Unternehmen sollten die Risiken ernst nehmen

Im Blickpunkt: Cyber-Security-Recht ist dank Panama Papers auf der Agenda
Von Thomas Hertl

Beitrag als PDF (Download)

Der Panama-Papers-Leak-Skandal rückt nicht nur die Namen potentieller Steuersünder, sondern auch das Cyber-Security-Recht in das Blickfeld der Öffentlichkeit, ein Rechtsgebiet, das durch Unternehmen häufig vernachlässigt wird. Dies, obwohl Innovationen wie neue Cloudtechnologien, Big Data, Industrie 4.0 oder Internet of Things durch die große Ansammlung personenbezogener Daten hohe Risiken von Datenverlusten in sich bergen.

Milliardenschäden durch Cyberattacken

Einer Studie der Bitkom zufolge ist gut die Hälfte aller deutschen Unternehmen in den vergangenen zwei Jahren Opfer von Cyberkriminalität (digitaler Wirtschaftsspionage, Sabotage, Datendiebstahl etc.) geworden. Dadurch ist Unternehmen in Deutschland in den vergangenen Jahren ein Schaden in Milliardenhöhe entstanden: zum einen durch den Verlust geldwerten Know-hows, zum anderen durch Umsatzverluste bei Betriebsunterbrechungen durch IT-Systemausfälle. Aber auch die Wiederherstellung des alten Zustands nach einer Cyberattacke verursacht Kosten ebenso wie die Einschaltung von auf Cyber-Security-Recht spezialisierten Anwälten.

Der Schadensbetrag in Milliardenhöhe beinhaltet aber auch Schadensersatzforderungen betroffener Dritter wegen der Verletzung von Datenschutz-, Vertraulichkeits- oder Organisationspflichten oder Schadensersatzforderungen Betroffener wegen aus solchen Pflichtverletzungen resultierender Verstöße gegen Marken-, Persönlichkeits- oder Wettbewerbsrecht.

Das IT-Sicherheitsgesetz

Zu diesem Rechtsgebiet zählt vor allen Dingen das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG). Das IT-SiG stellt im eigentlichen Sinne kein neues Gesetz dar, sondern ändert vielmehr eine Reihe bereits bestehender Gesetze. Hier sind vor allen Dingen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSiG), das Telemediengesetz (TMG) oder das Atomgesetz (AtomG) zu nennen. Betroffen sind alle Firmen, die sogenannte kritische Infrastrukturen betreiben, und solche, bei denen das Risiko besonders groß wäre, würden sie IT-bedingt lahmgelegt werden. Aber auch Unternehmen, die diesen Firmen zuarbeiten, sind im Blickfeld.

Erst am 13.04.2016 hat das Bundesinnenministerium dem Erlass einer Verordnung zugestimmt, die Kriterien dafür enthält, wann ein Unternehmen eine kritische Infrastruktur im Sinne des BSiG betreibt und von diesen Pflichten betroffen ist.

Datenschutzrecht

Auch Vorschriften des Datenschutzrechts (Bundesdatenschutzgesetz, BDSG) fallen unter den Oberbegriff Cyber-Security-Recht. § 42a BDSG sieht vor, dass ein Unternehmen, dem in seiner Obhut befindliche Informationen über Personen abhandengekommen sind, umfangreichen Meldepflichten gegenüber Datenschutzaufsichtsbehörden und gegenüber den jeweils Betroffenen nachkommen muss. Diese Pflichten sollen unter der voraussichtlich ab Mitte 2018 anwendbaren EU-Datenschutzgrundverordnung noch ausgeweitet werden. Es drohen dann auch noch strengere Bußgelder. Die Sanktionshöhe wird zukünftig auch am Umsatz des jeweiligen Unternehmens bemessen.

Compliance

Die Pflicht zur Compliance, zum gesetzeskonformen Handeln, lässt sich ebenfalls dem Cyber-Security-Recht zuordnen. Geschäftsführer und Vorstände müssen für die Einhaltung der das eigene Unternehmen verpflichtenden Gesetze Sorge tragen. Hierzu hat die Unternehmensleitung geeignete Organisationsmaßnahmen zu ergreifen.

Es empfiehlt sich hier eine Orientierung am sogenannten BSI-Grundschutz, herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik.

Vernachlässigt die Unternehmensleitung ihre Compliancepflichten, kann auch daraus ein Schadensersatzrisiko resultieren. Das Landgericht München I hat in einem Urteil vom 10.12.2013 einer Schadensersatzklage gegen einen Unternehmensvorstand in Millionenhöhe stattgegeben, weil dieser seinen Pflichten nicht ausreichend nachgekommen und dadurch ein konkret bezifferbarer Schaden entstanden ist.

Strafrecht

Die Vernachlässigung der Cyber-Security des eigenen Unternehmens kann nicht nur Schadensersatzansprüche auslösen, sondern auch strafrechtliche und ordnungswidrigkeitsrechtliche Konsequenzen haben. Nach § 266 StGB, dem „Untreue- Paragraphen“, wird derjenige bestraft, der die ihm kraft Gesetzes, behördlichen Auftrags, Rechtsgeschäfts oder Treueverhältnisses obliegende Pflicht verletzt, fremde Vermögensinteressen wahrzunehmen, und dadurch demjenigen, dessen Vermögen er zu betreuen hat, einen Nachteil zufügt.

Maßnahmen zur Eindämmung von Cyber-Security-Risiken

Hier gibt es unterschiedliche Möglichkeiten:

Delegieren von Compliancepflichten in der unternehmenseigenen Complianceorganisation

Entwurf einer IT-Sicherheitsrichtlinie mit Vorgaben für die Verschlüsselung von Informationsflüssen, mit der Benennung eines IT-Sicherheitsbeauftragten etc.

Einführung eines Informationssicherheitsmanagementsystem (ISMS)

Anwendung gängiger Frameworks (NIST-Rahmenwerk, ISIS 12, ISO 27001 ff., COBIT etc.)

Wahrnehmung der Funktion des externen Datenschutzbeauftragten zur Überwachung der datenschutzspezifischen Vorschriften für Ihr Unternehmen

Das Cyber-Security-Recht ist nicht zu unterschätzen, und es ist höchste Zeit, sich den Herausforderungen zu stellen und die geeigneten Maßnahmen zu ergreifen.

 

thertl@arneckesibeth.com