Anwältin/Anwalt suchen!

Merkzettel

Es befinden sich noch keine Anwälte in Ihrer Merkliste.

Internet und Sicherheit

Von vielen Unternehmen unterschätzt: Das IT-Sicher­heits­gesetz

Maßnahmen zur IT-Sicherheit sind nun gesetzlich vorgeschrieben. © Quelle: Fuse/gettyimages.de

Unternehmer, die die IT-Systeme in ihrer Firma nicht ausreichend sichern, werden das womöglich teuer bezahlen – im wahrsten Sinne des Wortes. Denn IT-Sicher­heits­ma­nagement gehört zum Risiko­ma­nagement: Für Schäden haftet die Unterneh­mens­leitung auch persönlich. Hinzu kommt: Seit Ende Juli 2015 gilt das IT-Sicher­heits­gesetz. Wer die Vorgaben nicht fristgerecht umgesetzt, riskiert Bußgelder. Viele wissen nicht, dass das Gesetz weit mehr Unternehmen betrifft als nur die Betreiber Kritischer Infrastruktur.

IT-Sicherheit endlich gesetzlich verankert

Worum geht es bei dem Gesetz? Unternehmen müssen ihre IT-Systeme besser vor Cyber-Angriffen schützen. Das ist zwar per se nichts Neues. Aber: „Mit dem IT-Sicher­heits­gesetz stellt das IT-Sicher­heitsrecht erstmals ausdrücklich kodifi­zierte Pflichten an die IT-Sicherheit im deutschen Recht, die über den technischen Datenschutz hinausgehen“, sagt Rechts­anwalt Karsten U. Bartels LL.M. Der IT-Rechts­experte ist stellv. Vorsit­zender der Arbeits­ge­mein­schaft IT-Recht (davit) im Deutschen Anwalt­verein (DAV) und Vorstand von TeleTrusT, dem Bundes­verband IT-Sicherheit e.V.

Sicher­heits­vor­keh­rungen nach Stand der Technik

Wie genau die IT-Systeme nun geschützt werden sollen, erklärt der Experte, hänge von der Branche, dem Unternehmen und dem jeweiligen Stand der Technik ab. „Unternehmen sollten zunächst die Schutz­be­dürf­tigkeit ihrer Daten und Systeme prüfen. Dazu müssen sie sich folgende Fragen stellen: Was würden passieren, wenn Daten verloren gingen, korrumpiert würden oder in falsche Hände gelangten? Machte man sich schadens­er­satzfähig? Machte man sich vielleicht sogar strafbar? Und nicht zu vergessen: Welche Reputa­ti­ons­schaden gäbe es?“

Aus diesen Erkennt­nissen können die Unternehmen technische und organi­sa­to­rische Vorkeh­rungen ableiten und dokumen­tieren – und natürlich umsetzen. Ist es einem Unternehmen nicht möglich, die Vorkeh­rungen nicht nach dem Stand der Technik zu realisieren, muss dies im Zweifel begründbar sein. Ein Grund könnte sein, dass die notwendige Technik sehr teuer ist und ein kleines Unternehmen sich das nicht leisten kann.

Was das Gesetz allerdings nicht vorsieht, sind konkrete Anforde­rungen und Bewertungs­maßstäbe. Unternehmen haben daher keine andere Wahl, als eigenständig Kriterien zu entwickeln und eine juristisch belastbare Schutz­be­darfs­analyse zu starten.

Hacker­an­griffe müssen gemeldet werden

Hinzu kommen für KRITIS-Betreiber neue Meldepflichten: Sicher­heits­vorfälle – also Hacker­an­griffe – müssen je nach Zustän­digkeit dem Bundesamt für Sicherheit in der Informa­ti­ons­technik (BSI) gemeldet werden. Dadurch soll die Bundes­re­gierung einen Überblick über die Sicher­heitslage bekommen. Unter anderem Kernener­gie­un­ter­nehmen und Energie­an­bieter sind bereits seit Inkraft­treten des Gesetzes verpflichtet, erhebliche Sicher­heits­vorfälle dem BSI zu melden.

KRITIS-Betreiber betroffen

Das IT-Sicher­heits­gesetz gilt unter anderem für Betreiber kritischer Infrastruktur (KRITIS). Dazu zählen neben Atomkraft­werken Kranken­häuser, Banken und Energie­ver­sorger. Der Gesetz­be­gründung zufolge sind damit rund 2.000 Unternehmen betroffen. Welche Unternehmen konkret dazu zählen und wie das Gesetz anzuwenden ist, wird eine Verordnung klären. Zwei Jahre, nachdem sie in Kraft getreten ist, werden die Anforde­rungen des Gesetzes für diese Unternehmen verbindlich. „Für diese Verordnung liegt derzeit noch kein Entwurf vor“, informiert Rechts­anwalt Bartels. „Bis sie in Kraft tritt, kann es also noch etwas dauern.“

Auch Teleme­di­en­an­bieter betroffen

Was viele nicht wissen: Das Gesetz betrifft nicht nur Betreiber kritischer Infrastruktur, sondern alle Unternehmen, die eine Webseite betreiben. Das sind auch:

• Teleme­di­en­an­bieter nach dem Teleme­di­en­gesetz (TMG), zum Beispiel Online-Shops,

• Anbieter von Telekom­mu­ni­ka­ti­ons­diensten zum Beispiel Telefon­netz­be­treiber,

• Dienst­leister von KRITIS, Telemedien und Kommuni­ka­ti­ons­diensten wie Cloud- oder Software­an­bieter

Teleme­di­en­an­bieter und Telekom­mu­ni­ka­ti­ons­dienste mögen nicht zu kritischen Infrastrukturen zählen, verfügen jedoch über oder haben Zugang zu sensiblen Daten. Gleiches gilt für deren Dienst­leister. Daraus folgt: Bietet ein Dienst­leister eine Leistung am Markt an, mit der es einem Kunden, auch unter Beachtung eigener Pflichten, nicht möglich ist, die Anforde­rungen des IT-Sicher­heits­ge­setzes zu erfüllen, hat er seine Leistungs­an­for­de­rungen nicht erfüllt. Der Kunde kann dann zu Minderung, Kündigung oder Schadens­ersatz berechtigt sein. Ähnliche Pflichten gab es zwar schon vorher – mit dem IT-Sicher­heits­gesetz ist es nun aber deutlich leichter für Kunden, Ansprüche vor Gericht durchzu­setzen.

Keine Übergangsfrist für andere Unternehmen

Was sich ebenfalls noch nicht herumge­sprochen hat: „Die Unternehmen und Dienst­leister, die nicht zu den kritischen Infrastrukturen gehören, haben keine Übergangsfrist, um die Maßnahmen des Gesetzes umzusetzen“, warnt der IT-Rechts­experte. Auch wenn sofortige Bußgelder eher unwahr­scheinlich seien – mittel­fristig bestehe das Risiko durchaus.

Wer gegen das IT-Sicher­heits­gesetz verstößt, geht unterschiedliche Haftungs­risiken ein. So sind nach § 16 Abs.2 Nr. 3 TMG bis zu 50.000 Euro fällig, wenn ein Unternehmen gegen die Pflicht zur Sicher­stellung der technischen und organi­sa­to­rischen Vorkeh­rungen gemäß § 13 Abs. 7 TMG verstößt.

Aus vertrag­licher Sicht besteht das Risiko, dass sowohl Kunden als auch Vertrags­partner bei Datenpannen Schadens­ersatz geltend machen. Der wenn ein Dienst­leister die Daten seines Kunden nicht schützt, gilt seine Leistung als mangelhaft. Wichtig: Datenpannen können Unternehmen sehr teuer zu stehen kommen. Insbesondere deshalb, weil viele Firmen nicht ausreichend oder gar nicht dagegen versichert sind. Daneben sind Regress­an­sprüche des ersatz­pflichtigen Unternehmens gegen die Unterneh­mens­leitung denkbar.

Achtung beim Outsourcen von Leitungen

Was sollen Unternehmen tun, die Leistungen outsourcen? „Anbieter und Kunden sollten bei der Vertrags­ge­staltung regeln, wer das IT-Sicher­heits­niveau bestimmt und verant­wortet, welche Partei Maßnahmen umzusetzen und zu prüfen hat, wer für die Erfüllung der gesetz­lichen Meldepflichten verant­wortlich ist oder die Erfüllung dieser Verpflichtung zu unterstützen hat“, sagt Rechts­anwalt Bartels. Werde nichts Abweichendes vereinbart, müsse die Leistung den Kunden in die Lage versetzen können, seine gesetz­lichen Anforde­rungen zu erfüllen.

IT-Sicher­heits­gesetz als Chance verstehen

Für die betroffenen Unternehmen bedeutet das Gesetz also zunächst mehr Aufwand. Es bietet aber auch Chancen. So dürfte es ein Weckruf für Unternehmen sein, die sich bisher nicht ausreichend um das Thema IT-Sicherheit gekümmert haben, dieses in Angriff zu nehmen. Mit Blick auf immer häufigere und schwer­wiegende Cyber-Angriffe können prüfbare Sicher­heits­konzepte außerdem dazu beitragen, dass Unternehmen sich positiv von ihren Konkur­renten abheben können. Ein weiterer Vorteil für KRITIS-Betreiber: Mit dem IT-Sicher­heits­gesetz können sie branchen­spe­zi­fische Sicher­heits­standards definieren.

Datum
Autor
vhe
Bewertungen
562
Themen
Bußgeld Dienst­leis­tungen E-commerce Internet Unternehmen

Zurück