IT-Sicherheitsrecht: Die wichtigsten IT-sicherheitsrechtlichen Pflichten - Checkliste
Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert Unternehmen und ihren Beratern praxisorientierte und verständliche Hinweise zu den anwendbaren IT-Sicherheitspflichten und deren Einhaltung sowie zu drohenden Haftungsrisiken bei Sicherheitsdefiziten. In diesem Blog werden einige zentrale Auszüge veröffentlicht. Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro
Informationstechnologie ist aus dem Unternehmensalltag nicht mehr wegzudenken und dominiert alle Unternehmensbereiche – von der Kommunikation bis hin zur Produktherstellung oder Buchhaltung. IT-Systeme ermöglichen aber nicht nur eine effizientere Organisation und Geschäftsabwicklung, sondern eröffnen gleichzeitig ein hohes Risikopotential.
Risikopotential für Unternehmen
So ist die IT-Infrastruktur eines Unternehmens nicht nur Bedrohungen von außen, z.B. durch Viren oder gezielte Cyber-Angriffe ausgesetzt, sondern auch solchen von innen durch die Mitarbeiter des Unternehmens, z.B. durch Fehler im Umgang mit der Technik oder gar durch eine Mitnahme vertraulicher Dateien aus dem Unternehmen (Conrad/Huppertz in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2. Aufl. 2016, § 33, Rz. 1).
Mit der zunehmenden Vernetzung von Gegenständen steigt auch im Machine-to-Machine-Bereich das Risikopotential. Schon heute kommen in Unternehmen viele Geräte zum Einsatz, die über Schnittstellen an das Internet oder Firmennetzwerk angeschlossen sind und automatisch kommunizieren. Diese übernehmen Bereiche, welche in der Vergangenheit weitestgehend der menschlichen Kommunikation vorbehalten waren (Grünwald/Nüßing, MMR 2015, 378).
Die Sicherheit der eigenen IT-Systeme bildet aus diesen Gründen ein zentrales Thema für Unternehmen.
Eigeninteresse & Rechtspflicht
Dabei besteht nicht nur ein praktisches Bedürfnis nach IT-Sicherheit:
- Ein möglichst hohes Sicherheitsniveau liegt im Eigeninteresse des Unternehmens, um die eigenen Geschäftsabläufe und Betriebsgeheimnisse zu schützen.
- Unternehmen, gleich welcher Branche, trifft überdies eine diesbezügliche Rechtspflicht. Der Umfang dieser Pflicht ist jedoch schwer zu erfassen.
Ein branchenübergreifendes „Recht der IT-Sicherheit“ im eigentlichen Sinn gibt es nicht (Conrad/Huppertz in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2. Aufl. 2016, § 33, Rz. 9). IT-Sicherheitspflichten ergeben sich aus Gesetzen diverser Rechtsgebiete. Dabei handelt es sich teilweise um branchenspezifische oder auf bestimmte Technologien bezogene Normen, so dass sich ein genereller Sicherheitsstandard nicht ohne weiteres identifizieren lässt und Unternehmen häufig Schwierigkeiten damit haben, ihre IT-sicherheitsrechtlichen Pflichten zu identifizieren.
Checkliste
Als ersten Anhaltspunkt für die wichtigsten IT-Compliance-Verpflichtungen systematisiert die folgende Checkliste die drei Bereiche wesentlicher IT-sicherheitsrechtlicher Pflichten im Unternehmen:
1. IT-Sicherheits-Mindeststandard
Jedes Unternehmen treffen nach allgemeinen Rechtsvorschriften (überwiegend aus dem Handels- und Gesellschaftsrecht) grundlegende IT-Sicherheitspflichten, die insofern gewissermaßen branchen- & sektorübergreifend den „IT-Sicherheits-Mindeststandard“ bilden (s. Im Detail Voigt, IT-Sicherheitsrecht, Rz. 9 ff.). Die Umsetzung der IT-Sicherheit im Unternehmen fällt dabei in den Verantwortungsbereich der Geschäftsleitung (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 32 ff.). Es bestehen folgende grundlegende IT-Sicherheitspflichten:
- IT-Sicherheits-Compliance: Pflicht zur Einhaltung der anwendbaren IT-sicherheitsrechtlichen Vorschriften, die insbesondere branchen- oder sektorspezifischer Natur sein können, sog. IT-Compliance (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 50 ff.);
- Früherkennung & Überwachung: Pflicht zur Einrichtung eines Systems zur Früherkennung und Überwachung bestandsgefährdender IT-Sicherheitsrisiken (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 40 ff.);
- IT-Risiko-Management: Pflicht zur Überwachung & Steuerung aller IT-Sicherheitsrisiken (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 50 ff.); zur praktischen Umsetzung empfiehlt sich in vielen Fällen die Einrichtung eines IT-Risikomanagementsystems (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 149 ff.);
- Kontrolle ordnungsgemäßer Buchführung: Eine EDV-gestützte Buchführung macht die Einrichtung eines internen Kontrollsystems mit Steuerungs- und Überwachungselementen erforderlich, um eine ordnungsgemäße Buchführung zu gewährleisten (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 61 ff.);
- Schutz der Geschäftsgeheimnisse: Zum präventiven Schutz eigener Geschäftsgeheimnisse müssen Unternehmen IT-Sicherheitsvorkehrungen treffen, da der wettbewerbsrechtliche Schutz letztlich nur repressiv nach Offenlegung der Geheimnisse wirkt (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 115 ff.);
- Vertragliche IT-Sicherheitspflichten: Die unternehmerischen IT-Sicherheitspflichten bilden bei Verträgen mit Dritten regelmäßig einen Bestandteil des vertraglichen Pflichtenprogramms (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 87 ff.).
2. Datenschutzrechtlicher Mindeststandard
Nahezu alle Unternehmen verarbeiten auf irgendeine Weise personenbezogene Daten (z.B. von Mitarbeitern und Kunden), so dass bei der Verarbeitung dieser Daten datenschutzrechtliche IT-Sicherheitsvorgaben einzuhalten sind (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 290 ff.):
- TOMs: Das Ergreifen technischer und organisatorischer Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten während ihrer Verarbeitung (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 313 ff.);
- Data Protection by Design & by Default: Das Umsetzen präventiver Datenschutzmaßnahmen im Vorfeld der Verarbeitung, indem neue Produkte & Dienste möglichst datenschutzfreundlich eingestellt werden (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen), (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 321 ff.);
- Betrieblicher Datenschutzbeauftragter: Ggf. die Benennung eines Datenschutzbeauftragten (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 329 ff.);
- Verarbeitungsverzeichnis: Das Führen eines Verzeichnisses der Datenverarbeitungstätigkeiten zu Dokumentationszwecken (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 326 f.);
- Datenschutz-Folgenabschätzung: Ggf. die Durchführung einer Datenschutz-Folgenabschätzung zur Ermittlung des Schutzbedarfs bei risikoreichen Verarbeitungsvorgängen (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 328);
- Daten-Pannen: Kommt es zu Datenschutzverletzungen, werden regelmäßig Meldepflichten des Unternehmens ausgelöst (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 332 ff.).
3. Branchen- & sektorspezifische IT-Sicherheitsvorgaben
Ergänzend dazu müssen Unternehmen zur Erreichung einer IT-Compliance auf sie anwendbare branchen- und sektorspezifische IT-Sicherheitsvorgaben erfüllen. Diese erfordern regelmäßig die Erreichung eines erhöhten IT-Sicherheitsstandards:
- Betreiber kritischer Infrastrukturen: Unternehmen, die als Versorgungsdienstleister in bestimmten Sektoren regelmäßig mehr als 500.000 Personen versorgen, unterfallen als KRITIS-Betreiber dem Pflichtenprogramm des BSIG (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 352 ff.). Sie müssen:
- Angemessene technische und organisatorische Sicherheitsvorkehrungen zum Schutz der KRITIS-Anlagen treffen und dies regelmäßig nachweisen;
- Eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik einrichten;
- Erhebliche Störungen der IT-Systeme an das Bundesamt melden.
- Anbieter digitaler Dienste: Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Cloud-Computing-Diensten treffen als „Anbieter digitaler Dienste“ mit den vorbeschriebenen Pflichten vergleichbare, eigene Pflichten aus dem BSIG (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 386 ff.).
- Telemedien-Diensteanbieter: Telemedien-Diensteanbieter müssen gem. § 13 Abs. 7 TMG technische und organisatorische Vorkehrungen treffen, um ihre Dienste gegen Datenschutzverletzungen, Störungen und unerlaubten Zugriff durch Dritte zu schützen (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 409 ff.).
- TK-Diensteanbieter: Unternehmen, die ganz oder teilweise geschäftsmäßig öffentlich zugängliche Telekommunikationsdienste erbringen, müssen die im TKG vorgesehenen IT-Sicherheitspflichten erfüllen (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 422 ff.):
- Ergreifen technischer und organisatorischer Vorkehrungen zur Verhinderung erheblicher störungsbedingter Beeinträchtigungen der Dienste;
- Benennung eines Telekommunikationssicherheitsbeauftragten;
- Erstellung eines Sicherheitskonzepts;
- Meldung von Beeinträchtigungen der Dienste und über Datenschutzverletzungen.
- Energieversorgungs-Netzbetreiber: Unternehmen, die Gas-, Elektrizitäts-, Übertragungsnetze oder Energieanlagen betreiben, müssen auf Grundlage des EnWG einen Katalog mit Sicherheitsanforderungen einhalten sowie erhebliche Störungen melden (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 449 ff.).
- Atomkraftwerke: Unternehmen, die Kernbrennstoffe aufbewahren oder verwenden, unterliegen IT-Sicherheitspflichten auf Grundlage des AtG. Eine Genehmigung zur Verfolgung entsprechender Wirtschaftstätigkeiten erfordert den Nachweis angemessener IT-Sicherheitsvorkehrungen. Genehmigungsinhaber müssen IT-Störungen unverzüglich melden (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 460 ff.).
- Telematik-Infrastruktur: Unternehmen, die zum Betrieb oder zur Nutzung der Telematik-Infrastruktur nach dem SGB V zugelassen werden möchten, müssen den Nachweis eines angemessenen IT-Sicherheitsstandards erbringen. Wurden sie zugelassen, müssen sie auftretende Störungen unverzüglich melden (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 466 ff.).
- Versicherungen: Versicherungsdienstleister sind zur Einführung eines allgemeinen Risikomanagementsystems auf Grundlage des VAG verpflichtet (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 472 ff.).
- Kredit- & Finanzdienstleistungsinstitute: Kredit- & Finanzdienstleistungsinstitute müssen hohe IT-Sicherheitsvorkehrungen treffen. Dies umfasst (s. im Detail Voigt, IT-Sicherheitsrecht, Rz. 478 ff.):
- die Gewährleistung eines wirksamen Risikomanagements;
- die Einführung eines angemessenen Notfallkonzepts für IT-Systeme;
- das Vorhandensein einer angemessenen technisch-organisatorischen Ausstattung.
- Hinzu kommen tätigkeitsbezogene IT-Sicherheitspflichten im Online-Zahlungsverkehr und bei der Erbringung von Wertpapierdienstleistungen.
Haftungsbereiche
Kommt es im Unternehmen zu IT-Sicherheitsdefiziten, droht stets ein erhebliches Haftungsrisiko, wobei die Haftungsverhältnisse alle für entsprechende Defizite verantwortlichen Akteure und betroffenen Personen umfassen. Hier sind drei Bereiche zu unterscheiden (Im Detail zu den Haftungsgrundlagen Voigt, IT-Sicherheitsrecht, Rz. 197 ff.):
- Intern: Die Haftung innerhalb des Unternehmens trifft häufig im Wesentlichen die Geschäftsleitung.
- Extern: Bei Schäden Dritter durch IT-Sicherheitsdefizite droht überwiegend eine Inanspruchnahme des Unternehmens selbst.
- Vertikal: Die Verletzung auf das Unternehmen anwendbarer spezialgesetzlicher IT-Sicherheitsvorgaben führt regelmäßig zur Verwirklichung spezialgesetzlicher Ordnungswidrigkeiten mit entsprechenden Haftungsfolgen.