Geldpolitik

Cyber Security-Recht dank Panama in aller Munde

Der Panama Papers Leak-Skandal rückt nicht nur potenzielle Steuersünder, sondern auch das Cyber Security-Recht in das Blickfeld der Öffentlichkeit, das durch Unternehmen häufig vernachlässigt wird. Dies, obwohl Innovationen wie neue Cloud-Technologien, Big Data, Industrie 4.0 oder Internet of Things durch die große Ansammlung personenbezogener Daten hohe Risiken von Datenverlusten in sich bergen. Thomas Hertl und Alexander Feitzinger, Rechtsanwälte der Kanzlei Arnecke Sibeth, erläutern im Folgenden, welche rechtlichen Konsequenzen Unternehmen bei Verstößen gegen das Cyber Security-Recht drohen.

Einer Studie der Bitkom zufolge ist gut die Hälfte aller deutschen Unternehmen in den letzten zwei Jahren Opfer von Cyber-Kriminalität geworden. Dadurch ist Unternehmen in Deutschland in den letzten Jahren ein Schaden in Milliardenhöhe entstanden. Zum einen durch den Verlust von geldwertem Know How, zum anderen durch Umsatzverluste bei Betriebsunterbrechungen durch IT-Systemausfälle. Aber auch die Wiederherstellung des alten Zustands nach einer Cyberattacke verursacht Kosten, ebenso wie die Einschaltung von auf Cyber Security-Recht spezialisierten Anwälten. Der Schadensbetrag in Milliardenhöhe beinhaltet aber auch Schadensersatzforderungen betroffener Dritter wegen der Verletzung von Datenschutz-, Vertraulichkeits- oder Organisationspflichten bzw. Schadensersatzforderungen Betroffener wegen aus solchen Pflichtverletzungen resultierender Verstöße gegen Marken-, Persönlichkeits- oder Wettbewerbsrecht.

Das IT-Sicherheitsgesetz
Zum Cyber Security-Recht zählt das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG). Das IT-SiG stellt im eigentlichen Sinne kein neues Gesetz dar, sondern ändert vielmehr eine Reihe bereits bestehender Gesetze. Hier sind vor allen Dingen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSiG), das Telemediengesetz (TMG) oder das Atomgesetz (AtomG) zu nennen. Betroffen sind alle Firmen, die so genannte „Kritische Infrastrukturen“ betreiben und solche, bei denen das Risiko besonders groß wäre, würden sie IT-bedingt lahmgelegt werden. Aber auch Unternehmen, die diesen Firmen zuarbeiten, sind im Blickfeld. Erst am 13. April 2016 hat die Bundesregierung dem Erlass einer Verordnung zugestimmt, die Kriterien dafür enthält, wann ein Unternehmen eine „Kritische Infrastruktur“ im Sinne des BSiG betreibt und von diesen Pflichten betroffen ist.

Datenschutzrecht
Auch Vorschriften des Datenschutzrechts (BDSG) fallen unter den Oberbegriff Cyber Security-Recht. § 42a BDSG sieht vor, dass ein Betrieb, dem in seiner Obhut befindliche Informationen über Personen abhandengekommen sind, umfangreichen Meldepflichten gegenüber Datenschutz-Aufsichtsbehörden sowie den jeweils Betroffenen nachkommen muss. Diese Pflichten werden unter der ab dem 25. Mai 2018 anwendbaren EU-Datenschutzgrundverordnung noch weiter gehen. Es drohen dann auch noch strengere Bußgelder. Denn die Sanktionshöhe lässt sich zukünftig auch am Umsatz der jeweiligen Firma bemessen.

Compliance
Die Pflicht zur Compliance, zum gesetzes-konformen Handeln, lässt sich ebenfalls dem Cyber Security-Recht zuordnen. Geschäftsführer und Vorstände müssen für die Einhaltung der das eigene Unternehmen verpflichtenden Gesetze Sorge tragen. Hierzu hat die Unternehmensleitung geeignete Organisationsmaßnahmen zu ergreifen. Es empfiehlt sich im IT-Bereich eine Orientierung am BSI-Grundschutz, herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik. Vernachlässigt die Unternehmensleitung ihre Compliance-Pflichten, kann auch daraus ein Schadensersatzrisiko resultieren. Das Landgericht München I hat in einem Urteil vom 10. Dezember 2013 einer Schadensersatzklage gegen einen Unternehmensvorstand in Millionenhöhe stattgegeben, weil dieser seinen Pflichten nicht ausreichend nachgekommen ist und dadurch ein konkret bezifferbarer Schaden entstanden ist.

Strafrecht
Die Vernachlässigung der Cyber Security im eigenen Unternehmen kann neben Schadensersatzansprüchen auch strafrechtliche Konsequenzen auslösen. Nach dem „Untreue-Paragraphen“ wird derjenige bestraft, der die ihm kraft Gesetzes, behördlichen Auftrags, Rechtsgeschäfts oder Treueverhältnisses obliegende Pflicht verletzt, fremde Vermögensinteressen wahrzunehmen und dadurch demjenigen, dessen Vermögen er zu betreuen hat, einen Nachteil zufügt.

Um die Risiken einzudämmen, sollten betroffene Unternehmen neben dem Delegieren von Compliance-Pflichten in der unternehmenseigenen Compliance-Organisation auch den Entwurf einer IT-Sicherheitsrichtlinie mit Vorgaben für die Verschlüsselung von Informationsflüssen und die Benennung eines IT-Sicherheitsbeauftragten gewährleisten. Auch die Einführung eines Informationssicherheits-Managementsystem, die Anwendung gängiger Frameworks sowie die Beauftragung eines externen Datenschutzbeauftragten zur Überwachung der datenschutzspezifischen Vorschriften sollten implementiert werden. Das Cyber Security-Recht ist nicht zu unterschätzen, und es ist höchste Zeit, sich den Herausforderungen zu stellen und die geeigneten Maßnahmen zu ergreifen.

Abonnieren Anmelden
Zur PLATOW Börse