ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing

Größe: px

Ab Seite anzeigen:

Download "ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing"

Erna Langenberg
vor 8 Jahren
Abrufe

1 ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing Frankfurt am Main, 19. März 2015

2 01 > Risikoanalyse eines Industrieunternehmens Wer ist Risikoquelle? > Fahrlässiger Schädiger = der eigene Mitarbeiter mit falscher Anlage / an falschen Adressaten Öffnen eines Virus-infizierten -Anhangs Einspeisen Virus-infizierter Software in das Unternehmens-Intranet Verlieren von Laptops, SmartPhones, BlackBerrys, USB-Sticks, etc. > Professioneller Schädiger = außenstehender Dritter Lahmlegung / Zerstörung von Soft-/Hardware durch Hacker-Angriff Ausspähung von Daten (Kreditkartendetails / persönliche Daten der Kunden eines Online-Shops, Industriespionage, Mitarbeiterdaten etc.) 2

Einspeisen Virus-infizierter Software in das Unternehmens-Intranet Verlieren von Laptops, SmartPhones, BlackBerrys, USB-Sticks, etc.

3 02 > Risikoanalyse eines Industrieunternehmens Welche Schäden? > Eigenschäden Analyse und Beseitigung der Schadensursache Kosten der Wiederherstellung (Daten, Software, ggfs. Hardware) Kosten für (gesetzliche) Informationspflichten Kosten für PR-Arbeit Bußgeldzahlung Kosten für Rechtsberatung und/oder Lösegeldzahlung an Erpresser, der Hackerangriff zunächst androht > Fremdschäden Schadensersatz an Dritte 3

4 03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Schutz personenbezogener Daten (Einzelangaben über persönliche / sachliche Verhältnisse einer natürlichen Person) Technische und organisatorische Maßnahmen gemäß 9 BDSG (Festlegung in Datenschutz- und Datensicherheits-Richtlinien) Bestellung eines Datenschutzbeauftragten, 4 f BDSG (mind. 20 bzw. 9 ständig mit Datenverabreitung Beschäftigte) Datengeheimnis, 5 BDSG: Verpflichtung der Mitarbeiter erforderlich Verstoß > Datenschutzrechtliche Haftung 4

natürlichen Person) Technische und organisatorische Maßnahmen gemäß 9 BDSG (Festlegung in Datenschutz- und Datensicherheits-Richtlinien)

5 03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Datenschutzrechtliche Haftung derzeit: Informationspflicht gegenüber Aufsichtsbehörde(n) und Betroffenen: 42a BDSG: bei bestimmten personenbezogenen Daten 109a TKG: bei Telekomunikationsdienstleistern Maßnahmen zur Schadensbegrenzung/-beseitigung, 42a BDSG Schadensersatz an Betroffene, 7, 8 BDSG Bußgeld wegen Ordnungswidrigkeit, 43 III BDSG: oder Abschöpfen eines etwaigen höheren wirtschaftlichen Vorteils Geschäftsleitung, 9, 130 OWiG (echtes Unterlassungsdelikt): Bußgeld bis zu 1 Mio. 5

BDSG: bei bestimmten personenbezogenen Daten 109a TKG: bei Telekomunikationsdienstleistern Maßnahmen zur Schadensbegrenzung/-beseitigung, 42a BDSG

6 03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Verschärfungen nach EU-Datenschutz-GrundVO zukünftig: soll die EU-Datenschutz-Richtlinie 95/46/EG aus 1995 ersetzen keine Umsetzung in nationales Recht, sondern unmittelbare Geltung 12. / 13. März 2015: Treffen der EU-Innen- und Justizminister zu Kapitel II (Datenverwendung); sehr starkes Lobbying aus USA Derzeitiger Diskussionsstand: Artikel 31, 32: Selbstanzeige / Auskunft an Aufsichtsbehörde(n) und Betroffenen unverzüglich (Erstentwurf: innerhalb von 24 Stunden ) Artikel 79: bei Unternehmen Bußgeld bis zu 5% des weltweiten Jahresumsatzes (Erstentwurf: 2% des weltweiten Jahresumsatzes ) 6

in nationales Recht, sondern unmittelbare Geltung 12. / 13.

7 03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung II. Zivilrechtliche Haftung > Schadensersatz / Vertragsstrafe an Vertragspartner aus Vertrag Verletzung von Geheimhaltungs- / Vertraulichkeitspflichten > Haftung gegenüber Dritten ohne Vertrag gemäß 823 BGB wegen Eigentumsschaden durch Datenverlust Störung des Gewerbebetriebs Dritter Verletzung von Persönlichkeitsrechten > Urheberrechtliche Haftung, UrhG Urheber kann Schadensersatz / Beseitigung / Auskunft verlangen 7

Vertraulichkeitspflichten > Haftung gegenüber Dritten ohne Vertrag gemäß 823 BGB wegen Eigentumsschaden durch Datenverlust

8 03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung II. Zivilrechtliche Haftung > Persönliche Haftung des Geschäftsleiters Innenhaftung gegenüber Unternehmen aus 93 (2), 91 (2) AktG; 43 (2) GmbHG wegen Organisationsverschuldens > Fazit: Risikomanagement ist unerlässlich! 8

Innenhaftung gegenüber Unternehmen aus 93 (2), 91 (2) AktG; 43 (2) GmbHG

9 04 > Risikomanagement eines Industrieunternehmens (Überblick) > Risikoanalyse und Risikobewertung (Dokumentation) > Präventionsmaßnahmen technischer Art > Absicherung durch Versicherungsschutz Sachversicherung zur Abdeckung von Eigenschäden Haftpflichtversicherung zur Abdeckung von Fremdschäden > Ablaufplan mit Zuständigkeiten für Cyber-Ernstfall Eingriff erkennen Cyber Breach Coach / Versicherer einschalten Eingriff beenden, Sachverhalt erfassen, Maßnahmenplan erstellen Maßnahmenplan abarbeiten (Anzeige an Behörden / Betroffene; Presse; rechtliche Maßnahmen gegen Schädiger / Behörden prüfen; Risikobewertung / Präventionsmaßnahmen verbessern) 9

Zuständigkeiten für Cyber-Ernstfall Eingriff erkennen Cyber Breach Coach / Versicherer einschalten Eingriff beenden, Sachverhalt erfassen, Maßnahmenplan erstellen

10 05 > Fragen und Diskussion Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen? 10

Ähnliche Dokumente

TW Insurance Day Management von Cyber-Risiken

TW Insurance Day Management von Cyber-Risiken Natalie Kress Cyber Practise Manager Germany & Austria, ACE European Group Limited RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing Düsseldorf,