COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

Transkript

1 COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien 15. September 2015

2 COMPLIANCE IN DER IT ist für Sie von Relevanz, weil, die Gesetze und die Regelungsdichte immer strenger werden ; das Bewusstsein, dass Daten ein heikles Gut darstellen steigt ; die Klagefreudigkeit steigt (Stichwort..es muss einen Schuldigen geben die Schuldigen straf- und zivilrechtlich haften können.; eine IT Landschaft und eine IT Organisation, die den Compliance Anforderungen entspricht, einen Wettbewerbsvorteil darstellen ; 2

3 Was ist IT Compliance? = Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft betrifft: Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz Konnex zu mit IT-Governance: Erweiterung um Bereiche Controlling, Geschäftsprozesse und Management und sohin die Abstimmung zwischen IT und Management, Aufzeigen der Auswirkungen von IT-Störungen auf Geschäftsprozesse IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung 3

4 Datendiebstahl und Schadenzufügung als moderne Form der Kriminalität Beispiele: Sony Playstation: Angriff auf Datenbanken, Diebstahl von Nutzerdaten wie Zugangscodes und Kreditkartennummern Die wichtigsten Quellen für den Datenverlust und Schädigung sind Diebstahl oder Verlust eines Computers (20%) Netzwerke und das Internet (14%) menschliches Versagen (12%) unsachgemäße Entsorgung (12%) Hacker (11%) kriminelle Insider (11%) Smartphones und Mobile Applications Fokus Datenklau 19. Mai

5 Risiken: Woher kommen die Angriffe? Angriffe von Außen Mitbewerber, Geschäftspartner, die autorisierten Zugang zum System haben Internet Viren, Trojaner Cookies Screen Scraping Angriffe von Innen Mitarbeiter, ehemalige Mitarbeiter 5

6 Risiken: Was bewirken die Angriffe und worin liegt der Schaden? Auslesen von Daten, um diese gegen Geld weiter zu verkaufen Auslesen von Bankdaten, um direkten Kontozugriff zu haben Produktionsausfälle Falsche Messergebnisse Beeinflussung von bestimmten Abläufen (Störung von unternehmensinternen IT-Abläufen durch Überlastung des Systems von außen) 6

7 Ursachen für Schadenszufügung Virenbefall Ungenügende Firewalls und Schutzmaßnahmen Mangelnde Wartung der IT keine Regelungen über Kontrolle der Mitarbeiter s Keine klaren Regelungen für Kontrolle von weiterhin eintreffenden E- Mails nach Ausscheiden des Mitarbeiters aus dem Unternehmen. Abgrenzungsproblem: Archivierungspflicht, Arbeitsgeberinteressen und Schutz der Persönlichkeit - Mangelnde interne Organisation und Kontrolle (Interne Kontroll- und Sicherheitssysteme) 7

8 Exkurs: Strafrechtliche Verantwortung der Täter 118a StGB Widerrechtlicher Zugriff auf ein Computersystem 119a StGB Missbräuchliches Abfangen von Daten 126a StGB Datenbeschädigung 126b StGB Störung der Funktionsfähigkeit eines Computersystems (ohne gleichzeitige Datenbeschädigung) 126c StGB Missbrauch von Computerprogrammen und Zugangsdaten 8

9 Hauptthema: Zivilrechtliche Verantwortung der Geschäftsführer, Grundsätzliches verstärkte Bestrebungen in Europa und USA, Haftung für die betroffenen Unternehmen deutlich zu erhöhen und den sorglosen Umgang mit Daten immer strenger zu bestrafen. Bankengruppe von der Britischen Finanzmarktaufsicht (FSA) zu einer Strafe von 5 Millionen US-Dollar verpflichtet, weil sie viele Versäumnisse im Bereich der Datensicherheit aufwies. 9

10 Zivilrechtliche Verantwortung der Geschäftsführer, Situation in Österreich Haftung bei Sorgfaltswidrigkeit Messung der Sorgfalt nach objektiven Maßstäben Maßstab des Standes der Technik betreffend Schutzmaßnahmen Implementierung von internen Kontroll- und Sicherheitskontrollmechanismen Data Breach Notification : Verständigungspflicht nach 24 (2a) DSG im Fall von schwerwiegenden Datenschutzverletzungen Beeinträchtigung der Reputation Gefahr von Schadensersatzforderungen durch Betroffene Gegenstrategie: geeignete Ablaufprozesse Überprüfung des unternehmensinternen Datensicherheits- und Datenschutzstandards durch Sachverständigen 10

11 Interne Kontroll- und Sicherheitskontrollmechanismen Haftungssituationen in großen Konzernen Parallelität zu der Implementierung von internen Kontrollsystemen im Bereich des Rechnungswesens Implementierung von internen Kontrollsystemen gemäß 84 AktG und 22 GmbHG Sarbanes-Oxley Act EU-Richtlinie 2006/43/EG Basel II/III für Banken: Ausschluss von operationellen Risiken infolge des Versagens von internen Verfahren, Menschen oder Systemen Einhaltung von 14 DSG 11

12 Reduktion der Zivilrechtlichen Haftung durch Organisatorische Maßnahmen Wartung der Systeme durch geeignete sachverständige Unternehmer geeignete Ablaufprozesse Interne Kontroll- und Sicherheitskontrollmechanismen Organisationszertifizierung durch Sachverständigen (mit Überwälzung des Haftungsrisikos) Prozesstechnische Maßnahmen Technische Zertifizierung durch Sachverständigen (mit Überwälzung des Haftungsrisikos) 12

13 Datensicherungsvorschriften nach 14 DSG Schutz vor Zerstörung und Verlust von Daten unter Bedachtnahme auf: Umfang und Schutz der Verwendung Technische Möglichkeiten Wirtschaftliche Vertretbarkeit 13

14 Ergebnisse: Pflicht, ein Risikomanagementsystem einzuführen Pflicht zur Etablierung von internen Kontroll- und Sicherungskontrollmechanismen, um auch seitens der Geschäftsführung Kontrolle darüber zu haben, ob untere Ebenen die notwendigen Sicherheitskontrollmechanismen implementieren Finanzielle und organisatorische Investitionen, damit EDV (Firewalls, Zugangsmechanismen, Schnittstellen etc.) auf dem Stand der Technik ist, jedoch unter Bedachtnahme auf die Sensibilität der verarbeiteten Daten und die technischen Möglichkeiten des Unternehmens und die wirtschaftliche Vertretbarkeit der Investition, jeweils bezogen auf das konkrete Unternehmen Organisationsaudit und technisches Audit durch Sachverständige 14

15 CMS hilft Ihnen bei der Einführung von geeigneten IKS und Compliance Systemen! Dr. Johannes Juranek Partner CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Gauermanngasse 2-4, 1010 Wien Tel.: johannes.juranek@cms-rrh.com 15