Know-How-Schutz und IT-Compliance RA Michael Kamps, CMS Hasche Sigle
Das erwartet Sie: Überblick Compliance Wieso? Weshalb? Warum? Schutz von Know-How im Unternehmen IT-Compliance Beispiel Datenschutz 2
Compliance-Haftung des Managements 3
Ziele eines Compliance-Programms - Vermeidung von Rechtsverstößen (Compliance) - Aufdeckung von Rechtsverstößen - Entlastung des Managements vom Vorwurf des Aufsichtsverschuldens Achtung: Mit Verbreitung des Compliance-Begriffs sind in den letzten Jahren Haftungsmaßstäbe für Rechtsverstöße von Unternehmen und Managern verschärft worden! 4
Haftung von Organmitgliedern Innenhaftung: = Haftung von Geschäftsführung/Vorstand gegenüber der Gesellschaft Außenhaftung: = Haftung von Geschäftsführung/Vorstand (und Unternehmen) gegenüber Dritten Dritte sind: Unternehmen Privatpersonen aber auch: Behörden wie z.b. Staatsanwaltschaft oder Kartellbehörden 5
Pflichten von Organmitgliedern Business Judgment Rule ( 93 Abs. 1 S. 2 AktG) schützt Manager: "Eine Pflichtverletzung liegt nicht vor, wenn der Geschäftsführer vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln." Wichtig für Compliance-Haftung: Þ Geschäftsführer trägt Beweislast! Entscheidungsprozesse müssen dokumentiert werden, um von Haftungsprivilegierung profitieren zu können. 6
Ordnungswidrigkeitshaftung - 130 (1) OWiG "Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen." 7
Schutz von Know-How im Unternehmen 8
Die Ausgangslage Unternehmen Produkte Mitarbeiter Organisation Informationen "Know-how" - Daten Externe 9
Know-how Was ist das? Kenntnisse, Erfahrungen und Informationen aller Art Wesentlicher Wertfaktor eines Unternehmens 10
Geheimnis = qualifiziertes Know-how Unternehmensgeheimnisse Betriebsgeheimnisse - Produktionsabläufe - Entwicklungs- /Forschungsergebnisse - Produktionsberichte - Rezepturen - Konstruktionszeichnungen - Arbeitsmuster/Vorlagen Geschäftsgeheimnisse - Unternehmensstrategien - Geschäftsideen - Kunden-/Lieferantendaten - Organisations-, Kalkulations-, und Marketingpläne - Bilanzen - Gehälter und Personaleinsatz 11
Rechtliche Instrumente ein Vergleich Patentrecht Urheberrecht Markenrecht Qualitativen Anforderungen an den Schutzgegenstand Begrenzte Schutzdauer Anmeldung / Gebühren / Gebrauch 12
Was ist ein "Geheimnis"? Unternehmen Informationen "Know-how" "Öffentliche Informationen" Betriebs- und Geschäftsgeheimnisse Externe 13
Geheimnis die Voraussetzungen Unternehmensbezug Nichtoffenkundigkeit Geheimhaltungswille/Geheimhaltungsinteresse 14
Das Sanktionensystem Mögliche Ansprüche/Maßnahmen Vertragliche Ansprüche (z.b. Vertragsstrafe) Unterlassung Beseitigung Auskunft Schadensersatz Einschaltung der Staatsanwaltschaft strafrechtliche Sanktionen Gegner (ehemaliger) Arbeitnehmer Konkurrent/neuer Arbeitgeber 15
Einrichtung und Elemente eines Compliance-Systems Beispiel Know-How-Schutz 16
Compliance Management Systeme - Damit ein Compliance Programm die Geschäftsführung rechtlich entlastet, muss diese die Mitarbeiter im Hinblick auf die Verhinderung von Rechtsverstößen sorgfältig ü Ausbilden ü Anweisen ü Überwachen 17
Vier Phasen der Implementierung Identifizierung Anforderungen Vorbereitung Instrumente Roll-Out Updates Phase 1 Phase 2 Phase 3 Phase 4 18
Identifizierung der Anforderungen Compliance Standard Gewünschte Ausgestaltung Unternehmensspezifische Anforderungen 19
Bedarfsanalyse - Risk-mapping Identifikation der Risiken Bewertung der Risiken nach - Eintrittswahrscheinlichkeit und Eintrittswahrscheinlichkeit - Auswirkungen auf das Unternehmen Ausmaß der Auswirkungen 20
Vorbereitung der Instrumente Schulung Organisation Seminare Code of Conduct Compliance Beauftragter Annual Promise Ombudsleute / Hotline E-Learning Leitfäden Interne Kronzeugenregelung Kontrolle 21
Roll-Out Training beginnt in risikoreichsten Bereichen des Unternehmens State-of-Play-Meetings mit Compliance-Beauftragtem Feedback von Teilnehmern/Nutzern 22
Know-how-Schutz praktisch umsetzen 23
Bestandsaufnahme Identifikation von schützenswertem Know-how Identifikation von "Gefahrenquellen" Kommunikation des Geheimhaltungswillen /-interesses 24
Sensibilisierung Verantwortungsbewusstsein vermitteln im Hinblick auf den Umgang mit Arbeitsmitteln das Verhalten gegenüber Kunden / Beschäftigten der Konkurrenz die Nutzung von IT-Infrastruktur (auch: Social Media) 25
Prävention - Überblick Grenzen und Handlungsbedarf Ein Verlust des gesetzlichen Schutzes muss aktiv vermieden werden Know-how-Schutz erfordert wesentliche unternehmerische Maßnahmen. faktisch (Geheimhaltung) rechtlich (Vertrag) 26
Prävention zwischen Vertrauen & Kontrolle Beispiele für Physische Maßnahmen Technische Zugangshürden Kontrollen (ABER: DatenschutzR / PersönlichkeitsR / ArbeitsR) Aktenvernichtung Altgeräteentsorgung 27
Prävention & Recht Mitarbeiter Ausdrückliche Geheimhaltungsverpflichtung Nachvertragliches Wettbewerbsverbot Vertragsstrafen Außenstehende Dritte Geheimhaltungsvereinbarungen 28
Fazit ü Gute Vorbereitung (rechtlich + tatsächlich) ü Regelmäßige Kontrolle / Prüfung ü Bei Verdacht / Vorwurf [ überlegtes Handeln mit erfahrener Unterstützung [ Guter Know-how-Schutz 29
IT Compliance Beispiel Datenschutz 30
IT Sicherheit & Datenschutz - Unbefugten den Zutritt zu Datenverarbeitungsanlagen ( ) zu verwehren (Zutrittskontrolle), - zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), - zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), - zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), - zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), - zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), - zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), - zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Datenschutzrecht - Grundbegriffe Betroffener (= AN) Personenbezogene Daten Erheben = Beschaffen Verarbeiten = Speichern, Verändern, Übermitteln Sperren, Löschen Nutzen = jede andere Verwendung Verantwortliche Stelle (= AG) 32
Datenschutzrecht Warum?
Datenschutzrecht - Normstruktur Datenschutzrecht Allgemeines DSR (EU, Bund, Länder) Bereichsspezifisches DSR (EU, Bund, Länder) EU-RL, BDSG, LDSG'e z.b. VerwaltungsR, SozialR, TelekommunikationsR
Datenschutzrecht - Grundprinzip Erhebung, Verarbeitung & Nutzung IST VERBOTEN es sei denn, sie ist erlaubt durch Rechtsvorschrift Einwilligung 35
Datenschutzrecht - Beteiligte Aufsichtsbehörden Regulierungsbehörden Gerichte Verantwortliche Stelle Betriebsräte "besondere Dritte" Öffentlichkeit
Was dürfen die denn? - Auskunftsersuchen - Prüfungen / Besichtigungen in Geschäftsräumen - Anordnung von Maßnahmen zu Mängelbeseitigung - Androhung/Verhängung von Zwangsgeldern - Untersagungsverfügungen - Abberufung von DSB - Ordnungsgelder - Strafantragsrecht - Benachrichtigungspflicht, 42 a BDSG
Sanktionen: Strafbarkeit & Bußgelder - Bußgelder Erhöhung des Bußgeldrahmens "Formalverstöße": bis zu 50.000 (früher 25.000 ) Materielle Verstöße: bis zu 300.000 (früher 250.000 ) Bußgeld > wirtschaftlicher Vorteil aus OWi, deshalb Überschreitung des Rahmens möglich! - Strafbarkeit Vorsätzliche Verwirklichung materieller Verstöße in Schädigungs- oder Bereicherungsabsicht Strafrahmen: Freiheitsstrafe bis zu 2 Jahre oder Geldstrafe
Aus der Praxis 200.000 Euro Bußgeld Erstellung und Nutzung von Kundenprofilen ohne Wissen der Kunden
"Quick Check" - Bestandsaufnahme Erhebung, Verarbeitung, Nutzung personenbezogener Daten v.a.: Beschäftigte, Kunden, Ansprechpartner - Formale Anforderungen Betrieblicher Datenschutzbeauftragter? Verfahrensverzeichnis? - Materielle Anforderungen Zulässigkeit der Verarbeitungsverfahren? Datensparsamkeit? Vorabkontrolle?
Michael Kamps Rechtsanwalt CMS Hasche Sigle Kranhaus 1 Im Zollhafen 18 50678 Köln T +49 221 7716 270 F +49 221 7716 235 E michael.kamps@cms-hs.com BLOG: www.cmshs-bloggt.de 41
Wichtiger Hinweis Diese Präsentation wurde ausschließlich zu Informationszwecken und ausdrücklich nicht zum Zwecke der Rechtsberatung erstellt. Das Material ist deshalb ausschließlich zum allgemeinen Überblick über das behandelte Thema bestimmt. Es enthält keine umfassenden oder auf bestimmte Einzelfälle bezogenen Aussagen zu Recht und Praxis in diesem Bereich betrachtet werden. Es wird empfohlen, bezüglich spezieller Fragen (insbesondere zur Rechtslage in einem konkreten Einzelfall) geeignete Rechtsberatung in Anspruch zu nehmen
Rückblatt Titel der Präsentation 10. Dezember 2012 43