IT-Sicherheit. Auch und gerade ein rechtliches Thema. Tag der IT-Sicherheit, IHK Rhein-Neckar. Inhalt

Transkript

1 Auch und gerade ein rechtliches Thema Tag der, IHK Rhein-Neckar Mannheim, Rechtsanwalt Klaus-Christian Falkner, Mag. rer. publ. Inhalt 1. Einleitung 2. Überblick über einige Rechtsgrundlagen 3. Zuständigkeiten im Unternehmen 4. Konsequenzen mangelnder 5. Handlungsbedarf im Unternehmen 6. Praxisbeispiele 7. Zusammenfassung Anhang: Glossar , Seite 2 1

2 zum Thema aus rechtlicher Sicht heißt: Das Zauberwort Quelle: , Seite 3 1 Einleitung umfasst nicht nur technische und organisatorische, sondern zunehmend auch rechtliche Aspekte. IT-Organisation IT-Risiko-Management Datenschutzbeauftragter sbeauftragter Sicherheitstechnologie sarchitektur IDS, IPS, Firewall, Gebäudesicherheit Rechtlicher Rahmen Zivilrecht Öffentliches Recht Strafrecht Verträge , Seite 4 2

3 2 Überblick über einige Rechtsgrundlagen Vorschriften mit Bezug zur IT- Sicherheit Unternehmens- / Gesellschaftsrecht Urheberrecht Handels- und Steuerrecht Wirtschaftsverwaltungsrecht Datenschutzrecht Strafrecht KonTraG UrhG HGB, AO, GoBS, GDPdU GewO, TKG, MaRisk BDSG, TMG StGB, UrhG, UWG, BDSG , Seite Unternehmens- / Gesellschaftsrecht KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) gilt für Ziele u.a.: Erhöhung der Transparenz Verbesserung der Abschlussprüfung und Beurteilung der Unternehmenslage seit in Kraft Änderungen in AktG, HGB, u.a. große & mittelgroße Kapitalgesellschaften prüfungspflichtige OHG und KG , Seite 6 3

4 Unternehmens- / Gesellschaftsrecht (2) KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) 91 Abs. 2 AktG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Erfordert System zur Risikofrüherkennung Verfügbarkeit Disaster Recovery Business Continuity Datenauthentizität und -integrität Revisionssicherheit Missbrauchsschutz etc , Seite 7 Exkurs: Bring Your Own Device Wer trägt die Verantwortung für den Geräte-Zoo? Ein paar Problemfelder Nutzungsrechte Datenzugriff Datensicherheit Unveränderbarkeit der Daten Verfügbarkeit, Wiederherstellbarkeit und Lesbarkeit Archivierung Schutz gegen Malware Trennung von Privatem und Beruflichem Herausgabepflichten beim Ausscheiden , Seite 8 4

5 2.2 Urheberrecht Unternehmen sind dafür verantwortlich, nur solche Software und sonstiges urheberrechtliches Material zu verwenden, für die bzw. das sie auch die nötigen Rechte besitzen. installieren Cloud Computing nutzen achtet auf Einhaltung bearbeiten kopieren etc , Seite 9 Urheberrecht (2) Bei Urheberrechtsverstößen haftet das Unternehmen. Zivilrecht Unterlassungsanspruch Vernichtungsanspruch Auskunftsanspruch Schadensersatzanspruch OWi-/Strafrecht Bußgeld bis zu Geldstrafe Freiheitsstrafe bis zu 3 bzw. 5 Jahren , Seite 10 5

6 Urheberrecht (3) Zur gehören geeignete Maßnahmen, die Schutzrechtsverletzungen zuverlässig unterbinden. installieren Organisatorische CloudMaßnahmen (Lizenzmanagement, Richtlinien, etc.) betreiben Computing bearbeiten Technische Maßnahmenkopieren (Filtersoftware, Gerätedeaktivierung, etc.) Kostenlose Arbeitshilfe: BSA Ratgeber zum Risikomanagement and Resources.aspx etc , Seite Handels- und Steuerrecht Aus dem Handels- und Steuerrecht ergeben sich vor allem Anforderungen an die elektronische Buchführung. HGB AO GoBS ( ) GDPdU ( ) Bilanzierungsvorschriften der 238 ff. HGB 257, 261 HGB: Speicherung von aufbewahrungspflichtigen Unterlagen auf Datenträgern Buchführungs- / Aufzeichnungsvorschriften der 140 ff. AO 147 AO: Speicherung von aufbewahrungspflichtigen Unterlagen auf Datenträgern Stellen Anforderungen an IT-gestützte Buchführung Konkretisieren die gesetzlichen Anforderungen Keine technologischen Vorgaben Gelten neben den GoBS Regeln den Datenzugriff der Finanzverwaltung auf Buchführungssysteme des Steuerpflichtigen sowie Anforderungen an digitale Unterlagen und deren Archivierung , Seite 12 6

7 Handels- und Steuerrecht (2) Die gesetzlichen Vorgaben bestimmen nur, welche Anforderungen erfüllt sein müssen. Die technische Umsetzung obliegt allein den Unternehmen. Umsetzung HGB AO GoBS GDPdU Auswahl von Anforderungen Unveränderbarkeit der Daten Jederzeitige Verfügbarkeit, Wiederherstellbarkeit und Lesbarkeit Erstellung und Pflege einer Verfahrensdokumentation Datensicherheitskonzept Archivierung nur in maschinell auswertbaren Formaten (z.b. kein einfaches PDF) , Seite Wirtschaftsverwaltungsrecht GewO TKG Basel II / III Gewerbeuntersagung wegen Unzuverlässigkeit Auch bei mangelhafter möglich technische Schutzmaßnahmen Sicherheitsbeauftrager Sicherheitskonzept Differenzierte Risikobemessung bei Kreditvergabe stellt operationelles Risiko dar , Seite 14 7

8 2.5 Datenschutzrecht Auch aus dem Datenschutzrecht ergeben sich Anforderungen an die. BDSG 9 BDSG fordert technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes (sog. TOMs ) Konkretisierung in Anlage zu 9 BDSG Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden , Seite 15 Datenschutzrecht (2) Spezialregelungen zu Telemedien (Internet, Telebanking, etc.) TMG 13 Abs. 4: Katalog technischer und organisatorischer Vorkehrungen Von Providern einzuhalten Bußgeld bis Telekommunikation TKG 107 Abs. 2: technische und organisatorische Maßnahmen gegen unbefugtes Offenbaren von Nachrichteninhalten Regelmäßige Anpassung an den Stand der Technik , Seite 16 8

9 2.6 Strafrecht Mögliche Straftatbestände Verletzung des Post- oder Fernmeldegeheimnisses ( 206 StGB) Verletzung von Privatgeheimnissen ( 203 StGB) Unerlaubte Verwertung urheberrechtlich geschützter Werke ( 106 UrhG) Unerlaubter Eingriff in technische Schutzmaßnahmen ( 108 b UrhG) Verrat von Geschäfts- und Betriebsgeheimnissen ( 17 UWG) erleichtert ermöglicht verführt , Seite 17 Exkurs: Cloud Computing Cloud Computing Ein paar Problemfelder Eigentum / Nutzungsrechte Datenzugriff / Speicherort Datensicherheit / Berufsrecht Datenschutz (Auftragsdatenverarbeitung) Unveränderbarkeit der Daten Verfügbarkeit, Wiederherstellbarkeit und Lesbarkeit Archivierung Insolvenzfestigkeit Herausgabepflichten bei Vertragsende Quelle: Daten-herausgeben html , Seite 18 9

10 3 Zuständigkeiten im Unternehmen Aufsichtsrat Gesetzliche Überwachungsaufgabe Geschäftsführung/ Vorstand IT-Leiter Anstellungsvertrag Gesetzliche Sorgfalts- und Risikosteuerungspflichten Arbeitsvertrag Gesteigerte Sicherheitspflichten Vergabe an Externe möglich Bei Vorliegen der gesetzlichen Voraussetzungen zwingend! Datenschutzbeauftragter sbeauftragter (Arbeits-)Vertrag Stellen- / Leistungsbeschreibung (Arbeits-)Vertrag Gesetzliche und ggf. vertragliche Aufgaben , Seite 19 Exkurs: Datenschutzbeauftragter Voraussetzung Profil Rolle Aufgabe gemäß 4f - 4g BDSG Betriebe, die mehr als 9 Mitarbeiter mindestens vorübergehend mit automatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigen In Sonderfällen unabhängig von der Beschäftigtenzahl Fachkunde (z.b. besondere Qualifikation, Kenntnis der Unternehmensstrukturen, externe Unterstützung) Zuverlässigkeit (z.b. persönliche Integrität, kein Interessenkonflikt) Kein Mitglied der Geschäftsführung Der Geschäftsführung unmittelbar unterstellt In der Ausübung seiner Fachkunde weisungsfrei Überwacht den Umgang mit personenbezogenen Daten Ansprechpartner für Datenschutzfragen Führt Verfahrensübersicht , Seite 20 10

11 4 Konsequenzen mangelnder Unternehmens- / Gesellschaftsrecht Urheberrecht Handels- und Steuerrecht Wirtschaftsverwaltungsrecht Datenschutzrecht Strafrecht * Es sind nur die wichtigsten, wahrscheinlichsten Konsequenzen aufgezeigt. Abhängig vom Einzelfall kommen für alle Rechtsgebiete nahezu alle Rechtsfolgen in Betracht , Seite 21 Konsequenzen mangelnder (2) Vorstand 91 Abs. 2 AktG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. GmbH-Geschäftsführer haften gemäß 43 GmbHG, Aufsichtsräte gemäß 116 AktG! 93 Abs. 2 AktG Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast , Seite 22 11

12 Konsequenzen mangelnder (3) IT-Leiter Arbeitsrecht Schadensersatz Datenschutzbeauftragter sbeauftragter Arbeitsrecht (intern) bzw. allg. Vertragsrecht (extern) Schadensersatz Verlust von Versicherungsschutz Rufschädigung , Seite 23 5 Handlungsbedarf im Unternehmen ist kein Produkt! ist Chefsache! Überblick über Anforderungen verschaffen IT-Administratoren stärken Mitarbeiter schulen (Umgang mit s, Social Media, BYOD, Social Engineering, ) Datenschutzbeauftragten und ggf. sbeauftragten ernennen Technische Maßnahmen ergreifen (Backup, Firewall, Antivirensoftware, IDS, IPS, DLP, DMZ, USV, Gebäudesicherheit, ) Handlungsmaßstab: aktueller Stand der Technik Hilfe: BSI Grundschutz , Seite 24 12

13 Handlungsbedarf im Unternehmen (2) Organisation skonzept aufstellen, implementieren und pflegen IT-Nutzungsordnung für Mitarbeiter aufstellen (Mitbestimmung!) IT-Audit beauftragen Vorsicht: Arbeits-, Datenschutzund Strafrecht beachten Technologie IT-Systeme gegen Angriffe von außen und innen absichern Regelmäßige Datensicherung Redundante IT-Systeme Filter- und Überwachungssoftware einsetzen , Seite 25 6 Praxisbeispiele Einführung von SAP Ausgründung der IT-Abteilung im Konzern Richtlinie zur Nutzung von Social Media , Seite 26 13

14 6.1 Einführung von SAP Konzern 100 % SAP- Projekt SAP- Systemintegrator Projektvertrag Dieser Projektvertrag gilt für alle Aufträge zur Erstellung und Einführung lauffähiger EDV- Anwendungssysteme, organisatorischer Untersuchungen und Systemanalysen, softwaretechnischer IT-GmbH Appendix NAG Network Access Agreement Anhang ADV mit TOMs , Seite 27 Einführung von SAP (2) IT-Projektverträge, die personenbezogene Daten betreffen, kommen meist nicht mehr ohne eine ADV-Anlage aus. 11 BDSG Anhang zu 9 BDSG 10-Punkte-Katalog muss vertraglich geregelt werden Abs. 5: wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Bußgeld bewehrt Detaillierte technisch-organistorische Vorgabe Werden gern vom Kunden vorgeben, sollten aber eigener IT-Realität entsprechen Seite 28 14

15 6.2 Ausgründung der IT-Abteilung IT-Bereich Konsequenzen: Strafbarkeit gemäß 203 StGB LV-Vorstand strafbar GF der IT-GmbH zumindest wegen Beihilfe strafbar Ggf. Mitarbeiter strafbar Lebensversicherung Lebensversicherung 100 % IT IT GmbH LV-Daten Zustimmung der Versicherungsnehmer , Seite Richtlinie zur Nutzung von Social Media Komme gerade vom Kunden, Wolfsburg, was für ein Loch Was passiert, wenn stattdessen Betriebsgeheimnisse im Netz stehen oder Anlass für eine Abmahnung durch Wettbewerber gegeben wird? Social Media Guide (Mitbestimmung!) Einführung Anwendungsbereich der Richtlinie Abgrenzung der Privatnutzung Hinweise Empfehlungen Verbindliche Handlungsanweisungen Kontrolle , Seite 30 15

16 7 Zusammenfassung ist gesetzlich vorgeschrieben. Die gesetzlichen Anforderungen sind in den unterschiedlichsten Vorschriften enthalten. Nicht alle die betreffenden Regelungen gelfür alle Unternehmen gleichermaßen. Mangelnde kann auch aus rechtlicher Sicht existenzbedrohend sein. In jedem Unternehmen besteht Handlungsbedarf. Fazit: ist Chefsache! Trotzdem ist Delegation möglich, auch an Externe , Seite 31 Glossar AO = Abgabenordnung AktG = Aktiengesetz Basel II / III = Eigenkapitalrichtlinien BDSG = Bundesdatenschutzgesetz GDPdU = Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GewO = Gewerbeordnung GmbHG = Gesetz betreffend die Gesellschaften mit beschränkter Haftung GoBS = Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme HGB = Handelsgesetzbuch KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich OWi = Ordnungswidrigkeit StGB = Strafgesetzbuch TMG = Telemediengesetz TKG = Telekommunikationsgesetz UrhG = Urheberrechtsgesetz UWG = Gesetz gegen unlauteren Wettbewerb Aktuelle Gesetzestexte: , Seite 32 16

17 Vielen Dank für Ihre Aufmerksamkeit! Rechtsanwälte Falkner & Hartenfels RA Klaus-Christian Falkner, Mag. rer. publ. Im Hosend Dossenheim Tel.: Fax: falkner@falknerhartenfels.de 17