Rechtliche Aspekte der Sicherheit in der Informatik

Werbung
Rechtliche Aspekte der
IT
Prof. lic. iur. Ursula Sury,
Rechtsanwältin
Ziel der Veranstaltung
Sensibilisierung der Teilnehmer auf
rechtliche Belange des IT-Rechts
Teilnehmer erhalten ein
Problembewusstsein für Rechtsfragen im
Bereich IT
IT-Recht ist eine interdisziplinäre
Herausforderung!
Technik
Management
Recht
Einige rechtliche Aspekte der IT
Datenschutz und Datensicherheit
Vertragsrecht
Urheberrecht
Internationales Privatrecht
etc.
Datenschutz
Datenschutz ist Persönlichkeitsschutz!
Geschützt werden nicht die Daten als
solche, sondern die Person, zu der die Daten
gehören.
Personendaten
(Art. 3 lit. a DSG )
Alle Angaben, die sich auf eine bestimmte
oder bestimmbare natürliche oder
juristische Person beziehen.
Gesetzliche Grundlagen
Eidgenössisches Datenschutzgesetz (DSG)
Verordnung zum Eidgenössischen
Datenschutzgesetz (VDSG)
Kantonale Datenschutzgesetze
Das Bearbeiten von Personendaten
(Art. 3 lit. e DSG)
Unter Bearbeiten versteht man jeden Umgang mit
Personendaten, unabhängig von den angewandten
Mitteln und Verfahren, insbesondere das
 Erheben
 Aufzeichnen
 Sammeln
 Verwenden
 Umarbeiten
 Bekannt geben
 Archivieren oder Vernichten von Daten
Besonders schützenswerte
Personendaten (Art. 3 lit.c DSG )
Daten über
 die religiösen, weltanschaulichen, politischen oder
gewerkschaftlichen Tätigkeiten,
 die Gesundheit, die Intimsphäre oder die
Rassenzugehörigkeit
 Massnahmen der sozialen Hilfe,
 administrative oder strafrechtliche Verfolgungen
und Sanktionen
Persönlichkeitsprofil
Zusammenstellung von Daten, welche eine
Beurteilung wesentlicher Aspekte der
Persönlichkeit einer natürlichen Person
erlaubt.
Allgemeine Grundsätze
 Personendaten dürfen nur rechtmässig beschafft
werden, ihre Bearbeitung hat nach Treu und
Glauben zu erfolgen und muss verhältnismässig
sein.
 Wer Personendaten bearbeitet, hat sich über deren
Richtigkeit zu vergewissern.
 Personendaten dürfen nur zu dem Zweck
bearbeitet werden, zu dem sie ursprünglich
beschafft oder der Behörde bekannt gegeben
worden sind.
Auskunftsrecht (Art. 8 DSG)
• Jeder kann vom Inhaber
einer Datensammlung
Auskunft darüber
verlangen, ob dieser
Daten über ihn bearbeitet.
• Die Auskunft muss
schriftlich erfolgen und
ist in der Regel kostenlos.
Datensicherheit (Art. 7 DSG i. V.
m. Art. 8-12 VDSG)
Die Gesamtheit aller personellen,
organisatorischen und technischen
Massnahmen, die erforderlich sind, um
Daten gegen den Verlust der Vertraulichkeit,
der Verfügbarkeit und Integrität angemessen
zu schützen (Urs Belser, IT-Security Special, Januar
2002, Seite 36 ff..)
Rechtliche Aspekte der
Datensicherheit
Datensicherheit beginnt bereits mit der
Gestaltung und dem Abschluss von
„sicheren Verträgen“.
Verträge
Outsourcing
Lizenzvertrag
Wartungsvertrag
Gemeinsame Softwareentwicklung
Darum prüfe, wer sich ewig
bindet!
 Durch Wartungs- und
Weiterentwicklungsverpflichtungen
entstehen oft langjährige
vertragliche Beziehungen,
die entsprechend zu
pflegen sind.
Die wechselseitige Abhängigkeit
von Anwender und Anbieter
 Anwender hat grossen
finanziellen Verlust
und/oder
 er kann die Software
nicht ohne die Hilfe
des Anbieters warten
und weiterentwickeln
 Anbieter hat
personelle und
finanzielle Ressourcen
geplant und
 erleidet eventuell zum
finanziellen Verlust
noch Goodwillverlust
Vor Vertragsabschluss
Sorgfältige Auswahl des Vertragspartners
Einholen von Vergleichsofferten
Einholen von Referenzen
Ausarbeiten eines durchdachten Vertrages
Der Vertragsinhalt
 Einige Punkte sollten
unabhängig von der
Vertragsart in jedem
Vertrag berücksichtigt
und geregelt werden.
Bestimmen Sie den
Vertragsgegenstand!
Pflichtenhefte, Detailkonzepte, Offerten,
etc. gehören als Anhänge zum
Vertragsbestandteil
Eine Rangordnung bestimmt, welches
Dokument vorgeht
Gewährleistung und Garantie
Welche Rechte bestehen bei Mängeln?
Gewährleistungsansprüche gemäss OR
können ausgeschlossen werden
Garantie ist die vertragliche Verpflichtung
zur Behebung von Mängeln in einer
bestimmten Frist
Haftungsbestimmungen in den
Verträgen beachten!
Haftung für Absicht und grobe
Fahrlässigkeit kann nicht ausgeschlossen
werden
Haftung häufig nur für direkte Schäden
Haftung für Folgeschäden ist beinahe
immer ausgeschlossen
Häufig besteht eine summenmässige
Beschränkung der Haftung
Geheimhaltung
 Geschäfts- und
Betriebsgeheimnisse
 Konventionalstrafen
Escrow Agreement
Die Fertigstellung der Software, die
Wartung und Weiterentwicklung sind nicht
mehr gesichert
Anwender muss auf den Quellcode
zurückgreifen können, um die
ordnungsgemässe Nutzung der Software
sicherzustellen
Schutzrechte
Urheberrecht
Markenrecht
etc.
Welche Rechte hat der Urheber?
Der Urheber hat das Recht zu bestimmen,
ob, wie und wann sein Werk verwendet
werden darf.
Der Urheber hat das Recht, als Urheber
bezeichnet zu werden.
Computerprogramme
Art. 17 URG kennt eine sog. Legalzession
(Übertragung von Gesetzes wegen):
 Wird in einem Arbeitsverhältnis bei Ausübung
dienstlicher Tätigkeit sowie in Erfüllung
vertraglicher Pflichten (Pflichtwerk) ein
Computerprogramm geschaffen, so ist der
Arbeitgeber allein zur Ausübung der
ausschliesslichen Verwendungsbefugnisse
berechtigt.
Und doch kann man Konflikte
nicht ausschliessen!
 Der Weg vor Gericht
ist zeit- und
kostenintensiv für
beide Parteien und
 endet häufig mit einem
Vergleich!
Konfliktmanagement
Konfliktmanagement in Verträgen vorsehen
Neutraler Dritter versucht, gemeinsam mit
Parteien Lösung zu finden
Kosten werden meist gemeinsam getragen
Zusammenarbeitsvertrag
 Anbieter und Anwender
vereinbaren, auf ein
gemeinsames Ziel
hinzuarbeiten
 2 Anwender schliessen
sich zusammen und
beauftragen einen Anbieter
mit der Erstellung der von
ihnen geplanten Lösung
Legen Sie den Projektablauf fest!
Benennung der Ansprechpartner
Regelmässige Sitzungen mit
Sitzungsprotokollen schaffen Sicherheit für
beide Seiten
Bereitstellung von genügend personeller
Ressourcen auf beiden Seiten
Wählen sie ein phasenweises
Vorgehen!
Grobkonzept
Detailkonzept
Projektentscheid
Realisierung
Miturheberschaft
Beide Parteien müssen gemeinsam
bestimmen, was mit dem fertigen Werk
passiert
Die Weiterentwicklung, die Vermarktung
und der Vertrieb erfolgen nur aufgrund von
gemeinsamen Beschlüssen
Bereits bei Ausarbeitung des Vertrages
sollten die Urheberrechte einer Partei
übertragen werden
Outsourcingvertrag
Die Übertragung der Betriebsverantwortung
eines gesamten Informationssystems vom
Kunden (Outsourcer) auf einen Dritten
(Outsourcing-Unternehmen)
Was ist besonders zu beachten?
Genaue Regelung der Verantwortlichkeiten
Kommunikation zwischen Outsourcer und
Outsourcing-Unternehmen
Vertragsdauer und
Kündigungsmöglichkeiten
Lizenzverträge
Werden Daten mit Software bearbeitet, welche
man bei einem Dritten lizenziert hat, dann sind im
Rahmen der Datensicherheit insbesondere die
folgenden Punkte zu berücksichtigen:
 Umfang des Nutzungsrechts
 Vertragsdauer
 Kündigungsmöglichkeiten
 Haftung
 Gewährleistung und Garantie
Wartungsverträge
Anwender ist auf Anbieter angewiesen, da
er die Software meist nicht selbst warten
kann.
Datensicherheit in
Wartungsverträgen
Bereitschafts- und Reaktionszeiten müssen
mit den Anforderungen des Anbieters
übereinstimmen!
Escrow Agreement
Kündigungsfristen
Wartungskosten: eventuell Anpassung nur
gebunden an Teuerung
Holen Sie im Zweifelfall
fachmännischen Rat!
Ziehen Sie zur Ausarbeitung oder zur
Überprüfung von Verträgen Fachleute bei!
Auch vorgedruckte Verträge müssen Sie
nicht als unabänderbar hinnehmen!
Pendente
Gesetzgebungsverfahren
Bundesgesetz über Zertifizierungsdienste
im Bereich der elektronischen Signatur (ZertES)
Bundesgesetz über den elektronischen
Geschäftsverkehr
Bundesgesetz über den Datenschutz
im weiteren zum Teil auch relevant:
z. B. Totalrevision der Bundesrechtspflege
Weiterbildungsangebote
Institut für Wirtschaftsinformatik
• Executive Master of Business
Information Technology (NDS
Wirtschaftsinformatik)
• Executive Master of
Information Security (NDS
Informatiksicherheit)
• Executive Master of
Economic Crime
Investigation (NDS zur
Bekämpfung der
Wirtschaftskriminalität)
• NDS e-Project Management
• NDS e-Strategies
• NDK Datenschutz und
Informatiksicherheit
• NDK Internet Enabler
• NDK e-Business
• NDK e-Economy
• Neu: IT-Security Lab (Theorie
und Praxis / mehrtägige
Workshops)
Ich danke für Ihre
Aufmerksamkeit!
HINWEISE AUF PUBLIKATIONEN
www.advokatinnen.ch
WEITERBILDUNGSMÖGLICHKEITEN
www.hsw.fhz.ch
Herunterladen