IT-Recht: Stolperfallen und Haftungsrisiken für Geschäftsführer

Transkript

1 IT-Recht: Stolperfallen und Haftungsrisiken für Geschäftsführer RA, LL.M. (Rechtsinformatik) Rechtsanwälte Brandi Dröge Piltz Heuer & Gronemeyer Bielefeld Detmold Gütersloh Paderborn Leipzig Paris

2 Inhalt 1. Einleitung 2. Grundzüge Geschäftsführerhaftung 3. Strategische Aufgaben 4. Konzeptionelle Aufgaben 5. Operative Aufgaben 6. Zusammenfassung Fragen? Jederzeit! BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 2

3 1. Einleitung IT-Sicherheit ist Chefsache Wachsende Abhängigkeit von IT-Infrastruktur, daher hohes Schadensrisiko Pflicht der Geschäftsführer zu Vorsorgemaßnahmen Pflicht zur Risikovorsorge explizit in 91 Abs. 2 AktG geregelt (Änderung durch KonTraG) Ähnliche Pflichten für Geschäftsführer einer GmbH BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 3

4 2. Grundzüge Geschäftsführerhaftung (1) 43 Abs. 1 GmbHG: Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Allgemeiner Sorgfaltsmaßstab als Kriterium 43 Abs. 2 GmbHG: Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden Persönliche Haftung der Geschäftsführer! BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 4

5 2. Grundzüge Geschäftsführerhaftung (2) Keine Haftungsbeschränkung wie bei Arbeitnehmern Volle Haftung gegenüber der Gesellschaft Absicherung über D&O-Police möglich Abschluss in der Regel durch die Gesellschaft Ausschluss bei Vorsatz und Wissentlichkeit Keine Verschuldenszurechnung, nur Haftung für eigenes Fehlverhalten Haftung bei zu weitgehender Delegation und/oder unzureichender Kontrolle BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 5

6 2. Grundzüge Geschäftsführerhaftung (3) Mögliche Schäden bei Pflichtverletzungen materielle Schäden» Mehrkosten für das Unternehmen» Entgangener Gewinn» Schadensersatzzahlungen an Dritte» Bußgelder immaterielle Schäden» Imageverlust sonstige negative Auswirkungen» Herabstufung der Bonität Mitverantwortlichkeit des Aufsichtsrates BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 6

7 3. Strategische Aufgaben Strategische Entscheidungen fallen in die Zuständigkeit des Geschäftsführers Der Geschäftsführer muss grundlegende Entscheidungen eigenverantwortlich treffen Strategieentscheidungen haben erhebliche Auswirkungen Pflicht zum Risikomanagement: vorherige Abwägung von Chancen und Risiken generell erforderlich BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 7

8 3.1 Bedarfs- und rechtskonforme IT-Nutzung Grundlegende Entscheidungen über IT-Infrastruktur sorgfältig treffen Hardware Client / Server vs. Terminalserver Software Betriebssystem ERP-Software, sonstige wesentliche Software E-Commerce Homepage Online-Shop BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 8

9 3.2 Bestellung von Datenschutzbeauftragten Gesetzliche Grundlage: 4 f BDSG Notwendigkeit Mindestens 9 Personen, die mit automatisierter Datenverarbeitung befasst sind Mindestens 20 Personen, die mit nicht automatisierter Datenverarbeitung befasst sind Anforderungen Fachkunde und Zuverlässigkeit Unabhängigkeit Sanktion bei Missachtung: Bußgeld bis EUR ( 43 BDSG) BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 9

10 4. Konzeptionelle Aufgaben Konzeptionelle Entscheidungen setzen strategische Vorgaben um Geschäftsführer ist zumeist nicht unmittelbar zuständig Verantwortlichkeit liegt beim IT-Leiter und seinen Mitarbeitern Allerdings ist eine Überwachung und Kontrolle durch den Geschäftsführer erforderlich BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 10

11 4.1 Einführung eines Sicherheitskonzeptes Ziel: Vermeidung von Systemausfällen und Datenverlusten Schutz vor Katastrophen massiver Datenverlust Stillstand der Systeme Zugriffschutz Berechtigungssystem Protokollierung Datenschutzkonzept Umgang mit personenbezogenen Daten BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 11

12 4.2 Aktualisierung des Sicherheitskonzeptes Konzepte müssen beständig überprüft werden Geschäftsführer muss prüfen, ob Konzepte auf dem aktuellen Stand gehalten werden Die eigentliche Prüfung und Aktualisierung kann delegiert werden, nicht aber die Überwachung Berücksichtigung technischen Fortschritts Neues Gefahrenpotential Neue Schutzmöglichkeiten Fortschreibung zwingend erforderlich BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 12

13 4.3 Zugangsregelungen für Dritte (1) Dritte haben regelmäßig Zugang zur IT-Infrastruktur und den Daten Service-Personal für Wartungsarbeiten Kunden Vertragliche Regelung zwingend erforderlich Berücksichtigung verschiedener Aspekte Dritte sollen keine Schäden anrichten» Virenbefall» Datenverlust Dritte sollen keine Zugriff auf sensible Daten haben» Geschäftsgeheimnisse» Know-How BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 13

14 4.3 Zugangsregelungen für Dritte (2) Sektorspezifische Regelungen und Besonderheiten für bestimmte Branchen beachten Gesundheitsdatenschutz Berufsrechtliche Vorgaben für Rechtsanwälte und Steuerberater Zulässigkeit und Ausgestaltung der Beauftragung Dritter richtet sich dem Umfang des Zugangs Fernwartung Outsourcing Offshoring BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 14

15 4.4 Beschaffung und Projekte (1) Beschaffung von Hard- / Software Geschäftsführer muss sich wesentlicher Verträge vorlegen und diese prüfen lassen Prüfungs- und Rügeobliegenheit bei Lieferung» Kontrolle der Einhaltung der Spezifikationen» Untersuchung auf Mängel Bedeutung der Abnahme» Bestätigung der Lieferung als im wesentlichen mangelfrei» Umkehr der Beweislast BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 15

16 4.4 Beschaffung und Projekte (2) Abwicklung von IT-Projekten Vorbereitung» Problem: ungenaue Anforderungen Durchführung» Problem: mangelnde Überwachung Kontrolle anhand von Meilensteinen» Problem: keine ausreichende Zahl an Meilensteinen vorgesehen» Problem: keine ausreichenden Sanktionen vereinbart Beendigung von Projekten» Problem: keine Reißleinen vorgesehen» Problem: Sollbruchstellen sind nicht eingeplant BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 16

17 4.5 Vertraulichkeit und Geheimhaltung Schutz eigener und fremder Daten Absicherung von Know-How Wahrung der Vertraulichkeit von Kundendaten Folgen bei Datenlecks negative Publicity, vgl. StudiVZ oder SWIFT Verlust von Kunden Maßnahmen der Aufsichtsbehörde» Bußgelder» Abberufung des Datenschutzbeauftragten BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 17

18 5. Operative Aufgaben Operative Aufgaben betreffen das tägliche Geschäft des Unternehmens Verantwortung trifft die einzelnen Mitarbeiter Mitarbeiter sind aber selbst regelmäßig nicht verantwortlich Folgen treffen das Unternehmen Abgestufte Überwachung möglich und nötig Mitarbeitern sind von ihren jeweiligen Vorgesetzten, zum Beispiel dem IT-Leiter, zu kontrollieren Die Ausübung der Kontrolle durch den Vorgesetzten ist vom Geschäftsführer zu überwachen BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 18

19 5.1 Abbildung wirtschaftlicher Verhältnisse Zentrales Thema durch Bilanzskandale Einsatz von Buchhaltungssoftware Allgemein: Grundsätze ordnungsgemäßer Buchführung (GoB) Zusätzlich: Grundsätze ordnungsgemäßer DVgestützter Buchführungssysteme (GoBS) Gesetzliche Grundlage: 239 Abs. 4 HGB Risiken fehlende Anerkennung der Buchführung Schätzung durch Finanzbehörden Bußgelder gegen Geschäftsführer BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 19

20 5.2 Datenschutzkonformität Vernachlässigung des Datenschutzes Datenschutzkonzept alleine reicht nicht aus Wichtig ist die Umsetzung in der täglichen Praxis Überprüfung des Konzeptes Praxistauglichkeit Akzeptanz der Mitarbeiter Risiken Ignorierung von technischen Schutzmaßnahmen Gefahr auch durch social engineering BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 20

21 5.3 Virenscanner und Spamfilter Installation von Software zur Gefahrenabwehr gehört zu Sorgfaltspflicht Firewall Virenscanner Spam-Filter Abwägung von Vor- und Nachteilen Erhebliche Gefahren durch Viren Aber Risiko der zu strengen Filterung» Anfragen von Kunden werden evtl. geblockt Rechtliche Probleme im Detail Problem: Filterung der s von Mitarbeitern Information von Empfänger u. Absender ratsam BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 21

22 5.4 Nutzung von und Internet (1) Unterschiedliche Konzepte denkbar Verbot privater Nutzung Tolerierung privater Nutzung ( betriebliche Übung ) Einverständnis mit privater Nutzung Trennung privater / dienstlicher Nutzung ratsam Besondere Pflichten bei privater Nutzung Unternehmen wird TK-Provider» Wahrung Fernmeldegeheimnis, 88 TKG» Beachtung TDDSG, jetzt TMG Sorgfaltspflichten gegenüber den Arbeitnehmern BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 22

23 5.4 Nutzung von und Internet (2) Fall 1 (nach Schuster, DuD 2006, 424) Im Unternehmen U ist die Nutzung der PCs für private Zwecke zumindest toleriert. Der Angestellte A möchte per Online-Banking eine Überweisung tätigen. Aufgrund eines Schadprogramms (Malware) auf dem PC bei U werden jedoch PIN und TAN abgefangen und anschließend von einem unbekannten Dritten für eine Überweisung verwendet. A verlangt von U Ersatz für die erfolgte Überweisung, die nicht mehr gestoppt werden konnte. Bei Nutzung aktueller Sicherheitssoftware hätte das Schadprogramm die Zugriffsdaten nicht abfangen können. Wie wäre die Situation, wenn die Daten erst außerhalb des Netzwerkes von U durch den Dritten abgefangen werden? BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 23

24 5.5 Vermeidung der Schädigung Dritter (1) Nutzung entsprechender Sicherheitsmaßnahmen erforderlich Software dient nicht nur dem eigenen Schutz Es wird auch eine Übertragung von Schadprogrammen an Kunden und andere Empfänger verhindert Haftung bei Verbreitung von Viren Pflicht, Dritte nicht zu schädigen aber Mitverschulden des Empfängers bei nicht ausreichender Prüfung» Anforderungen abhängig vom Einzelfall BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 24

25 5.5 Vermeidung der Schädigung Dritter (2) Fall 2 (nach LG Hamburg, CR 2001, 667) Die Agentur A vertreibt Brieftextvorlagen für Optiker. Sie erstellt einen Masterdatenträger und übermittelt ihn an das Dienstleistungsunternehmen D zur Vervielfältigung. Die Datenträger sollen danach direkt an die einzelnen Optiker versandt werden. Nach Auslieferung stellt sich heraus, dass auf dem Masterdatenträger ein Makrovirus vorhanden war. D hatte in seinem Angebot angegeben, es würde eine Prüfung auf Virenfreiheit erfolgen. Bei Nutzung von Virenscannern mit den aktuellen Stand wäre der Virus entdeckt worden. A ruft sämtliche Datenträger zurück und lässt ein spezielles Removal-Tool für den Makrovirus programmieren und verteilen. Muss D für diese Kosten aufkommen? BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 25

26 5.5 Vermeidung der Schädigung Dritter (3) Fall 3 (nach LG Köln, NJW 1999, 3206) Der Verlag V beauftragt den selbständigen Lektor L mit dem Lektorat für ein Buch. Die Daten werden zunächst in Papierform, später auch elektronisch übermittelt. Bei der Datenübermittlung an L wird von V unbemerkt ein Virus übertragen. L entdeckt dies erst später und verlangt von V die Kosten für die Entfernung des Virus auf seinen PC. BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 26

27 5.6 Durchführung regelmäßiger Backups (1) Erstellung von Backups ist Selbstverständlichkeit Umfang und Häufigkeit abhängig von der Bedeutung der Daten Problem: Haftung bei Verursachung eines Datenverlustes durch Dritte Schadensersatzanspruch dem Grunde nach gegeben Aber Mitverschulden des Unternehmens, wenn keine Backups erfolgen» Reduzierung des Schadensersatzes auf übliche Wiederherstellungskosten» Vollständiger Ausschluss bei überwiegendem Mitverschulden möglich BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 27

28 5.6 Durchführung regelmäßiger Backups (2) Fall 4 (nach OLG Hamm, CR 2004, 654) Das Unternehmen U betreibt auf einem eigenen Server eine Datenbank. Wegen mehrerer Fehlermeldungen des RAID-Controllers wird das Dienstleistungsunternehmen D mit der Überprüfung beauftragt. Bei einem ersten Versuch der Fehlerbeseitigung wird erfolglos ein SCSI-Kabel getauscht. Nach weiteren Fehlermeldungen sollte bei einem zweiten Service-Termin eine Festplatte ausgetauscht werden. Bei Vorbereitung der Arbeiten durch Mitarbeiter des D stürzte der Server ab. Der Datenbestand musste aufwendig rekonstruiert werden, da keine regelmäßige Datensicherung erfolgte. U verlangt von D Ersatz der Kosten. BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 28

29 5.7 Verwendung lizenzierter Software (1) Raubkopien sind im privaten und geschäftlichen Bereich verbreitet Nutzung von Software ohne Lizenz Nutzung von Software mit nicht ausreichender Lizenz Risiken für Unternehmen und Geschäftsführer Besichtigungsanspruch bei Verdacht auf Rechtsverletzungen, 809 BGB Unterlassungsanspruch Kosten für Rechtsverfolgung und Nachlizenzierung Ordnungswidrigkeiten- / Strafverfahren BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 29

30 5.7 Verwendung lizenzierter Software (2) Prüfung der im Unternehmen eingesetzten Software zentrale Verwaltung der Lizenzen keine Installation von Software durch einzelne Mitarbeiter BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 30

31 5.8 Einhaltung der Urheberrechte (1) Urheberrecht regelt den Umfang der zulässigen Nutzung von Software Lizenzbedingungen sind grundsätzlich zu beachten Einzelplatz- / Netzwerklizenzen Unterscheidung private / gewerbliche Nutzung Sonderfall: Open-Source-Software Bedingungen der GPL sind wirksam und bindend (LG München I, CR 2004, 774) Viraler Effekt der GPL aktueller Streitpunkt: Nutzung von gebrauchter Software BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 31

32 5.8 Einhaltung der Urheberrechte (2) Fall 5 (nach LG Hamburg, CR 2006, 812): Das Unternehmen V verfügt über eine Volumenlizenz zum Einsatz einer Software auf 100 Rechnern. V wurde vom Anbieter der Software ein Datenträger für die Installation auf sämtlichen Rechnern zur Verfügung gestellt. Aufgrund von Restrukturierungen benötigt V aber nur noch 50 Lizenzen. Daher sollen die überzähligen Lizenzen unter Vermittlung von U an das Unternehmen K übertragen werden. K verfügt ebenfalls über eine Volumenlizenz für die Software und möchte seine Nutzungsrechte erweitern. Da die Software bereits bei K vorhanden ist, benötigt er den Datenträger nicht. BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 32

33 5.8 Einhaltung der Urheberrechte (3) Ergänzung zu Fall 5: Wie wäre die Situation, wenn V überhaupt keinen Datenträger von U erhalten hätte, oder für jeden Rechner einen eigenen Datenträger erhalten hätte? Die Nutzung von gebrauchter Software sollte genau geprüft werden Erschöpfungsgrundsatz greift jedenfalls bei Überlassung eines körperlichen Werkstücks ein Von einer Lizenzerweiterung ohne Übergabe von Datenträgern ist abzuraten BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 33

34 6. Zusammenfassung Bedeutung der IT nimmt weiter zu Chancen steigen Risiken aber auch Geschäftsführer haften nicht für alle Fehlentscheidungen Für eigene falsche Entscheidungen schon Bei nicht ausreichender Kontrolle auch Erforderlich ist vor allem ein Gefahrenbewusstsein BRANDI DRÖGE PILTZ HEUER & GRONEMEYER 34

35 Vielen Dank für Ihre Aufmerksamkeit! Kontakt: RA Rechtsanwälte Brandi Dröge Piltz Heuer & Gronemeyer Adenauerplatz 1, Bielefeld