Anwältin/Anwalt finden!

Merkzettel

Es befinden sich noch keine Anwälte in Ihrer Merkliste.

Internet und Sicherheit

Von vielen Unter­nehmen unterschätzt: Das IT-Sicher­heits­gesetz

Maßnahmen zur IT-Sicherheit sind nun gesetzlich vorgeschrieben. © Quelle: Fuse/gettyimages.de

Unter­nehmer, die die IT-Systeme in ihrer Firma nicht ausrei­chend sichern, werden das womöglich teuer bezahlen – im wahrsten Sinne des Wortes. Denn IT-Sicher­heits­ma­na­gement gehört zum Risiko­ma­na­gement: Für Schäden haftet die Unter­neh­mens­leitung auch persönlich. Hinzu kommt: Seit Ende Juli 2015 gilt das IT-Sicher­heits­gesetz. Wer die Vorgaben nicht frist­ge­recht umgesetzt, riskiert Bußgelder. Viele wissen nicht, dass das Gesetz weit mehr Unter­nehmen betrifft als nur die Betreiber Kriti­scher Infra­struktur.

IT-Sicherheit endlich gesetzlich verankert

Worum geht es bei dem Gesetz? Unternehmen müssen ihre IT-Systeme besser vor Cyber-Angriffen schützen. Das ist zwar per se nichts Neues. Aber: „Mit dem IT-Sicherheitsgesetz stellt das IT-Sicherheitsrecht erstmals ausdrücklich kodifizierte Pflichten an die IT-Sicherheit im deutschen Recht, die über den technischen Datenschutz hinausgehen“, sagt Rechtsanwalt Karsten U. Bartels LL.M. Der IT-Rechtsexperte ist stellv. Vorsitzender der Arbeitsgemeinschaft IT-Recht (davit) im Deutschen Anwaltverein (DAV) und Vorstand von TeleTrusT, dem Bundesverband IT-Sicherheit e.V.

Sicher­heits­vor­keh­rungen nach Stand der Technik

Wie genau die IT-Systeme nun geschützt werden sollen, erklärt der Experte, hänge von der Branche, dem Unternehmen und dem jeweiligen Stand der Technik ab. „Unternehmen sollten zunächst die Schutzbedürftigkeit ihrer Daten und Systeme prüfen. Dazu müssen sie sich folgende Fragen stellen: Was würden passieren, wenn Daten verloren gingen, korrumpiert würden oder in falsche Hände gelangten? Machte man sich schadensersatzfähig? Machte man sich vielleicht sogar strafbar? Und nicht zu vergessen: Welche Reputationsschaden gäbe es?“

Aus diesen Erkennt­nissen können die Unter­nehmen technische und organi­sa­to­rische Vorkeh­rungen ableiten und dokumen­tieren – und natürlich umsetzen. Ist es einem Unter­nehmen nicht möglich, die Vorkeh­rungen nicht nach dem Stand der Technik zu reali­sieren, muss dies im Zweifel begründbar sein. Ein Grund könnte sein, dass die notwendige Technik sehr teuer ist und ein kleines Unter­nehmen sich das nicht leisten kann.

Was das Gesetz aller­dings nicht vorsieht, sind konkrete Anfor­de­rungen und Bewer­tungsmaßstäbe. Unter­nehmen haben daher keine andere Wahl, als eigenständig Kriterien zu entwi­ckeln und eine juris­tisch belastbare Schutz­be­darfs­analyse zu starten.

Hacke­r­an­griffe müssen gemeldet werden

Hinzu kommen für KRITIS-Betreiber neue Melde­pflichten: Sicher­heitsvorfälle – also Hacke­r­an­griffe – müssen je nach Zuständigkeit dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) gemeldet werden. Dadurch soll die Bundes­re­gierung einen Überblick über die Sicher­heitslage bekommen. Unter anderem Kernener­gie­un­ter­nehmen und Energie­an­bieter sind bereits seit Inkraft­treten des Gesetzes verpflichtet, erheb­liche Sicher­heitsvorfälle dem BSI zu melden.

KRITIS-Betreiber betroffen

Das IT-Sicher­heits­gesetz gilt unter anderem für Betreiber kriti­scher Infra­struktur (KRITIS). Dazu zählen neben Atomkraft­werken Krankenhäuser, Banken und Energie­ver­sorger. Der Gesetzbegründung zufolge sind damit rund 2.000 Unter­nehmen betroffen. Welche Unter­nehmen konkret dazu zählen und wie das Gesetz anzuwenden ist, wird eine Verordnung klären. Zwei Jahre, nachdem sie in Kraft getreten ist, werden die Anfor­de­rungen des Gesetzes für diese Unter­nehmen verbindlich. „Für diese Verordnung liegt derzeit noch kein Entwurf vor“, infor­miert Rechts­anwalt Bartels. „Bis sie in Kraft tritt, kann es also noch etwas dauern.“

Auch Teleme­di­enan­bieter betroffen

Was viele nicht wissen: Das Gesetz betrifft nicht nur Betreiber kriti­scher Infra­struktur, sondern alle Unter­nehmen, die eine Webseite betreiben. Das sind auch:

• Teleme­di­enan­bieter nach dem Teleme­dien­gesetz (TMG), zum Beispiel Online-Shops,

• Anbieter von Telekom­mu­ni­ka­ti­ons­diensten zum Beispiel Telefon­netz­be­treiber,

• Dienst­leister von KRITIS, Telemedien und Kommu­ni­ka­ti­ons­diensten wie Cloud- oder Softwa­rean­bieter

Telemedienanbieter und Telekommunikationsdienste mögen nicht zu kritischen Infrastrukturen zählen, verfügen jedoch über oder haben Zugang zu sensiblen Daten. Gleiches gilt für deren Dienstleister. Daraus folgt: Bietet ein Dienstleister eine Leistung am Markt an, mit der es einem Kunden, auch unter Beachtung eigener Pflichten, nicht möglich ist, die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen, hat er seine Leistungsanforderungen nicht erfüllt. Der Kunde kann dann zu Minderung, Kündigung oder Schadensersatz berechtigt sein. Ähnliche Pflichten gab es zwar schon vorher – mit dem IT-Sicherheitsgesetz ist es nun aber deutlich leichter für Kunden, Ansprüche vor Gericht durchzusetzen.

Keine Übergangs­frist für andere Unter­nehmen

Was sich ebenfalls noch nicht herum­ge­sprochen hat: „Die Unter­nehmen und Dienst­leister, die nicht zu den kriti­schen Infra­struk­turen gehören, haben keine Übergangs­frist, um die Maßnahmen des Gesetzes umzusetzen“, warnt der IT-Rechts­ex­perte. Auch wenn sofortige Bußgelder eher unwahr­scheinlich seien – mittel­fristig bestehe das Risiko durchaus.

Wer gegen das IT-Sicherheitsgesetz verstößt, geht unterschiedliche Haftungsrisiken ein. So sind nach § 16 Abs.2 Nr. 3 TMG bis zu 50.000 Euro fällig, wenn ein Unternehmen gegen die Pflicht zur Sicherstellung der technischen und organisatorischen Vorkehrungen gemäß § 13 Abs. 7 TMG verstößt.

Aus vertraglicher Sicht besteht das Risiko, dass sowohl Kunden als auch Vertragspartner bei Datenpannen Schadensersatz geltend machen. Der wenn ein Dienstleister die Daten seines Kunden nicht schützt, gilt seine Leistung als mangelhaft. Wichtig: Datenpannen können Unternehmen sehr teuer zu stehen kommen. Insbesondere deshalb, weil viele Firmen nicht ausreichend oder gar nicht dagegen versichert sind. Daneben sind Regressansprüche des ersatzpflichtigen Unternehmens gegen die Unternehmensleitung denkbar.

Achtung beim Outsourcen von Leitungen

Was sollen Unter­nehmen tun, die Leistungen outsourcen? „Anbieter und Kunden sollten bei der Vertrags­ge­staltung regeln, wer das IT-Sicher­heits­niveau bestimmt und verant­wortet, welche Partei Maßnahmen umzusetzen und zu prüfen hat, wer für die Erfüllung der gesetz­lichen Melde­pflichten verant­wortlich ist oder die Erfüllung dieser Verpflichtung zu unterstützen hat“, sagt Rechts­anwalt Bartels. Werde nichts Abwei­chendes vereinbart, müsse die Leistung den Kunden in die Lage versetzen können, seine gesetz­lichen Anfor­de­rungen zu erfüllen.

IT-Sicher­heits­gesetz als Chance verstehen

Für die betrof­fenen Unter­nehmen bedeutet das Gesetz also zunächst mehr Aufwand. Es bietet aber auch Chancen. So dürfte es ein Weckruf für Unter­nehmen sein, die sich bisher nicht ausrei­chend um das Thema IT-Sicherheit gekümmert haben, dieses in Angriff zu nehmen. Mit Blick auf immer häufigere und schwer­wie­gende Cyber-Angriffe können prüfbare Sicher­heits­kon­zepte außerdem dazu beitragen, dass Unter­nehmen sich positiv von ihren Konkur­renten abheben können. Ein weiterer Vorteil für KRITIS-Betreiber: Mit dem IT-Sicher­heits­gesetz können sie branchen­spe­zi­fische Sicher­heits­stan­dards definieren.

Themen
Bußgeld Dienstleistungen E-commerce Internet Unternehmen

Zurück

Anwältin/Anwalt finden!

Merkzettel

Es befinden sich noch keine Anwälte in Ihrer Merkliste.

Mobilität
Sünden am Steuer: So verlieren Sie schnell Ihren Führerschein
Gesellschaft
DSGVO: Was Sie über den neuen Datenschutz wissen müssen
Wohnen
Wann ein befristeter Mietvertrag gültig ist
Beruf
Gehaltsverhandlung: Das sollten Arbeitnehmer wissen
Leben
Witwenrente und Witwerrente – was Sie wissen müssen
zur
Startseite