DER Mittelstand. | 4 | 2017
UNTERNEHMERSERVICE
55
Aufgepasst beim Cyber-Security-Recht! Cyber-Security wird von vielen Unternehmen vernachlässigt, trotz der hohen Risiken von Datenverlusten durch Cloud-Technologien, Big Data, Industrie 4.0 oder Internet of Things und Milliardenschäden durch Cyber-Attacken. Aber auch das Cyber-Securitiy-Recht birgt hohe Risiken. Einer Studie der Bitkom zufolge wurden gut die Hälfte aller deutschen Unternehmen in den letzten zwei Jahren Opfer von Cyber-Kriminalität. Dadurch ist bereits ein Schaden in Milliardenhöhe entstanden, etwa durch den Verlust geldwerten Know-hows oder durch Umsatzverluste bei Betriebsunterbrechungen. Auch die Wiederherstellung des alten Zustands nach einer Cyberattacke verursacht Kosten.
grundverordnung noch weitergehen. Es drohen dann auch noch strengere, sogar am Unternehmensumsatz orientierte Bußgelder.
Compliance Die Pflicht zur Compliance, zum gesetzeskonformen Handeln, gehört ebenfalls zum CyberSecurity-Recht. Geschäftsführer und Vorstände müssen generell für die Einhaltung der anwendbaren Gesetze sorgen, auch im Bereich der IT-Sicherheit. Andernfalls drohen sogar Schadensersatzforderungen. Das Bundesamt für Sicherheit in der Informationstechnik hat hierzu den BSI-Grundschutz verfasst, Leitlinien an denen man sich orientieren kann.
Illustration: ©vege - fotolia.com; Illustration Schloss: ©Jemastock - fotolia.com
Strafrecht Die Vernachlässigung der Cyber-Security kann sogar strafrechtliche, ordnungswidrigkeitsrechtliche Konsequenzen haben. Nach dem „Untreue-Paragraphen“ wird derjenige bestraft, der die ihm obliegende Pflicht verletzt, fremde Vermögensinteressen wahrzunehmen und dadurch dem Vermögenden einen Nachteil zufügt.
Das IT-Sicherheitsgesetz Zum Cyber-Security-Recht zählt das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG). Dieses stellt kein neues Gesetz dar, sondern ändert vielmehr eine Reihe bereits bestehender Vorschriften. Hier geht es um das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSiG), das Telemediengesetz (TMG) und weitere Gesetze mit IT-Bezug.
Datenschutzrecht Auch das Datenschutzrecht (Bundesdatenschutzgesetz, BDSG) ist dem Cyber-Security-Recht zuzuordnen. Klar definierte technische und organisatorische Maßnahmen sind zu ergreifen; bei Datenverlusten sind umfangreiche Meldepflichten zu beachten. Diese Pflichten werden unter der ab dem 25. Mai 2018 geltenden EU-Datenschutz-
Maßnahmen zur Eindämmung von Cyber-Security-Risiken für Unternehmer:
Thomas Hertl Partner ARNECKE SIBETH www.arneckesibeth.com
Vor diesem Hintergrund empfehlen sich verschiedene Maßnahmen: Compliance-Verantwortlichen festlegen Installierung einer IT-Sicherheitsrichtlinie und Benennung eines hierfür Beauftragten Einführung eines Informationssicherheits-Managementsystem (ISMS) Beauftragung eines externen Datenschutzbeauftragten zur Überwachung der Vorschriften im Unternehmen Das Cyber-Security-Recht ist nicht zu unterschätzen, und es ist höchste Zeit, die geeigneten Maßnahmen zu ergreifen.
Alexander Feitzinger Rechtsanwalt ARNECKE SIBETH www.arneckesibeth.com