bis zum 1 Mio. Gegenüber Unternehmen Gegenüber Geschäftsleitung Gegenüber zuständigen Mitarbeitern (z. B. Leiter IT, IT-Sicherheitsbeauftragter) Ggf. Störerhaftung (bei Verstößen durch andere, z. B. Mitarbeiter) Sonstige mögliche Folgen Verweigerung des Bestätigungsvermerks durch Wirtschaftsprüfer Ratingprobleme (Basel II) Bessere IT > besseres Rating > weniger Eigenkapitalbedarf > günstigere Kredite Verlust von Versicherungsschutz Abmahnung wegen Wettbewerbsverstoß Abmahnbarkeit von datenschutzrechtlichen Verstößen (OLG HH, Urteil vom U 26/12) Betriebsstillstand durch EV Ggf. strafrechtliche Verantwortlichkeit (BGH, Urteil vom StR 394/08)

21 20 Einrichtung eines IT-Risikomanagements Bestandsaufnahme Risikomanagementsystem Wo wird IT eingesetzt? Welche IT wird eingesetzt? Risikoanalyse Bestehender Versicherungsschutz Besonderheiten von mobilen Endgeräten beachten (Mobile-Compliance) Festlegung der zu ergreifenden Sicherheitsmaßnahmen Berücksichtigung der wichtigen operativen Risiken Technische Maßnahmen Organisatorische Maßnahmen Berücksichtigung IT-immanenter rechtlicher Risiken - Lizenzmanagement - Datenschutz - Outsourcing Sorgfalts- und Leistungsnachweis, somit Reduzierung des Haftungsrisikos insbesondere durch ISO Zertifizierung möglich; Achtung: Urteil LG München I vom 11. Dezember 2013, Az.: 5 HKO 1387/10

22 21 Noch Fragen?

23 22 Ihr Ansprechpartner Dr. Oliver Hornung T F E o.hornung@skwschwarz.de Tätigkeitsbereiche IT-Recht, Internet und E-Business Prozess- und Schiedsverfahren, Mediation Gewerblicher Rechtschutz / Wettbewerbsrecht Sprachen Englisch