IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

Transkript

1 IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014

2 Agenda I. Begriffe II. Anwendbare Rechtsvorschriften III. Wer haftet eigentlich? IV. Praxisbeispiele TCI Rechtsanwälte

3 I. BEGRIFFE TCI Rechtsanwälte

4 Begriffe Compliance = Befolgung Einhaltung von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln im Unternehmen Einrichtung und Dokumentation von Kontroll- und Steuerungsprozessen Ziel ist das vollständig regelkonforme Unternehmen z.b. Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären Aber auch das Compliance-Programm selbst muss den gesetzlichen Anforderungen genügen IT-Compliance und Datenschutz bedingen sich oft gegenseitig Europäische Datenschutz-Grundverordnung soll die drohenden Sanktionen bei Datenschutzverletzungen massiv verschärfen TCI Rechtsanwälte

5 Begriffe IT-Compliance = Regelkonforme IT-Systeme Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten. ( 2 Abs. 2 BSIG) IT-Compliance bedeutet Risikovermeidung Datenschutz und Datensicherheit bedeutet Daten vor Zugriffen Dritter schützen TCI Rechtsanwälte

6 II. ANWENDBARE RECHTSVORSCHRIFTEN TCI Rechtsanwälte

7 Internationale Vorschriften (Auswahl) Basel II-Abkommen: Anwendbare Rechtsvorschriften Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Regeln müssen gemäß den EU Richtlinien 2006/48/EG und 2006/49/EG seit dem 1. Januar 2007 in den Mitgliedsstaaten der EU für alle Kredit- und Finanzdienstleistungsinstitute angewendet werden. In Deutschland Umsetzung durch Kreditwesengesetz, Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). Sarbanes-Oxley Act (SOX): 2002 verabschiedet - Regelung von internen Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen und Anforderungen an das interne Kontrollsystem für die Finanzberichterstattung Solvency II: Richtlinie des Europäischen Parlaments und des Rates betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit wie bei Basel II soll eine Erweiterung des Risikomanagements erreicht werden TCI Rechtsanwälte

8 Anwendbare Rechtsvorschriften Nationale Vorschriften (Auswahl) Kreditwesengesetz Gesetz zur Kontrolle und Transparenz im Unternehmensbereich GoBS, GDPdU Bundesdatenschutzgesetz Telekommunikationsgesetz Strafgesetzbuch Versicherungsvertragsgesetz Verwaltungsvorschriften, Verwaltungshandeln Richtlinien und Standards Allg. zivilrechtliche Verpflichtungen (z.b. aus Verträgen mit Kunden, aus Versicherungsverträgen, Deliktische Haftung gegenüber Dritten) TCI Rechtsanwälte

9 III. WER HAFTET? TCI Rechtsanwälte

10 Grundsätze der Haftung Grundsatz: Haftung für Vorsatz und Fahrlässigkeit Bei Delegation an Dienstleister: Verpflichtung zur sorgfältigen Auswahl und Beaufsichtigung ggf. muss beim mangelnder eigener Fachkunde ein externer Berater für die Auswahl und Aufsicht herangezogen werden interne Beauftragte müssen mit ausreichenden sachlichen und personellen Kapazitäten ausgestattet sein bei externe Beauftragten muss sich die Geschäftsleitung von solchen Kapazitäten sorgfältig überzeugen Beauftragter muss mit allen notwendigen Informationen versorgt werden TCI Rechtsanwälte

11 Haftung des Unternehmens Haftung des Unternehmens für Ordnungswidrigkeiten Bußgeld- und Strafvorschriften (z.b. aus dem BDSG, UrhG, StGB) Geldstrafen bis zu 1 Million Euro Schadensersatzansprüche gegen das Unternehmen 823 BGB: Eigentumsschäden durch Datenverlust, Störung des Gewerbebetriebs Dritter Schädigung der IT-Infrastruktur Dritter Z.B. durch Versand von Viren, DOS-Attacken/Spam-Versand durch Unternehmensrechner Bei Verschulden Schadensersatz (z.b. für Datenverlust, Mehraufwand etc.) TCI Rechtsanwälte

12 Haftung des Unternehmens Auch ohne Verschulden Unterlassungsansprüche Dritter Weitere Folgen: Verweigerung des Bestätigungsvermerks durch Wirtschaftsprüfer Ratingprobleme (Basel II) Bessere IT > Besseres Rating > Weniger Eigenkapitalbedarf > günstigerer Kredit Verlust des Versicherungsschutzes Versicherer knüpfen den Schutz an Beachtung von Obliegenheitspflichten Abmahnung wegen Wettbewerbsverstoß Imageschaden bei Datenschutzverstößen TCI Rechtsanwälte

13 Haftung des Unternehmens Veröffentlich am in Welt und Frankfurter Rundschau Kosten der Veröffentlichung ca Imageschaden XXX TCI Rechtsanwälte

14 Haftung der Geschäftsleitung Mitglieder der Geschäftsführung ( 43 GmbHG / 93 Abs. 2 AktG) Sorgfaltspflichten Leitungspflichten Vermögensbetreuungspflicht Überwachungspflichten Pflicht zur ordnungsgemäßen Geschäftsführung Unternehmerische Entscheidungen im Kernbereich Selbst und höchstpersönlich Delegation nur teilweise möglich Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT- Systeme zu gewährleisten ( 239, 261 HGB) TCI Rechtsanwälte

15 Haftung von Mitarbeitern EDV-Leiter / Administrator Persönliche Haftung aus: Arbeitsvertrag - Gesteigerte vertragliche Pflicht zur Wahrung von Sicherheitsinteressen Delikt ( 823 BGB) Strafrecht BDSG (Bayern: Bußgeld wegen offenem -Verteiler) Schadensersatzhaftung Bei leichter Fahrlässigkeit: Keine Haftung Bei mittlerer Fahrlässigkeit: Quotale Schadensteilung Bei grober Fahrlässigkeit und Vorsatz: In der Regel volle Haftung; anders u.u. bei groben Missverhältnis zwischen Verdienst und Schaden TCI Rechtsanwälte

16 IV. PRAXISBEISPIELE TCI Rechtsanwälte

17 Praxisbeispiele Interne Ermittlungen führen zu Datenschutzverstößen Einsichtnahme und Auswertung von Mitarbeiter s IT-Forensische Untersuchungen / Screenings Information der Betroffenen Regelungen zum Zugriff auf relevante Daten Ist Einbindung des Datenschutzbeauftragten sichergestellt Vernichtung von Ermittlungsergebnissen Rechtslage bei Cloud-Lösungen Mitarbeiter lässt Notebook im Zug liegen Stromsparmaßnahmen sorgen für Abschaltung des Stroms im Serverraum Sekretärin soll tägliche Datensicherung manuell vornehmen. Sie sichert nur ab und zu, da ja nie etwas passiert. Mitarbeiter nutzen Dropbox / Geschäftsführung nutzt Evernote TCI Rechtsanwälte

18 Geschafft noch Fragen? Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht TCI Rechtsanwälte Isaac-Fulda-Allee 5 D Mainz Telefon: (0) Telefax: (0) sschmidt@tcilaw.de Internet: TCI Rechtsanwälte Mainz