Rechtliche Herausforderungen für IT-Security-Verantwortliche

Transkript

1 Rechtliche Herausforderungen für IT-Security-Verantwortliche lic. iur. David Rosenthal

2 ETH Life 2

3 Handelsblatt 3

4 SDA 4

5 5 20 Minuten/Keystone

6 Die Folgen - Image- und Vertrauensschaden - Umsatzausfälle - Verlust von "immateriellen" Werten - Schadenersatzforderungen - Strafrechtliche Sanktionen - Wer trägt die Verantwortung? 6

7 7 Auszug WEF-Besucher-Datenbank

8 Wer trägt die Verantwortung? - Nicht der "Hacker" - Tatbestand des Hackings nicht erfüllt, wenn Datenbank ungenügend gesichert ist - Das Unternehmen - Das fahrlässige Fehlen von Massnahmen gegen unbefugten Zugriff kann genügen - Die verantwortlichen IT-Mitarbeiter - Verletzung arbeitsrechtlicher Sorgfaltspflichten 8

9 Was heisst "fahrlässig"? - "Das Ausserachtlassen derjenigen Sorgfalt, die die Verkehrssitte von den mit dem Handelnden in gleichen Lebensverhältnissen stehenden Personen unter den erkennbaren konkreten Umständen erfordert." - Gerichtspraxis fehlt zwar weitgehend... 9

10 IT-Einsatz ist geschäftskritisch - Wird für fast jede Dienstleistung und fast jedes industrielle Produkt eingesetzt - Unterstützt fast jeden Geschäftsprozess - Ist ein wichtiges Kontrollmittel - Ist oft eines der teuersten Betriebsmittel - Zudem: Verschiedene Gesetze (und Verträge) verlangen Massnahmen zur IT-Sicherheit 10

11 Datenschutz - Art. 7 Datenschutzgesetz (DSG) - Personendaten müssen "durch angemessene technische und organisatorische Massnahmen vor unbefugter Bearbeitung" geschützt sein - Auch Geheimhaltungspflichten in Gesetz und Verträgen erfordern Zugangsbeschränkungen - Berufsgeheimnis, Bankkundengeheimnis, Verbot des wirtschaftlichen Nachrichtendienstes, etc. 11

12 12 Art. 8 Abs. 1 VDSG (führt Art. 7 DSG weiter aus)

13 Unbefugte Bearbeitungen - Bearbeitung von Personendaten zu Zwecken, die bei der Beschaffung nicht erkennbar waren - Unverhältnismässig weitgehende Bearbeitung - Bearbeitung unrichtiger Daten - Weitergabe besonders schützenswerter Daten oder von Persönlichkeitsprofilen an Dritte ohne Zustimmung der betroffenen Personen - Export ins Ausland ohne adequaten Schutz 13

14 14 Art. 8 Abs. 2 und 3 VDSG Muss auch beim Outsourcing der Datenbearbeitung und bei Datenexporten sichergestellt sein

15 Alternativen? - Einwilligung der Betroffenen einholen - z.b. AGB (im Nachhinein aber oft nicht möglich) - Rechtfertigungsgründe IT-relevant - Wo Bearbeitung gesetzlich vorgesehen - Wo überwiegendes öffentliches Interesse - Wo überwiegendes privates Interesse - Technische Lösungen IT-relevant 15

16 Persönlichkeitsverletzung zulässig, wenn durch ein überwiegendes privates Interesse gerechtfertigt Interessen Bearbeiter Interessen Betroffener Hier: Interesse Betroffener überwiegt 16

17 Daher: Umfang der geplanten Datenbearbeitung einschränken = geringerer Eingriff in die Persönlichkeit der Betroffenen = geringere Anforderungen an das Interesse des Bearbeiters Interessen Bearbeiter Interessen Betroffener Hier: Interesse Bearbeiter überwiegt = Bearbeitung zulässig 17

18 Technische Lösungen - Bearbeitungsmöglichkeiten einschränken - Auch innerhalb eines Betriebes (und Konzerns) - z.t. bis auf die Ebene einzelner Datensätze - Anwendung des Datenschutzes verhindern - Anonymisierung von Daten vor Weitergabe - Verschlüsselung von Daten vor Weitergabe - Zugangsschutzkonzepte 18

19 Anonymisierung 1 Heinz Müller Nora Zuber Fritz Boller Hauser AG Simone Ott

20 Anonymisierung 2 Heinz Müller Nora Zuber Fritz Boller Hauser AG Simone Ott Für Dritte keine Personendaten mehr 20

21 Verschlüsselung Zugangskontrolle, Verschlüsselung - Datenzugriff - Administration Daten - HW-Betrieb 21

22 Neue Herausforderungen - Anforderung an die IT-Sicherheit: Einhaltung z.b. des Datenschutzes auch bei wachsendem Bedürfnis nach Datenbearbeitung sicherstellen - Folge: IT-Sicherheit verlagert sich zunehmend von der Systemebene auf die Ebene der Anwendungen, Prozesse und Datensätze - Die Applikationen und nicht mehr die Benutzer bestimmen, was wie bearbeitet werden darf 22

23 IT-Sicherheitsverantwortliche -... müssen zwar keine Juristen sein - Aber: Die Umsetzung mancher rechtlicher Vorgaben lieg auch in ihrer Verantwortung - Oft der schwierigere, pannenträchtigere Teil - Je wichtiger die IT, desto stärker die Regulierung und desto höher die Risiken - Messlatte wächst mit dem Stand der Technik 23

24 Und die Unternehmensleitung? - VR-Mitglieder sowie Dritte müssen ihre Aufgaben in der Geschäftsführung "mit aller Sorgfalt erfüllen und die Interessen der Gesellschaft in guten Treuen wahren." - Beizug von Spezialisten, falls erforderlich - VR bleibt für die Oberaufsicht verantwortlich - Festlegung und Vorgabe von Zielen - Werden die Gesetze, Weisungen, etc. befolgt? 24

25 Persönliche Risikoanalyse - Sind Ihre Verantwortlichkeiten richtig definiert? - Sind Sie diesen Anforderungen gewachsen? - Haben Sie Ihre Organisation gut im Griff? - Suchen Sie Hilfe bei Ihrer Rechtsabteilung? - Haben Sie klare Instruktionen der GL? - Existiert ein Reporting an die GL? - Gehen Sie "on record" im Falle von aus Ihrer Sicht kritischen Entwicklungen im Betrieb? 25

26 Q&A David Rosenthal Rechtsanwälte Weinbergstr , CH-8006 Zürich Tel Fax

27 Vielen Dank für Ihre Aufmerksamkeit. 27