Foto: Joerg Trampert/Pixelio

IT-Sicherheit

Haftungsfrage

Das Thema IT-Sicherheit betrifft keineswegs nur die unmittelbar in Unternehmen mit den technischen Abläufen betrauten Verantwortlichen, sondern hat auch absolute Relevanz für die Unternehmensleitung. Denn Unternehmen, die der IT-Sicherheit nur wenig Beachtung schenken, handeln fahrlässig und können für ein solches Verhalten haftbar gemacht werden. Mit weitreichenden Folgen für das Unternehmen und die handelnden Personen selbst.

Für die Frage nach der Haftung in einem Unternehmen können verschiedene Ebenen unterschieden werden. Das Unternehmen selbst steht in der Haftung, wenn es seine Organisations-pflichten bewusst oder fahrlässig verletzt hat, zu denen auch die IT-Sicherheit gehört. Diese wird anhand verschiedener gesetzlicher Regelungen als Teil der Unternehmens-führung verstanden, beispielsweise auf Grundlage des BGB und HGB, konkretisiert durch anerkannte Standards wie das Gesetz zur Transparenz und Kontrolle im Unternehmensbereich.

Zur Person Horst Speichert ist seit 17 Jahren als Rechtsanwalt auf IT-Recht und Datenschutz spezialisiert und Seniorpartner der IT-Rechtsanwaltskanzlei ESB
• Langjährige Tätigkeit als Referent, Seminarleiter und externer Datenschutzbeauftragter

Letzteres zwingt die Unternehmensleitung, ein frühzeitiges Risiko-managementsystem zu etablieren, auf dessen Grundlage die IT-Sicherheit aufbaut. Dabei steht Unternehmen unter anderem die ISO 27001 Norm zur Seite, die den Aufbau und die Umsetzung eines Informations-sicherheits-Managementsystems regelt. Dieses umfasst unter anderem die erforderliche personelle Organisation sowie die Einführung von Sicherheitsprozessen und erforderlichen Richtlinien zur Aufrechterhaltung und Verbesserung der Informationssicherheit.

Die Ebene der Unternehmensführung und des Managements haftet zwar persönlich mit dem eigenen Vermögen, dies wird aber in der Regel durch spezielle D&OVersicherungen aufgefangen, sofern kein Vorsatz oder grob fahrlässiges Handeln vorliegt. Das Unternehmensrisiko kann nur begrenzt auf die unteren Ebenen, wie die der IT-Verantwortlichen, delegiert werden, denn diese haften nur bei grob fahrlässigem oder vorsätzlichem Verschulden persönlich, ansonsten greift in der Regel eine Haftungsprivilegierung.

Gesetzentwurf IT-Sicherheitsgesetz, § 8a: Betreiber kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht.

Ein vorsätzliches Verschulden kann allerdings vorliegen, wenn etwa ein IT-Verantwortlicher in seiner Garantenstellung für IT-Sicherheit rechtswidriges Verhalten nicht meldet oder verhindert. So macht sich beispielsweise ein Funktionsträger für IT-Sicherheit strafbar oder verantwortlich, wenn er billigend Handlungen von Mitarbeitern in Kauf nimmt, die entweder unternehmensschädigend oder eindeutig rechtswidrig sind.

Da das Thema der IT-Sicherheit in Verbindung mit der Organisationspflicht in vielen Unternehmen immer noch mitunter vernachlässigt wird, sollen zumindest die Betreiber und Unternehmen kritischer Infrastrukturen wie Energieversorger, aber auch Krankenhäuser und Logistikunternehmen angehalten werden, ein Mindestmaß an IT-Sicherheitsstandards einzuhalten. Hierzu wird es in naher Zukunft ein IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) geben, das die Details regelt und insbesondere organisierte Hackerangriffe und gefährliche Sicherheitslücken verhindern soll.

Foto: Fotolia/Zirocool

Übergriffe von Wachleuten

Ein Haftungsrisiko?

Private Sicherheitsdienstleister können je nach Aufgabenstellung rechtlich in ein brenzliges Spannungsfeld geraten, wie die jüngsten Vorfälle der Bewachung von Asylbewerberheimen zeigen. Es stellt sich daher die Frage, welche Haftungsrisiken für private Sicherheitsdienstleister bei Übergriffen durch ihre Mitarbeiter bestehen.

Auch die Entsorgung zählt zukünftig zu den Kritischen Infrastrukturen (Kritis) und ist damit im Fokus des BSI. Das neue IT-Sicherheitsgesetz schafft dafür die Basis.
Foto: Fototheobald - Fotolia.com

IT-Sicherheit

IT-Sicherheitsgesetz 2.0 verleiht BSI neue Befugnisse

Das IT-Sicherheitsgesetz 2.0 soll schon bald die bisherigen Kompetenzen des BSI ausweiten und zusätzliche Kritis-Sektoren in die Pflicht nehmen.

Foto: Björn Schwarz/Pixelio

IT-Sicherheitsgesetz

„Überraschungsei“

Der Vergleich mit einem Überraschungsei erscheint beim IT-Sicherheitsgesetz überzogen, wenn es auch an dem sprichwörtlichen Körnchen Wahrheit nicht fehlt. Das am 25. Juli 2015 in Kraft getretene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz (IT-SG), ist ein Regelwerk, dessen Anwendungsbereich und Adressatenkreis teilweise noch nicht konkret voraussehbar sind.