IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

Transkript

1 IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser

2 Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und ihre Anwendung 2

3 Organisationspflichten der Geschäftsleitung I Allgemeine Grundsätze 93 Abs. 1 AktG: Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. 91 Abs. 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden können. Ziffer DCGK: Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen. Konkretisierungen durch die Rechtsprechung: Allgemeine Organisationspflichten Pflicht zur rechtmäßigen und effizienten internen Organisation der Gesellschaft Übertragbarkeit der Grundsätze auf das Management der GmbH Konzerndimensionale Organisationspflichten? 3

4 Organisationspflichten der Geschäftsleitung II Konkretisierung in Bezug auf die IT-Sicherheit Anknüpfungspunkte im BDSG und im TKG: Sicherung des Zugangs Sicherung der Verfügbarkeit Dokumentationspflichten Anknüpfungspunkte in 25 a Abs. 1 KWG Angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung Regelungen des BDSG und des KWG nicht abschließend, daher stets Einzelfallbetrachtung maßgeblich 4

5 Haftungs- und sonstige rechtliche Risiken Zivilrechtliche Haftung gegenüber dem Unternehmen Pflichtverletzung als Kündigungsgrund Zivilrechtliche Haftung gegenüber Dritten Strafrechtliche/ordnungswidrigkeitenrechtliche Verantwortlichkeit Beispiele aus der Rechtsprechung Supergun-Entscheidung des schweizerischen Bundesstrafgerichts Lederspray-Entscheidung des Bundesgerichtshofes in Strafsachen LG-Berlin 2 O 358/01 vom zum Erfordernis einer validen und stets verfügbaren Datenbasis 5

6 Instrumente der Pflichtenerfüllung / Haftungsvermeidung Einzelanweisung Compliance-Organisation, insbesondere Bestellung eines Beauftragten für Datenschutz und Datensicherheit Risikomanagementsystem 6

7 Compliance-Programme zur Einführung einer Compliance-Organisation Ziel: Vermeidung von Rechtsverstößen Vorgehensweise bei der Einführung einer Compliance Organisation: Erfassung der rechtlichen Risiken Erarbeitung des Compliance-Programms bestehend aus: Mission Statement Compliance Manual (Darstellung der Rechtsgrundlagen und der Verhaltensrichtlinien) Umsetzung im Unternehmen Bestellung eines Compliance Officer (z.b. Datenschutzbeauftragter) Schulungen samt Einholung von Teilnahmebestätigungen Androhung arbeitsrechtlicher Konsequenzen bei Verstößen Überwachung der Einhaltung 7

8 Risikomanagementsysteme Ziel: Risiken (nicht nur rechtliche) erkennen, bewerten und managen Vorgehensweise bei der Einführung eines Risikomanagementsystems: Risikoinventur Risikoanalyse (=Bewertung der Risiken, Ermittlung von Ursachenzusammenhängen) Dokumentation der Risiken Maßnahmen zur Risikobewältigung Einrichtung eines Risikoüberwachungssystems 8

9 Kennzahlensysteme und Zertifikate Kennzahlensysteme und Zertifikate sind grundsätzlich geeignet, rechtlich relevante Standards im Sinne eines save harbour zu definieren. Ihre Verwendung ist geeignet, das Haftungsrisiko des Managements wesentlich zu reduzieren. 9

10 Zusammenfassung 1. Versäumt die Geschäftsführung die Einrichtung einer auf die IT-Sicherheit bezogenen Compliance-Organisation oder stattet sie diese nicht mit den notwendigen Sach- und Personalmitteln aus, so ist darin regelmäßig ein Verstoß gegen die Pflicht zur ordnungsgemäßen und effizienten Organisation der Gesellschaft zu sehen. 2. Rechtfolge derartiger Verstöße ist die persönliche Schadensersatzpflicht der Geschäftsführer. Zudem kann der Verstoß die Abberufung aus wichtigem Grund rechtfertigen. 10

11 Vielen Dank für Ihre Aufmerksamkeit! Dr. Thomas Zwissler Zirngibl Langwieser t.zwissler Brienner Straße 9 Tel.: München zirngibl-langwieser.de 11