Berner Tagung für Informationssicherheit 2000 Sicherheitsfaktor Mensch: Chancen und Risiken. Referat Ursula Sury, Rechtsanwältin



Ähnliche Dokumente
Cloud Computing - Umgang mit Unternehmensinformation. und urheberrechtlicher Sicht

Was meinen die Leute eigentlich mit: Grexit?

Corporate Governance

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Die Gesellschaftsformen

Das Persönliche Budget in verständlicher Sprache

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

DER SELBST-CHECK FÜR IHR PROJEKT

Stiftung Villa YoYo St.Gallen

a) Bis zu welchem Datum müssen sie spätestens ihre jetzigen Wohnungen gekündigt haben, wenn sie selber keine Nachmieter suchen wollen?

Das Leitbild vom Verein WIR

Informationssicherheit als Outsourcing Kandidat

Internet- und -Überwachung in Unternehmen und Organisationen

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Schärfere Haftung in Sachen Umwelt.

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Allgemeine Geschäftsbedingungen (mit gesetzlichen Kundeninformationen)

Stand: / V. Seiler. Erziehungsberechtigte/r. Vor- und Zuname. Geb. am: Straße: Kinder und Betreuungszeiten:

Was ist Sozial-Raum-Orientierung?

Wichtige Forderungen für ein Bundes-Teilhabe-Gesetz

Das Rechtliche beim Risikomanagement

Leichte-Sprache-Bilder

Grundlagen der Theoretischen Informatik, SoSe 2008

Ihren Kundendienst effektiver machen

Erfahrungen mit Hartz IV- Empfängern

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Microsoft Office 365 Kalenderfreigabe

Besser betreut, weniger bezahlt: einfach Bethge.

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Behindert ist, wer behindert wird

Professionelle Seminare im Bereich MS-Office

Inhaltsübersicht Produktinformationsblatt zur Jahres-Reiserücktritts-Versicherung der Europäische Reiseversicherung AG

Die Invaliden-Versicherung ändert sich

RECHT AKTUELL. GKS-Rechtsanwalt Florian Hupperts informiert über aktuelle Probleme aus dem Beamten- und Disziplinarrecht

Informationen zur Prüfung Geprüfter Handelsfachwirt (IHK)/Geprüfte Handelsfachwirtin (IHK)

D i e n s t e D r i t t e r a u f We b s i t e s

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Repetitionsaufgaben Wurzelgleichungen

Das Rechtliche beim Risikomanagement

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

Studieren- Erklärungen und Tipps

Arbeitshilfe "Tipps für Gespräche mit Vorgesetzten und KollegInnen" Was gilt für mich?

Statuten in leichter Sprache

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Was ist das Budget für Arbeit?

Alle gehören dazu. Vorwort

Liechtensteinisches Landesgesetzblatt

Unternehmerverantwortlichkeit und Strafrecht. Frank im Sande, Staatsanwaltschaft Braunschweig 1

Avenue Oldtimer Liebhaber- und Sammlerfahrzeuge. Ihre Leidenschaft, gut versichert

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Evaluation des Projektes

Qualitätsbedingungen schulischer Inklusion für Kinder und Jugendliche mit dem Förderschwerpunkt Körperliche und motorische Entwicklung

Abamsoft Finos im Zusammenspiel mit shop to date von DATA BECKER

Informationen zur Prüfung Geprüfter Fachwirt für Versicherung und Finanzen/ Geprüfte Fachwirtin für Versicherung und Finanzen (IHK)

Herzlich willkommen. zur Information Arbeitssicherheit / Gesundheitsschutz / für Kirchgemeinden

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Lösungsskizze Fall 25: Das beschädigte Dienstfahrzeug. A) Anspruch auf Schadensersatz gem. 280 I BGB. I) Vorliegen eines Schuldverhältnisses: (+) ArbV

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

Gemeinsam können die Länder der EU mehr erreichen

1 MIO ÖSTERREICHISCHE SKIFAHRER SCHÜTZEN SICH BEREITS MIT HELM - UM MEHR ALS IM VORJAHR

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

HAFTUNG AUS FEHLERHAFTEN GUTACHTEN

BEI LIEFERUNGEN ZWISCHEN DEUTSCHLAND UND CHINA

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

BUCHHALTUNG BUCHFÜHRUNG WO IST ER EIGENTLICH? - DER UNTERSCHIED?

Zeichen bei Zahlen entschlüsseln

Nutzung dieser Internetseite

Gesetzesänderungen «Nominee», Entwurf

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Haftung des Telearbeiters gegenüber dem Arbeitgeber

Teilnahme-Vertrag. Der Teilnahme-Vertrag gilt zwischen. dem Berufs-Bildungs-Werk. und Ihnen. Ihr Geburtsdatum: Ihre Telefon-Nummer:

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Anlage eines neuen Geschäftsjahres in der Office Line

Elternzeit Was ist das?

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

1. Weniger Steuern zahlen

Personalverleih im IT-Bereich

Microsoft Office 365 Domainbestätigung

Der Schutz von Patientendaten

Wie weit reicht der Versicherungsschutz für Waldbesitzer und Forstbedienstete?

Kulturelle Evolution 12

Zahnzusatzversicherungen. Sechs Fragen Sechs Antworten. Versicherungen Immobilienfinanzierungen Vermögensaufbau

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

1. Fabrikatshändlerkongress. Schlussworte Robert Rademacher

PowerPoint 2010 Mit Folienmastern arbeiten

Nicht über uns ohne uns

Checkliste «Datenbekanntgabe»

Durch Wissen Millionär WerDen... Wer hat zuerst die Million erreicht? spielanleitung Zahl der spieler: alter: redaktion / autor: inhalt:

Transkript:

Institut für Wirtschaftsinformatik IWI Hochschule für Wirtschaft Luzern FHZ Fachhochschule Zentralschweiz Berner Tagung für Informationssicherheit 2000 Sicherheitsfaktor Mensch: Chancen und Risiken Referat Ursula Sury, Rechtsanwältin Verantwortung und Haftung für menschliche Fehler im IT-Bereich Errare humanum est Jeder Mensch macht Fehler. Fehler machen gehört zum Menschsein, ist also ein Lebensprinzip. Im IT-Bereich sind vor allem menschliche Fehler im beruflichen Umfeld ein grosses Problem, weshalb die Betrachtung der menschlichen Fehler im privaten Bereich vorliegend ausser Acht gelassen wird. In der Geschichte der Volkswirtschaften, d.h. über den Weg von der rein agrarisch bestimmten Gesellschaft über die Industrie- bis zur heutigen Dienstleistungsgesellschaft, die sich zur Informationsgesellschaft weiterentwickelt hat, hat sich die Bedeutung der menschlichen Arbeit stark verändert. Der Produktionsfaktor Mensch ist immer bedeutender geworden, er wurde zum entscheidenden und qualifizierenden Element im Zusammenspiel von Kapital, Boden und Arbeit und hat aus sich den vierten neueren Produktionsfaktor des Knowhows oder Wissens generiert. Eine der Antworten darauf ist Human-Resource-Management. Für eine Unternehmung war das Anliegen noch nie so wichtig wie heute, die richtigen Mitarbeitenden zur richtigen Zeit richtig einzusetzen. Für Organisationsentwicklung und Personalselektion, für Headhunter und Berater werden Riesensummen ausgegeben. Noch nie wurde der menschlichen Arbeit, menschlichem Wissen so viel Bedeutung zugemessen, wie heute in der ersten Welt, dafür wurde auch noch nie so viel bezahlt. Deshalb ist auch die permanente Aus- und Weiterbildung eine conditio sine qua non für die berufliche Karriere eines Mitarbeitenden. Noch nie gab es ein so grosses Angebot an Nachdiplomkursen, Nachdiplomstudien, Seminarien, Produkteschulungen, wie in der heutigen Zeit. Weil eben die menschliche Arbeit so bedeutend ist, zum qualifizierenden Element (ja zur USP!) der Wertschöpfung geworden ist, kann jede Beeinträchtigung fatale Folgen haben. Der Mensch der agrarisch orientierten Gesellschaft war existentiell den Naturgewalten ausgeliefert. Der Mensch der Informationsgesellschaft ist existentiell sich selbst ausgeliefert.

Seite 2/5 Menschliche Fehler interdisziplinär und komplex Mit der Phänomenologie befassen sich verschiedene Wissenschaften. Menschliche Fehler stören Abläufe/Prozesse, verhindern oder beeinträchtigen Resultate oder führen nicht gewünschte Resultate herbei. Dies schlägt sich immer auch im finanzwirtschaftlichen Bereich nieder, kurz und gut: Jeder Fehler kostet. Das Ausmass der Schäden, welche aus menschlichen Fehlern entstehen, kann für Unternehmungen oder ganze Volkswirtschaften existenzbedrohende Ausmasse annehmen. Menschliche Fehler werden analysiert, kategorisiert, therapiert und realisiert. Damit beschäftigen sich die Soziologie, Psychologie, Psychiatrie, Spezialgebiete der Betriebswirtschaftslehre, wie Human-Resource- Management und Unternehmensführung, die Medizin insbesondere auch, was physiologische Aspekte anbelangt, die Versicherungswissenschaft, die Ingenieurwissenschaften, die Informatik und nicht zuletzt das Recht. Auf die rechtliche Dimension der menschlichen Fehler soll im folgenden eingegangen werden. Der Berufsmensch als Risikofaktor Welche Menschen begehen eigentlich Fehler im IT-Bereich? Es handelt sich immer um natürliche Personen, denn auch für juristische Personen handeln letztendlich natürliche Personen. Konkret in Frage kommen beispielsweise - aktuelle oder ev. auch ehemalige Arbeitnehmer - Arbeitgeber oder deren Organe, wie ein Verwaltungsrat - Kunden resp. deren Organe und Angestellte - Lieferanten resp. deren Organe und Angestellte - Partnerunternehmungen resp. deren Organe und Angestellte Was gilt als Fehler? Als Fehler gilt jedes Abweichen von gesetzlich statuiertem, vereinbartem oder allgemein gültigem Verhalten, welches sich in Abläufen oder Resultaten für andere wahrnehmbar negativ auswirkt. Damit ist sogleich auch gesagt, dass sich nicht jeder Fehler negativ auswirken muss. Beispielsweise im Rahmen der Softwareerstellung ist es durchaus möglich, dass ein Programmierer Fehler macht, welche nachträglich über Umgehungslösungen wieder korrigiert werden und sich beim Gebrauch des Arbeitsresultates nicht in fehlenden oder mangelhaften Funktionalitäten/Performance etc. äussern. Ob ein Fehler als solcher taxiert und wahrgenommen wird, definiert sich also in der Interaktion mit der Umwelt und deren Anspruchsgruppen. Wer übernimmt die Verantwortung/Haftung für entstandene menschliche Fehler? Die Haftung hat grundsätzlich derjenige zu übernehmen, an den aus gesetzlichen oder vertraglichen Gründen Erwartungen gestellt werden und gestellt werden können und der diese nicht einhält. Im folgenden drei Beispiele: - Arbeitnehmer/Arbeitgeber

Seite 3/5 Der Arbeitnehmer muss die ihm übertragene Arbeit sorgfältig ausführen und haftet für Schaden, den er absichtlich oder fahrlässig zugefügt hat. Das Mass der Sorgfalt, für das er einzustehen hat, d.h. auch die Frage, ob ihm Absicht oder vor allem Fahrlässigkeit vorgeworfen werden kann, orientiert sich an der Summe der Kompetenzen des konkreten Arbeitnehmers. Es wird also konkret das einzelne Arbeitsverhältnis, das Berufsrisiko, der Bildungsgrad, Fachkenntnisse, Fähigkeiten, Eigenschaften etc. des Arbeitnehmers berücksichtigt. Ist in diesem Kontext dem Arbeitnehmer kein oder nur ein kleiner Vorwurf zu machen, so muss der Arbeitgeber den Schaden selber tragen. Man könnte auch sagen, der Arbeitgeber hat die konkrete menschliche Ressource falsch eingesetzt, d.h. der Arbeitgeber hat also einen Fehler gemacht und nicht der Arbeitnehmer. Diese Regelung ist vor allem in spezialisierten IT-Bereichen schwierig anzuwenden, da der Arbeitgeber die Summe der Kompetenzen des Arbeitnehmers nicht abschätzen kann und somit eine fachliche Führung und Kontrolle nicht möglich ist (vergleiche dazu den Beitrag von U. Sury Die Haftung für Verletzung von Informatiksicherheit in der Zeitschrift Schweizer Informatik, Ausgabe vom August 1999). Einem IT Mitarbeiter wäre sicher vorzuwerfen, wenn er es unterlässt, Backups zu erstellen. Ob von ihm hingegen erwartet werden kann, dass er ein Bearbeitungsreglement betr. dem Umgang mit einer meldepflichtigen automatisierten Datensammlung gemäss Datenschutzgesetz und -verordnung zu erstellen hat, orientiert sich an der Summe seiner konkreten Kompetenzen. Die Bestimmung über den subjektiven Verschuldensbegriff im Einzelarbeitsvertrag ist zwingend und kann gesetzlich nicht wegbedungen werden. - Der Verwaltungsrat Der Verwaltungsrat hat als unübertragbare und unentziehbare Aufgabe unter anderem die Oberleitung der Gesellschaft verbunden mit der Erteilung der nötigen Weisungen; die Festlegung der Organisation; die Ernennung und Abberufung der mit der Geschäftsführung und Vertretung betrauten Personen; die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen. Die Mitglieder des Verwaltungsrates haben ihre Aufgabe mit aller Sorgfalt zu erfüllen und sind der Gesellschaft, den Aktionären und Gesellschaftsgläubigern für den Schaden verantwortlich, den sie durch absichtliche oder fahrlässige Verletzung ihrer Pflichten verursachen. Die Mitglieder des Verwaltungsrates haben alles zu unternehmen, damit die Geschäftsinteressen optimal gewahrt sind. Was vom Verwaltungsrat erwartet wird, orientiert sich an objektiven Kriterien, also an der Frage, was in der heutigen Zeit von einer professionellen Geschäftsführung erwartet werden kann. Eine Berücksichtigung der Summe der Kompetenzen des konkreten Verwaltungsrates sieht der Gesetzgeber nicht vor. Im IT-Bereich könnten

Seite 4/5 dem Verwaltungsrat Fehler vorgeworfen werden, wenn bei der Besetzung resp. Nichtbesetzung von wichtigen Stellen, wie IT-Chef, Sicherheitschef, interner Datenschutzbeauftragter, Entscheidungen nicht gefällt werden, wenn wegen mangelhafter Budgetierung Urheberrechte verletzt werden oder wegen gesetzwidrigem Umgang mit dem Internet (Rassismus, Pornografie etc.) das Strafrecht verletzt wird. - Der Anbieter von IT-Leistungen Der Anbieter von IT-Leistungen haftet dafür, dass er den Vertrag so erfüllt, wie es abgemacht worden ist. Jede Abweichung seiner Leistung vom definierten Vertragsgegenstand gilt als Mangel, für den er grundsätzlich einzustehen hat. Sobald der Besteller die Leistung angenommen hat, ist der Anbieter grundsätzlich von seiner Haftung befreit, deshalb wird den Abnahmeprotokollen mit Recht eine grosse Bedeutung zugemessen. Verschiedentlich versuchen Anbieter in Kleingedrucktem ihre Haftung einzuschränken oder gar auszuschliessen. Ein Ausschluss ist nicht möglich, hingegen eine Beschränkung auf die Haftung für grobes Verschulden und direkte Schäden. Auch eine summenmässige Beschränkung der Haftungshöhe ist zulässig. Folgen der menschlichen Fehler Als Folge der menschlichen Fehler entstehen Schäden. Diese sind häufig schwierig in vollem Umfange zu quantifizieren und somit nachzuweisen. Hinzu kommt, dass der Schädiger häufig auch wirtschaftlich nicht in der Lage wäre, den entstandenen Schaden zu bezahlen. Schaden im Rechtssinne ist grundsätzlich ein zusätzlicher Aufwand oder weniger Ertrag, welche wegen des Fehlers entstehen. Nebst dem Schaden ist also die Kausalität zwischen dem fehlerhaften Verhalten und dem entstandenen Schaden nachzuweisen. Dies wird vor allem deshalb noch erschwert, weil speziell auch die indirekten Vermögensschäden ins Gewicht fallen. Schadenüberwälzung auf einen Versicherer Haftpflichtversicherungen decken grundsätzlich plötzliche nicht vorhergesehene Ereignisse. Bei der Versicherung der Nicht- und Schlechterfüllung von Verträgen im beruflichen Bereich (Berufshaftpflicht) sind sie sehr zurückhaltend. Wir finden Angebote der Versicherer für Schäden aus Softwarefehlern, diese greifen aber erst nach einer sechsmonatigen Karenzfrist ab Softwareabnahme. Zudem gibt es Versicherungen für Sachschäden (Hardware), wobei die indirekten Vermögensschäden nicht abgedeckt sind. Zusammenfassend kann festgehalten werden, dass effiziente und effektive Versicherungen für menschliche Fehler im IT-Bereich in der Schweiz nicht verfügbar sind.

Seite 5/5 Prophylaxe-Massnahmen Wir haben festgestellt, dass menschliche Fehler im IT-Bereich - grosse Schäden verursachen können, - die Schäden schwer zu quantifizieren und zu beweisen sind, - die Schäden existentielle Ausmasse annehmen können, - die Schäden kaum auf Versicherungen abgewälzt werden können. Deshalb sollte alles daran gesetzt werden, dass eben die menschlichen Fehler nicht eintreten oder, falls sie eintreten, sie keine oder nur geringfügige Folgen haben. Diese Ziele lassen sich mit verschiedenen Massnahmen erreichen: - Ausschöpfen der rechtlichen Gestaltungsmöglichkeiten, vor allem im vertraglichen Bereich. Dazu zählen beispielsweise Non-disclosureagreements, Datenschutzrichtlinien, Merkblätter betreffend Umgang mit Passwörtern etc. - Die involvierten Personen sollen sich orientieren oder orientiert werden betreffend ihre Rechte und Pflichten im Umgang mit IT. Dazu gehört eine Sensibilisierung und Orientierung über die Folgen der Verletzung. Konkret sollte insbesondere über folgende Bereiche sensibilisiert werden: - Datenschutzgesetzgebung - Haftpflichtrecht - Urheberrecht - Strafrecht - Wettbewerbsrecht - Es sind sämtliche technischen Vorkehrungen zu treffen, dass Fehler nicht möglich sind resp. wenn sie vorkommen, möglichst keine oder kleine Auswirkungen haben. Dazu gehört die Umsetzung technischer Sicherheitsstandards. - Organisatorische/Betriebswirtschaftliche Massnahmen Sowohl bei der operativen als auch bei der strategischen Unternehmensführung ist alles zu unternehmen, um das Entstehen von Fehlern zu verhindern und die negativen Folgen von eingetretenen Fehlern möglichst klein zu halten. Dazu gehört beispielsweise die sorgfältige Auswahl, Instruktion, Führung und Kontrolle der Mitarbeitenden. Dazu gehört aber auch, dass sich der Verwaltungsrat regelmässig über mögliche Prophylaxemassnahmen orientiert. Wer nachweisen kann, dass er alles unternommen hat, damit ein Fehler nicht entsteht oder keine negativen Auswirkungen hat, hat grundsätzlich die gesetzlichen Anforderungen der Sorgfalt erfüllt und macht sich somit nicht haftpflichtig. In diesem Sinne schliesst sich der Kreis. Prophylaxe ist also nicht nur eine Folge daraus, dass Schäden kaum abgewälzt werden können, sondern entspricht auch der gesetzlichen Sorgfaltspflicht und entspricht heute verbreitetem Qualitätsdenken. Ursula Sury 3.11.2000

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback