Rechtspflichten zur Gewährleistung von IT-Sicherheit
im Unternehmen
3. Bayerischer IT-Rechtstag im Künstlerhaus in München
21. Oktober 2004
Prof. Dr. Dirk HeckmannLehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht
Universität Passau
Hallo
I. Einleitung
II. Haftungsrisiken und Sanktionen
III. Ausgewählte Rechtsfragen
IV. Ausblick
1. Zum Einstieg: OLG Hamm, MMR 2004, 4872. IT-Sicherheit als Rechtsbegriff3. Akteure und Adressaten der IT-Sicherheitsgewährleistung4. Rechtssicherheit und IT-Sicherheit: Der rechtliche Rahmen
1. IT-Sicherheitsgewährleistung: Qualitätsmaßstäbe, Realisierungshürden, Kostenfaktor2. IT-Sicherheitsbeauftragte: Entlastung, Risikominimierung, Haftungsfreistellung
1. Zivilrechtliche Haftung2. Öffentlich-rechtliche Sanktionen3. Exkurs: Ökonomische Nachteile
1. IT-Sicherheit als datenschutzrechtliches Postulat2. IT-Sicherheit als gewerberechtliche Zuverlässigkeitsanforderung3. Risikofrüherkennung als Unternehmenspflicht
2/12© Prof. Dr. Dirk Heckmann
§ 254 Abs. 1 BGB:„überdeckendesMitverschulden“
§ 280 Abs. 1 BGB
???
Schadensursächlichist eine unterlassene
Datensicherung
??? Verantwortungsbereich
„Im gewerblichen Anwendungsbereich stellteine zuverlässige, zeitnahe und umfassende
Datensicherung eine Selbstverständlichkeit dar“
§ 631 Abs. 1 BGB
- +
Zum Einstieg: OLG Hamm, MMR 2004, 487
3/12© Prof. Dr. Dirk Heckmann
IT-Sicherheit als Rechtsbegriff
„Sicherheit in der Informationstechnik im Sinnedieses Gesetzes bedeutet eine Einhaltungbestimmter Sicherheitsstandards, die die
Verfügbarkeit,
Unversehrtheit oder
Vertraulichkeit
von Informationen betreffen, durchSicherheitsvorkehrungen
1. in informationstechnischen Systemen oder Komponenten oder2. bei der Anwendung von Informations- technischen Systemen oder Komponenten.“
Legaldefinition gem. § 2 Abs. 2 BSIG:Schutzrichtung
Schutz vor
• Informationsverlust• Informationssperre
• Informationsveränderung
• Informationsausspähung
• Informationsentwertung
Zurechenbarkeit Verantwortlichkeit
Verbindlichkeit
4/12© Prof. Dr. Dirk Heckmann
Akteure und Adressaten der IT-Sicherheitsgewährleistung
Geschäftspartner
Unter-nehmens-aufsicht
z.B. Aufsichtsrat
Unternehmensleitung
Unternehmensmitarbeiter
z.B. Vorstand (AG), Geschäftsführer (GmbH)
Leitende Angestellte z.B. Prokuristen
Mitarbeiter z.B. Administratoren
Kunden
Behörden
Drittbeauftragte
5/12© Prof. Dr. Dirk Heckmann
IT-Sicherheit zwischen Akzeptanzfaktor und Haftungsrisiko
HaftungsrisikoAkzeptanzrisiko
Unternehmensseriosität
Gewährleistung
zahlreiche organisatorische undtechnische Pflichten
Novellierung des BDSG
KonTraG
gesetzgeberische Tätigkeit imbereichsspezifischen Datenschutz
6/12© Prof. Dr. Dirk Heckmann
Direkt normierte rechtliche Pflichten- Rechtsverlust- nicht dispositiv- einklagbar
allg. Sorgfaltspflichtenkonkrete Leistungspflichten
Zunahme der Verbindlichkeiten
IT-Sicherheit: Pflichten und Obliegenheiten
7/12© Prof. Dr. Dirk Heckmann
Gesetzliche Obliegenheiten- Rechtsverlust- nicht dispositiv- nicht einklagbar
z.B. § 242 BGB
Vertragliche (Neben-) Pflichten- Rechtsverlust- dispositiv- einklagbar
aus Vertrag
Vertragliche Obliegenheiten- Rechtsverlust- aber dispositiv- nicht einklagbar
i.R.d. Vertrages über Versicherungs-Schutz aus § 6 VGG
Indirekt normierte rechtliche Pflichten- fakultativ- nahezu sanktionslos
IT-Grundschutzhandbuch des BSI
Haftungsrisiken und Sanktionen
Herabstufung in BonitätVerweigerung des Wirtschaftsprüfer - Testats
Schadensersatz Geldbuße, Geldstrafe
WettbewerbsrechtlicheAbmahnung
GewerberechtlicheAufsichtsmaßnahme
Verlust vonVersicherungsschutz
Nichtberücksichtigungbei öff. Auftragsvergabe
Öffentliches RechtZivilrecht
Sonstige Nachteile
finanzielle Einbußen
Einschränkung derHandlungsfreiheit
Nachteile aus Ob-liegenheitsverletzung
8/12© Prof. Dr. Dirk Heckmann
IT-Sicherheit und unternehmerische Verantwortung
Ziv
ilre
chtl
iche
s U
nter
nehm
ensr
echt
Öff
entl
ich-
rech
tlic
hes
Unt
erne
hmen
srec
ht
Öffentliches Datensicherheitsrecht Ziviles
Maßstäbe ?
IT-Sicherheit
KaufmännischeSorgfaltGewerberechtliche
Zuverlässigkeit
9/12© Prof. Dr. Dirk Heckmann
Auf dem Weg zum IT-Sicherheits-GAU
Rechtsun-sicherheit
FaktorMensch
fehlendestechnisches Know How
knappeBudgets
Komplexität derIT-Systeme unter
permanentenTechnologiewandel
Fehlen einerintegriertenSicherheits-architektur
fortschreitende betriebswirtschaftliche Notwendigkeiteiner IT-Nutzung im Unternehmen
10/12© Prof. Dr. Dirk Heckmann
Der IT-Sicherheitsbeauftragte
11/12© Prof. Dr. Dirk Heckmann
IT-SystemGeschäftspartner
IT-SicherheitsbeauftragterKunden
Unternehmen
(erstellt)
nutzt
partizipieren
Sicherheitskonzept
reguliert
delegiertentlastet
überwacht
vertrauen
12/12© Prof. Dr. Dirk Heckmann
Vielen Dank für Ihre Aufmerksamkeit
Tschüss
Univ.-Prof. Dr. jur. Dirk HeckmannMitglied des Bayerischen Verfassungsgerichtshofes
Lehrstuhl für Öffentliches Recht,Sicherheitsrecht und Internetrecht Innstraße 4094032 Passau
Tel.: 0851 / 509-2291Fax: 0851 / 509-2292
Mail: [email protected]: http://www.mein-jura.de