IT Sicherheit Haftungsrisiko der Geschäftsführung. Rechtsanwalt Dr. Klostermann

Transkript

1 IT Sicherheit Haftungsrisiko der Geschäftsführung

2 Warum Sicherheit? Aufwendungen für IT Schäden gehen unmittelbar in die betriebliche Erfolgsrechnung ein. Der Einzelunternehmer oder die Personengesellschaft spürt eine unzureichende IT Sicherheit, wenn ein Schaden eintritt, sofort.

3 KontraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich In Kraft seit Regelung aufgrund Unternehmenskrisen, Internationalisierung der Kapitalmärkte, Globalisierung, Änderung der Aktionärsstruktur. Artikelgesetz zur Änderung anderer Gesetze.

4 KontraG Anwendbar nicht nur auf Aktiengesellschaften. Auch Gesellschaften, die zwei der folgenden drei Kriterien in zwei aufeinanderfolgenden Jahren erfüllen: - Bilanzsumme > 3,44 Mio - Umsatz > 6,87 Mio - Mitarbeiterzahl > 50

5 KontraG Ziel: wirtschaftliche Kontrolle und Transparenz der Unternehmen Mittel: Erweiterung der Haftung von Vorstand, Aufsichtsrat, Wirtschaftsprüfern in der AG Für IT Sicherheit fordert 91 Abs. 2 AktG ein Internes Kontrollsystem (IKS) 91 Abs. 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

6 Interne Kontrollsystem IKS ist damit wichtiges Führungsinstrument. Es muss auf Unternehmen und Risikoprofil zugeschnitten sein. Dies führt zur Forderung: Sicherheit als Prozess, nicht als Ergebnis. Ständige Überprüfung und Hinterfragen.

7 Schadensvorbeugung 91 Abs. 2 AktG fordert nur die Etablierung, nicht die Umsetzung. Dies gehört zur Schadensvorbeugung und Schadensverhinderung. Diese regeln sich in der Haftung nach 93 Abs. 1 AktG: Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet.

8 Schadensvorbeugung 93 Abs. 1 AktG fordert angesichts der heutigen Situation die Schadensvorsorge im IT Bereich. Vorstand muss sich mit der Nutzung und der Gefahren der der IT auseinandersetzen und geeignete Vorsorge treffen. Der Umfang dieser Pflicht ist u.a. abhängig von - der Sensibilität der Daten, - den möglichen Schäden, - den Kosten der Schadensbeseitigung.

9 Haftung des Vorstands 93 Abs. 2 Aktiengesetz: Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast. Beweislastumkehr Sorgfältige Protokollierung

10 Haftung Aufsichtsrat Überwacht der Aufsichtsrat die Mitglieder des Vorstands nicht ordnungsgemäß, ist seine Haftung nach 116 AktG vorgeschrieben.

11 Buchhalterische Pflichten 317 HGB: Die Pflichterfüllung des Vorstandes ist im Rahmen der Abschlüsse zu prüfen. Abschlussprüfer haben bei einer Aktiengesellschaft, die Aktien mit amtlicher Notierung herausgegeben hat, auch zu beurteilen, ob der Vorstand die nach 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. Basel II Banken beurteilen auch die Sicherheit des Unternehmens vor Datenverlust.

12 Andere Unternehmensformen Über Verweisungen und Analogien gelten die Vorschriften des Aktiengesetzes auch für andere Unternehmensformen GmbH OHG KG etc.

13 Haftung der GmbH Geschäftsführer 43 GmbHG GmbH-Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft auch mit ihrem persönlichen Vermögen solidarisch für den entstandenen Schaden.

14 Haftung Beispiele Unmittelbarer und mittelbarer Schaden. Insbesondere Betriebstörungsschaden bei nicht rechtzeitiger oder nicht richtiger Lieferung im Rahmen von festen Terminen. Auch bei noch existierender Nacherfüllungspflicht.

15 Haftung Beispiele Rechtzeitige Sicherung des Zugriffs auf den Quellcode einer Software. Qualifizierung des Quellcodes als Betriebs- oder Geschäftsgeheimnis oder Kernstück des Unternehmens. Sicherung der Urheberrechte und der Möglichkeit der Weiterentwicklung der Software.

16 Szenarien Szenarien für mangelnde IT Sicherheit: 1. Backup unzureichend, keine Rücksicherung möglich, unsichere Aufbewahrung. 2. Keine aktuelle Anti-Virensoftware vorhanden. 3. Der einzige Administrator des Unternehmens fällt aus (Verkehrsunfall), die Passwörter und Konfigurationen sind nicht hinterlegt. 4. Hackerangriffe aus dem Internet 5. Mitarbeiter verlassen das Unternehmen und nehmen Daten mit, verändern Passwörter etc.

17 Szenarien Rechtsverbindliche Abmachungen werden durch geschlossen, ohne sich der Problematik des mangelnden Beweiswertes von s bewusst zu sein. Bei online oder nur per Fax übersandten Dokumenten oder Rechnungen ist man sich nicht klar darüber, dass solche Dokumente nicht ohne weiteres den Beweisanforderungen oder den Anforderungen der Steuerbürokratie genügen.

18 Szenarien Kein ausreichender Schutz vor Angriffen von außen, keine oder nicht aktuelle Virenschutzsoftware, keine oder nicht aktuelle Überprüfung auf Trojaner, keine Einbruchsentdeckungssysteme.

19 Szenarien Keine ausreichende Organisation der EDV Nutzung durch Mitarbeiter wer hat wann wozu Zugriff auf das Internet, wer darf welche Geräte wie und wozu benutzen, wer darf welche Dateien im Firmennetz speichern und verbreiten, wer darf Programme und Updates in die Unternehmens EDV einspielen, dürfen Daten oder Akten außer Haus gebracht werden, keine Regelung zur nutzung.

20 Szenarien Datenschutz 9 BDSG Treffen der technischen und organisatorischen Maßnahmen zur Ausführung des BDSG Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Beschreibung der Maßnahmen in der Anlage zu 9 BDSG.

21 Szenarien Nach Anlage zu 9 Satz 1 BDSG ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dies umfasst: 1. Zutrittskontrolle, 2. Zugangskontrolle 3. Zugriffskontrolle, 4. Weitergabekontrolle, 5. Eingabekontrolle, 6. Auftragskontrolle, 7. Verfügbarkeitskontrolle, 8. Datentrennungskontrolle.

22 Szenarien Datenschutz Keine klare Regelung, wer wann welchen Zugriff auf welche Daten hat. Keine dokumentierte Verpflichtung der Mitarbeiter auf den Datenschutz und das Datengeheimnis. Keine Mitarbeiterschulung im Bereich Datenschutz.

23 Szenarien Datenschutz Eine Vielzahl von Unternehmen hat gegen die gesetzliche Verpflichtung keinen Datenschutzbeauftragten bestellt. Obwohl die widerrechtliche Verarbeitung und Nutzung personenbezogener Daten mit Schadensersatz und Bußgeld bedroht ist, und Unternehmen Mitarbeiter entsprechend anzuweisen haben, ist oft der Umgang des Betriebes mit diesen Daten rechtlich nicht zureichend geregelt.

24 Szenarien Datensicherheit und Backup Keine ausreichende Strategie zum sicheren Backup. Keine Prüfung des Backups unter dem Aspekt des Datenschutzes. Rechtsprechung: Jedes Unternehmen hat einmal täglich ein inkrementelles Backup vorzunehmen, einmal wöchentlich ein volles Backup.

25 Szenarien Dokumentation und Archivierung Zu geringe physikalische Lebensdauer des Datenträgers. Einsatz rechtlich unzulänglicher Datenträger Buchführungsdaten müssen elektronisch auf nicht veränderlichem Datenträger archiviert werden. Passwörter und Verschlüsselungssoftware, gegebenenfalls Betriebssystem müssen ebenfalls archiviert werden. Der Datenschutz ist bei der Archivierung zu beachten, insbesondere Zugriffsrechte.

26 Szenarien Urheberrecht Das Unternehmen ist verantwortlich für Urheberrechtsverletzungen, welche Mitarbeiter durch den illegalen Download urheberrechtlich geschützter Werke aus dem Internet (Musik, Filme, Videos, Bilder, Texte) begehen, oder die auf Rechnern des Unternehmens gespeichert oder über das Firmennetzwerk und Firmenrechnern verteilt werden.

27 Szenarien Fernmeldegeheimnis Das Unternehmen ist ebenso verantwortlich für das Einhalten des Fernmeldegeheimnis, was etwa problematisch wird, wenn Rufnummern privater Telefonanrufe der Mitarbeiter elektronisch erfasst und ausgewertet werden.

28 Szenarien Jugendschutz Das Unternehmen ist verantwortlich dafür, dass jugendgefährdende Inhalte nicht im Firmennetz verbreitet werden.

29 Szenarien Die Ausreden für vernachlässigte IT Sicherheit: 1. Es ist noch nie etwas passiert. 2. Meine Daten sind nicht so interessant. 3. Unser Netz ist sicher. 4. Die Mitarbeiter sind vertrauenswürdig und schädigen das Unternehmen nicht.

30 Weiter Infos Weitere Informationen finden Sie im Internet etwa unter der Adresse des Bundesamtes für Sicherheit in der Informationstechnologie BSI unter

31 Weiter Infos Vielen Dank Rechtsanwalt Dr. Christian Klostermann Äußere Schneeberger Strasse Zwickau Tel: 0375 / Fax: 0375 / kanzlei@drklostemann.de