Datenschutzrechtliche Haftung

TW Insurance Day –
Management von Cyber-Risiken
Natalie Kress – Cyber Practise Manager Germany & Austria, ACE
European Group Limited
RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing
Düsseldorf, 7. Mai 2015
01 > Cyberrisiken – Risikoumfeld
„Es gibt nur zwei Arten von Unternehmen: solche, die schon gehackt wurden
und solche, die es noch werden“
Zitat: Robert S. Mueller, FBI Direktor
2
02 > Risikomanagement eines Industrieunternehmens
Viren
Hardware
Hacker
Cloud
APT
Datenschutz
3
Internet 4.0
Risikomanagement
Transfer
Cyberversicherung
(Eigen- und Drittschäden)
Darknet
Maßnahmen
IT-/Netzwerksicherheit
§
Big Data
Risiken
MA
BYOD
03 > Cyber Versicherung - Versicherte Gefahren
> Mut- oder böswillige Handlungen durch AN oder Dritte (Malicious Acts)
> Programme oder Programmteile mit Schadfunktion (Malicious Codes),
> Menschliches Versagen / Fehlbedienung
> Verlust, Zerstörung oder Beschädigung der Hardware
> Nichtverfügbarkeit der Systeme / DDoS-Attacken
> Beleidigung / Verleumdung / üble Nachrede
> Diebstahl geistigen Eigentums
> Verletzung von Datenschutz und Vertraulichkeit
> Unbefugte Nutzung des Computersystems
4
04 > Cyber-Versicherung– Welche Schäden?
> Eigenschäden
 Software- und Datenwiederherstellung
 Mehrkosten / Beschleunigungskosten
 Betriebsunterbrechung
 Sachverständigenkosten / Forensik
 Kosten der Regressnahme
 Vertragsstrafen (optional)
 Ausfall externe Dienstleister (Cloud, IaaS, PaaS, SaaS)
 Leistungen bei erpresserischer Bedrohung (optional)
 Vertrauensschäden (optional)
 Rückwirkungsschäden (optional)
5
04 > Cyber-Versicherung – Welche Schäden?
> Krisenmanagementkosten/Bußgeld
 Benachrichtigungskosten (gem. BDSG)
(Benachrichtigung der Kunden, Call Center, Multimediaverbreitung)
 Kosten für Nachforschungen
(Monitoring, Forensik, Berater etc.)
 Kosten für Verhandlungen mit zuständigen Aufsichtsbehörden
(Rechtsanwälte, Krisenmanager etc.)
> Fremdschäden:
Schadensersatz an Dritte aus:
 datenschutzrechtlicher Haftung
 Vertrag
 Unerlaubter Handlung
 Urheberrecht
Sonderthema: Geschäftsleiterhaftung
6
05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung
I. Haftung nach öffentlichem Datenschutzrecht
> Schutz “personenbezogener Daten” (Einzelangaben über
persönliche / sachliche Verhältnisse einer natürlichen Person)
 Technische und organisatorische Maßnahmen gemäß § 9 BDSG
(Festlegung in Datenschutz- und Datensicherheits-Richtlinien)
 Bestellung eines Datenschutzbeauftragten, § 4 f BDSG
(mind. 20 bzw. 9 ständig mit Datenverabreitung Beschäftigte)
 Datengeheimnis, § 5 BDSG: Verpflichtung der Mitarbeiter erforderlich
Verstoß
> Datenschutzrechtliche Haftung
7
05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung
I. Haftung nach öffentlichem Datenschutzrecht
> Datenschutzrechtliche Haftung derzeit:
 Informationspflicht gegenüber Aufsichtsbehörde(n) und Betroffenen:
 § 42a BDSG: bei bestimmten personenbezogenen Daten
 § 109a TKG: bei Telekomunikationsdienstleistern
 Maßnahmen zur Schadensbegrenzung/-beseitigung, § 42a BDSG
 Schadensersatz an Betroffene, §§ 7, 8 BDSG
 Bußgeld wegen Ordnungswidrigkeit, § 43 III BDSG:
 € 50.000 – 300.000 oder
 Abschöpfen eines etwaigen höheren wirtschaftlichen Vorteils
 Geschäftsleitung, §§ 9, 130 OWiG (echtes Unterlassungsdelikt):
 Bußgeld bis zu € 1 Mio.
8
05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung
I. Haftung nach öffentlichem Datenschutzrecht
> Verschärfungen nach EU-Datenschutz-GrundVO zukünftig:
 soll die EU-Datenschutz-Richtlinie 95/46/EG aus 1995 ersetzen
 keine Umsetzung in nationales Recht, sondern unmittelbare Geltung
 12. / 13. März 2015: Treffen der EU-Innen- und Justizminister zu
Kapitel II (Datenverwendung); sehr starkes Lobbying aus USA
Derzeitiger Diskussionsstand:
 Artikel 31, 32: Selbstanzeige / Auskunft an Aufsichtsbehörde(n) und
Betroffenen unverzüglich (Erstentwurf: “innerhalb von 24 Stunden”)
 Artikel 79: bei Unternehmen Bußgeld bis zu 5% des weltweiten
Jahresumsatzes (Erstentwurf: “2% des weltweiten Jahresumsatzes”)
9
05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung
II. Zivilrechtliche Haftung
> Schadensersatz / Vertragsstrafe an Vertragspartner aus Vertrag
 Verletzung von Geheimhaltungs- / Vertraulichkeitspflichten
> Haftung gegenüber Dritten ohne Vertrag gemäß § 823 BGB wegen
 Eigentumsschadens durch Datenverlust
 Störung des Gewerbebetriebs Dritter
 Verletzung von Persönlichkeitsrechten
> Urheberrechtliche Haftung, §§ 97 - 101 UrhG
 Urheber kann Schadensersatz / Beseitigung / Auskunft verlangen
10
05 > Risikoanalyse eines Industrieunternehmens - Rechtliche Haftung
II. Zivilrechtliche Haftung
> Persönliche Haftung des Geschäftsleiters
 Innenhaftung gegenüber Unternehmen aus §§ 93 II, 91 II AktG;
§ 43 II GmbHG wegen Organisationsverschuldens
 Ggfs. sogar Außenhaftung gegenüber Dritten (s. Dornbracht-Urteil des
OLG Düsseldorf vom 13.11.2014 – VI-U (Kart) 11/13: Haftung aus
§ 33 III GWB i.V.m. § 830 II BGB)
> Fazit: Risikomanagement ist unerlässlich!
11
06 > Risikomanagement Cyber-Risiken (Zusammenfassung)
> Risikoanalyse und Risikobewertung (Dokumentation)
> Präventionsmaßnahmen technischer Art
> Ablaufplan mit Zuständigkeiten für Cyber-Ernstfall
 Eingriff erkennen
 Cyber Breach Coach / ggfs. Versicherer einschalten
 Eingriff beenden, Sachverhalt erfassen, Maßnahmenplan erstellen
 Maßnahmenplan abarbeiten (Anzeige an Behörden / Betroffene;
Presse; rechtliche Maßnahmen gegen Schädiger / Behörden prüfen;
Risikobewertung / Präventionsmaßnahmen verbessern)
> Absicherung durch Versicherungsschutz
 Cyberschäden in der Sachdeckung
 Eigen- und Drittschäden über Cyber-Police
 D&O-Versicherungsschutz
12
07 > Fragen und Diskussion
Vielen Dank für
Ihre Aufmerksamkeit!
Haben Sie Fragen?
13
Ihre Ansprechpartner:
Dr. Gunbritt Kammerer-Galahn
Partnerin, Düsseldorf
Head of Insurance Taylor Wessing
Natalie Kress
Cyber Practise Manager Germany &
Austria, ACE European Group Limited
Kontaktdetails
T: 49 (0) 211 83 87 106
[email protected]
Kontaktdetails
E: g.kammerer-
T: +49 (0) 69 75 613 6681
14
E: [email protected]
Unsere Standorte
Beijing *
Cambridge
Kiev
Shanghai *
Unit 2307&08, West Tower,
Twin Towers
B-12 Jianguomenwai Avenue
Chaoyang District
Beijing 100022
T. +86 (10)6567 5886
24 Hills Road
Cambridge, CB2 1JP
T. +44 (0)1223 446400
TaylorWessing e|n|w|c
Illinsky Business Center
vul. Illinska 8
04070 Kiev
T. +38 (0)44 369 32 44
Unit 1509, United Plaza
No. 1468, Nanjing West Road
Shanghai 200040
T. +86 (0)21 6247 7247
Berlin
Ebertstraße 15
10117 Berlin
T. +49 (0)30 88 56 36 0
Bratislava
TaylorWessing e|n|w|c
Panenská 6
81103 Bratislava
T. +421(0)2 5263 2804
Brno *
TaylorWessing e|n|w|c
Dominikánské námĕstí 4/5
602 00 Brno
T. +420 543 420 401
Brussels
Trône House
4 Rue du Trône
1000 Brussels
T. +32 (0)2 289 6060
Budapest
TaylorWessing e|n|w|c
Dorottya u. 1. III. em.
1051 Budapest
T. +36 (0)1 327 04 07
Dubai
26th Floor, Rolex Tower,
Sheikh Zayed Road,
P.O. Box 33675
Dubai, United Arab Emirates
T. +971 (0)4 309 1000
Singapore
Klagenfurt *
Düsseldorf
Benrather Straße 15
40213 Düsseldorf
T. +49 (0)211 83 87 0
Frankfurt
TaylorWessing e|n|w|c
Alter Platz 1
9020 Klagenfurt
T. +43 (0)463 51 52 27
RHTLaw Taylor Wessing LLP
Six Battery Road
#09-01, #10-01
Singapore 049909
T. +65 6381 6868
London
Seoul **
5 New Street Square
London EC4A 3TW
T. +44 (0)20 7300 7000
DR & AJU LLC
Donghoon Tower
317 Teheran-Ro
Gangnam-gu
Korea
Munich
Senckenberganlage 20-22
60325 Frankfurt a.M.
T. +49 (0)69 971 30 0
Isartorplatz 8
80331 Munich
T. +49 (0)89 2 10 38 0
Hamburg
Vienna
TaylorWessing e|n|w|c
Schwarzenbergplatz 7
1030 Vienna
T. +43 (0)1 716 55
Paris
Hanseatic Trade Center
Am Sandtorkai 41
20457 Hamburg
T. +49 (0)4 0 36 80 30
69 avenue Franklin D. Roosevelt
75008 Paris
T. +33 (0)1 72 74 03 33
>Jakarta **
Prague
>Hanafia Ponggawa & Partners
>Wisma 46 Kota BNI, 32nd & 41st
Floor. Jl. Jend Sudirman
>Kav 1 Jakarta 10220
>T. +62 21 5746 545
TaylorWessing e|n|w|c
U Prasné brány 1
CZ-110 00 Praha 1
T. +420 224 81 92 16
Warsaw
TaylorWessing e|n|w|c
ul. Mokotowska 1
00-640 Warsaw
T. +48 (0)22 584 97 40
>
15
* Repräsentanz
** Assoziiertes Büro