130 likes | 312 Vues
Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen. Hallo. 3. Bayerischer IT-Rechtstag im Künstlerhaus in München 21. Oktober 2004. Prof. Dr. Dirk Heckmann Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht. Universität Passau. Einleitung
E N D
Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen Hallo 3. Bayerischer IT-Rechtstag im Künstlerhaus in München 21. Oktober 2004 Prof. Dr. Dirk Heckmann Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht Universität Passau
Einleitung • Haftungsrisiken und Sanktionen • Ausgewählte Rechtsfragen • Ausblick • Zum Einstieg: OLG Hamm, MMR 2004, 487 • IT-Sicherheit als Rechtsbegriff • Akteure und Adressaten der IT-Sicherheitsgewährleistung • Rechtssicherheit und IT-Sicherheit: Der rechtliche Rahmen • Zivilrechtliche Haftung • Öffentlich-rechtliche Sanktionen • Exkurs: Ökonomische Nachteile • IT-Sicherheit als datenschutzrechtliches Postulat • IT-Sicherheit als gewerberechtliche Zuverlässigkeitsanforderung • Risikofrüherkennung als Unternehmenspflicht • IT-Sicherheitsgewährleistung: Qualitätsmaßstäbe, Realisierungshürden, Kostenfaktor • IT-Sicherheitsbeauftragte: Entlastung, Risikominimierung, Haftungsfreistellung • Prof. Dr. Dirk Heckmann 2/12
Zum Einstieg: OLG Hamm, MMR 2004, 487 § 254 Abs. 1 BGB: „überdeckendes Mitverschulden“ „Im gewerblichen Anwendungsbereich stellt eine zuverlässige, zeitnahe und umfassende Datensicherung eine Selbstverständlichkeit dar“ ??? Verantwortungsbereich ??? Schadensursächlich ist eine unterlassene Datensicherung - § 280 Abs. 1 BGB § 631 Abs. 1 BGB + • Prof. Dr. Dirk Heckmann 3/12
„Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet eine Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheitoder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von Informations- technischen Systemen oder Komponenten.“ Schutz vor Schutzrichtung • Informationsverlust • Informationssperre Legaldefinition gem. § 2 Abs. 2 BSIG: • Informationsentwertung Verbindlichkeit Zurechenbarkeit Verantwortlichkeit • Prof. Dr. Dirk Heckmann 4/12 IT-Sicherheit als Rechtsbegriff • Informationsveränderung • Informationsausspähung
Drittbeauftragte Unter- nehmens- aufsicht Behörden z.B. Aufsichtsrat Unternehmensleitung z.B. Vorstand (AG), Geschäftsführer (GmbH) Unternehmensmitarbeiter Leitende Angestellte z.B. Prokuristen Mitarbeiter z.B. Administratoren Kunden Geschäftspartner • Prof. Dr. Dirk Heckmann 5/12 Akteure und Adressaten der IT-Sicherheitsgewährleistung
IT-Sicherheit zwischen Akzeptanzfaktor und Haftungsrisiko Akzeptanzrisiko Haftungsrisiko Gewährleistung gesetzgeberische Tätigkeit im bereichsspezifischen Datenschutz zahlreiche organisatorische und technische Pflichten Novellierung des BDSG Unternehmensseriosität KonTraG • Prof. Dr. Dirk Heckmann 6/12
IT-Sicherheit: Pflichten und Obliegenheiten Zunahme der Verbindlichkeiten allg. Sorgfaltspflichten konkrete Leistungspflichten Direkt normierte rechtliche Pflichten • Rechtsverlust • nicht dispositiv • einklagbar z.B. § 242 BGB Gesetzliche Obliegenheiten • Rechtsverlust • nicht dispositiv • nicht einklagbar aus Vertrag Vertragliche (Neben-) Pflichten • Rechtsverlust • dispositiv • einklagbar i.R.d. Vertrages über Versicherungs- Schutz aus § 6 VGG Vertragliche Obliegenheiten • Rechtsverlust • aber dispositiv • nicht einklagbar IT-Grundschutzhandbuch des BSI Indirekt normierte rechtliche Pflichten • fakultativ • nahezu sanktionslos • Prof. Dr. Dirk Heckmann 7/12
Haftungsrisiken und Sanktionen Zivilrecht Öffentliches Recht finanzielle Einbußen Einschränkung der Handlungsfreiheit Nachteile aus Ob-liegenheitsverletzung Sonstige Nachteile • Prof. Dr. Dirk Heckmann 8/12 Schadensersatz Geldbuße, Geldstrafe Wettbewerbsrechtliche Abmahnung Gewerberechtliche Aufsichtsmaßnahme Verlust von Versicherungsschutz Nichtberücksichtigung bei öff. Auftragsvergabe Herabstufung in Bonität Verweigerung des Wirtschaftsprüfer - Testats
Kaufmännische Sorgfalt Gewerberechtliche Zuverlässigkeit IT-Sicherheit Öffentlich-rechtliches Unternehmensrecht Zivilrechtliches Unternehmensrecht Maßstäbe ? Öffentliches Datensicherheitsrecht Ziviles • Prof. Dr. Dirk Heckmann 9/12 IT-Sicherheit und unternehmerische Verantwortung
Auf dem Weg zum IT-Sicherheits-GAU Rechtsun- sicherheit Fehlen einer integrierten Sicherheits- architektur Faktor Mensch knappe Budgets fehlendes technisches Know How fortschreitende betriebswirtschaftliche Notwendigkeit einer IT-Nutzung im Unternehmen • Prof. Dr. Dirk Heckmann 10/12 Komplexität der IT-Systeme unter permanenten Technologiewandel
Der IT-Sicherheitsbeauftragte Unternehmen nutzt entlastet delegiert Kunden überwacht partizipieren IT-Sicherheitsbeauftragter IT-System Geschäftspartner reguliert (erstellt) Sicherheitskonzept • Prof. Dr. Dirk Heckmann 11/12 vertrauen
Univ.-Prof. Dr. jur. Dirk Heckmann Mitglied des Bayerischen Verfassungsgerichtshofes Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht Innstraße 40 94032 Passau Tel.: 0851 / 509-2291 Fax: 0851 / 509-2292 Mail: heckmann@uni-passau.de Internet: http://www.mein-jura.de Vielen Dank für Ihre Aufmerksamkeit Tschüss • Prof. Dr. Dirk Heckmann 12/12