Whistleblowing und Meldewesen nach ISO im rechtlichen Spannungsfeld

Größe: px

Ab Seite anzeigen:

Download "Whistleblowing und Meldewesen nach ISO 27001 im rechtlichen Spannungsfeld"

Oswalda Berger
vor 8 Jahren
Abrufe

1 Whistleblowing und Meldewesen nach ISO im rechtlichen Spannungsfeld Dr. Orlin Radinsky Rechtsanwalt Brauneis Klauser Prändl Rechtsanwälte GmbH 11. Mai,

2 Begriffsbestimmungen Korruption Missbrauch einer anvertrauten Machtstellung zu privatem Nutzen Whistleblowing If you blow a whistle on someone or on something secret or illegal, you tell another person, especially a person in authority, what is happening Whistleblower ist jemand, dem bekannt wird, dass die Einrichtung, für die er tätig ist, etwas Unmoralisches oder Illegales unternimmt und der diesen Missstand entweder innerhalb dieser Einrichtung oder einem Dritten meldet. 2

what is happening Whistleblower ist jemand, dem bekannt wird, dass die Einrichtung, für die er tätig ist, etwas

3 Arten von Whistleblowing Internes Whistleblowing Externes Whistleblowing Anonymes Whistleblowing Offenes Whistleblowing 3

4 Phasen des Whistleblowing Bekanntwerden des Missstandes Informationssammlung Internes Whistleblowing Externes Whistleblowing Reaktion 4

5 Pflicht zum Whistleblowing? Pflicht zur Anzeige von strafbaren Handlungen oder schwerwiegenden Pflichtverletzungen Sonderregelungen - Meldung gemäß 48d Abs 9 Börsegesetz - Meldepflicht gemäß 365u Gewerbeordnung - Meldepflicht gemäß 286 Strafgesetzbuch 5

schwerwiegenden Pflichtverletzungen Sonderregelungen - Meldung

6 Gefahren für den Whistleblower Schikanierung, Versetzung, Kündigung, Entlassung Verpflichtung zu Schadenersatz Gefahr der Verletzung von Geschäfts-, Betriebs- oder Berufsgeheimnissen Gefahr der Verletzung des Briefgeheimnisses, des widerrechtlichen Zugriffs auf Computersysteme etc. Für den Fall, dass der behauptete Missstand nicht vorliegt: - Gefahr der üblen Nachrede oder der Beleidigung - Gefahr der Verpflichtung zum Schadenersatz 6

des Briefgeheimnisses, des widerrechtlichen Zugriffs auf Computersysteme etc.

7 Exkurs: Cyber Crime (1) Datenverarbeitungsmissbrauch ( 148a StGB) Bereicherungsvorsatz Vermögensschädigung Beeinflussen des Ergebnisses einer automatisationsgestützten Datenverarbeitung durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten Freiheitsstrafe bis zu 6 Monaten oder Geldstrafe 7

automatisationsgestützten Datenverarbeitung durch Eingabe, Veränderung,

8 Sonstige Delikte Exkurs: Cyber Crime (2) Widerrechtlicher Zugriff auf ein Computersystem ( 118a StGB) Missbräuchliches Abfangen von Daten ( 119 a StGB) Datenbeschädigung ( 126a StGB) Störung der Funktionsfähigkeit eines Computersystems ( 126b StGB) Missbrauch von Computerprogrammen oder Zugangsdaten ( 126c StGB) 8

Datenbeschädigung ( 126a StGB) Störung der Funktionsfähigkeit eines

9 Arten der Whistleblower Hotline Telefonnummer Web-Adresse Postadresse mit Formularen 9

10 Errichten einer Whistleblowing Hotline Mitwirkung des Betriebsrates Erfüllung der Anforderungen der Art 29 Datenschutzgruppe Erfüllung zusätzlicher Anforderungen der Datenschutzkommission - Die Beschuldigten haben Zugang zu den Anschuldigungen - Die Identität des Whistleblowers wird nur offengelegt, wenn sich nachträglich herausstellt, dass die Anschuldigungen bewusst falsch erhoben wurden. 10

Beschuldigten haben Zugang zu den Anschuldigungen - Die Identität des Whistleblowers wird nur

11 Whistleblowing Hotline Best Practices Gesonderte Telefonnummern oder Web- Adressen Erreichbar für Arbeitnehmer, Vertragspartner und Gesellschafter/Aktionäre Besetzung durch ausgebildete Interviewpartner 24 Stunden am Tag / 7 Tage die Woche Vertraulichkeitsschutz Regelmäßige Mitarbeiterschulungen Entsprechende Unternehmenskultur 11

Besetzung durch ausgebildete Interviewpartner 24 Stunden am Tag / 7 Tage die Woche

12 Zusammenhang mit ISO Etablierung eines zentralen Melderegisters Stabstellenfunktion des IS-Managers Treffen technischer Maßnahmen im Einklang mit Risikoanalyse (4-Augen-Prinzip) Klassifizierung von Daten - geheime Daten - vertrauliche Daten - öffentliche Daten 12

technischer Maßnahmen im Einklang mit Risikoanalyse

13 Incident Management / Trouble Ticket Umsetzung von Verfahren, die sofortige Erkennung von IS-Ereignissen und Reaktion auf Vorfälle ermöglichen (ISO Kapitel ) 1) Hotline first level support (firmenintern) 2) Hotline second level support (extern) 3) Security Incident 4) IS-Mangager / Kernkompetenz Überwachen und Überprüfen des ISMS (ISO Kapitel ) 1) Fehlererkennung 2) Identifizierung von Sicherheitsverstößen 13

14 Umgang mit IS-Vorfällen ISO Kapitel A.13. Melden von IS-Ereignissen Melden von Sicherheitsschwachstellen Verantwortlichkeiten und Verfahren Lernen von IS-Vorfällen Sammeln von Beweisen 14

15 Danke für Ihre Aufmerksamkeit! Dr. Orlin Radinsky Brauneis Klauser Prändl Rechtsanwälte GmbH Bauernmarkt 2, 1010 Wien T: 01/ F: 01/ M: W: 15

Ähnliche Dokumente

Technische Aspekte der ISO-27001

ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ