CYBERRISIKEN - VERANTWORTUNG DER GESCHÄFTSFÜHRUNG

Transkript

1 CYBERRISIKEN - VERANTWORTUNG DER GESCHÄFTSFÜHRUNG UNTERNEHMERABEND VR-BANK RHEIN-ERFT EG BRÜHL, RA FAITR FAArbR Prof. Klaus Gennen Telefon: klaus.gennen@llr.de LLR Legerlotz Laschet und Partner Rechtsanwälte Partnerschaft mbb Mevissenstraße 15, Köln

2 Referent 2 RA Prof. Klaus Gennen Rechtsanwalt seit 1993 Fachanwalt für IT-Recht Fachanwalt für Arbeitsrecht Betrieblicher Datenschutzbeauftragter (GDDcert.) Professur (Teilzeit) an der Technischen Hochschule Köln (IT-Recht, E-Commerce, IT-Vergaberecht), Kölner Forschungsstelle für Medienrecht Partner bei LLR Legerlotz Laschet und Partner Rechtsanwälte Part mbb ( verantwortlich für das Dezernat IT/Datenschutz Geschäftsführer der LLR DSC GmbH (

3 Fallgestaltungen Cyberrisiken (Beispiele) 3 Systemstillstand (z.b. nach DDOS, angegriffenes System arbeitet nicht mehr) bzw. Schäden an eigenen Systemen (z.b. Softwareinstallation defekt, Datenbank abgeschossen, Hardwareausfall aufgrund Firmwaredefekten) Verlust von Daten, die Geschäftsgeheimnisse darstellen (z.b. Kundenliste, Rezepturen, Kalkulation) Verlust von Kundendaten i.f. personenbezogener Daten (z.b. Mitarbeiter-, Kundendaten) Schlechterfüllung von Verträgen mit Dritten (z.b. Falschlieferungen, Verzug wg. defekter Terminplanung, ausbleibende Zahlungen an Lieferanten) Folgeschäden an Drittsystemen (z.b. bei fahrlässiger Weiterleitung von Schadsoftware) Personenschäden (z.b. fehlerhafte Produkte aufgrund fehlerhafter Auslegung von Bauteilen führen zu Personenschäden, Produkthaftung) Kosten der Abwehr von Ansprüchen (RA, Gericht)

4 Auswirkungen Cyberrisiken (Beispiele) 4 Interne Schäden Zivilrecht Bezifferbarkeit/Versicherbarkeit? Ansprüche Externer, z.b. auf Schadensersatz, Unterlassung Zivilrecht Bezifferbarkeit/Versicherbarkeit? Kosten der Abwehr von Ansprüchen? Nichteinhaltung von Vorschriften, die im öffentlichen Interesse bestehen Verantwortlichkeit ggü. Aufsichtsbehörden, z.b. Hygienevorschriften, Datenschutz, Datensicherheit Ordnungswidrigkeitenrecht/Bußgeld, ggf. strafrechtliche Sanktionen aber: Haftung des eigenen Arbeitnehmers im Innenverhältnis bei Schäden aufgrund eines Verschulden eines Arbeitnehmers wegen arbeitsrechtl. Haftungsprivilegierung zumeist kein interner Regress möglich

5 Verantwortlichkeit der Unternehmensleitung 5 Zivilrecht Haftung der Unternehmensleitung (z.b. nach 823 ff, 831 BGB, 278 BGB, 31/31a BGB, 93 AktG, 43 GmbHG, Compliance- Organisation) Ordnungswidrigkeiten Haftung der Unternehmensleitung über Einzelvorschriften bzw. über 9, 30, 130 OWiG Strafrecht stets persönliche Schuld (aber: Unterlassen/Garantenstellung?) 130 Abs. 1 OWiG (Hervorhebung durch den Verfasser) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.

6 Haftungsbeispiel 1 - Datenschutzrecht 6 Schutzgegenstand: personenbezogene Daten - BDSG, ab 5/2018 DSGVO problematische Fallgestaltungen z.b. Datenleck aufgrund unzureichender Sicherungsmaßnahmen, Datenmissbrauch durch Mitarbeiter (Art. 33, 34 DSGVO) sog. Rechenschaftspflicht des Verantwortlichen, Beweislast für die Entlastung von Vorwürfen liegt beim Verantwortlichen zahlreiche Verpflichtungen des Verantwortlichen in der DSGVO, z.b. zur Unterhaltung ausreichender Schutzmaßnahmen, um Datenschutz zu gewährleisten Risikoabwägung, Datenschutzkonzept (Art. 32 DSGVO), Beachtung des jeweiligen Standes der Technik Schadensersatzanspruch schließt immaterielle Schäden ein (Schmerzensgeld) Bußgelder bis zu EUR 20 Mio. oder 4% des Jahresumsatzes möglich, je nach Vorwurf

7 Haftungsbeispiel 2 - Infrastruktur TMG 7 13 Abs. 7 TMG - Schutzgegenstand: Sicherheit Geschäftsverkehr und pbd typische Fallgestaltung für Telemedium: Webshop Verstoß gegen 13 Abs. 7 Satz 1 Nr. 1 und 2a) = OWiG, vgl. 16 Abs. 2 Nr. 3 TMG 13 Ab. 7 TMG: Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

8 Bsp. für regulatorische Vorschriften/Normen 8 Maßgaben zur Steigerung der IT-Sicherheit einschl. Cyber-Sicherheit, regulatorische Vorschriften (Bsp.) Versicherungen VAG/MaGo Banken/Finanzdienstleister KWG/MaRisk BA Kapitalanlagegesellschaften KAGB/KA MaRisk EnWG/Energieversorgungsnetze Schutz des sicheren Netzbetriebs eines Energieversorgungsnetzes 11 EnWG Kritische Infrastrukturen BSIG, KRITIS-VO (2. Korb in der Entstehung) BSI Vorschläge zur Steigerung der IT-Sicherheit in technisch-fachlicher Richtung, z.b. Standards zur Internet-Sicherheit (ISi), Grundschutz, C5 Normen/Zertifizierungen, z.b. ISO270XX-Familie

9 DANKE FÜR IHRE AUFMERKSAMKEIT FRAGEN? FRAGEN! RA FAITR FAArbR Prof. Klaus Gennen Telefon: LLR LegerlotzLaschetRechtsanwälte Mevissenstraße Köln