It Sicherheit recht

Die Erfüllung gesetzlicher IT-Sicherheitspflichten hat einen hohen Stellenwert, um generelle Haftpflichtrisiken und Geldbußen für die Nichteinhaltung besonderer gesetzlicher IT-Sicherheitspflichten zu verhindern. Das Praxisleitbild informiert Firmen und ihre Berater praxisorientiert und verständlich über die geltenden IT-Sicherheitspflichten und deren Erfüllung sowie über drohende Haftpflichtrisiken bei Sicherheitslücken. Die neue Gesetzeslage, die sich aus dem neuen Datenschutzgesetz und dem NIS-Richtlinienumsetzungsgesetz ergeben hat, wird vollständig Berücksichtigung finden.

Sicherheitsaufgaben

Aufgaben und Verantwortlichkeiten im Betrieb (mit DSGVO & NIS-RL-UmsetzungsG). Das Praxisleitbild informiert Firmen und ihre Berater praxisnah und nachvollziehbar über die geltenden IT-Sicherheitspflichten und deren Erfüllung sowie über drohende Haftpflichtrisiken bei Sicherheitslücken. Die IT-Infrastruktur eines Betriebes ist nicht nur externen Gefahren z. B. durch Computerviren oder gezielten Cyberangriffen ausgeliefert, sondern auch von innerhalb des Betriebes, z. B. durch Bedienungsfehler in der Technologie oder auch durch die Entnahme von vertraulichen Daten aus dem Betrieb (Conrad/Huppertz-in):

Bereits heute werden viele Endgeräte in Firmen eingesetzt, die über Interfaces mit dem Netz verbunden sind und automatisiert miteinander in Verbindung stehen. Aus diesen Überlegungen heraus ist die Sicherheit der eigenen IT-Systeme ein zentraler Punkt für Sie. Nicht nur die IT-Sicherheit ist in der Praxis gefragt: Ein Höchstmaß an Sicherheit ist im eigenen Interesse, um die eigenen Geschäftsprozesse und Geschäftsgeheimnisse zu schonen.

Dazu sind auch Firmen, unabhängig von der Industrie, gesetzlich verpflichtet. Es gibt kein industrieübergreifendes "IT-Sicherheitsrecht" im wahrsten Sinne des Wortes (Conrad/Huppertz in: IT-Sicherheitsverpflichtungen resultieren aus den Rechtsvorschriften verschiedener Rechtsbereiche. Dies sind zum Teil industriespezifische oder technologiebezogene Standards, so dass ein allgemeiner Sicherheitstandard nicht leicht zu erkennen ist und Firmen oft Probleme haben, ihre IT-Sicherheitsverpflichtungen zu erkennen.

Die folgende Prüfliste zeigt zunächst die wesentlichen IT-Compliance-Verpflichtungen in den drei Bereichen der IT-Sicherheit im Unter-nehmen auf: Die folgenden Checklisten geben einen ersten Überblick über die wesentlichen IT-Sicherheitsverpflichtungen: Jede Gesellschaft unterliegt grundsätzlichen IT-Sicherheitspflichten nach allgemeinen gesetzlichen Bestimmungen (vor allem aus dem Handels- und Gesellschaftsrecht), die zum Teil branchen- und branchenübergreifend den "Mindeststandard IT-Sicherheit" darstellen (vgl. Im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 9 ff.).

Für die Implementierung der IT-Sicherheit im Betrieb ist das Management verantwortlich (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 32 ff.). IT-Sicherheits-Compliance: Verpflichtung zur Beachtung der geltenden IT-Sicherheitsvorschriften, die branchen- oder branchenspezifischer Art sein können, sog. IT-Compliance (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 50 ff.

Früherkennungs- und Überwachungspflicht: Verpflichtung zur Errichtung eines Früherkennungs- und Überwachungssystems für bestandsgefährdende IT-Sicherheitsrisiken (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 40 ff.); IT-Risikomanagement: Verpflichtung zur Beobachtung und Beherrschung aller IT-Sicherheitsrisiken (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 50 ff.); in vielen Faellen wird die Etablierung eines IT-Risiko-Management-Systems zur praxistauglichen Umsetzun (vgl. Die EDV-gestützte Rechnungslegung erfordert die Etablierung eines unternehmensinternen Kontroll- und Überwachungssystems zur Sicherstellung einer ordnungsgemäßen Rechnungslegung (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 61 ff.); Wahrung von Geschäftsgeheimnissen:

Für den vorbeugenden Schutz der eigenen Betriebsgeheimnisse müssen Firmen IT-Sicherheitsvorkehrungen ergreifen, da der kartellrechtliche Datenschutz letztendlich erst nach Bekanntgabe der Vertraulichkeit (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 115 ff.) wirksam wird; vertraglich vereinbarte IT-Sicherheitspflichten: Im Falle von Aufträgen mit Dritten sind unternehmensinterne IT-Sicherheitsverpflichtungen regelmäßiger Teil des Vertragsverpflichtungenprogramms (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 87 ff.).

Fast alle Firmen bearbeiten persönliche Angaben (z.B. von Angestellten und Kunden) in irgendeiner Form, so dass bei der Bearbeitung dieser Angaben die datenschutzrechtlichen Bestimmungen der IT-Sicherheit beachtet werden müssen (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 290 ff.): TOMs: Datensicherheit durch Design & Standard: Umsetzung von präventiven Datenschutzmassnahmen im Vorgriff auf die Bearbeitung durch Einrichtung neuer Angebote und Dienstleistungen soweit wie möglich Datenschutzgerecht (Datenschutz durch Technologiegestaltung und datenschutzgerechte Voreinstellungen), (vgl.

detailliert Voigt, IT-Sicherheitsrecht, Rz. 321 ff.); Konzernbeauftragter für den Datenschutz: (siehe detailliert Voigt, IT-Sicherheitsrecht, Rz. 329 ff.); Verarbeitungsverzeichnis: Rechtsanwältin (siehe Voigt, IT-Sicherheitsrecht, Rz. 326 f.); Datenschutzverträglichkeitsprüfung: Datenfehlfunktionen (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 328); Datenfehler: S. Voigt, IT-Sicherheitsgesetz, §§ 332 ff. Darüber hinaus müssen Firmen branchen- und branchenspezifische IT-Sicherheitsanforderungen einhalten, die für sie gelten, um IT-Compliance zu erreichen.

Operatoren von kritischen Infrastrukturen: Firmen, die als Dienstleister in gewissen Branchen regelmässig mehr als 50.000 Menschen beliefern, unterliegen als Betriebsführer von KRITIS dem BSIG-Verpflichtungsprogramm (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 352 ff.). Ergreifen Sie geeignete sicherheitstechnische und -organisatorische Vorkehrungen zum Schutze der KRITIS-Systeme und weisen Sie dies regelmässig nach; richten Sie eine Anlaufstelle für das BSI ein; berichten Sie wesentliche Mängel in den IT-Systemen an das BSI.

S. Voigt, IT-Sicherheitsgesetz, §§ 386 ff. VOIGT, IT-Sicherheitsgesetz, §§ 409 ff. Firmen, die öffentliche Telekommunikationsdienstleistungen ganz oder zum Teil auf geschäftlicher Basis anbieten, müssen die im TKG festgelegten IT-Sicherheitspflichten einhalten ( im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 422 ff.): Technische und organisatorische Maßnahmen zur Vermeidung wesentlicher Störungen der Dienstleistungen; Bestellung eines Sicherheitsbeauftragten für die Telekommunikation; Erarbeitung eines Sicherheitskonzeptes; Melden von Störungen der Dienstleistungen und von Datenschutzverstößen.

Energieversorgungsnetzbetreiber: (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 449 ff.). Kernkraftwerke: (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 460 ff.). Telematik-Infrastruktur: (siehe im Einzelnen Voigt, IT-Sicherheitsrecht, Rz. 466 ff.). des IT-Sicherheitsrechts (vgl. Voigt, §§ 472 ff.). Die Sicherstellung eines effektiven Risiko-Managements, die Umsetzung eines geeigneten Notfallkonzeptes für IT-Systeme, das Bestehen einer geeigneten technischen und organisatorischen Ausgestaltung.

Bestehen im Betrieb IT-Sicherheitsdefizite, besteht immer ein beträchtliches Haftpflichtrisiko, bei dem die Eventualverbindlichkeiten alle Beteiligten und Verursacher von entsprechenden Defiziten einbeziehen. Dabei sind drei Gebiete zu unterschieden (Im Einzelnen zu den Haftgrundlagen Voigt, IT-Sicherheitsrecht, Rz. 197 ff.): Intern: Die Haftpflicht im Betrieb wirkt sich oft wesentlich auf das Management aus.

Senkrecht: Die Missachtung der für das jeweilige Untenehmen geltenden besonderen gesetzlichen IT-Sicherheitsanforderungen zieht regelmässig besondere Rechtsverstöße mit entsprechender Haftung nach sich.