Die Haftung des Geschäftsführers für Organisationsmängel

Transkript

1 Die Haftung des Geschäftsführers für Organisationsmängel Organisationspflichten, Wissenszurechnung und Haftung des Unternehmens IHK zu Münster RA Andreas Göbel Fachanwalt für Informationstechnologierecht Lehrbeauftragter für Informationstechnologierecht Fachanwalt für Arbeitsrecht WOLFF GÖBEL WAGNER Rechtsanwälte Fachanwälte Grünstr. 16, Hagen Tel.: Fax: Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 1

2 Haftungsmaßstäbe Haftung ohne Verschulden Mängelgewährleistung Produkthaftung Haftung mit Verschulden, 280 BGB Für Handlungen Für Unterlassen (Organisation) Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 2

3 Rechtsquellen von Organisationspflichten 1. KonTraG BGB Haftung aus unerlaubter Handlung: Transrapid 3. Produkthaftungsgesetz 4. Vertragliche Gewährleistungsansprüche 5. Vertragliche Nebenpflichten 6. Codes of Conduct durch Großkunden 7. Strafrecht Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 3

4 Anforderungen an die Organisation des Unternehmens 1. Delegation Geeignete Personen Zuverlässig Lückenlos Keine Überschneidungen Sorgfältige Auswahl Erforderliche Kenntnisse und Fähigkeiten 2. Instruktionspflicht 3. Überwachungspflicht 4. Sanktionspflicht 5. Organisation der Aufsicht Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 4

5 Folgen einer Verletzung der Organisationspflichten - Haftung des Unternehmens gegenüber Kunden - Maßnahmen von Aufsichtsbehörden (z. B. Landesdatenschutzbeauftragter) - Verweigerung des Prüfvermerks im Jahresabschluss - Höhere Finanzierungskosten (z. B. bei fehlender IT-Notfallplanung) - Verlust des Versicherungsschutzes (grobe Fahrlässigkeit!) Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 5

6 Technische Hilfsmittel zur Organisation Das in Anspruch genommene Unternehmen bzw. der in Anspruch genommene Geschäftsführer müssen im Streitfall beweisen, dass sie die richtigen organisatorischen Maßnahmen getroffen haben. Also müssen sie den Stand der Organisation zum Zeitpunkt des Schadenseintritts dokumentieren. Dafür eignen sich in besonderer Weise - Dokumentenmanagementsysteme (DMS) und - Workflow-System Die müssen aber auch zunächst so eingerichtet werden, dass die Organisationspflichten vollständig abgebildet sind! Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 6

7 Um Organisationshaftung zu vermeiden sind daher folgende Maßnahmen zu empfehlen: - Geeignete Personen für Risikofelder benennen (Datenschutzbeauftragter, IT- Abteilung, Business Continuity-Beauftragter, AGG-Beauftragter usw.) - Dokumentenmanagementsystem (DMS) oder Workflow-System anschaffen - DMS oder Workflow-System den Organisationspflichten - Delegation - Kontrolle - Sanktion - Dokumentation entsprechend einrichten. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 7

8 Notwendige Maßnahmen im Datenschutz Gegebenenfalls Bestellung eines Datenschutzbeauftragten sonst selbst: - Erfüllung der Voraussetzungen gemäß der Anlage zu 9 BDSG (technischorganisatorische Maßnahmen): Sicherstellung der Kontrolle bezüglich Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Durchführung von Aufträgen, Verfügbarkeit und getrennte Verarbeitung. Einsatz dem Stand der Technik entsprechender Verschlüsselungsverfahren - Erstellung des Verfahrensverzeichnisses Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 8

9 Grundsätze ordnungsgemäßer elektronischer Speicherbuchführung (GOBD) Sicherstellung von Echtheit Unveränderbarkeit (Integrität) Wiederauffindbarkeit von Dokumenten. Anderenfalls Schätzung durch das FA. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 9

10 Schutz vor Schädigung von außen und innen 90 % aller Angriffe kommen von innen Standards einhalten: ISO ITIL BSI Grundschutzkatalog Die definieren den Stand der Technik. Daher keine Haftung des Geschäftsführers, wenn dennoch Schäden eintreten. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 10

11 Telekommunikationsgesetz Wer privates en erlaubt, wird zum Diensteanbieter gemäß 88 Telekommunikationsgesetz und unterliegt dem Fernmeldegeheimnis. Verletzung des Fernmeldegeheimnisses durch den Diensteanbieter führt zur Strafbarkeit gemäß 206 StGB: Freiheitsstrafe bis fünf Jahren oder Geldstrafe. Also privates en verbieten! Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 11

12 IT-Notfallplanung 91 Aktiengesetz: Mechanismen zur Früherkennung und Vermeidung von Risiken." Also muss man vorbereitet sein für den Katastrophenfall: Risikoerfassung: vollständiges Erkennen und Erfassen der Risiken im Unternehmen Risikoanalyse: Ursachen, Wahrscheinlichkeit wahrscheinliche Schadenshöhe Risikobeherrschung: die Entscheidung, wo die Prioritäten gesetzt werden und welche Risiken in Kauf genommen werden Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 12

13 IT-Notfallplanung II Verschiedene Strategien: Risikovermeidung durch Verzicht auf das Risiko begründende Arbeitsmittel Risikoverringerung durch Verringerung der Eintrittswahrscheinlichkeit Risikoabwälzung auf Outsourcer oder Versicherer Risikokompensation: Eingehen des Risikos, wenn die Abwägung ergibt, dass die Vorteile für das Unternehmen überwiegen. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 13

14 Weitere gefährdende Bereiche - Unsicherer Vertragsschluss durch - Abmahnungen im E-Commerce - Vermeidung von Spam - Providerhaftung und Haftung für Links - Vermeidung der Schädigung Dritter ( Weiterleitung von Viren) - Computer-Strafrecht Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 14

15 Das IT- Sicherheitsgesetz (IT- SG) Schützt Kritische Infrastrukturen Das sind alle Einrichtungen, Anlagen oder Teile davon in den Bereichen Energie Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung Finanz- und Versicherungswesen und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Ausnahme für Unternehmen > 10 Mitarbeiter, 8a, 8b BSI- G. 15 Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 15

16 Warnungen des BSI: - Warnung vor Sicherheitslücken in IT- Produkten und Diensten - Warnung vor Schadprogrammen - Warnung im Fall des Verlustes oder unerlaubten Zugriffs auf Daten (entspricht 42 a BDSG) - Empfehlung von Sicherheitsmaßnahmen und Sicherheitsprodukten 16 Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 16

17 Meldepflichten: Erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen führen können oder bereits geführt haben. Geheimhaltung Keine Akteneinsicht Dritter Kontaktstelle benennen binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung gemäß Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 17

18 Zwar in erster Linie Geltung für Betreiber kritischer Infrastrukturen Aber: Zugleich Änderung in 13 Abs. 7 TMG (Telemediengesetz) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Betroffen: Blogs, Apps, Online- Shops 18 Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 18

19 3 Pflichten: - Maßnahmen gegen unerlaubten Zugriff (ausdrücklich: Drive-by-Downloads) - Maßnahmen zum Schutz personenbezogener Daten (z.b. durch Verschlüsselung) Frage: nur für Speicherung oder auch Versendung? - Maßnahmen zum Schutz gegen äußere Störungen, wohl Distributed Denial of Service (DDoS-) Attacken. Mittel Umleitung. idr > USA: >>Datenschutzprobleme!! Rechtsfolge: Fraglich: 16 Abs. 2 Nr. 3 TMG Bußgeld bis zu ,00 EUR Sind Verstöße auch abmahnfähig? ungeklärt. Stellt 13 Abs. 7 TMG eine Marktverhaltensregelung dar? 19 Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 19

20 Rechtsanwälte Fachanwälte WOLFF GÖBEL WAGNER Grünstraße 16 D Hagen Tel. +49 (0) 2331/ Fax +49 (0) 2331/ /41 info@ra-goebel.eu Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 20