Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen

670 views

Published on

Published in: Law
  • Login to see the comments

  • Be the first to like this

IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen

  1. 1. IT-RECHTLICHE ANFORDERUNGEN – HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014
  2. 2. Agenda I. Begriffe II. Anwendbare Rechtsvorschriften III. Wer haftet eigentlich? IV. Praxisbeispiele © TCI Rechtsanwälte 2014 2
  3. 3. I. BEGRIFFE © TCI Rechtsanwälte 2014 3
  4. 4. Begriffe • Compliance = „Befolgung“ • Einhaltung von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln im Unternehmen • Einrichtung und Dokumentation von Kontroll- und Steuerungsprozessen • Ziel ist das „vollständig regelkonforme Unternehmen“ • z.B. Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären • Aber auch das Compliance-Programm selbst muss den gesetzlichen Anforderungen genügen • IT-Compliance und Datenschutz bedingen sich oft gegenseitig • Europäische Datenschutz-Grundverordnung soll die drohenden Sanktionen bei Datenschutzverletzungen massiv verschärfen © TCI Rechtsanwälte 2014 4
  5. 5. Begriffe • IT-Compliance = Regelkonforme IT-Systeme • „Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.“ (§ 2 Abs. 2 BSIG) • IT-Compliance bedeutet Risikovermeidung • Datenschutz und Datensicherheit bedeutet Daten vor Zugriffen Dritter schützen © TCI Rechtsanwälte 2014 5
  6. 6. II. ANWENDBARE RECHTSVORSCHRIFTEN © TCI Rechtsanwälte 2014 6
  7. 7. Anwendbare Rechtsvorschriften • Internationale Vorschriften (Auswahl) • Basel II-Abkommen: • Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. • Regeln müssen gemäß den EU Richtlinien 2006/48/EG und 2006/49/EG seit dem 1. Januar 2007 in den Mitgliedsstaaten der EU für alle Kredit- und Finanzdienstleistungsinstitute angewendet werden. • In Deutschland Umsetzung durch Kreditwesengesetz, Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). • Sarbanes-Oxley Act (SOX): • 2002 verabschiedet - Regelung von internen Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen und Anforderungen an das interne Kontrollsystem für die Finanzberichterstattung • Solvency II: • Richtlinie des Europäischen Parlaments und des Rates betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit • wie bei Basel II soll eine Erweiterung des Risikomanagements erreicht werden © TCI Rechtsanwälte 2014 7
  8. 8. Anwendbare Rechtsvorschriften • Nationale Vorschriften (Auswahl) • Kreditwesengesetz • Gesetz zur Kontrolle und Transparenz im Unternehmensbereich • GoBS, GDPdU • Bundesdatenschutzgesetz • Telekommunikationsgesetz • Strafgesetzbuch • Versicherungsvertragsgesetz • Verwaltungsvorschriften, Verwaltungshandeln • Richtlinien und Standards • Allg. zivilrechtliche Verpflichtungen (z.B. aus Verträgen mit Kunden, aus Versicherungsverträgen, Deliktische Haftung gegenüber Dritten) © TCI Rechtsanwälte 2014 8
  9. 9. III. WER HAFTET? © TCI Rechtsanwälte 2014 9
  10. 10. Grundsätze der Haftung • Grundsatz: Haftung für Vorsatz und Fahrlässigkeit • Bei Delegation an Dienstleister: Verpflichtung zur sorgfältigen Auswahl und Beaufsichtigung • ggf. muss beim mangelnder eigener Fachkunde ein externer Berater für die Auswahl und Aufsicht herangezogen werden • interne Beauftragte müssen mit ausreichenden sachlichen und personellen Kapazitäten ausgestattet sein • bei externe Beauftragten muss sich die Geschäftsleitung von solchen Kapazitäten sorgfältig überzeugen • Beauftragter muss mit allen notwendigen Informationen versorgt © TCI Rechtsanwälte 2014 10 werden
  11. 11. Haftung des Unternehmens • Haftung des Unternehmens für Ordnungswidrigkeiten • Bußgeld- und Strafvorschriften (z.B. aus dem BDSG, © TCI Rechtsanwälte 2014 11 UrhG, StGB) • Geldstrafen bis zu 1 Million Euro • Schadensersatzansprüche gegen das Unternehmen • § 823 BGB: Eigentumsschäden durch Datenverlust, • Störung des Gewerbebetriebs Dritter • Schädigung der IT-Infrastruktur Dritter • Z.B. durch Versand von Viren, DOS-Attacken/Spam-Versand durch Unternehmensrechner • Bei Verschulden Schadensersatz (z.B. für Datenverlust, Mehraufwand etc.)
  12. 12. Haftung des Unternehmens • Auch ohne Verschulden Unterlassungsansprüche Dritter • Weitere Folgen: • Verweigerung des Bestätigungsvermerks durch © TCI Rechtsanwälte 2014 12 Wirtschaftsprüfer • Ratingprobleme (Basel II)  Bessere IT > Besseres Rating > Weniger Eigenkapitalbedarf > günstigerer Kredit • Verlust des Versicherungsschutzes  Versicherer knüpfen den Schutz an Beachtung von Obliegenheitspflichten • Abmahnung wegen Wettbewerbsverstoß • Imageschaden bei Datenschutzverstößen
  13. 13. Haftung des Unternehmens Veröffentlich am 12.10.2012 in Welt und Frankfurter Rundschau Kosten der Veröffentlichung ca. 25.000 – 30.000 € Imageschaden XXX € © TCI Rechtsanwälte 2014 13
  14. 14. Haftung der Geschäftsleitung • Mitglieder der Geschäftsführung (§ 43 GmbHG / § 93 Abs. 2 AktG) • Sorgfaltspflichten • Leitungspflichten • Vermögensbetreuungspflicht • Überwachungspflichten • Pflicht zur ordnungsgemäßen Geschäftsführung • Unternehmerische Entscheidungen im Kernbereich • Selbst und höchstpersönlich • Delegation nur teilweise möglich • Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten (§§ 239, 261 HGB) © TCI Rechtsanwälte 2014 14
  15. 15. Haftung von Mitarbeitern • EDV-Leiter / Administrator • Persönliche Haftung aus: • Arbeitsvertrag - Gesteigerte vertragliche Pflicht zur Wahrung von Sicherheitsinteressen • „Delikt“ (§ 823 BGB) • Strafrecht • BDSG (Bayern: Bußgeld wegen offenem E-Mail-Verteiler) • Schadensersatzhaftung • Bei leichter Fahrlässigkeit: Keine Haftung • Bei mittlerer Fahrlässigkeit: Quotale Schadensteilung • Bei grober Fahrlässigkeit und Vorsatz: In der Regel volle Haftung; anders u.U. bei groben Missverhältnis zwischen Verdienst und Schaden © TCI Rechtsanwälte 2014 15
  16. 16. IV. PRAXISBEISPIELE © TCI Rechtsanwälte 2014 16
  17. 17. Praxisbeispiele • Interne Ermittlungen führen zu Datenschutzverstößen • Einsichtnahme und Auswertung von Mitarbeiter E-Mails • IT-Forensische Untersuchungen / Screenings • Information der Betroffenen • Regelungen zum Zugriff auf relevante Daten • Ist Einbindung des Datenschutzbeauftragten sichergestellt • Vernichtung von Ermittlungsergebnissen • Rechtslage bei Cloud-Lösungen • Mitarbeiter lässt Notebook im Zug liegen • „Stromsparmaßnahmen“ sorgen für Abschaltung des Stroms im © TCI Rechtsanwälte 2014 17 Serverraum • Sekretärin soll tägliche Datensicherung manuell vornehmen. Sie sichert nur „ab und zu“, da ja „nie etwas passiert“. • Mitarbeiter nutzen Dropbox / Geschäftsführung nutzt Evernote
  18. 18. Geschafft… noch Fragen? Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de © TCI Rechtsanwälte Mainz 2014 18

×