Das Rechtliche beim Risikomanagement 10.12.2014 Gerald Spyra, LL.M. Kanzlei Spyra
Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines unerwünschten Ereignisses und der Schadensschwere als Konsequenz aus dem Ereignis. Rechtlich relevant wird ein Risiko besonders immer dann, wenn es zu einem Schaden kommen kann!
Schaden Ein Schaden ist eine (unfreiwillige) Einbuße, die jemand an seinen geschützten Rechtsgütern erleidet Besonders Schäden mit (direkten oder mittelbaren) IT-Bezug sollten heutzutage nicht unterschätzt werden
Mögliche Schäden mit IT-Bezug bei der Cyber Play GmbH Gewinn / Umsatzeinbußen z. B. durch: Nichtverfügbarkeit des Webshops, Verlust von Unternehmens Know-How, Ermittlungs- / Beseitigungskosten eines Cyberangriffs, Kosten für eine Daten-Versicherung, Kosten wegen fehlender Möglichkeit, IT weiter nutzen zu können, Schadensersatz für Datenverlust, Rechtsverfolgungskosten, Bußgelder/Strafen, Image- / Reputationsverlust,
Wer soll das bezahlen? Wenn ein Schaden entstanden ist, muss immer gefragt werden, wer soll das bezahlen? Mithin steht die Frage der Haftung im Raum
Warum haftet man? Man haftet, wenn man einen Schaden (aktiv) verursacht Man haftet aber auch bei Missachtung oder Vernachlässigung gesetzlich oder vertraglich obliegender (Sorgfalts-) Pflichten Oder anders gesagt: mit der Vernachlässigung von Compliance
Wofür haftet die Cyber Play GmbH? Eine Haftung für einen Schaden kann sich ergeben bspw. aus: Deliktsrecht Geräte- und Produktsicherheitsgesetz, Patentrecht- / Markenrecht, Arbeitsrecht, Steuerrecht, Sozialversicherungsrecht, Insolvenzrecht (Insolvenzstraftaten), Handels und Gesellschaftsrecht, Vertragsrecht, Wettbewerbsrecht, Datenschutzrecht,...
Wer haftet bei der Cyber Play GmbH? In erster Linie die juristische Person (GmbH) im Außenverhältnis Im Innenverhältnis, u.a. auch die mit der Geschäftsleitung beauftragten Personen Dieses insbesondere immer dann, wenn sie die Sorgfaltspflichten eines ordentlichen Kaufmanns verletzt haben
Pflichten der Geschäftsführung Hauptpflicht: Alles Notwendige zu unternehmen, um Schaden von Gesellschaft fernzuhalten bzw. um Unternehmen nicht in seinem Bestand zu gefährden! Hierzu ist es notwendig, die entsprechenden Compliance- Vorgaben und Risiken ganzheitlich zu betrachten (Einbeziehen aller Stakeholder-Interessen) Dokumentation essenziell, um sich zu exkulpieren
Der (rechtliche) Hintergrund von Risikomanagement Man kann nur dann entscheiden, wo unternehmenskritische Risiken bestehen, wenn man sich der Risiken bewusst ist! Pflicht zum Risikomanagement explizit nur für Aktiengesellschaften ( 91 Abs. 2 AktG) Ausstrahlungswirkung auf andere Gesellschaften großen Umfangs wie z. B großen, international tätigen GmbHs möglich (umstritten)
Das IT-Risikomanagement Geschäftskritische Prozesse werden zunehmend mit IT abgebildet Gerade das Management von IT-Risiken ist sehr komplex, da es Ausstrahlungswirkung in die unterschiedlichsten Bereiche hat IT-Risikomanagement ist explizit (noch) nicht gesetzlich manifestiert
Was bringt die Zukunft? Die Gesetzgeber werden sich der Risiken beim IT-Einsatz vermehrt annehmen (IT-) Risikomanagement wird daher für bestimmte Bereiche zur expliziten Pflicht werden: EU-DSVO IT-SiG
Gibt es noch Fragen? Gerald Spyra, LL.M. Rechtsanwalt, externer Datenschutzbeauftragter Kanzlei Spyra Annastr. 45 50968 Köln? Vielen Dank für Ihr Interesse!