- Deutscher AnwaltSpiegel

8 // IT-Recht/Datenschutzrecht
Deutscher AnwaltSpiegel
Ausgabe 20 // 5. Oktober 2016
Unternehmen sollten die Risiken ernst nehmen
Im Blickpunkt: Cyber-Security-Recht ist dank Panama Papers auf der Agenda
Von Thomas Hertl
Der Panama-Papers-Leak-Skandal rückt nicht nur die
Namen potentieller Steuersünder, sondern auch das
Cyber-Security-Recht in das Blickfeld der Öffentlichkeit,
ein Rechtsgebiet, das durch Unternehmen häufig vernachlässigt wird. Dies, obwohl Innovationen wie neue
Cloudtechnologien, Big Data, Industrie 4.0 oder Internet
of Things durch die große Ansammlung personenbezogener Daten hohe Risiken von Datenverlusten in sich
bergen.
Einer Studie der Bitkom zufolge ist gut die Hälfte aller deutschen Unternehmen in den vergangenen zwei
Jahren Opfer von Cyberkriminalität (digitaler Wirtschaftsspionage, Sabotage, Datendiebstahl etc.) geworden. Dadurch ist Unternehmen in Deutschland in den
vergangenen Jahren ein Schaden in Milliardenhöhe
entstanden: zum einen durch den Verlust geldwerten
Know-hows, zum anderen durch Umsatzverluste bei
Betriebsunterbrechungen durch IT-Systemausfälle. Aber
auch die Wiederherstellung des alten Zustands nach einer Cyberattacke verursacht Kosten ebenso wie die Einschaltung von auf Cyber-Security-Recht spezialisierten
Anwälten.
Der Schadensbetrag in Milliardenhöhe beinhaltet aber auch Schadensersatzforderungen betroffener
Dritter wegen der Verletzung von Datenschutz-, Ver-
© Andrea Danti/Hemera/Thinkstock/Getty Images
Milliardenschäden durch Cyberattacken
Abwehr von Cyberattacken: Es gibt eine Reihe von Maßnahmen, die Unternehmen ergreifen können.
traulichkeits- oder Organisationspflichten oder Schadensersatzforderungen Betroffener wegen aus solchen
Pflichtverletzungen resultierender Verstöße gegen Marken-, Persönlichkeits- oder Wettbewerbsrecht.
Das IT-Sicherheitsgesetz
Zu diesem Rechtsgebiet zählt vor allen Dingen das im
Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG).
Das IT-SiG stellt im eigentlichen Sinne kein neues 
9 // IT-Recht/Datenschutzrecht
Deutscher AnwaltSpiegel
Ausgabe 20 // 5. Oktober 2016
Gesetz dar, sondern ändert vielmehr eine Reihe bereits
bestehender Gesetze. Hier sind vor allen Dingen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSiG), das Telemediengesetz (TMG) oder
das Atomgesetz (AtomG) zu nennen. Betroffen sind alle
Firmen, die sogenannte kritische Infrastrukturen betreiben, und solche, bei denen das Risiko besonders groß
wäre, würden sie IT-bedingt lahmgelegt werden. Aber
auch Unternehmen, die diesen Firmen zuarbeiten, sind
im Blickfeld.
Erst am 13.04.2016 hat das Bundesinnenministerium
dem Erlass einer Verordnung zugestimmt, die Kriterien
dafür enthält, wann ein Unternehmen eine kritische Infrastruktur im Sinne des BSiG betreibt und von diesen
Pflichten betroffen ist.
Datenschutzrecht
Auch Vorschriften des Datenschutzrechts (Bundesdatenschutzgesetz, BDSG) fallen unter den Oberbegriff CyberSecurity-Recht. § 42a BDSG sieht vor, dass ein Unternehmen, dem in seiner Obhut befindliche Informationen
über Personen abhandengekommen sind, umfangreichen Meldepflichten gegenüber Datenschutzaufsichtsbehörden und gegenüber den jeweils Betroffenen
nachkommen muss. Diese Pflichten sollen unter der
voraussichtlich ab Mitte 2018 anwendbaren EU-Datenschutzgrundverordnung noch ausgeweitet werden. Es
drohen dann auch noch strengere Bußgelder. Die Sanktionshöhe wird zukünftig auch am Umsatz des jeweiligen
Unternehmens bemessen.
Compliance
Die Pflicht zur Compliance, zum gesetzeskonformen
Handeln, lässt sich ebenfalls dem Cyber-Security-Recht
zuordnen. Geschäftsführer und Vorstände müssen für
die Einhaltung der das eigene Unternehmen verpflichtenden Gesetze Sorge tragen. Hierzu hat die Unternehmensleitung geeignete Organisationsmaßnahmen zu
ergreifen.
Es empfiehlt sich hier eine Orientierung am sogenannten BSI-Grundschutz, herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik.
Vernachlässigt die Unternehmensleitung ihre Compliancepflichten, kann auch daraus ein Schadensersatzrisiko resultieren. Das Landgericht München I hat in
einem Urteil vom 10.12.2013 einer Schadensersatzklage
gegen einen Unternehmensvorstand in Millionenhöhe
stattgegeben, weil dieser seinen Pflichten nicht ausreichend nachgekommen und dadurch ein konkret bezifferbarer Schaden entstanden ist.
Strafrecht
Die Vernachlässigung der Cyber-Security des eigenen
Unternehmens kann nicht nur Schadensersatzansprüche auslösen, sondern auch strafrechtliche und ordnungswidrigkeitsrechtliche Konsequenzen haben. Nach
§ 266 StGB, dem „Untreue- Paragraphen“, wird derjenige
bestraft, der die ihm kraft Gesetzes, behördlichen Auftrags, Rechtsgeschäfts oder Treueverhältnisses obliegende Pflicht verletzt, fremde Vermögensinteressen wahrzunehmen, und dadurch demjenigen, dessen Vermögen
er zu betreuen hat, einen Nachteil zufügt.
Maßnahmen zur Eindämmung
von Cyber-Security-Risiken
Hier gibt es unterschiedliche Möglichkeiten:
• Delegieren von Compliancepflichten in der unternehmenseigenen Complianceorganisation
• Entwurf einer IT-Sicherheitsrichtlinie mit Vorgaben
für die Verschlüsselung von Informationsflüssen, mit
der Benennung eines IT-Sicherheitsbeauftragten etc.
• Einführung eines Informationssicherheitsmanagementsystem (ISMS)
• Anwendung gängiger Frameworks (NIST-Rahmenwerk, ISIS 12, ISO 27001 ff., COBIT etc.)
• Wahrnehmung der Funktion des externen Datenschutzbeauftragten zur Überwachung der datenschutzspezifischen Vorschriften für Ihr Unternehmen
Das Cyber-Security-Recht ist nicht zu unterschätzen,
und es ist höchste Zeit, sich den Herausforderungen zu
stellen und die geeigneten Maßnahmen zu ergreifen. F
Hinweis der Redaktion:
Zum IT-Sicherheitsgesetz siehe den Beitrag von Dr. Alin
Seegel, HIER. Über die neue EU-Richtlinie zur Cybersicherheit berichten Sebastian Wypior und Kathrin Isabelle
Lausen, LL.M. HIER. Lesenswert ist zudem der Artikel von
Julian Lebherz und Olly Salzmann in Compliance Business, siehe HIER. (tw)
Thomas Hertl,
Rechtsanwalt, Partner, Arnecke Sibeth,
Frankfurt am Main
[email protected]
www.arneckesibeth.com