Rechtsraum Cyber - welche rechtlichen Grundlagen müssen Unternehmen beachten?

Transkript

1 Rechtsraum Cyber - welche rechtlichen Grundlagen müssen Unternehmen beachten? Dr. Axel Frhr. v. d. Bussche, LL.M. (L.S.E.) Rechtsanwalt Fachanwalt für Informationstechnologierecht ACE Cyberforum, 18. Juni 2015

2 2

3 Agenda 01 > IT-Compliance als Rechtsbegriff 02 > IT-Compliance als unternehmerische Pflicht 03 > Mögliche Rechtsfolgen / Haftung 04 > Sonderproblem: Mobile Devices 05 > Sonderproblem: Social Media 06 > Sonderproblem: Bring Your Own Device (ByoD) 07 > Dauerproblem: Dienstliche Nutzung vs. Privatnutzung 08 > Einrichtung einer Compliance Organisation 09 > Einrichtung eines IT-Risikomanagementsystems 10 > Stellung des Compliance Officers 11 > Implementierung von Betriebsrichtlinien 3

4 01 > Definition IT-Compliance Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponenten oder Prozessen oder 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen. ( 2 Abs. 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) IT-Security Datenschutz > Verfügbarkeit: Schutz des Zugang zu Daten / IT-Systemen, > Unversehrtheit: Schutz vor inhaltlicher Manipulation, > Vertraulichkeit: Schutz vor unbefugter Kenntnisnahme, > Zurechenbarkeit: Schutz vor gefälschter Identität / Herkunft, > Informationelle Selbstbestimmung: Schutz von personenbezogenen Daten, > Qualitätsprüfung: reglm. Überprüfung der sachgerechten Umsetzung der Sicherheitsmaßnahmen. > IT-Compliance bedeutet Risikovermeidung 4

5 02 > IT-Compliance als unternehmerische Pflicht Corporate Compliance im System der Managementpflichten > Kein reiner Befehlsempfänger der Gesellschafter > Informiert sich und Gesellschafter über die rechtlichen Rahmenbedingungen > Informiert Gesellschafter hinsichtlich der (wirtschaftlichen/ rechtlichen) Auswirkungen von Weisungen Pflichten des Geschäftsführers / Vorstands > Achtet auf Einhaltung rechtlicher Bestimmungen und interner Regeln (Organisation/ Corporate Compliance) > Verfolgt Geschäftschancen der Gesellschaft > Achtet auf Profitabilität und Nachhaltigkeit 5

6 02 > IT-Compliance als unternehmerische Pflicht Gesellschaftsrecht 91 Abs. 2 AktG Analog für Geschäftsführer der GmbH Handelsrecht 239 Abs. 4 S. 2, 261 HGB > Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden > IT Compliance als Bestandteil des Risikomanagements > Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten Bürgerliches Recht Datenschutz Verpflichtung zur Sicherung der IT-Systeme > Deliktsrecht: Organisationsverschulden bei unzureichender IT-Sicherheit > Vertragsrecht: Pflicht zur IT-Compliance kann sich vertraglich ergeben > 9 BDSG Acht Gebote der Datensicherheit > 109 TKG, 13 Abs. 4 TMG > 78a SGB X > Insb. Umgang mit Kunden- und Angestelltendaten 6

7 03 > Mögliche Rechtsfolgen bei Verstößen / Haftung Ordnungswidrigkeit 130 Abs. 1 i.v.m. 30 OWiG Schadensersatzansprüche Sonstige mögliche Folgen > Haftung der Geschäftsleitung für vorsätzliches oder fahrlässiges Unterlassen der Aufsichtsmaßnahmen, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten zu verhindern, die die Geschäftsleitung treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. > Haftung des Unternehmens für Ordnungswidrigkeit, 30 OWiG > Geldstrafe bis 10 Million > Gegenüber Unternehmen (z. B. Siemens Finanzvorstand) > Gegenüber Geschäftsleitung > Gegenüber zuständigen Mitarbeitern (z.b. Leiter IT, IT- Sicherheitsbeauftragter) > Imageverlust; Vertrauensverlust bei Kunden > Verweigerung des Bestätigungsvermerks durch Wirtschaftsprüfer > Ratingprobleme (Basel II) > Verlust des Versicherungsschutzes > Abmahnung wegen Wettbewerbsverstoß > Informationspflicht bei besonderen Daten nach 42a BDSG > Bußgeld durch die Aufsichtsbehörden bei Datenlecks 7

8 04 > Sonderproblem: Mobile Device > Erhöhtes Sicherheitsrisiko durch leichteren Zugriff unbefugter Dritter > Dadurch erhöhte Anforderungen an zu ergreifende Sicherheitsmaßnahmen Verschlüsselung, Zugangssperren (Passwörter usw.) Remote-Zugriff, Remote-Wipe Virtualisierungstechnologie / Private Cloud zur Minimierung der auf den Endgeräten gespeicherten Daten Trusted Computing Modules usw. > Outsourcing von Push- oder Cloud-Diensten Zumeist Auftragsdatenverarbeitung gemäß 11 BDSG 11 Abs. 2 Satz 4 BDSG: Auftraggeber muss sich über Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragnehmer vergewissern Angemessenes Schutzniveau bei Drittlandsübermittlungen zu beachten 8

9 05 > Sonderproblem: Social Media > Gefahr: Persönlichkeitsverletzung / Betriebs- u Geschäftsgeheimnisse > Beispiel Twitter Vorabinformation über offiziellen Twitter-Account > Beispiel Xing/Linkedin Kontaktaufnahme durch HR (Stichworte: Abwerbeverbot) Wem gehören die Kontaktaten bei Arbeitgeberwechsel? Beispiel Facebook/Youtube Bilder/Videos mit internen Betriebsabläufen oder sonstigen, geheimen oder geschützten Gegenständen/Prozessen oder ehrverletzenden Abbildungen von Betriebszugehörigen oder Abbildungen gegen den Willen/ohne Wissen der Betroffenen 9

10 06 > Sonderproblem: Bring Your Own Device (ByoD) > Einbindung privater Endgeräte der Mitarbeiter in IT-Struktur des Unternehmens > Büchse der Pandora? Mögliche Problemfelder: Gebotene Trennung zwischen betrieblichen und privaten Daten Einhaltung von Sicherheitsstandards durch verschiedene Hard- und Software Beschränkung der Remote-Zugriffsmöglichkeiten Nutzungsregelungen nur eingeschränkt möglich ( 903 BGB, Eigentum) Unternehmen als Telekommunikationsanbieter anzusehen? Teilweise bisher rechtlich ungeklärt Haftung des Arbeitgebers für illegales Verhalten der Mitarbeiter? Eigentumsverhältnisse an Daten? Strafrechtlich relevantes Verhalten der Mitarbeiter untereinander? > Konsequenz: Gesteigerte Anforderungen an Betriebsrichtlinien 10

11 07 > Dauerproblem: Dienstliche Nutzung vs. Privatnutzung > Problem: Private Nutzung telekommunikationsfähiger mobiler Endgeräte sowie des betrieblichen -Account: Gestattet der Arbeitgeber die private Nutzung, ist das Unternehmen gem. 3 Nr. 6, 10 TKG als TK-Diensteanbieter anzusehen, der geschäftsmäßig TK- Dienste für Dritte erbringt und damit dem Fernmeldegeheimnis gem. 88 Abs. 2 TKG unterliegt > Achtung: Duldung trotz Verbot wirkt wie Gestattung. > Konsequenz der Gestattung: Der Zugriff auf Kommunikationsinhalte und deren nähere Umstände ist dann nur insoweit zulässig, als dies für die technische Bereitstellung des jeweiligen Dienstes erforderlich ist, d. h. in der Regel kein Zugriff zulässig. > Somit: Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses gemäß 206 StGB 11

12 08 > Einrichtung einer Compliance Organisation > 2 Mose 18, in der Fassung der Einheitsübersetzung 12

13 08 > Einrichtung einer Compliance Organisation (Beispiel) Aufsichts- oder Beirat Geschäftsleitung Gesellschafter Compliance Officer Ombudsman Compliance Committee optional Compliance Delegate Compliance Delegate Compliance Delegate Mitarbeiter Mitarbeiter Mitarbeiter 13

14 09 > Einrichtung eines IT-Risikomanagementsystems Bestandsaufnahme > Wo wird IT eingesetzt? > Welche IT wird eingesetzt? > Risikoanalyse > Bestehender Versicherungsschutz Risikomanagementsystem > Festlegung der zu ergreifenden Sicherheitsmaßnahmen > Berücksichtigung der wichtigen operativen Risiken > Technische Maßnahmen > Organisatorische Maßnahmen > Berücksichtigung IT-immanenter rechtlicher Risiken Lizenzmanagement Datenschutz Outsourcing > Sorgfalts- und Leistungsnachweis, somit Reduzierung des Haftungsrisikos durch ISO Zertifizierung möglich 14

15 10 > Stellung des Compliance Officers > Aufgabengebiet Verhinderung von Rechtsverstößen, insbesondere auch von Straftaten, die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können. > CCO als Stabsstelle > Compliance zur Ausfüllung der Garantenstellung der Unternehmensleitung > Garantenstellung des Compliance Officer? BGH v , 5 StR 394/08, Rz

16 11 > Implementierung von Betriebsrichtlinien Betriebsrichtlinien zur Festlegung der Nutzungserlaubnis: > Kategorisierung von Mitarbeitern Individualisierung der erforderlichen Zugriffsrechte > Kategorisierung von Daten zur Festlegung kritischer Datensätze Beschränkung auf Virtualisierung / Private Cloud bei kritischen Daten Richtlinien zur physischen Speicherung von sonstigen Daten auf Endgeräten > Gestattung bzw. Verbot der Privatnutzung Fernmeldegeheimnis / ggf. Standortdatenerhebung zu beachten Strikte Trennung zwischen privaten und betrieblichen Datensätzen Social Media 16

17 11 > Implementierung von Betriebsrichtlinien > Remote-Zugriffsrechte bei mobilen Endgeräten rechtlich absichern Trennung bei gestatteter Privatnutzung beachten Remote-Wipe bei Verlust > Regelung über Haftungsfragen Bei Datenverlust / Offenlegung von Daten ggü. Dritten Haftungsbeschränkung für Mitarbeiter (innerbetrieblicher Schadensausgleich) > Regelungen über Umgang mit Hardware Festlegung von Sorgfaltspflichten (Stereotypes Beispiel: Handy wird in Bar liegen gelassen) 17

18 Vielen Dank für Ihre Aufmerksamkeit. Dr. Axel Frhr. v. d. Bussche, LL.M. (L.S.E.) Rechtsanwalt, Hamburg Fachanwalt für Informationstechnologierecht Kontakt T: +49 (0) E: Taylor Wessing Hanseatic Trade Center Am Sandtorkai Hamburg 18

19 Veröffentlichungen zum Datenschutzrecht von Dr. Axel Frhr. von dem Bussche, LL.M. (L.S.E.) Copyright notice Icons used in this presentation were made by Freepik from and are licensed under CC BY

20 Unsere Standorte Beijing * Unit 2307&08, West Tower, Twin Towers B-12 Jianguomenwai Avenue Chaoyang District Beijing T. +86 (10) Berlin Ebertstraße Berlin T. +49 (0) Bratislava TaylorWessing e n w c Panenská Bratislava T. +421(0) Brünn * TaylorWessing e n w c Dominikánské námĕstí 4/ Brünn T Brüssel Trône House 4 Rue du Trône 1000 Brüssel T. +32 (0) Budapest TaylorWessing e n w c Dorottya u. 1. III. em Budapest T. +36 (0) Cambridge 24 Hills Road Cambridge, CB2 1JP T. +44 (0) Dubai 26th Floor, Rolex Tower, Sheikh Zayed Road, P.O. Box Dubai, United Arab Emirates T (0) Düsseldorf Benrather Straße Düsseldorf T. +49 (0) Frankfurt Senckenberganlage Frankfurt a.m. T. +49 (0) Hamburg Hanseatic Trade Center Am Sandtorkai Hamburg T. +49 (0) Jakarta RHTLaw Taylor Wessing LLP Wisma 46 Kota BNI, 32nd & 41st Floor. Jl. Jend. Sudirman Kav. 1. Jakarta T. +62 (0) Kiew TaylorWessing e n w c Illinsky Business Center vul. Illinska Kiew T. +38 (0) Klagenfurt * TaylorWessing e n w c Alter Platz Klagenfurt T. +43 (0) London 5 New Street Square London EC4A 3TW T. +44 (0) München Isartorplatz München T. +49 (0) Paris 42 avenue Montaigne Paris T. +33 (0) Prag TaylorWessing e n w c U Prasné brány 1 CZ Prag 1 T Shanghai * Unit 1509, United Plaza No. 1468, Nanjing West Road Shanghai T. +86 (0) Singapur RHTLaw Taylor Wessing LLP Six Battery Road #09-01, #10-01 Singapur T Wien TaylorWessing e n w c Schwarzenbergplatz Wien T. +43 (0) Warschau TaylorWessing e n w c ul. Mokotowska Warschau T. +48 (0) * Repräsentanzen 20