Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management RA Udo Steger Heymann & Partner Rechtsanwälte BCI Kongress 2006, Hamburg 26.09.2006
Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 2
Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 3
1. Business Continuity als Begriff im Recht Business Continuity (BC) im Staat Klassisch: Betriebliches Kontinuitätsmanagement (BKM) = Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität in örtlichen Notsituationen, typischerweise Naturkatastrophen, Krieg, etc. BC im engeren Sinne: Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden (BSI/KRITIS, 2005) Aber: die globalisierte, postindustrielle Wirtschaft (und Gesellschaft) ist auch anfällig gegenüber außerörtlichen Ereignissen (z.b. Lieferketten, Internet, etc.) Aufgabe des Staates ändert sich, private Maßnahmen erforderlich, wo Staat nicht vorsorgt BC: Heute ist ein erweitertes Verständnis von BC im Sinn umfassender Risikovorsorge und Risikominimierung erforderlich Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 4
1. Business Continuity als Begriff im Recht BC-Aspekte in vorhandenen Gesetzen und Normen? Studie: Schutz kritischer Infrastrukturen (KRITIS) als Aufgabe des Staates Holznagel/Koenig, Gutachten zur rechtlichen Analyse des Regelungsumfangs zur IT-Sicherheit in kritischen Infrastrukturen. Bestandsaufnahme und Gutachten im Auftrag des BSI von 2002, überarbeitet 2005 Über 650 Gesetze/Verordnungen bzgl. Schutz kritischer Infrastrukturen ausgewertet Ergebnisse Studie: kein BKM-Gesetz /allgem. Legaldefinition von BC vorhanden unüberschaubare Vielzahl von Regelungen mit Bezug zu KRITIS, unterschiedliche Rechtsqualität der Regelungen viele sektorspezifische Regelungen, z.b. Pflicht zur Notfallvorsorge (MaRisk, TKG), manche Regelungen gelten nur für den Verteidigungsfall, aber kaum BC-Querschnittsnormen, Ausnahme: Pflicht zum Risikomanagement (AktG) Folge: Gesetzgeber ist sensibilisiert, BSI befasst sich mit KRITIS BC: Es ist zu erwarten, dass immer mehr staatliche Vorgaben BC- Aspekte berücksichtigen werden Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 5
Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 6
2. Rechtliche Grundlagen Gesetzliche Anforderungen Gesetze, Verordnungen = abstrakt-generelle Anforderungen wirken oft indirekt, indem sie Anforderungen an allgemeine Sorgfaltspflichten aufstellen (z.b. Unternehmensleitung: 91 Abs. 2 AktG, 43 GmbHG) enthalten aber nur selten Anweisungen zur konkreten Umsetzung keine/kaum Rechtsprechung zu BC (vereinzelt zum Teilaspekt IT-Sicherheit) Verwaltungsvorschriften, Verwaltungshandeln interne Organisation der Verwaltung, grundsätzlich keine Außenwirkung Gesetzliche und vertragliche Obliegenheiten nicht selbständig einklagbar, sondern bloße Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können. insbesondere im Versicherungsvertragsrecht / VVG Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 7
2. Rechtliche Grundlagen Richtlinien und Standards haben keinen Rechtscharakter, i.d.r. nicht unmittelbar durchsetzbar. es gibt wenig technische Gesetzgebung in dem Sinne, dass BC-Verfahren, -Standards und -Einrichtungen konkret vorgeschrieben sind liefern Hinweise für die praktische Umsetzung von BC-Anforderungen Interpretationshilfe zur Auslegung von abstrakten gesetzlichen Vorgaben, Indiz für Anwendung angemessener Sorgfalt/angemessene Maßnahmen z.b. Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters ( 93 Abs. 1 AktG), oder die Sorgfalt eines ordentlichen Geschäftsmannes ( 43 Abs. 1 GmbHG) Sonderfall: öffentliche Vergabeverfahren Richtlinien, Standards und entsprechende Zertifizierungen werden immer öfter als Wertungskriterien und Vertragsbestandteile verwendet entfalten damit (zumindest für die Bieter) faktisch eine Bindungswirkung 7 Nr. 4 VOL/A: Nachweis der Fachkunde, Leistungsfähigkeit und Zuverlässigkeit Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 8
2. Rechtliche Grundlagen Sonderfall: Aufsicht im Banken- und Finanzdienstleistungssektor durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KWG und WpHG enthalten Generalklauseln, die mittelbar auch BC-spezifische Organisationspflichten für die erfassten Institute begründen BaFin konkretisiert diese in Form behördlicher Rundschreiben, Verlautbarungen bzw. Richtlinien diese beschreiben die Anforderungen der BaFin an BC-Maßnahmen, z.b. in den Rs. 11/2001 (Auslagerung) und Rs. 18/2005 (MaRisk) grundsätzlich keine Außenwirkung, da i.d.r. nicht in Form eines VA oder Allgemeinverfügung usw. ergehend KWG räumt BaFin aber weitgehende Befugnisse ein (z.b. 6, 34, 36 KWG) BaFin misst und prüft Institute an diesen Anforderungen, auch inhaltliche Prüfung der Auslagerungsverträge (Anzeigepflicht, 20 AnzVO) Daher: Faktischer Zwang zur Umsetzung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 9
Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 10
3.1 Datenschutz und Datensicherheit BDSG Querschnittsgesetz, daneben sektorspezifische Datenschutznormen 9 BDSG i.v.m. der zugehörigen Anlage enthält allgemeine, technischorganisatorische Anforderungen zum Schutz von personenbezogenen Daten wichtige gesetzgeberische Vorgabe für die Bestimmung einer angemessenen Einrichtung von IT-Systemen, soll damit (auch) BC im weiteren Sinne gewährleisten Konzepte sind insbesondere im Hinblick auf Datensicherheit auch allgemein gültig ( good practice ), z.b. Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle Regelung zu BC im engeren Sinne in Nr. 7 der Anlage zu 9 BDSG: zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)... BC: Anforderungen der Anlage zu 9 BDSG müssen konkret umgesetzt werden, z.b. durch Datensicherheitskonzept Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 11
3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 91 Abs. 2 AktG: ist nach allg. Ansicht jedenfalls sinngemäß auf die GmbH anwendbar und über Ausstrahlungswirkung auch auf andere Gesellschaftsformen Zweck: Risikomanagement allgemeiner betrieblicher Risiken anordnen Pflicht zur Schaffung eines internen Überwachungs- und Frühwarnsystems Identifizierung Unternehmenskritischer Systeme, z.b. in Produktion, Verwaltung, Buchführung. Auch (aber nicht nur!) IT-spezifische Risiken typischerweise: Produktionsanlagen, Energieversorgung, F&A-Systeme, ERP, Logistik BC: Geschäftsleitung muss über alle für das Unternehmen relevanten Risiken umfassend und rechtzeitig informiert sein Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 12
3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 93 Abs. 1 AktG: Pflicht zur Schaffung einer Datenbasis als Entscheidungsgrundlage Wurden Risiken erkannt ( 91 Abs. 2), muss die Unternehmensleitung entsprechende Maßnahmen zu ergreifen um Pflichtverletzung zu vermeiden, z.b. Verfahren einzurichten und Zuständigkeiten zu bestimmen. Basel II Rating : zentrales Entscheidungskriterium, ob ein Unternehmen und, wenn ja, zu welchen Konditionen Kredite bekommt Ermittlung der im Unternehmen vorhandenen Risiken unter dem Gesichtspunkt des sich daraus ergebenden Schuldnerausfallrisikos Sicherheit der unternehmensbezogenen Daten ist zu gewährleisten. Wurde ausreichende Notfallvorsorge getroffen? Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 13
3.3 Buchhaltung, Rechnungslegung, Prüfung HGB, GoB, GoBS, GDPdU: BC im weiteren Sinne immer mehr Informationen und Dokumente entstehen nur noch in digitaler Form und sind nicht mehr für eine Präsentation in Papierform ausgelegt Aber: elektronisch gespeicherte Daten sind i.d.r. sehr flüchtig Grundsatz: elektronisch durchgeführte Buchführung muss Gegenstand der Buch- und Steuerprüfung sein können = verbindlich, verfügbar (innerhalb angemessener Frist lesbar). Gesetzliche Anforderungen konkretisiert in: GoB: Grundsätze ordnungsgemäßer Buchführung (GoB) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS): Regeln zur Buchführung mittels Datenverarbeitungssystemen Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU): Finanzamt muss auf elektronischem Weg Einsicht in die EDV-Buchführung nehmen können Zukünftig: International Financial Reporting Standards (IFRS) BC: Unternehmen muss geeignete Vorkehrungen treffen, dass die vom FA geforderten Daten verfügbar sind (BC im weiteren Sinne) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 14
3.4 Sektorspezifisch: Banken und Finanzdienstleister Outsourcing-Rundschreiben der BaFin (RS 11/2001 v. 6.12.2001) TZ 40: Das auslagernde Institut muss eine ordnungsgemäße Fortführung der Geschäfte im Notfall jederzeit gewährleisten. Die festzulegenden Sicherheitsmaßnahmen müssen insbesondere Regelungen enthalten, welche die Weiterführung des ausgelagerten Bereichs sicherstellen, falls das Auslagerungsunternehmen verhindert ist, seine Leistung zu erbringen. Dem Umstand, dass andere Auslagerungsunternehmen als Ersatz nicht zur Verfügung stehen, ist durch geeignete Vorkehrungen Rechnung zu tragen. Anforderungen an den Auslagerungsvertrag, u.a.: Notfallvorsorge, um Fortführung der Geschäfte sicherstellen Regelungen zum (temporären) Austausch eines Dienstleisters, Lösungsrecht, Herausgabepflichten Vorkehrungen bei nicht ersetzbaren Dienstleistern vorsehen = Redundanzen vorhalten, Rückübernahme der Leistungen durch Bank BC: als roter Faden auch für andere Unternehmen nutzbar Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 15
3.4 Sektorspezifisch: Banken und Finanzdienstleister Mindestanforderungen an das Risikomanagement (MaRisk) RS 18/2005 v. 20.12.2005 AT 7.2 Technisch-organisatorische Ausstattungm TZ 2: Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT- Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. [...] Laut BaFin kommen als geeignete Standards in Frage: z.b. das IT-Grundschutzhandbuch des BSI z.b. ISO 17799, demnächst auch BS 25999? Aber: grundsätzlich... gängige Standards bedeutet keinen Zwang zur Verwendung von Standards; Eigenentwicklungen sind grundsätzlich ebenso möglich (und notwendig, wo Standards nicht ausreichen) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 16
3.4 Sektorspezifisch: Banken und Finanzdienstleister AT 7.3 Notfallkonzept (1) Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. (2) Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen. BC: AT 7.3 enthält die Mindestanforderungen der BaFin im Hinblick auf Business Continuity Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 17
3.5 Sektorspezifisch: Telekommunikation TKG verpflichtet TK-Anbieter explizit zur Einführung von Business Continuity Management (auch wenn es nicht explizit so genannt wird) TKG 2004: 109 Technische Schutzmaßnahmen, Abs. 3: Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat [...] ein Sicherheitskonzept zu erstellen, aus dem hervorgeht, [...] 2. von welchen Gefährdungen auszugehen ist und 3. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen [...] getroffen oder geplant sind [...] Telekommunikationsnetzwerke als kritische Infrastruktur: Gesetz zur Sicherstellung des Postwesens und der Telekommunikation (PTSG),. 9 Abs. 2: 1.die Anordnung baulicher Maßnahmen zum Schutz von Anlagen oder Einrichtungen sowie zum Schutz solcher Beschäftigter der genannten Unternehmen, die [...] zur Aufrechterhaltung des Betriebes [...] unerläßlich sind, 2.Maßnahmen zum betrieblichen Katastrophenschutz... Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 18
3.6 Sektorspezifisch: Energieversorger Sonderfall: Energieversorgungsunternehmen (EVU) Energiewirtschaftsgesetz: Sicherstellung der Versorgung der Bevölkerung mit Strom und Gas 13 Abs. 7 EnWG: Zur Vermeidung schwerwiegender Versorgungsstörungen haben Betreiber von Übertragungsnetzen jährlich eine Schwachstellenanalyse zu erarbeiten und auf dieser Grundlage notwendige Maßnahmen zu treffen. [...] 16 Abs. 5 EnWG enthält ähnliche Regelung für Betreiber von Fernleitungsnetzen 52 EnWG: Pflicht, der Bundesnetzagentur kalenderjährlich Bericht über Versorgungsstörungen zu erstatten sowie Pflicht, die getroffenen Maßnahmen zur Vermeidung künftiger Versorgungsstörungen darzulegen Begriff der Versorgungssicherheit im Energiewirtschaftsgesetz (EnWG) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 19
3.6 Sektorspezifisch: Energieversorger Störfallverordnung (StörV): gilt für alle Betriebe (z.b. Produktionsanlagen, Lager), in denen gefährliche Stoffe oberhalb einer sog. Mengenschwelle vorhanden sind. 3 Abs. 1 StöV: Der Betreiber hat die nach Art und Ausmaß der möglichen Gefahren erforderlichen Vorkehrungen zu treffen, um Störfälle zu verhindern [...] 8 Abs. 1 StöV: Der Betreiber hat vor Inbetriebnahme ein schriftliches Konzept zur Verhinderung von Störfällen auszuarbeiten [...] 10 Abs. 1 StöV: Vor der erstmaligen Inbetriebnahme... hat der Betreiber (1) interne Alarm- und Gefahrenabwehpläne zu erstellen... BC: StöV schützt vor allem die Allgemeinheit vor den von einem Betrieb ausgehenden Gefahren, nicht jedoch den Betrieb selbst! Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 20
Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 21
4. Adressaten von BC-Anforderungen Primär: Unternehmensleitung Vorstand ( 93 Abs. 1), Geschäftsführer ( 43 Abs. 1 GmbhG) wesentliche, nicht delegierbare Aufgabe, auch wenn tatsächliche Umsetzung durch Mitarbeiter oder Dritte erfolgt erfolgt BC: Unternehmensleitung muss sich mit dem Thema BC befassen Kontrolle: Unternehmensaufsicht insbesondere: Aufsichtsrat, der die dem Vorstand obliegende Geschäftsführung zu überwachen hat, 111 Abs. 1 AktG, gilt analog für Aufsichtsrat der GmbH Trend: Gesetzgeber erweitert Rechte und Pflichten (TransPuG, DCGK) BC: Überwachung der Unternehmensleitung in dem Ausmaß, in dem diese zur Gewährleistung von BC verpflichtet ist Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 22
4. Adressaten von BC-Anforderungen Unternehmensmitarbeiter BC als Teil arbeitsvertraglicher Pflichten insbesondere leitende Mitarbeiter, z.b. CIO. Zunehmendes Problem: Whistleblowing BC: Stellenbeschreibung/Weisungen des AG und umgekehrt Risiko- und Gefahr-Mitteilungen des AN an AG dokumentieren Aufsichtsbehörden kontrollieren die Einhaltung des öffentlichen Ordnungsrahmens, z.b. BaFin, DSB samt Behördenunterbau, DS-Aufsicht ( 38 BDSG) aufgrund der häufigen Verwendung von unbestimmten Rechtsbegriffen in Generalklauseln können sich andere Aufsichtsbehörden zuständig fühlen z.b. 35 GewO ( Unzuverlässigkeit ) => Gewerbeaufsichtsbehörde BC: Beobachtung (und Beachtung!) der von den Aufsichtsbehörden allgemein ergriffenen Aufsichtsmaßnahmen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 23
4. Adressaten von BC-Anforderungen Externe (IT-)Dienstleister BC-Anforderungen adressieren Dienstleister oft nicht, er muss vertraglich zur Einhaltung verpflichtet werden (anders aber z.b. KWG) Vertragsbestandteile: Einfügen in Notfallplanung des Unternehmens, gemeinsame Übungen Möglichkeit zur Überwachung des Dienstleisters Mitsprache bei Auswahl von Subunternehmern und Verlagerung über Landesgrenzen hinweg (Offshore-Subunternehmer) Einsichtsrecht in die Notfallplanung des Dienstleisters Verpflichtung, Pläne regelmäßig zu aktualisieren Bei Transition: ab wann wird Dienstleister für Notfallplanung verantwortlich? Häufiger Konflikt: wer sorgt für (und bezahlt!) Anpassungen des Notfallplans? Unternehmen ist letztlich der Verpflichtete, Dienstleister hat (insbesondere beim IT- Outsourcing i.d.r. die bessere Sachkunde BC: Unternehmen behält eine nicht delegierbare Letztverantwortung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 24
Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 25
5. Drohende Sanktionen, Haftungsrisiken Zivilrechtliche Folgen: Haftung der Unternehmensleitung/Unternehmensaufsicht (Schadensersatz) bei Pflichtverletzung, z.b. 93 Abs. 2, 116 Abs. 1 AktG Nachteile für das Unternehmen, auch immaterielle (Imageschaden) aus Organisationsverschulden, auch: Zurechnung eines Mitverschuldens aus Vertrag => Vertretenmüssen der Nichterfüllung umfasst auch Haftung für Erfüllungsgehilfen/Subunternehmer unvorhergesehene Kosten höhere Refinanzierungskosten bei schlechtem Risiko (Basel II) Verzugsschadenshaftung/Vertragsstrafen gegenüber Kunden bei Ausfall der Produktion Arbeitnehmer: fristlose Kündigung kann drohen Strafrechtliche Folgen: StGB eher nicht, aber Straftatbestände z.b. im BDSG, KWG, AktG, HGB aber praktisch wohl selten relevant Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 26
5. Drohende Sanktionen, Haftungsrisiken Öffentlich-rechtliche Sanktionen Haftung ( 7 BDSG), Bußgeld ( 43 BDSG) Ordnungswidrigkeit z.b. 130 Abs. 1 OWiG bei Verletzung der Aufsichtspflicht Gewerberechtliche Unzuverlässigkeit ( 35 GewO) z.b. Androhung der Gewerbeuntersagung wegen Unzuverlässigkeit Bankaufsichtliche Maßnahmen, Bußgeld ( 56 KWG) z.b. 6 Abs. 3 KWG: Anordnungsbefugnis der BaFin Ausschluss von öffentlichen Vergabeverfahren Verlust von Versicherungsschutz Obliegenheitsverstoß kann Versicherungsschutzverlust zur Folge haben Verstoß gegen die Pflicht, den Versicherer über alle bekannte Umstände (lies: die bekannt sein müssen), die für den Versicherer von Bedeutung sind, zu informieren. Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 27
Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 28
6.1 Gewährleistung durch das Unternehmen Business Continuity als Teil allgemeiner (IT-)Compliance Gewährleistung von Business Continuity als Teil allgemeiner Compliance- Anforderungen muss dokumentiert und nachgewiesen werden Festlegen, wer konkret für die Ermittlung und Beobachtung der einschlägigen Business Continuity Anforderungen verantwortlich ist BC: Risikobestimmung/Bestandsaufnahme als erste Maßnahme Business Continuity ist ein Zustand, kein Ziel Geschäftsrisiken, Umwelt und IT-Systeme ändern sich ständig Notfallvorsorge als Teil des Arbeitsalltags der Adressaten, Teil der Abläufe im Unternehmen Unternehmen muss intern und in Verträgen für Aktualisierung/Änderungsverfahren sorgen Ausgestaltung angemessen im Hinblick auf den Unternehmensgegenstand sowie die Kritikalität und typisches Betriebsrisiko der (IT-)Systeme BC: Risikovorsorge ist kontinuierlicher Prozess Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 29
6.1 Gewährleistung durch das Unternehmen Bedeutung von Standards können bei Umsetzung einzelner Anforderungen hilfreich sein sind häufig unter Beteiligung von Praktikern bzw. der jeweiligen Interessengruppen geschrieben, oft mit Handlungsempfehlungen z.b. BS 7799/DIN 17799, DIN/ISO 27001:2005, PAS 56/BS 25999-1 (2006), 25999-2 (2007) Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW) z.b. IDW PS-330: Orientierung an den Standards anhand derer geprüft wird Zertifizierungen sind oft nur stichtagsbezogen, unterschiedliche Schwerpunkte (Prozesse/Kontrollen) erlauben oft keine historische Betrachtung kein Beweis für genügende Risikovorsorge, aber Indikator für das Maß der Pflichterfüllung => Erleichterung des Entlastungsbeweises ( 93 AktG!) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 30
6.1 Gewährleistung durch das Unternehmen Sorgfalt der Unternehmensleitung (nicht nur) bei Übernahmen: Due Diligence-Prüfung des zu übernehmenden Unternehmens auch im Hinblick auf Business Continuity Prüfung insbesondere der Produktions- und IT-Systeme Auch: interne Due Diligence als Vorbereitung auf Übernahme/Verkauf Zweck: Abwehr späterer Gewährleistungsansprüche, Beeinflussung der Preisverhandlungen durch Risikoschwachpunkte umfassende Environmental Due Diligence : Ermittlung und Bewertung lagebezogener Risiken für das Unternehmen: Umwelteinflüsse, öffentliche und private Infrastruktur, lokale Märkte Frage: sind aktuelle und zukünftige [Umwelt] Kostenrisiken des Zielobjektes im aktuellen Business Continuity Plan berücksichtigt? wichtig insbesondere bei ortsgebundenen Produktionsbetrieben und bei cross-border/offshore outsourcing/bpo Projekten Dann: Umsetzung von Maßnahmen zur Risikosteuerung und -minderung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 31
6.2 Gewährleistung durch Dritte Kritisch: Gestaltung des Vertrags mit Dienstleister(n) insbesondere: bei Outsourcing/BPO Ermittlung und Umsetzung der BC-Anforderungen des Unternehmens häufig umstritten, da zwar Aufgabe der Unternehmensleitung, andererseits Wissensvorsprung des Dienstleisters Leistungsbeschreibung/Änderungsverfahren Aber: Was ist neu, was Teil des vertraglich vereinbarten Leistungsumfangs? oft streitig: wer trägt Risiko der Änderung von Rahmenbedingungen? Business continuity bei Force Majeure Situationen Anpassung bestehender Notfallkonzepte bei Einsatz eines Dienstleisters oft streitig: wie mit einer force majeure Situation umgehen? 275 BGB passt oft nicht Nach Vertragsschluss: Management der Beziehung Steuerung, Überwachung, Prüfung des Dienstleisters Abgleich mit eigenen Vorkehrungen, gemeinsame Übungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 32
Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 33
7. Fazit und Ausblick Risikovorsorge und Business Continuity sind ständige Pflichtaufgaben der Unternehmensleitung, insbesondere: realistische Einschätzung der aus IT-Systemen erwachsenden Risiken Einführung geeigneter Kontrolle- und Überwachungssysteme Planung und Vorhalten von Vorsorgemaßnahmen... sonst drohen erhebliche juristische und ökonomische Nachteile Unternehmensleitung muss bei BC für enge Zusammenarbeit aller technischen und rechtlichen Einheiten des Unternehmens sorgen: möglichst umfassende Abdeckung des rechtlich Erforderlichen durch das technisch Machbare zu ökonomisch vertretbaren Bedingungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 34
7. Fazit und Ausblick Zunehmende Bedeutung von IT-(Betriebs-)Sicherheit Immer mehr elektronische Dokumente, Geschäftsprozesse, Werte BC: Unternehmensleitung muss verstärkt IT-Sicherheit kontrollieren Zunehmende Abhängigkeit von eigenen/fremden IT-Systemen Risikovorsorge ist nur so gut wie das schwächste Teilglied/Notfallkonzept BC: Unternehmensleitung muss Risiken ganzheitlich Betrachten Zunehmende Bedeutung von BC Standards Zunehmende Pflichtenanspannung der Unternehmensleistung erfordert Umsetzung von BC-Anforderungen in genormter Qualität BC: Einhaltung von Standards kann Indiz für pflichtgemäßes Verhalten sein, beweist es aber nicht Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am 26.09.2006 Seite 35