IT - Compliance Alter Wein in neuen Schläuchen?

Transkript

1 IT Compliance Alter Wein in neuen Schläuchen? Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte DGRI Fachausschuss Vertragsrecht Frankfurt 8. Mai 2009

2 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 2

3 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 3

4 1. Begriff und rechtliche Grundlagen der IT Compliance (1) IT IT Compliance Compliance Befolgung Befolgung Einhaltung Einhaltung von von Gesetzen, Gesetzen, Richtlinien Richtlinien und und anderen anderen Verhaltensmaßregeln Verhaltensmaßregeln IT IT Compliance ITCompliance ITCompliance bedeutet bedeutet generell generell die die Einhaltung Einhaltung der der rechtlichen rechtlichen Anforderungen, Anforderungen, die die sich sich auf auf den den Einsatz Einsatz von von Informationstechnologie Informationstechnologie beziehen. beziehen. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 4

5 1. Begriff und rechtliche Grundlagen der IT Compliance (2) IT IT Compliance ist ist eine eine Querschnittsmaterie Gesetzliche Gesetzliche Grundlagen Grundlagen Z.B: Z.B: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) KonTraG KonTraG TMG TMG TKG TKG UWG UWG StGB StGB Abgabenordnung Abgabenordnung (AO) (AO) HGB HGB Verwaltungsvorschriften Verwaltungsvorschriften Z.B: Z.B: Ministerialerlasse, Ministerialerlasse, Verfügungen, Verfügungen, Richtlinien Richtlinien oder oder Anordnungen. Anordnungen. Z.B: Z.B: GoB, GoB, GoBS GoBS GDPdU GDPdU Rundschreiben/Verlautbarungen Rundschreiben/Verlautbarungen der der BaFin BaFin MaRisk, MaRisk, RS RS 05/ /2007 MaRisk MaRisk VA, VA, RS RS 03/ /2009 Richtlinien, Richtlinien, Standards Standards und und Referenzmodelle Referenzmodelle Z.B: Z.B: DIN, DIN, ISO ISO Normen. Normen. Z.B. Z.B. ISO ISO 2700x 2700x Reihe Reihe CobiT, CobiT, ITIL ITIL IDW IDW Prüfungsstandards Prüfungsstandards / / Stellungnahmen/Checklisten Stellungnahmen/Checklisten BSI BSI Standards Standards und und Grundschutzkataloge Grundschutzkataloge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 5

6 1. Begriff und rechtliche Grundlagen der IT Compliance (3) IT IT Compliance Anforderungen IT IT Compliance Compliance Anforderungen Anforderungen im im engeren engeren Sinn Sinn Regelkonforme Regelkonforme ITSysteme ITSysteme ITSysteme ITSysteme müssen müssen geltenden geltenden Vorgaben Vorgaben genügen genügen IT IT Compliance Compliance Anforderungen Anforderungen im im weiteren weiteren Sinn Sinn Compliance Compliance mit mit Hilfe Hilfe von von ITSystemen ITSystemen Abbildung Abbildung von von Unternehmensfunktionen Unternehmensfunktionen mit mit ITSystemen ITSystemen z.b: z.b: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) TMG, TMG, TKG TKG StGB StGB GDPdU, GDPdU, GoBS GoBS Nationale Nationale und und internationale internationale Qualitätsstandards Qualitätsstandards (CobiT, (CobiT, ITIL, ITIL, ISO ISO etc.) etc.) BSI BSI Grundschutzkataloge Grundschutzkataloge Basel Basel II II Solvency Solvency II II SarbanesOxley SarbanesOxley Act Act Abs.3 Abs.3 Nr. Nr. 6 AktG 6 AktG 239, 239, HGB HGB AO AO z.b: z.b: Übergreifende Anforderung: 91 Abs. 2 AktG DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 6

7 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 7

8 2. Warum IT Compliance? (1) / Haftungsrisiken Haftungsrisiken der Unternehmensleitung bei mangelhafter IT Compliance Die Verpflichtung rechtskonform zu handeln trifft zunächst das Unternehmen als solches Aber: Darüber hinaus gem. 93 Abs. 1 AktG und 43 Abs. 1 GmbHG auch die Unternehmensleitung Pflichtverletzung kann zu Schadensersatz führen, 93 Abs. 2 AktG, 43 Abs. 2 GmbHG Bei 93 Abs. 2 AktG ggf. Beweislastumkehr Strengere Rechtsprechung zu 93 Abs. 2, 116 S.1 AktG seit BGH: ARAG / Garmenbeck, in NJW 1997, 1966 ff. Pflicht zur Durchsetzung von Ansprüchen der Gesellschaft gegen die Geschäftsführung, falls erfolgversprechend) Aktuell: Telekom fordert von Zumwinkel und Ricke Schadensersatz wegen Spitzelaffäre Siemens fordert Schadensersatz von ehemaligen Vorständen, darunter Ex Siemens Chef Heinrich von Pierer DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 8

9 2. Warum IT Compliance? (2) Imageschäden des Unternehmens Evtl. erhöhte Kosten bei Nichtbeachtung; Ratingrisiko bei Finanzierung (Basel II) Bei Nichtbeachtung unter Umständen Versagung des Wirtschaftsprüfertestats Nichteinhaltung der IDW Prüfungsstandards Gem. 317 Abs. 4 HGB bzgl. Frühwarnsystem bei börsennotierter AG Schätzung der Besteuerungsgrundlagen durch Finanzbehörden ( 162 AO) Evtl. strafrechtliche Folgen ITbezogene Straftatbestände im StGB: Ausspähen/Unterdrücken von Daten ( 202a StGB), besondere Geheimhaltungspflichten ( 203 StGB), Datenveränderung ( 303a StGB), Verletzung von Buchführungspflichten ( 283 b StGB) weitere Straftatbestände z.b. im BDSG ( 44), KWG ( 54 ff.), AktG ( 399 ff.), HGB ( 331 ff.); insbesondere unrichtige Darstellung, Überschuldung Vorliegen einer Ordnungswidrigkeit (z.b. 43 BDSG) Nach der geplanten BDSG Novelle Bußgeldhöhe nunmehr: Im Fall von 43 Abs. 1 BDSG max Im Fall von 43 Abs. 2 BDSG max DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 9

10 2. Warum IT Compliance? (3) Aufsichtsrechtliche Maßnahmen möglich BaFin: z.b. 6 Abs. 3 KWG: Anordnungsbefugnis; 35 KWG : Aufhebung der Erlaubnis; 36 KWG: Abberufung des Geschäftsleiters Maßnahmen der Datenschutzbehörden gem. 38 Abs. 5 BDSG (Anordnungsbefugnis) Der Ausschluss von der Vergabe öffentlicher Aufträge droht ITStandards, Zertifizierungen werden immer häufiger als Wertungskriterien und Vertragsbestandteile verwendet Dadurch faktische Bindungswirkung Gesetzliche und vertragliche Obliegenheiten Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können (z. B. 254 BGB) Insbesondere im Versicherungsvertragsrecht (VVG): z.b. Pflicht, bedeutende Umstände anzuzeigen, 19 VVG z.b. Pflicht, keine Gefahrerhöhung nach Vertragsschluss vorzunehmen oder dies zuzulassen, 23 VVG Verletzung von Obliegenheit kann zu Verlust von Versicherungsschutz führen DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 10

11 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 11

12 Abs. 2 AktG: Einrichtung eines Überwachungssystems Risikofrüherkennung ist Teil des gesamten Risikomanagementsystems Risikofrüherkennung beinhaltet: Definition/Erkennung von möglichen Risiken Analyse der Risiken (Beurteilung der Tragweite der erkannten Risiken) Rolle der IT bei Risikofrüherkennung? Maßnahmen bestimmen sich nach Rolle der IT im Unternehmen: IT lediglich zur Unterstützung (MS Office / ERP) IT zur Steuerung von Geschäfts/Produktionsprozessen (produzierende Industrie/ Banken, Finanzdienstleister) IT als Geschäftsgegenstand (ITDienstleister) IT als Mittel für Risikofrüherkennungssystem Schaffung/Fortentwicklung eines Risikobewusstseins Berichtswesen, Kommunikation (wer wird wann wie über welche Risiken informiert) Eskalationsprozesse 317 Abs. 4 HGB: Abschlussprüfer hat das Vorhandensein eines geeigneten Überwachungssystems zu prüfen (Dokumentation! Siehe LG München, Urt. v , CR 2007, 423 f.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 12

13 3.2. MaRisk und MaRisk VA (1) Mindestanforderungen an Risikomanagement (MaRisk) Rundschreiben 05/2007 v Mindestanforderungen an das Risikomanagement in deutschen Versicherungsunternehmen (MaRisk VA) Rundschreiben 03/2009 v MaRisk enthalten: flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements Präzisierung der Anforderungen an ordnungsgemäße Geschäftsorganisation für ausgelagerte Prozesse Adressaten: Kredit und Finanzdienstleistungsinstitute ( 1 Abs. 1b KWG, 53 Abs. 1 KWG) Für Versicherungsunternehmen: MaRisk VA ( 64a, 104s VAG) Aber: Anforderungen lassen sich teilweise unter dem Aspekt ordnungsgemäßer Geschäftsführung auf andere Unternehmen übertragen Übertragbarkeit gilt insbesondere für Vorgaben zur Ausstattung von ITSystemen (MaRisk AT 7.2) und Notfallvorsorge (MaRisk AT 7.3), sowie entsprechend bei MaRisk VA für betriebliche Anreizsysteme und Ressourcen (MaRisk VA Nr. 3, Nr. 4) und Notfallplanung (MaRisk VA 9.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 13

14 3.2. MaRisk und MaRisk VA (2) MaRisk AT 7.2 ( Technischorganisatorische Ausstattung ) / MaRisk VA Nr. 3, Nr. 4 ( Betriebliche Anreizsysteme und Ressourcen ): ITSysteme und zugehörige ITProzesse müssen die Integrität, die Verfügbarkeit, die Authentizität, sowie die Vertraulichkeit der Daten sicherstellen Bei der Ausgestaltung der ITSysteme und der zugehörigen ITProzesse ist grds. auf gängige Standards abzustellen (ITGrundschutzkataloge des BSI, Normenreihe ISO 2700x, etc.) Maßnahmen, die sicherstellen, dass ITSysteme vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen von den technisch zuständigen Mitarbeitern abzunehmen sind Trennung von Produktions und Testumgebung MaRisk AT 7.3 ( Notfallkonzept ) / MaRisk VA 9. ( Notfallplanung ): Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept) Maßnahmen müssen geeignet sein, das Ausmaß möglicher Schäden zu reduzieren Notfallkonzept muss Geschäftsfortführungs und Wiederanlaufpläne umfassen; abhängig von Bedeutung der IT Regelmäßige Überprüfung durch Notfalltests Bei Outsourcing aufeinander abgestimmte Notfallkonzepte (nur MaRisk AT 7.3) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 14

15 3.3. Datenschutzauditgesetz (RegE v ) Hintergrund Erfüllung der Ankündigung eines Datenschutzauditgesetzes in 9a S.2 BDSG Datenskandale mit Fällen des rechtswidrigen Handels mit personenbezogenen Daten Gesetzgeberische Intention Förderung des Datenschutzes in Unternehmen allgemein Wettbewerbsvorteil derjenigen Unternehmen, die sich einem Datenschutzaudit unterziehen Dadurch Marktorientierung zugunsten datenschutzgerechter Produkte, bzw. Dienstleistungen Wesentlicher Regelungsgehalt Einführung eines freiwilligen, gesetzlich geregelten Datenschutzaudits Verantwortliche Stellen (nichtöffentliche Stellen) können ihr Datenschutzkonzept sowie Anbieter von DV Anlagen und Programmen (informationstechnische Einrichtungen) durch zugelassene Prüfunternehmen auditieren lassen. Datenschutzauditierung erfolgt durch private Kontrollstellen Bildung eines Datenschutzauditausschusses, welcher die zu erfüllenden Richtlinien zur Verbesserung des Datenschutzes erlässt Reaktionen Ziel des Gesetzes wird weitgehend begrüßt Aber: Teilweise erhebliche Kritik; siehe bspw. Kritik des unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 15

16 3.4. Richtlinien, Standards, Referenzmodelle (1) Gesetzliche IT Compliance Anforderungen sind teils vage und legen das WAS und WIE nicht genau fest Im ITBereich i.d.r. keine technische Gesetzgebung, anders z.b. im Bauordnungsrecht Richtlinien, Standards, Referenzmodelle sind teilweise wesentlich konkreter haben keinen unmittelbaren Rechtscharakter und sind nicht unmittelbar durchsetzbar können bei der Ausgestaltung des WAS und des WIE helfen und als Orientierungshilfe dienen Ausgewählte Richtlinien, Standards, Referenzmodelle: 6. IDW Prüfungsstandards Checklisten und Stellungnahmen 1. ISO IT Grundschutz & 3. BSI Standards 5. CobiT Ausgewählte Standards, Richtlinien und Referenzmodelle 4. ITIL DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 16

17 3.4. Richtlinien, Standards, Referenzmodelle (2) 1. ISO (Information technology Security techniques Information security management systems Requirements ) ISO wurde entwickelt, um eine Anleitung für den Aufbau und den Betrieb eines Informationssicherheits Managementsystems (ISMS) bereitzustellen Die Norm wurde aus dem britischen Standard BS 77992:2002 entwickelt und als internationale Norm erstmals am veröffentlicht Die Einhaltung von ISO kann durch entsprechend akkreditierte Unternehmen geprüft und zertifiziert werden 2. IT Grundschutzkataloge des BSI Sammlung von Dokumenten des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), die der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in ITUmgebungen dienen ITGrundschutz geht von einer üblichen generalisierten Gefährdungslage aus, die in 80 % der Fälle zutreffend ist und empfiehlt hierzu adäquate Gegenmaßnahmen BSI ITGrundschutz umfasst StandardSicherheitsmaßnahmen für typische ITSysteme mit normalem Schutzbedarf DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 17

18 3.4. Richtlinien, Standards, Referenzmodelle (3) Aufbau der IT Grundschutzkataloge Aufbau der IT Grundschutzkataloge Bausteine Gefährdungskataloge Maßnahmenkataloge Übergeordnete Aspekte der der IT IT Sicherheit Höhere Gewalt Höhere Gewalt Infrastruktur Sicherheit der Infrastruktur Sicherheit der Infrastruktur Organisatorische Mängel Organisatorische Mängel Organisation Sicherheit der IT Systeme Sicherheit der IT Systeme Menschliche Fehlhandlungen Personal Sicherheit im Netz Sicherheit im Netz Technisches Versagen Technisches Versagen Hard und Software Hard und Software Sicherheit in Anwendungen Sicherheit in Anwendungen Vorsätzliche Handlungen Vorsätzliche Handlungen Kommunikation Notfallvorsorge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 18

19 3.4. Richtlinien, Standards, Referenzmodelle (4) 3. BSI Standards Enthalten Empfehlungen des Bundesamts für Sicherheit in der Informationstechnologie (BSI) zu Methoden, Prozessen und Verfahren, sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit BSI Standards BSI Standards BSI Standard Managementsysteme für für Informationssicherheit (ISMS) Definiert allg. allg. Anforderungen an an ein ein ISMS Kompatibel zu zu ISO ISO Berücksichtig ferner die die Empfehlungen der der anderen ISO ISO Standards BSI Standard IT IT Grundschutz Vorgehensweise beschreibt wie wie ein ein ISMS in in der der Praxis aufgebaut und und betrieben werden kann kann be Sicherheitsmanagement und und der der Aufbau von von Organisationsstrukturen für für IT IT Sicherheitwerden erörtert heit BSI Standard Risikoanalyse auf auf der der Basis von von IT IT Grundschutz Richtet sich sich an an Anwender die die mit mit dem dem IT IT Grundschutz Ansatsatzarbeiten Standard zur zurrisikoanalyse auf auf der der Basis von von ITGrundschutz An BSI Standard Notfallmanagement Zeigt Zeigt einen systematischen Weg Weg auf, auf, wie wie ein ein Notfallmanagement in in einer einer Behörde oder oder einem Unternehmen aufzubauen ist, ist, um um Be die die Kontinuität des des Geschäftsbetriebs sicherzustellen Ge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 19

20 3.4. Richtlinien, Standards, Referenzmodelle (5) 4. ITIL (IT Infrastructure Library) Sammlung von Best Practice Ansätzen im Hinblick auf ITProzesse Seit Mai 2007 überarbeiteten Version (ITIL V3), die sich am sog. Lebenszyklus von Services orientiert (Strategie/Design/Überführung/Operations/Verbesserung, Stilllegung) Verbreitung: Laut einer von der Materna GmbH in Auftrag gegebenen Studie griffen bereits im Jahr % aller befragten Unternehmen in Deutschland Ansätze von ITIL auf Nach einer weiteren Studie aus dem Jahr 2008, welche von Dimension Data in Auftrag gegeben wurde, setzen 87 % der Unternehmen mit über Mitarbeitern ITIL bereits ein, während es bei Unternehmen mit weniger als 100 Mitarbeitern laut dieser Studie kaum Beachtung findet Bedeutung bei ITVerträgen: wachsende Bedeutung bei Erstellung von Leistungsbeschreibungen (z. B. Change Management, Service Desk, Incident Management, Problem Management); Aber: häufig uneinheitliche Verwendung von Definitionen im Vertragswerk, mangelnde Abstimmung zwischen technisch getriebenen Begriffen von ITIL und rechtlich getriebenen Begriffen des übrigen Vertragswerks DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 20

21 3.4. Richtlinien, Standards, Referenzmodelle (6) Aufbau von ITIL V3 ITIL V3 V3 Publikationen Service Strategy Service Strategy Service Design Service Design Service Transition Service Transition Service Operation Service Operation Continual Service Improvement (CSI) Zugehörige Prozesse: Strategy Generation Financial Management Service Portfolio Management Demand Management Zugehörige Prozesse: Service Level Managemenment Service Catalogue Management Information Security Management Supplier Management IT IT Service Continuity Management Availability Managemenment Capacity Management Zugehörige Prozesse: Knowledge Managemenment Change Management Service Asset and and Configuration Management Transition Planning and and Con Support Release and and DeploymentManagement Service Validation and and ment Testing Evaluation Funktionen: Service Desk Technical Management IT IT Operations Management Application Managemenment Incident Management Request Fullfillment Event Management Access Management Problem Management The The7Step ImprovementProcess Service Reporting Measurement Business Questions for for ment CSI CSI Return on on Investment for for CSI CSI DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 21

22 3.4. Richtlinien, Standards, Referenzmodelle (7) 5. CobiT (Control Objectives for Information and Related Technologies) Framework zur ITGovernance; gliedert sich in Prozesse und Control Objectives Ursprünglich Prüfungstools für ITAuditoren, heute Steuerungstool für Unternehmensführung Weniger Definition des WIE, als vielmehr Definition des WAS CobiT definiert für jeden ITProzess sowohl die Geschäftsziele, die durch diesen Prozess unterstützt werden sollen, als auch die Kontroll und Steuerungsziele für diesen Prozess Bindeglied zw. allgemeinen ProzessFrameworks und spez. ITModellen (ITIL, ISO 2700xReihe) 6. IDW Prüfungsstandards, Stellungnahmen und Checklisten IDW PS 330 (Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PH (Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PS 340 (Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB) IDW PS 850 (Projektbegleitende Prüfung bei Einsatz von IT) IDW PS 880 (Erteilung und Verwendung von Softwarebescheinigungen) IDW RS FAIT 1 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von IT) IDW RS FAIT 2 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce) IDW RS FAIT 3 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz elektronischer Archivierungsverfahren) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 22

23 3.4. Richtlinien, Standards, Referenzmodelle (8) Die praktische Bedeutung von IT Compliance Standards für Juristen (1): IT Verträge: Standards sind meist gut strukturiert und übersichtlich Standards liefern wichtige Hinweise für die praktische Umsetzung von IT Compliance Anforderungen Damit können sie zu einer höheren Qualität und Präzision beitragen Aber:» Kein Ersatz für eine detaillierte und präzise Leistungsbeschreibung im Vertrag, da Standards meist keine konkreten vertraglichen Regelungen treffen (bsp. ITIL), sondern Prozessabläufe und Mindeststandards definieren» Sind in der Regel generalisierend; Analyse des Einzelfalls bleibt weiterhin ratsam» Zertifizierungen sind zudem i.d.r. stichtagsbezogen => Änderungen werden ggf. nicht ausreichend berücksichtigt Bestimmung des Sorgfaltsmaßstabes: Standards können den Sorgfaltsmaßstab bestimmen, BGH Urteil v , NJW RR 2005, 386 ff; BGHZ 103, 341; BGHZ 139, 17 DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 23

24 3.4. Richtlinien, Standards, Referenzmodelle (9) Die praktische Bedeutung von IT Compliance Standards für Juristen (2): Haftung Die Abweichung von Standards führt zu einer Umkehr der Beweislast. Für DINNormen = BGH Urteil v , BB 1991, 1149; OLG München Urteil v , NJW RR 1992, 1523 ff. Objektiver Fehlerbegriff Die Abweichung von Standards wie bsp. DIN Normen, kann einen Sachmangel darstellen, muss dies aber nicht. Es kommt vorwiegend auf die konkreten Vereinbarungen zwischen den Parteien an, OLG München Urteil v , NJWRR 1992, 1523 Ausfüllen von lückenhaften Leistungsbeschreibungen Mangels Pflichtenheft oder anderer konkreter Absprachen ist ein Ergebnis geschuldet, das dem Stand der Technik bei einem mittleren Ausführungsstandard entspricht, BGH Urteil v , CR 1992, 543 f. ( Zugangskontrollsystem, das vergessene Pflichtenheft ) Ausschreibungen Bei Nichterfüllung bzw. Nichtbeachtung droht der Ausschluss von öffentlichen Ausschreibungen Zumindest für den Bieter entfalten Standards dadurch einen faktischen Bindungszwang DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 24

25 3.5. Das neue IT Grundrecht des BVerfG (1) BVerfG, Urteil vom , NJW 2008, 822 ff. Begründung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ; Herleitung aus dem allgemeinen Persönlichkeitsrecht (Art. 2 I i.v.m. Art. 1 I GG.) Neues Grundrecht ist subsidiär zu Fernmeldegeheimnis (Art. 10 GG), Unverletzlichkeit der Wohnung (Art. 13 GG) und Recht auf informationelle Selbstbestimmung (Art. 2 I i.v.m. Art. 1 I GG) Anwendungsbereich lückenschließende Gewährleistung, um den neuartigen Gefährdungen durch tech. Fortschritt/ Wandel der Lebensverhältnisse zu begegnen. wenn Zugriff auf ITSysteme es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild zu erhalten. (Gefahr der Profilbildung) Weites Verständnis von informationstechnischen Systemen, Zugriff (muss wohl nicht heimlich sein) Einschränkung durch Gesetz in engen Grenzen und nur unter Richtervorbehalt möglich. Erforderlich sind a) tatsächliche Anhaltspunkte einer konkreten Gefahr für b) überragend wichtiges Rechtsgut. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 25

26 3.5. Das neue IT Grundrecht des BVerfG (2) Auswirkungen auf einzelne IT Compliance Anforderungen 1. Beispiel: Bundesdatenschutzgesetz BDSG 9 9 BDSG BDSG Regelt Regelt die die Anforderungen Anforderungen an an die die erforderlichen erforderlichen technischorganisatorischetorischenmaßnahmen zur zur Datensicherheit technischorganisa Datensicherheit 9 9 S. S. 2 2 BDSG BDSG = = Abwägung Abwägung Maßnahmen Maßnahmen sind sind nur nur erforderlich, erforderlich, wenn wenn ihr ihr Aufwand Aufwand in in einem einem angemessenen angemessenen Verhältnis Verhältnis zum zum angestrebten angestrebten Schutzzweck Schutzzweck steht. steht Durch Durch das das IT IT Grundrecht Grundrecht ist ist der der Datensicherheit Datensicherheit ein ein größerer größerer Stellenwert Stellenwert beizumessen. beizumessen Das Das kann kann dazu dazu führen, führen, dass dass im im Rahmen Rahmen einer einer Abwägung Abwägung i.s.d. i.s.d. 9 S. 9 S. 2 BDSG 2 BDSG zukünftig zukünftig Maßnahmen Maßnahmen verhältnismäßig verhältnismäßig sind, sind, die die es es früher früher nicht nicht waren. waren. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 26

27 3.5. Das neue IT Grundrecht des BVerfG (3) 2. Beispiel: Private Nutzung am Arbeitsplatz VG Frankfurt, Urteil vom K 628/08 F.) Hintergrund» Möglichkeit des Zugriffs des Arbeitgebers auf s der Mitarbeiter bei zulässiger privater Nutzung des Firmenaccounts wegen 88 II TKG (Verletzung Fernmeldegeheimnis) strittig» VG Frankfurt hatte Fall zu entscheiden, in dem BaFin von einem Unternehmen E Mails herausverlangte, weil Verdacht auf Inssiderhandel vorlag» Besonderheit: Teilweise s betroffen, die Mitarbeiter selber archivieren/speichern konnten Entscheidung» BVerfG, Urt. v BvR 2099/04: Schutz des Fernmeldegeheimnisses endet in dem Moment, in dem die Nachricht bei dem Empfänger angekommen und der Übertragungsvorgang beendet ist» Spezifische Gefahren der räumlich distanzierten Kommunikation bestehen im Bereich des Empfängers, der eigene Schutzvorkehrungen treffen kann, nicht mehr» VG Frankfurt: basierend auf Urteil des BVerfG v Fernmeldegeheimnis nicht tangiert DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 27

28 3.5. Das neue IT Grundrecht des BVerfG (4) 2. Beispiel: Private Nutzung am Arbeitsplatz (2) Bewertung:» Mögliche Verletzung des neuen IT Grundrechts wurde nicht geprüft (!!!)» Unzulässigkeit des Zugriff auf private s auch bei Nichteingreifen des Fernmeldegeheimnisses wegen ITGrundrecht zumindest denkbar; Abwägungsfrage 3. Beispiel: Auswirkungen auf 91 Abs. 2 AktG? Drittwirkung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wirkt möglicherweise auch über 91 Abs. 2 AktG Nicht nur Vorkehrungen gegen wirtschaftliche Schäden und Risiken, sondern auch Vorkehrungen zur Gewährleistung der Vertraulichkeit und Integrität der IT Systeme (???) Aber: ursprünglicher Schutzzweck von 91 Abs. 2 AktG, ist der Schutz vor den Fortbestand der Gesellschaft gefährdenden Entwicklungen, also der Schutz vor bestandsgefährdenden und damit vorwiegend wirtschaftlichen Risiken DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 28

29 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 29

30 4. Fazit Zunehmende Regelungs und Regulierungsdichte, Komplexität: ITCompliance ist aufgrund der zunehmenden Regelungsdichte, sowie dem stetigen Wandel der Anforderungen komplexes Thema Insbesondere Auswirkungen des ITGrundrechts auf ITCompliance Anforderungen wirft spannende Fragen auf Komplexität erfordert eine kontinuierliche, enge Zusammenarbeit aller Einheiten des Unternehmens (und ggf. Externer), um eine möglichst umfassende Abdeckung des (rechtlich) Erforderlichen durch das (technisch) Machbare und (wirtschaftlich) Vernünftige zu gewährleisten Verstärkte Inanspruchnahme der Unternehmensleitung: Unternehmensleitung muss sich aufgrund der drohenden Nachteile mit Fragen der IT Compliance befassen (Chefsache) Zunehmende Bedeutung von (IT)Standards, Richtlinien, Referenzmodellen (IT)Standards, Richtlinien, Referenzmodelle erlauben eine systematische Vorgehensweise Aber: Hilfsmittel, kein Allheilmittel! DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 30

31 Literaturhinweise Thümmel, Persönliche Haftung von Managern und Aufsichtsräten, 3. Aufl Rodewald/Unger, Corporate Compliance Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, BB 2006, 113 ff. Hauschka, Compliance: Geeignete Reaktion auf gestiegene Haftungsrisiken für Manager?, NJW 2004, 257 ff. Hauschka, Corporate Compliance Unternehmensorganisatorische Ansätze zur Erfüllung der Pflichten von Vorständen und Geschäftsführern, AG 2004, 461 ff. DSRI, ITCompliance als RisikomanagementInstrument, OlWIR Verlag Lensdorf/Steger, IT Compliance im Unternehmen, ITRB 2006, 206 ff. Lensdorf, ITCompliance Maßnahmen zur Reduzierung von Haftungsrisiken von IT Verantwortlichen, CR 2007, 413 ff. Nolte/Becker, ITCompliance, BB Special 5 (zu BB 2008, Heft 25), S. 23 BITKOM Kompass der ITSicherheitsstandards, Hrsg. BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v.) und DIN (Deutsches Institut der Normung e.v.), Version 3.0., 10/2007 Stögmüller, Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen, CR 2008, 435 ff. Hoppen/Frank, ITIL Die IT Infrastructure Library, CR 2008, 199 ff. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 31

32 Vielen Dank! Kontakt: Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte Taunusanlage Frankfurt am Main Tel l.lensdorf@heylaw.de