Compliance: Restriktion oder Chance für die Informatik? Compliance im Überblick

Transkript

1 Compliance: Restriktion oder Chance für die Informatik? Rechtliche Anforderungen der IT- Compliance im Überblick Rechtsanwalt Sascha Kremer LLR Legerlotz Laschet Rechtsanwälte Köln, Brüssel, Helsinki 1

2 ÜBERBLICK 2

3 Überblick Begriff Compliance IT-Compliance Rechtliches Allgemeine Vorgaben KonTraG und 91 Abs. 2 AktG 25a, 25c KWG, MaRisk (BA) Praktisches Persönliche Haftung des Verantwortlichen Umsetzung der Compliance vs. Datenschutz Auswirkungen auf IT im Unternehmen 3

4 BEGRIFF 4

5 Begriff Compliance Wörtliche Übersetzung der Begriffe compliance: Einhaltung (oder Übereinstimmung, Zustimmung) Folgsamkeit (oder Unterwürfigkeit, Lernfähigkeit) Ordnungsmäßigkeit (oder Zustimmung) to comply: sich unterwerfen (oder sich fügen, nachgeben ) to comply with something: etwas befolgen (oder sich nach etwas richten) compliance with the law: gesetzmäßig (oder bestimmungsgemäß) 5

6 Begriff IT-Compliance Definitionen von IT-Compliance: IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. [ ] IT- Compliance als Teilbereich fokussiert diejenigen Aspekte von Compliance-Anforderungen, welche die IT-Systeme eines Unternehmens betreffen. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. (Wikipedia) Compliance wird als die Verpflichtung durch und die Befolgung von Gesetzen durch Unternehmen bzw. dessen Verantwortliche verstanden. IT-Compliance meint dann, dass das Unternehmen die in Bezug auf die IT des Unternehmens bestehenden Verpflichtungen erfüllt. (Schneider, Handbuch des EDV-Rechts [2009], Rn. 500) 6

7 Begriff Kurzformel Compliance: Beachte die Gesetze! IT-Compliance: IT ist keine Ausrede dafür, Gesetze zu missachten! 7

8 RECHTLICHES 8

9 Rechtliches Allgemeine Vorgaben (1) IT-Compliance verlangt, dass alle IT-relevanten Gesetze im Unternehmen beachtet werden, u.a. BDSG (Bundesdatenschutzgesetz) TKG (Telekommunikationsgesetz) erlaubte Privatnutzung dienstlicher -Accounts kann Unternehmen zum Telekommunikationsanbieter im Sinne des TKG machen TMG (Telemediengesetz) erlaubte Privatnutzung dienstlicher Internetzugänge kann Unternehmen zum Telediensteanbieter im Sinne des TMG machen 9

10 Rechtliches Allgemeine Vorgaben (2) IT-Compliance verlangt weiterhin, dass unbestimmte Rechtsgrundsätze beachtet werden, u.a. Schutz des Persönlichkeitsrechts der Beschäftigten, etwa (Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 3 GG) Überwachung am Arbeitsplatz (Stichwort: Videoüberwachung) Recht am eigenen Bild (Stichwort: Enterprise 2.0) (fast) keine Werbung ohne Einwilligung (Stichwort: Spam) 10

11 Rechtliches KonTraG (1) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) von 1998 Ziel: Corporate Governance der Unternehmen verbessern Corporate Governance meint Gesamtheit der organisatorischen und inhaltlichen Ausgestaltung der Führung und Überwachung von Unternehmen als rechtlichem und faktischem Ordnungsrahmen für die Einfügung des Unternehmens in seine Umwelt Compliance-Norm insbesondere in 91 Abs. 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. 11

12 Rechtliches KonTraG (2) 91 Abs. 2 AktG = Bestandssicherungsverantwortung Ansatzpunkt in 91 Abs. 2 AktG zweistufig: 1. Stufe = geeignete Maßnahmen zur Früherkennung von Entwicklungen, die den Fortbestand der Gesellschaft gefährden können 2. Stufe = Überwachungssystem, Zweck strittig: Kontrolle der Einhaltung der nach der 1. Stufe eingeleiteten Maßnahmen (enge Auslegung) oder (auch) Überwachung risikoträchtiger Entwicklungen als Grundlage für die auf 1. Stufe zu treffenden Maßnahmen (weite Auslegung) beachte: durch sog. Ausstrahlungswirkung erstreckt sich Anwendungsbereich über AG hinaus auf KGaA und ggf. GmbH 12

13 Rechtliches KonTraG (3) Anforderungen an Risikofrüherkennungssystem: LG München I, Urteil vom HK O 15964/06: Die Einrichtung [ ] hat eine Organisationsanforderung zum Inhalt, der durch die Begründung unmissverständlicher Zuständigkeiten, ein engmaschiges Berichtswesen und eine entsprechende Dokumentation Rechnung getragen werden kann und muss. Es ist sicherzustellen, dass vom verantwortlichen Sachbearbeiter über die jeweiligen Hierarchieebenen bis hin zur Unternehmensleitung sämtliche relevante Stellen von vorhandenen Risiken Kenntnis erlangen, um die entsprechenden Maßnahmen zur Beherrschung dieser Risiken einleiten zu können. Dieses Risikomanagementsystem muss dokumentiert werden, um es auch unternehmensintern zu kommunizieren. 13

14 Rechtliches 25a KWG (1) 25a KWG = Sonderrecht der Kreditwirtschaft Abs. 1: Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die [ Geschäftsleiter ] sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; [ ] 14

15 Rechtliches 25a KWG (2) 25a KWG (Fortsetzung) Abs. 1 (Fortsetzung): [ ] das Risikomanagement 1. beinhaltet die Festlegung von Strategien, Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit sowie die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision [ ] 2. setzt eine angemessene personelle und technisch- organisatorische Ausstattung des Instituts voraus und 3. schließt die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme Systeme, ein. Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab. Seine Angemessenheit und Wirksamkeit ist vom Institut regelmäßig zu überprüfen. 15

16 Rechtliches 25a KWG (3) 25a KWG (Fortsetzung) Abs. 2: Ein Institut muss abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen wesentlich sind, angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden. Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation im Sinne des Absatzes 1 beeinträchtigen. Insbesondere muss ein angemessenes und wirksames Risikomanagement durch das Institut gewährleistet bleiben, welches die ausgelagerten Aktivitäten und Prozesse einbezieht. 16

17 Rechtliches 25a KWG (4) 25a KWG (Fortsetzung) Abs. 2 (Fortsetzung): Die Auslagerung darf nicht zu einer Delegation der Verantwortung der [ Geschäftsleiter ] an das Auslagerungsunternehmen führen. Das Institut bleibt bei einer Auslagerung für die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen verantwortlich. [ ] Eine Auslagerung bedarf einer schriftlichen Vereinbarung, welche die zur Einhaltung der vorstehenden Voraussetzungen erforderlichen Rechte des Instituts, einschließlich Weisungs-und und Kündigungsrechten, sowie die korrespondierenden Pflichten des Auslagerungsunternehmens festschreibt. 17

18 Rechtliches 25a KWG (5) Konkretisierung des 25a KWG durch MaRisk (BA) = Mindestanforderungen an das Risikomanagement (BA) verbindliche Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), aktuelle Fassung vom durch Rundschreiben 15/2009 (BA) u.a. relevanter Ausschnitt aus MaRisk (BA) ist AT 7.2 Technisch-organisatorische Ausstattung: 1. Umfang und Qualität der technisch-organisatorischen Ausstattung haben sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren. 18

19 Rechtliches 25a KWG (6) MaRisk (BA) (Fortsetzung) AT 7.2 Technisch-organisatorische Ausstattung (Fortsetzung): 2. Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist [ ] grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen. 19

20 Rechtliches 25a KWG (7) MaRisk (BA) (Fortsetzung) AT 7.2 Technisch-organisatorische Ausstattung (Fortsetzung): 3. Die IT-Systeme sind vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Produktions- und Testumgebung sind dabei grundsätzlich voneinander zu trennen. 4. Die Entwicklung und Änderung programmtechnischer Vorgaben (z. B. Parameteranpassungen) sind unter Beteiligung der fachlich und technisch zuständigen Mitarbeiter durchzuführen. Die programmtechnische Freigabe hat grundsätzlich unabhängig vom Anwender zu erfolgen. 20

21 Rechtliches Internationales (1) Basel II (Banken) / Solvency II (Versicherungen) Basel II umgesetzt in Deutschland u.a. in KWG, MaRisk (BA) Solvency II verabschiedet, nationale Umsetzung ab 2012 keine unmittelbaren Auswirkungen auf IT-Compliance, aber (technische) Sicherheit des Unternehmens als wesentliches Element zur Beurteilung der Kreditwürdigkeit eines Unternehmens, insbesondere mit Blick auf das Notfallmanagement und die Risikovorsorge 21

22 Rechtliches Internationales (2) SOX (Sarbanes Sarbanes-Oxley Oxley-Act v ) gilt für alle in den USA börsennotierte Unternehmen u.a. Verpflichtung des betroffenen Unternehmens zur Vorlage einer Beurteilung über die Wirksamkeit des internen Kontrollsystems für die Rechnungslegung mit dem Jahresbericht u.a. Verpflichtung des Unternehmens zur Einführung und Nutzung von Verfahren, mit denen Beschwerden von Beschäftigten des Unternehmens unter Wahrung der Anonymität beim Unternehmen erfolgen können ( Whistleblower Whistleblower ) 22

23 PRAKTISCHES 23

24 Folgen Missachtung KonTraG / KWG keine Entlastung des Vorstands nach 120 Abs. 1 AktG bei Missachtung von 91 Abs. 2 AktG Entlastung ist Billigung der Verwaltung der AG als im großen und ganzen gesetzmäßig und satzungsmäßig, daneben Vertrauenserweis unterbliebene Dokumentation eines Risikofrüherkennungssystems ist wesentlicher Gesetzesverstoß nach 243 Abs. 1 AktG und berechtigt zur Anfechtung des Entlastungsbeschlusses (LG München I, Urteil vom HK O 15964/06, rechtskräftig) 24

25 Folgen Missachtung Versicherungsschutz Risiko der Begrenzung / Verweigerung des Versicherungsschutzes, oder Verweigerung / Kürzung der Versicherungsleistungen im Schadensfall, insbesondere bei (drohendem) Betriebsausfall, Datenverlust, oder sonstige Haftung, bei Vermeidbarkeit des Schadens durch Compliance Risiko der Verringerung des Unternehmenswerts als solchem (über Rating-Agenturen, andere Analysten) 25

26 Folgen Missachtung persönliche Haftung (1) persönliche Haftung des Verantwortlichen Vorstand, 93 AktG: Abs. 1: Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. [ ] Abs. 2: Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast. [ ] Compliance Officer: aus Stellung im Unternehmen (Vorstandsmitglied) aus dem Anstellungsvertrag (Übernahme besonderer Pflichten) 26

27 Folgen Missachtung persönliche Haftung (2) Ordnungswidrigkeit durch unterlassene Aufsichtsmaßnahmen, 130 OWiG: Abs. 1: Wer als Inhaber eines [ ] Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen. Abs. 3: Die Ordnungswidrigkeit kann, wenn die Pflichtverletzung mit Strafe bedroht ist, mit einer Geldbuße bis zu einer Million Euro geahndet werden. [ ] 27

28 Folgen Missachtung persönliche Haftung (3) Strafrechtliche Inanspruchnahme des Verantwortlichen 13 Abs. 1 StGB: Wer es unterlässt, einen Erfolg abzuwenden, der zum Tatbestand eines Strafgesetzes gehört, ist nach diesem Gesetz nur dann strafbar, wenn er rechtlich dafür einzustehen hat, dass der Erfolg nicht eintritt, und wenn das Unterlassen der Verwirklichung des gesetzlichen Tatbestandes durch ein Tun entspricht. Voraussetzungen einer Haftung (vereinfacht): Straftat (Vermögensdelikte, Nebengesetze etwa BDSG, TKG) Mitwirkung des Verantwortlichen (insb. Beihilfe, 27 StGB) Garantenstellung (für die Abwendung der Straftat, 13 StGB) Wissen und Wollen der Verwirklichung der Straftat 28

29 Folgen Missachtung persönliche Haftung (4) Strafrechtliche Inanspruchnahme (Fortsetzung) Aufgabe des Compliance Officer im Unternehmen: Aufbau und Durchsetzung des Risikomanagements, insb. Risikofrüherkennungssystem im Sinne von 91 Abs. 2 AktG Verhinderung von Rechtsverstößen aus dem Unternehmen heraus (auch Straftaten), insbesondre solche, die dem Unternehmen erhebliche Nachteile (Haftung, Rufschädigung) bringen können Garantenstellung des Compliance Officer? bejaht durch BGH (Urteil vom StR 394/08) 29

30 Folgen Missachtung persönliche Haftung (5) Strafrechtliche Inanspruchnahme (Fortsetzung) Auszug aus BGH, Urteil vom StR 394/08: Rz. 25: Die Übernahme entsprechender Überwachungs- und Schutzpflichten kann aber auch durch einen Dienstvertrag erfolgen. Dabei reicht freilich der bloße Vertragsschluss nicht aus. Maßgebend für die Begründung einer Garantenstellung ist vielmehr die tatsächliche Übernahme des Pflichtenkreises. Allerdings begründet nicht jede Übertragung von Pflichten auch eine Garantenstellung im strafrechtlichen Sinne. Hinzutreten muss regelmäßig ein besonderes Vertrauensverhältnis, das den Übertragenden gerade dazu veranlasst, dem Verpflichteten besondere Schutzpflichten zu überantworten [ ] 30

31 Folgen Missachtung persönliche Haftung (6) Strafrechtliche Inanspruchnahme (Fortsetzung) Auszug aus BGH, Urteil vom StR 394/08: Rz. 26: Der Inhalt und der Umfang der Garantenpflicht bestimmen sich aus dem konkreten Pflichtenkreis [des Verantwortlichen]. [ ]Entscheidend kommt es auf die Zielrichtung der Beauftragung an, ob sich die Pflichtenstellung des Beauftragten allein darin erschöpft, die unternehmensinternen Prozesse zu optimieren und gegen das Unternehmen gerichtete Pflichtverstöße aufzudecken und zukünftig zu verhindern, oder ob der Beauftragte weitergehende Pflichten dergestalt hat, dass er auch vom Unternehmen ausgehende Rechtsverstöße zu beanstanden und zu unterbinden hat. Unter diesen Gesichtspunkten ist gegebenenfalls die Beschreibung des Dienstpostens zu bewerten. 31

32 Folgen Missachtung persönliche Haftung (7) Strafrechtliche Inanspruchnahme (Fortsetzung) Auszug aus BGH, Urteil vom StR 394/08: Rz. 27: Eine solche, neuerdings in Großunternehmen als Compliance bezeichnete Ausrichtung, wird im Wirtschaftsleben mittlerweile dadurch umgesetzt, dass so genannte Compliance Officers geschaffen werden [ ]. Derartige Beauftragte wird regelmäßig strafrechtlich eine Garantenpflicht im Sinne des 13 Abs. 1 StGB treffen, solche im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern. Dies ist die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden [ ]. 32

33 Problem Umsetzung der Compliance (1) IT-Compliance verlangt neben Anpassung der betrieblichen IT / Prozesse an gesetzliche Vorgaben insbesondere Nutzung personenbezogener Daten von Beschäftigten und Dritten: Aufdeckung von Rechtsverstößen aus der Vergangenheit Analyse von Schwachstellen und Risikopotential Maßnahmen zur Früherkennung drohender Rechtsverstöße Beispiel: Dubletten-Abgleich zur Feststellung, ob Beschäftigte des Unternehmens auch beschäftigtenfremde Leistungen bezogen haben, insbesondere auch als Drittlieferanten des Unternehmens aufgetreten sind, indem Name, Anschrift und Bankverbindung der Beschäftigten mit Lieferantendaten abgeglichen werden 33

34 Problem Umsetzung der Compliance (2) IT-Compliance und Datennutzung (Fortsetzung): Sondervorschrift für Banken in 25c KWG: Abs. 1: Institute [ ] haben unbeschadet der in 25a Abs. 1 dieses Gesetzes [ ] aufgeführten Pflichten im Rahmen ihrer ordnungsgemäßen Geschäftsorganisation und des angemessenen Risikomanagements zur Verhinderung von betrügerischen Handlungen zu ihren Lasten interne Grundsätze und angemessene geschäfts- und kundenbezogene Sicherungssysteme zu schaffen und zu aktualisieren und Kontrollen durchzuführen. 34

35 Problem Umsetzung der Compliance (3) IT-Compliance und Datennutzung (Fortsetzung): Sondervorschrift für Banken in 25c KWG (Fortsetzung): Abs. 2: Kreditinstitute haben angemessene Datenverarbeitungssysteme zu betreiben und zu aktualisieren, mittels derer sie in der Lage sind, Geschäftsbeziehungen und einzelne Transaktionen im Zahlungsverkehr zu erkennen, die auf Grund des [ ] verfügbaren Erfahrungswissens über die Methoden der Geldwäsche, der Terrorismusfinanzierung und betrügerischer Handlungen zum Nachteil von Instituten als zweifelhaft oder ungewöhnlich anzusehen sind. Liegen solche Sachverhalte vor, ist diesen vor dem Hintergrund der laufenden Geschäftsbeziehung und einzelner Transaktionen nachzugehen [ ]. Die Kreditinstitute dürfen personenbezogene Daten erheben, verarbeiten und nutzen, soweit dies zur Erfüllung dieser Pflicht erforderlich ist. [ ] 35

36 Problem Umsetzung der Compliance (4) Compliance und Datenschutz stehen im unmittelbaren Spannungsverhältnis zueinander: 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Erlaubnis ausdrücklich in 25c Abs. 2 S. 3 KWG erteilt keine Erlaubnis insb. in 25a KWG, 91 Abs. 2 AktG Spannungsverhältnis von Compliance und Datenschutz ungeklärt, ggf. Rückgriff auf allgemeine Erlaubnistatbestände im BDSG ( 28, 32 Abs. 1 BDSG) 36

37 Auswirkungen auf IT im Unternehmen (1) Ausstattung der IT im Unternehmen: Orientierung an Größe, betrieblichen Abläufen und Risiken Maßstab: je größer das Unternehmen, je komplexer die Prozesse, je riskanter die Geschäftsvorgänge, umso höher die Investitionen = Compliance kostet Geld und ist teuer. Anforderungen an IT im Unternehmen: (in unterschiedlichen Ausprägungen) Sicherung von Authentizität (Zuordnung von Daten zum Verursacher/Inhaber) Integrität (Unverfälschtheit) Verfügbarkeit (Zugriffsmöglichkeit, auch bei Ausfällen der IT) Vertraulichkeit (Zugangsberechtigungssysteme) nach gängigen Standards bei regelmäßiger Kontrolle 37

38 Auswirkungen auf IT im Unternehmen (2) Berücksichtigung der Compliance-Anforderungen u.a. IT-Einführung und IT-Beschaffung (Hardware und Software) Erfüllung von Aufbewahrungs- und Archivierungspflichten interner und externer Unternehmenskommunikation Notfallplanung (Ausfall der IT, Backupstrategie) Dokumentation von IT, Prozessen und Zuständigkeiten Schaffung verbindlicher Richtlinien im Unternehmen Unternehmensrichtlinien ( code of conduct ) IT-Sicherheitskonzept, Datensicherheitskonzept ( 9 BDSG) Anhaltspunkt: BSI IT-Grundschutz (BSI-Standards, Kataloge) Berücksichtigung von Richtlinien & Standards (ISO, DIN, ITIL) IT-Grundordnung (Arbeitsvertrag, Betriebsvereinbarung) 38

39 FAZIT 39

40 Fazit (IT-)Compliance als Restriktion oder Chance für die Informatik? quick & dirty kann (fast) jeder IT-Compliance begrenzt technisch Machbares = Restriktion Restriktion folgen aber (zumeist) unmittelbar aus allgemein anerkannten verfassungsrechtlichen Grundsätzen, etwa Grundrecht auf informationelle Selbstbestimmung Grundrecht auf Wahrung des Fernmeldegeheimnisses Grundrecht auf Unverletzlichkeit privater Lebensbereiche IT-Compliance erhöht Stellenwert der Informatik = Chance ohne Informatik ist Compliance nicht durchsetzbar Compliance als (neues) Beschäftigungsfeld für Informatiker 40

41 Vielen Dank für Ihre Aufmerksamkeit! Fragen? Fragen! RA Sascha Kremer LLR Legerlotz Laschet Rechtsanwälte Mevissenstraße 15, Köln Tel 0221/ , Fax 0221/