Know-How-Schutz und IT-Compliance. RA Michael Kamps, CMS Hasche Sigle

Transkript

1 Know-How-Schutz und IT-Compliance RA Michael Kamps, CMS Hasche Sigle

2 Das erwartet Sie: Überblick Compliance Wieso? Weshalb? Warum? Schutz von Know-How im Unternehmen IT-Compliance Beispiel Datenschutz 2

3 Compliance-Haftung des Managements 3

4 Ziele eines Compliance-Programms - Vermeidung von Rechtsverstößen (Compliance) - Aufdeckung von Rechtsverstößen - Entlastung des Managements vom Vorwurf des Aufsichtsverschuldens Achtung: Mit Verbreitung des Compliance-Begriffs sind in den letzten Jahren Haftungsmaßstäbe für Rechtsverstöße von Unternehmen und Managern verschärft worden! 4

5 Haftung von Organmitgliedern Innenhaftung: = Haftung von Geschäftsführung/Vorstand gegenüber der Gesellschaft Außenhaftung: = Haftung von Geschäftsführung/Vorstand (und Unternehmen) gegenüber Dritten Dritte sind: Unternehmen Privatpersonen aber auch: Behörden wie z.b. Staatsanwaltschaft oder Kartellbehörden 5

6 Pflichten von Organmitgliedern Business Judgment Rule ( 93 Abs. 1 S. 2 AktG) schützt Manager: "Eine Pflichtverletzung liegt nicht vor, wenn der Geschäftsführer vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln." Wichtig für Compliance-Haftung: Þ Geschäftsführer trägt Beweislast! Entscheidungsprozesse müssen dokumentiert werden, um von Haftungsprivilegierung profitieren zu können. 6

7 Ordnungswidrigkeitshaftung (1) OWiG "Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen." 7

8 Schutz von Know-How im Unternehmen 8

9 Die Ausgangslage Unternehmen Produkte Mitarbeiter Organisation Informationen "Know-how" - Daten Externe 9

10 Know-how Was ist das? Kenntnisse, Erfahrungen und Informationen aller Art Wesentlicher Wertfaktor eines Unternehmens 10

11 Geheimnis = qualifiziertes Know-how Unternehmensgeheimnisse Betriebsgeheimnisse - Produktionsabläufe - Entwicklungs- /Forschungsergebnisse - Produktionsberichte - Rezepturen - Konstruktionszeichnungen - Arbeitsmuster/Vorlagen Geschäftsgeheimnisse - Unternehmensstrategien - Geschäftsideen - Kunden-/Lieferantendaten - Organisations-, Kalkulations-, und Marketingpläne - Bilanzen - Gehälter und Personaleinsatz 11

12 Rechtliche Instrumente ein Vergleich Patentrecht Urheberrecht Markenrecht Qualitativen Anforderungen an den Schutzgegenstand Begrenzte Schutzdauer Anmeldung / Gebühren / Gebrauch 12

13 Was ist ein "Geheimnis"? Unternehmen Informationen "Know-how" "Öffentliche Informationen" Betriebs- und Geschäftsgeheimnisse Externe 13

14 Geheimnis die Voraussetzungen Unternehmensbezug Nichtoffenkundigkeit Geheimhaltungswille/Geheimhaltungsinteresse 14

15 Das Sanktionensystem Mögliche Ansprüche/Maßnahmen Vertragliche Ansprüche (z.b. Vertragsstrafe) Unterlassung Beseitigung Auskunft Schadensersatz Einschaltung der Staatsanwaltschaft strafrechtliche Sanktionen Gegner (ehemaliger) Arbeitnehmer Konkurrent/neuer Arbeitgeber 15

16 Einrichtung und Elemente eines Compliance-Systems Beispiel Know-How-Schutz 16

17 Compliance Management Systeme - Damit ein Compliance Programm die Geschäftsführung rechtlich entlastet, muss diese die Mitarbeiter im Hinblick auf die Verhinderung von Rechtsverstößen sorgfältig ü Ausbilden ü Anweisen ü Überwachen 17

18 Vier Phasen der Implementierung Identifizierung Anforderungen Vorbereitung Instrumente Roll-Out Updates Phase 1 Phase 2 Phase 3 Phase 4 18

19 Identifizierung der Anforderungen Compliance Standard Gewünschte Ausgestaltung Unternehmensspezifische Anforderungen 19

20 Bedarfsanalyse - Risk-mapping Identifikation der Risiken Bewertung der Risiken nach - Eintrittswahrscheinlichkeit und Eintrittswahrscheinlichkeit - Auswirkungen auf das Unternehmen Ausmaß der Auswirkungen 20

21 Vorbereitung der Instrumente Schulung Organisation Seminare Code of Conduct Compliance Beauftragter Annual Promise Ombudsleute / Hotline E-Learning Leitfäden Interne Kronzeugenregelung Kontrolle 21

22 Roll-Out Training beginnt in risikoreichsten Bereichen des Unternehmens State-of-Play-Meetings mit Compliance-Beauftragtem Feedback von Teilnehmern/Nutzern 22

23 Know-how-Schutz praktisch umsetzen 23

24 Bestandsaufnahme Identifikation von schützenswertem Know-how Identifikation von "Gefahrenquellen" Kommunikation des Geheimhaltungswillen /-interesses 24

25 Sensibilisierung Verantwortungsbewusstsein vermitteln im Hinblick auf den Umgang mit Arbeitsmitteln das Verhalten gegenüber Kunden / Beschäftigten der Konkurrenz die Nutzung von IT-Infrastruktur (auch: Social Media) 25

26 Prävention - Überblick Grenzen und Handlungsbedarf Ein Verlust des gesetzlichen Schutzes muss aktiv vermieden werden Know-how-Schutz erfordert wesentliche unternehmerische Maßnahmen. faktisch (Geheimhaltung) rechtlich (Vertrag) 26

27 Prävention zwischen Vertrauen & Kontrolle Beispiele für Physische Maßnahmen Technische Zugangshürden Kontrollen (ABER: DatenschutzR / PersönlichkeitsR / ArbeitsR) Aktenvernichtung Altgeräteentsorgung 27

28 Prävention & Recht Mitarbeiter Ausdrückliche Geheimhaltungsverpflichtung Nachvertragliches Wettbewerbsverbot Vertragsstrafen Außenstehende Dritte Geheimhaltungsvereinbarungen 28

29 Fazit ü Gute Vorbereitung (rechtlich + tatsächlich) ü Regelmäßige Kontrolle / Prüfung ü Bei Verdacht / Vorwurf [ überlegtes Handeln mit erfahrener Unterstützung [ Guter Know-how-Schutz 29

30 IT Compliance Beispiel Datenschutz 30

31 IT Sicherheit & Datenschutz - Unbefugten den Zutritt zu Datenverarbeitungsanlagen ( ) zu verwehren (Zutrittskontrolle), - zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), - zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), - zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), - zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), - zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), - zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), - zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

32 Datenschutzrecht - Grundbegriffe Betroffener (= AN) Personenbezogene Daten Erheben = Beschaffen Verarbeiten = Speichern, Verändern, Übermitteln Sperren, Löschen Nutzen = jede andere Verwendung Verantwortliche Stelle (= AG) 32

33 Datenschutzrecht Warum?

34 Datenschutzrecht - Normstruktur Datenschutzrecht Allgemeines DSR (EU, Bund, Länder) Bereichsspezifisches DSR (EU, Bund, Länder) EU-RL, BDSG, LDSG'e z.b. VerwaltungsR, SozialR, TelekommunikationsR

35 Datenschutzrecht - Grundprinzip Erhebung, Verarbeitung & Nutzung IST VERBOTEN es sei denn, sie ist erlaubt durch Rechtsvorschrift Einwilligung 35

36 Datenschutzrecht - Beteiligte Aufsichtsbehörden Regulierungsbehörden Gerichte Verantwortliche Stelle Betriebsräte "besondere Dritte" Öffentlichkeit

37 Was dürfen die denn? - Auskunftsersuchen - Prüfungen / Besichtigungen in Geschäftsräumen - Anordnung von Maßnahmen zu Mängelbeseitigung - Androhung/Verhängung von Zwangsgeldern - Untersagungsverfügungen - Abberufung von DSB - Ordnungsgelder - Strafantragsrecht - Benachrichtigungspflicht, 42 a BDSG

38 Sanktionen: Strafbarkeit & Bußgelder - Bußgelder Erhöhung des Bußgeldrahmens "Formalverstöße": bis zu (früher ) Materielle Verstöße: bis zu (früher ) Bußgeld > wirtschaftlicher Vorteil aus OWi, deshalb Überschreitung des Rahmens möglich! - Strafbarkeit Vorsätzliche Verwirklichung materieller Verstöße in Schädigungs- oder Bereicherungsabsicht Strafrahmen: Freiheitsstrafe bis zu 2 Jahre oder Geldstrafe

39 Aus der Praxis Euro Bußgeld Erstellung und Nutzung von Kundenprofilen ohne Wissen der Kunden

40 "Quick Check" - Bestandsaufnahme Erhebung, Verarbeitung, Nutzung personenbezogener Daten v.a.: Beschäftigte, Kunden, Ansprechpartner - Formale Anforderungen Betrieblicher Datenschutzbeauftragter? Verfahrensverzeichnis? - Materielle Anforderungen Zulässigkeit der Verarbeitungsverfahren? Datensparsamkeit? Vorabkontrolle?

41 Michael Kamps Rechtsanwalt CMS Hasche Sigle Kranhaus 1 Im Zollhafen Köln T F E michael.kamps@cms-hs.com BLOG: 41

42 Wichtiger Hinweis Diese Präsentation wurde ausschließlich zu Informationszwecken und ausdrücklich nicht zum Zwecke der Rechtsberatung erstellt. Das Material ist deshalb ausschließlich zum allgemeinen Überblick über das behandelte Thema bestimmt. Es enthält keine umfassenden oder auf bestimmte Einzelfälle bezogenen Aussagen zu Recht und Praxis in diesem Bereich betrachtet werden. Es wird empfohlen, bezüglich spezieller Fragen (insbesondere zur Rechtslage in einem konkreten Einzelfall) geeignete Rechtsberatung in Anspruch zu nehmen

43 Rückblatt Titel der Präsentation 10. Dezember