Rechtliche Aspekte der IT-Security. Gesellschaft für Informatik, 27.05.2005
IT Security und Recht. IT-Security hat unterschiedliche juristische Aspekte: Strafrecht: Hacking, Computerbetrug, DoS, etc. Allg. Zivilrecht: Haftung, Beweissicherheit Handels- und Steuerrecht: Aufbewahrungs- / Archivierungspflichten Datenschutzrecht: Schutz personenbezogener Daten / Fernmeldegeheimnis Haftungsrisiken!
Was ist Sicherheit? OLG Hamburg Werbung mit Sicherheit : Der Verkehr erwartet bei der Bewerbung eines sicheren Internetzugangs die Stabilität der Übertragungswege, Sicherheit vor Einschleusung von Computerviren und dem Mißbrauch von Daten. Dies zwar nicht absolut im Sinne von 100%, aber doch als ganz weitgehend ausgeschlossen.
Wer haftet? Haftung des Unternehmens. Haftung von Geschäftsführern, Vorständen, IT- Verantwortlichen.
Gegenüber wem wird gehaftet? Staat: Straf- und Ordnungsrechtliche Verantwortlichkeit Dritte: Schadensersatz Arbeitgeber: Schadensersatz Arbeitnehmer: Datenschutz, Fernmeldegeheimnis Kunden: Gewährleistung, Vertragsstrafen, Schadensersatz
Unternehmenshaftung Unternehmen haben Verkehrssicherungspflichten! Daraus resultieren Organisationspflichten für betriebliche Abläufe und Aufsichtspflichten gegenüber Mitarbeitern. Nach der Rechtsprechung ist eine zuverlässige, zeitnahe und umfassende Sicherung der IT-Systeme erforderlich. Der konkrete Umfang dieser Pflichten richtet sich u.a. nach Branche und Unternehmensgröße.
Managerhaftung : Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum daraus entstehenden Schaden ( ) verpflichtet. Geschäftsführer, die ihre Obliegenheiten verletzen, haften der Gesellschaft ( ) für den entstehenden Schaden. Was ist eine Pflichtverletzung wie kann sie vermieden werden?
Manager-Pflichtverletzungen in der IT: Vorstand einer AG hat für geeignetes IT- Risikomanagement zu sorgen! Verletzung dieser Organisationspflicht kann Schadenersatzpflicht des Vorstands begründen. Aufsichtsrat hat im Rahmen seiner Überwachungsaufgaben auf die Einrichtung eines Überwachungssystems hinzuwirken.
Pflichtverletzungen durch IT-Leiter: Pflichten können sich aus Arbeitsvertrag und / oder Security-Policy ergeben. IT-Leiter müssen diesen Verpflichtungen durch entsprechende Hinweise an GF auch dann nachkommen, wenn kein oder unzureichendes Budget. Ansonsten droht persönliche Haftung wegen grob fahrlässiger Pflichtverletzung.
Security-Policy
Security Policy Inhalt? Technische Sicherheitsmaßnahmen (Dokumentation sämtlicher Sicherheitsmassnahmen) Organ. Sicherheitsmaßnahmen (Festlegung von Berechtigten, Informationseigentümer, Verantwortlichkeiten, Sicherheitsmanagement) Überwachungspflichten Reaktionszeiten (Dokumentation über Reaktionsszenarien)
Einsatz digitaler Signaturen: Alternative zur gesetzlichen Schriftform, Verbindlichkeit und Beweisicherheit! Sicherheit über Vertragspartner und Vertragsinhalt, Rechtsdurchsetzung!
Qualitätsstufen der digitalen Signatur: elektronische Signaturen fortgeschrittene elektronische Signaturen qualifizierte elektronische Signaturen
Rechtsfolgen der digitalen Signatur: Alternative zur Schriftform Anscheinsbeweis vor Gericht
IT Security...... besteht aus Technik- und Rechtssicherheit!... beruht auf Eigeninitiative der Unternehmen!... ist ein dynamischer Prozess!... ist elementare Voraussetzung für Erfolg im IT Business!
DANKE für Ihre Aufmerksamkeit! sueme@richter-sueme.de http://www.richter-sueme.de