Unkategorisiert
Stefan Hessel Cybersecurity Day im East Side Fab

Cybersicherheit qua Gesetz? Diese Pflichten müssen Unternehmen beachten

by

Cyberangriffe: Wenn Daten und IT-Systeme zum Risiko werden

Sind Daten nicht verfügbar oder fallen IT-Systeme durch Störungen oder Cyberangriffe aus, kann dies für Unternehmen dramatische Folgen haben. Zu denken ist unter anderem an Personen- und Sachschäden, finanzielle Einbußen, Datendiebstahl, Erpressung oder Wirtschaftsspionage. Auch Imageschäden, die mit Cyberangriffen einhergehen können, sind keinesfalls zu unterschätzen. Cybersicherheit ist für Unternehmen in einer digitalen Welt aber nicht nur überlebensnotwendig und geschäftskritisch, sie wird zudem immer stärker zur gesetzlichen Verpflichtung. Unternehmen, die keine oder unzureichende Maßnahmen zur Cybersicherheit ergreifen, können folglich nicht nur technische Probleme bekommen, sondern auch gegen geltendes Recht verstoßen. Ist dies der Fall, drohen empfindliche Geldbußen sowie Schadensersatzklagen von Kunden und Geschäftspartnern. Unternehmen sind also gut beraten, neben den technischen auch die rechtlichen Aspekte von Cybersicherheit im Blick zu behalten.

Das Cybersicherheitsrecht gleicht einem Flickenteppich

Bislang bestehen weder in Deutschland noch auf europäischer Ebene einheitliche gesetzliche Vorgaben zur Cybersicherheit. Stattdessen müssen Unternehmen vielfältige und komplexe rechtliche Anforderungen beachten und umsetzen, wenn sich nicht in Konflikte mit dem Gesetz geraten wollen. So liegt eine erste Herausforderung darin, dass manche Vorschriften an bestimmte Dienstleistungen oder Produkte anknüpfen, während andere ausschließlich für bestimmte Branchen gelten. Einige gesetzliche Vorgaben müssen wiederum von allen Unternehmen beachtet werden. Folgende Übersicht liefert Unternehmen einen ersten Überblick über relevante gesetzliche Vorgaben zur Cybersicherheit, kann eine rechtliche Beratung im Einzelfall jedoch nicht ersetzen:

  • Cybersicherheit ist Chefsache
    Fehlende oder unzureichende Cybersicherheit stellt ein wirtschaftliches Risiko dar und wird als solche von den gesetzlichen Vorschriften zur Verhütung von unternehmerischen Risiken erfasst. Vom Vorstand einer Aktiengesellschaft wird beispielsweise die Einführung eines Überwachungssystems für „den Fortbestand der Gesellschaft gefährdende Entwicklungen“ (§ 91 Abs. 2 AktG) verlangt. Zugleich herrscht eine Pflicht zum Schutz von Betriebs- und Geschäftsgeheimnissen (§ 93 Abs. 1 AktG). Vergleichbare Vorschriften existieren auch für andere Gesellschaftsformen, beispielsweise in § 43 Abs. 1 des Gesetzes betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) für den GmbH-Geschäftsführer.
  • Cybersicherheit als Teil des Datenschutzrechts
    Nach Art. 32 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sind Unternehmen bei der Verarbeitung von personenbezogenen Daten dazu verpflichtet, diese angemessen zu schützen. Ein konkreter Maßnahmenkatalog wird durch die DSGVO allerdings nicht definiert, vielmehr fällt die Auswahl angemessener Maßnahmen in den Verantwortungsbereich der Unternehmen. Überdies müssen Unternehmen bei Datenschutzverletzungen Melde- und Benachrichtigungspflichten beachten.
  • Der rechtliche Schutz von Geschäftsgeheimnissen
    Der rechtliche Schutz von wirtschaftlich relevanten Unternehmensinformationen setzt nach § 2 Nr. 1 b) des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) angemessene Geheimhaltungsmaßnahmen voraus. Zu denken ist hier zunächst an die Kennzeichnung von Informationen als vertraulich, doch ebenso an vertragliche Vereinbarungen zum Geheimnisschutz, etwa mit Arbeitnehmern oder Dritten. Abhängig von einer Risikobewertung, der Unternehmensgröße und der Anzahl von Geheimnissen können aber auch technische Maßnahmen, wie z. B. ein Passwortschutz oder Verschlüsselung, erforderlich sein.
  • Spezialgesetzliche Regelungen
    Darüber hinaus existieren zahlreiche spezialgesetzliche Regelungen, die Unternehmen abhängig von Branche, Dienstleistung oder Produkt beachten müssen. Beispiele hierfür sind etwa das BSI-Gesetz (BSIG), das für Unternehmen, die zur Kritischen Infrastruktur (KRITIS) zählen, besonders strenge Vorgaben umfasst, oder das Kreditwesengesetz (KWG), das in Verbindung mit den Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT) von Banken und Finanzdienstleistern zu beachten ist. Weitere Beispiele finden sich mit der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) für Anbieter von Gesundheitsapps sowie den UNECE-Regelungen für Automotive Cybersecurity im Bereich der Mobilität.
  • Vertragliche und haftungsrechtliche Verpflichtungen
    Eine rechtliche Verpflichtung zur Umsetzung von Cybersicherheitsmaßnahmen kann sich überdies aus dem Vertrags- und Haftungsrecht ergeben. Da dies häufig einen blinden Fleck in der Cybersecurity Compliance von Unternehmen bildet, sollten diese Aspekte bereits bei der Entwicklung von Produkten und Dienstleistungen mitgedacht und rechtlich geprüft werden.

Mehr Sicherheit durch Legal Incident Response erreichen

Gesetzliche Vorgaben müssen auch bei der Bewältigung von Cyberangriffen (Incident Response) berücksichtigt werden. So ist beispielsweise bei Abwehrmaßnahmen, die Spuren vernichten, stets zu hinterfragen, ob die Spuren noch für eine Dokumentation oder weitere rechtliche Maßnahmen (z. B. die Geltendmachung von Regressansprüchen) erforderlich sind. Auch Detektionsmaßnahmen, wie z. B. die Durchsicht von E-Mail-Postfächern von Arbeitnehmern oder Zugriffe auf fremde Systeme, müssen einer rechtlichen Bewertung unterzogen werden. Unabhängig davon können rechtliche Maßnahmen auch zur Gewährleistung bzw. Absicherung der Prozesse zur Bewältigung von Cyberangriffen dienen (Legal Incident Response). Dies gilt insbesondere für die technisch schwierige Situation, dass sich ein Cyberangriff nicht im eigenen Unternehmen, sondern bei einem Dienstleister ereignet. Klare vertragliche Regelungen schaffen speziell in dieser Konstellation die notwendige Basis für eine routinierte Bewältigung von Cyberangriffen und gewinnen daher enorm an Bedeutung.

Compliance Management als Schlüssel zur erfolgreichen Umsetzung

Aufgrund der komplizierten Rechtslage sowie teilweise versteckter bzw. indirekter Verpflichtungen zur Cybersicherheit ist die Reduzierung rechtlicher Risiken für Unternehmen eine wachsende Herausforderung. Unternehmen sollten diesem Risiko durch die Etablierung eines Cybersecurity Compliance Managements begegnen. Hierbei empfehlen wir insbesondere die folgenden Schritte:

  • Anwendbare Gesetze und Verpflichtungen für Unternehmen und Produkt identifizieren
  • Aus den rechtlichen Vorgaben konkrete Maßnahmen Cybersecurity ableiten sowie erforderliche Risikoabwägungen durchführen
  • Einheitliches IT-Sicherheitskonzept erstellen, anpassen und dokumentieren
  • Kontinuierliches Monitoring bzgl. neuer gesetzlicher Vorgaben (Früherkennung) und regelmäßige Kontrolle der Umsetzung

Zum Autor

Stefan Hessel am Cybersecurity Day im East Side Fab

Rechtsanwalt Stefan Hessel, LL.M. ist Co-Head der Digital Business Unit bei reuschlaw Legal Consultants in Saarbrücken. Er berät Unternehmen zu komplexen Fragestellungen im Bereich des Datenschutzes, der Cybersicherheit sowie des IT-Rechts. Seine umfassenden Kenntnisse technischer Sachverhalte und sein wirtschaftliches Denken hat Stefan Hessel in der Vergangenheit unter anderem am CISPA Helmholtz-Zentrum für Informationssicherheit in Saarbrücken sowie als Geschäftsführer eines Cybersecurity-Start-ups unter Beweis gestellt. Das Saarland auch bei den rechtlichen Aspekten von Cybersicherheit zu einem Vorreiter zu machen, ist ihm ein besonderes Anliegen.

Über reuschlaw Legal Consultants

reuschlaw Legal Consultants zählt zu den führenden wirtschaftsberatenden Kanzleien im Produkthaftungsrecht und berät seit 2004 national und international tätige Unternehmen mit den Schwerpunkten Produktsicherheitsrecht, Produkthaftungsrecht, Data Protection & Cybersecurity, Rückrufmanagement, Versicherungsrecht, Compliance Management und Vertragsrecht.

Tags:
Unkategorisiert / Uncategorized

Cybersecurity by law? Companies have to observe these obligations

by

Cyber attacks: When data and IT systems become a risk

If data is not available or IT systems fail due to malfunctions or cyber attacks, this can have dramatic consequences for companies. These include personal injury and property damage, financial losses, data theft, blackmail or industrial espionage. Damage to the image that can accompany cyber attacks should also not be underestimated. However, cyber security is not only vital and business-critical for companies in a digital world, it is also increasingly becoming a legal obligation. Companies that do not take any or insufficient cyber security measures may consequently not only encounter technical problems, but also violate applicable law. If this is the case, there is a risk of severe fines and claims for damages from customers and business partners. Companies are therefore well advised to keep an eye on the legal aspects of cyber security in addition to the technical ones.

Cybersecurity law resembles a patchwork quilt

So far, there are no uniform legal requirements for cybersecurity either in Germany or at the European level. Instead, companies must observe and implement diverse and complex legal requirements if they do not want to come into conflict with the law. For example, a first challenge is that some regulations are linked to specific services or products, while others apply exclusively to certain sectors. In turn, some legal requirements must be observed by all companies. The following overview provides companies with a first overview of relevant legal requirements for cyber security, but cannot replace legal advice in individual cases:

  • Cybersecurity is a matter for the boss
    Missing or insufficient cybersecurity represents an economic risk and as such is covered by the legal regulations for the prevention of entrepreneurial risks. For example, the executive board of a public limited company is required to introduce a monitoring system for “developments that endanger the continued existence of the company” (§ 91(2) AktG). At the same time, there is a duty to protect business and trade secrets (§ 93(1) AktG). Comparable provisions also exist for other types of companies, for example in § 43(1) of the Limited Liability Companies Act (GmbHG) for the GmbH managing director.
  • Cybersecurity is part of the data protection law
    According to Art. 32(1) of the General Data Protection Regulation (GDPR), companies are obliged to provide adequate protection when processing personal data. However, the GDPR does not define a concrete catalogue of measures; rather, the selection of appropriate measures is the responsibility of the company. In addition, companies must comply with reporting and notification obligations in the event of data protection violations.
  • The legal protection of business secrets
    The legal protection of commercially relevant company information requires appropriate confidentiality measures according to § 2(1) (b) of the Act on the Protection of Business Secrets (GeschGehG). The first thing to think of here is the marking of information as confidential, but also contractual agreements on the protection of secrets, for example with employees or third parties. However, depending on a risk assessment, the size of the company and the number of secrets, technical measures such as password protection or encryption may also be necessary.
  • Special legal regulations
    In addition, there are numerous special legal regulations that companies must observe depending on the industry, service or product. Examples of this are the BSI Act (BSIG), which includes particularly strict requirements for companies that belong to the Critical Infrastructure (KRITIS), or the German Banking Act (KWG), which must be observed by banks and financial service providers in conjunction with the Minimum Requirements for Risk Management (MaRisk) and the Banking Supervisory Requirements for IT (BAIT). Further examples can be found with the Digital Health Applications Regulation (DiGAV) for health app providers and the UNECE regulations for automotive cybersecurity in the field of mobility.
  • Contractual and liability obligations
    A legal obligation to implement cybersecurity measures may also arise from contract and liability law. As this often forms a blind spot in the cybersecurity compliance of companies, these aspects should already be considered and legally examined during the development of products and services.

Achieve improved security with Legal Incident Response

Legal requirements must also be taken into account when dealing with cyberattacks (Incident Response). For example, in the case of defensive measures that destroy traces, it must always be questioned whether the traces are still necessary for documentation or further legal measures (e.g. the assertion of recourse claims). Detection measures, such as looking through employees’ e-mail boxes or accessing third-party systems, must also be subjected to a legal assessment. Independently of this, legal measures can also serve to guarantee or safeguard the processes for dealing with cyberattacks (Legal Incident Response). This applies in particular to the technically difficult situation where a cyberattack does not occur within the company itself but at a service provider. Clear contractual regulations create the necessary basis for the routine management of cyberattacks, especially in this constellation, and are therefore becoming enormously important.

Compliance management as the key to successful implementation

Due to the complicated legal situation and partly hidden or indirect obligations for cyber security, the reduction of legal risks is a growing challenge for companies. Companies should counter this risk by establishing a cybersecurity compliance management. We hereby particularly recommend the following steps:

  • Identify the applicable laws and obligations for companies and the product
  • Derive concrete cybersecurity measures from the legal requirements and carry out the necessary risk assessments
  • Create, adapt and document a standardised IT security concept
  • Continuous monitoring of new legal requirements (early detection) and regular control of implementation

About the author

Stefan Hessel at the Cybersecurity Day at East Side Fab

Lawyer Stefan Hessel, LL.M. is Co-Head of the Digital Business Unit at reuschlaw Legal Consultants in Saarbrücken. He advises companies on complex issues in the field of data protection, cyber security and IT law. In the past, Stefan Hessel has demonstrated his comprehensive knowledge of technical matters and his economic way of thinking at the CISPA Helmholtz Centre for Information Security in Saarbrücken and as the managing director of a cybersecurity start-up, among others. Making Saarland a pioneer in the legal aspects of cyber security is also a particular concern of his.

About reuschlaw Legal Consultants

reuschlaw Legal Consultants is one of the leading business law firms in product liability law and has been advising nationally and internationally operating companies since 2004 with a focus on product safety law, product liability law, data protection & cybersecurity, recall management, insurance law, compliance management and contract law.

Tags: