ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing Frankfurt am Main, 19. März 2015
01 > Risikoanalyse eines Industrieunternehmens Wer ist Risikoquelle? > Fahrlässiger Schädiger = der eigene Mitarbeiter Email mit falscher Anlage / an falschen Adressaten Öffnen eines Virus-infizierten Email-Anhangs Einspeisen Virus-infizierter Software in das Unternehmens-Intranet Verlieren von Laptops, SmartPhones, BlackBerrys, USB-Sticks, etc. > Professioneller Schädiger = außenstehender Dritter Lahmlegung / Zerstörung von Soft-/Hardware durch Hacker-Angriff Ausspähung von Daten (Kreditkartendetails / persönliche Daten der Kunden eines Online-Shops, Industriespionage, Mitarbeiterdaten etc.) 2
02 > Risikoanalyse eines Industrieunternehmens Welche Schäden? > Eigenschäden Analyse und Beseitigung der Schadensursache Kosten der Wiederherstellung (Daten, Software, ggfs. Hardware) Kosten für (gesetzliche) Informationspflichten Kosten für PR-Arbeit Bußgeldzahlung Kosten für Rechtsberatung und/oder Lösegeldzahlung an Erpresser, der Hackerangriff zunächst androht > Fremdschäden Schadensersatz an Dritte 3
03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Schutz personenbezogener Daten (Einzelangaben über persönliche / sachliche Verhältnisse einer natürlichen Person) Technische und organisatorische Maßnahmen gemäß 9 BDSG (Festlegung in Datenschutz- und Datensicherheits-Richtlinien) Bestellung eines Datenschutzbeauftragten, 4 f BDSG (mind. 20 bzw. 9 ständig mit Datenverabreitung Beschäftigte) Datengeheimnis, 5 BDSG: Verpflichtung der Mitarbeiter erforderlich Verstoß > Datenschutzrechtliche Haftung 4
03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Datenschutzrechtliche Haftung derzeit: Informationspflicht gegenüber Aufsichtsbehörde(n) und Betroffenen: 42a BDSG: bei bestimmten personenbezogenen Daten 109a TKG: bei Telekomunikationsdienstleistern Maßnahmen zur Schadensbegrenzung/-beseitigung, 42a BDSG Schadensersatz an Betroffene, 7, 8 BDSG Bußgeld wegen Ordnungswidrigkeit, 43 III BDSG: 50.000 300.000 oder Abschöpfen eines etwaigen höheren wirtschaftlichen Vorteils Geschäftsleitung, 9, 130 OWiG (echtes Unterlassungsdelikt): Bußgeld bis zu 1 Mio. 5
03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung I. Haftung nach öffentlichem Datenschutzrecht > Verschärfungen nach EU-Datenschutz-GrundVO zukünftig: soll die EU-Datenschutz-Richtlinie 95/46/EG aus 1995 ersetzen keine Umsetzung in nationales Recht, sondern unmittelbare Geltung 12. / 13. März 2015: Treffen der EU-Innen- und Justizminister zu Kapitel II (Datenverwendung); sehr starkes Lobbying aus USA Derzeitiger Diskussionsstand: Artikel 31, 32: Selbstanzeige / Auskunft an Aufsichtsbehörde(n) und Betroffenen unverzüglich (Erstentwurf: innerhalb von 24 Stunden ) Artikel 79: bei Unternehmen Bußgeld bis zu 5% des weltweiten Jahresumsatzes (Erstentwurf: 2% des weltweiten Jahresumsatzes ) 6
03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung II. Zivilrechtliche Haftung > Schadensersatz / Vertragsstrafe an Vertragspartner aus Vertrag Verletzung von Geheimhaltungs- / Vertraulichkeitspflichten > Haftung gegenüber Dritten ohne Vertrag gemäß 823 BGB wegen Eigentumsschaden durch Datenverlust Störung des Gewerbebetriebs Dritter Verletzung von Persönlichkeitsrechten > Urheberrechtliche Haftung, 97-101 UrhG Urheber kann Schadensersatz / Beseitigung / Auskunft verlangen 7
03 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung II. Zivilrechtliche Haftung > Persönliche Haftung des Geschäftsleiters Innenhaftung gegenüber Unternehmen aus 93 (2), 91 (2) AktG; 43 (2) GmbHG wegen Organisationsverschuldens > Fazit: Risikomanagement ist unerlässlich! 8
04 > Risikomanagement eines Industrieunternehmens (Überblick) > Risikoanalyse und Risikobewertung (Dokumentation) > Präventionsmaßnahmen technischer Art > Absicherung durch Versicherungsschutz Sachversicherung zur Abdeckung von Eigenschäden Haftpflichtversicherung zur Abdeckung von Fremdschäden > Ablaufplan mit Zuständigkeiten für Cyber-Ernstfall Eingriff erkennen Cyber Breach Coach / Versicherer einschalten Eingriff beenden, Sachverhalt erfassen, Maßnahmenplan erstellen Maßnahmenplan abarbeiten (Anzeige an Behörden / Betroffene; Presse; rechtliche Maßnahmen gegen Schädiger / Behörden prüfen; Risikobewertung / Präventionsmaßnahmen verbessern) 9
05 > Fragen und Diskussion Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen? 10