Cybersicherheit qua Gesetz? Diese Pflichten müssen Unternehmen beachten
Cyberangriffe: Wenn Daten und IT-Systeme zum Risiko werden
Sind Daten nicht verfügbar oder fallen IT-Systeme durch Störungen oder Cyberangriffe aus, kann dies für Unternehmen dramatische Folgen haben. Zu denken ist unter anderem an Personen- und Sachschäden, finanzielle Einbußen, Datendiebstahl, Erpressung oder Wirtschaftsspionage. Auch Imageschäden, die mit Cyberangriffen einhergehen können, sind keinesfalls zu unterschätzen. Cybersicherheit ist für Unternehmen in einer digitalen Welt aber nicht nur überlebensnotwendig und geschäftskritisch, sie wird zudem immer stärker zur gesetzlichen Verpflichtung. Unternehmen, die keine oder unzureichende Maßnahmen zur Cybersicherheit ergreifen, können folglich nicht nur technische Probleme bekommen, sondern auch gegen geltendes Recht verstoßen. Ist dies der Fall, drohen empfindliche Geldbußen sowie Schadensersatzklagen von Kunden und Geschäftspartnern. Unternehmen sind also gut beraten, neben den technischen auch die rechtlichen Aspekte von Cybersicherheit im Blick zu behalten.
Das Cybersicherheitsrecht gleicht einem Flickenteppich
Bislang bestehen weder in Deutschland noch auf europäischer Ebene einheitliche gesetzliche Vorgaben zur Cybersicherheit. Stattdessen müssen Unternehmen vielfältige und komplexe rechtliche Anforderungen beachten und umsetzen, wenn sich nicht in Konflikte mit dem Gesetz geraten wollen. So liegt eine erste Herausforderung darin, dass manche Vorschriften an bestimmte Dienstleistungen oder Produkte anknüpfen, während andere ausschließlich für bestimmte Branchen gelten. Einige gesetzliche Vorgaben müssen wiederum von allen Unternehmen beachtet werden. Folgende Übersicht liefert Unternehmen einen ersten Überblick über relevante gesetzliche Vorgaben zur Cybersicherheit, kann eine rechtliche Beratung im Einzelfall jedoch nicht ersetzen:
- Cybersicherheit ist Chefsache
Fehlende oder unzureichende Cybersicherheit stellt ein wirtschaftliches Risiko dar und wird als solche von den gesetzlichen Vorschriften zur Verhütung von unternehmerischen Risiken erfasst. Vom Vorstand einer Aktiengesellschaft wird beispielsweise die Einführung eines Überwachungssystems für „den Fortbestand der Gesellschaft gefährdende Entwicklungen“ (§ 91 Abs. 2 AktG) verlangt. Zugleich herrscht eine Pflicht zum Schutz von Betriebs- und Geschäftsgeheimnissen (§ 93 Abs. 1 AktG). Vergleichbare Vorschriften existieren auch für andere Gesellschaftsformen, beispielsweise in § 43 Abs. 1 des Gesetzes betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) für den GmbH-Geschäftsführer.
- Cybersicherheit als Teil des Datenschutzrechts
Nach Art. 32 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sind Unternehmen bei der Verarbeitung von personenbezogenen Daten dazu verpflichtet, diese angemessen zu schützen. Ein konkreter Maßnahmenkatalog wird durch die DSGVO allerdings nicht definiert, vielmehr fällt die Auswahl angemessener Maßnahmen in den Verantwortungsbereich der Unternehmen. Überdies müssen Unternehmen bei Datenschutzverletzungen Melde- und Benachrichtigungspflichten beachten.
- Der rechtliche Schutz von Geschäftsgeheimnissen
Der rechtliche Schutz von wirtschaftlich relevanten Unternehmensinformationen setzt nach § 2 Nr. 1 b) des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) angemessene Geheimhaltungsmaßnahmen voraus. Zu denken ist hier zunächst an die Kennzeichnung von Informationen als vertraulich, doch ebenso an vertragliche Vereinbarungen zum Geheimnisschutz, etwa mit Arbeitnehmern oder Dritten. Abhängig von einer Risikobewertung, der Unternehmensgröße und der Anzahl von Geheimnissen können aber auch technische Maßnahmen, wie z. B. ein Passwortschutz oder Verschlüsselung, erforderlich sein.
- Spezialgesetzliche Regelungen
Darüber hinaus existieren zahlreiche spezialgesetzliche Regelungen, die Unternehmen abhängig von Branche, Dienstleistung oder Produkt beachten müssen. Beispiele hierfür sind etwa das BSI-Gesetz (BSIG), das für Unternehmen, die zur Kritischen Infrastruktur (KRITIS) zählen, besonders strenge Vorgaben umfasst, oder das Kreditwesengesetz (KWG), das in Verbindung mit den Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT) von Banken und Finanzdienstleistern zu beachten ist. Weitere Beispiele finden sich mit der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) für Anbieter von Gesundheitsapps sowie den UNECE-Regelungen für Automotive Cybersecurity im Bereich der Mobilität.
- Vertragliche und haftungsrechtliche Verpflichtungen
Eine rechtliche Verpflichtung zur Umsetzung von Cybersicherheitsmaßnahmen kann sich überdies aus dem Vertrags- und Haftungsrecht ergeben. Da dies häufig einen blinden Fleck in der Cybersecurity Compliance von Unternehmen bildet, sollten diese Aspekte bereits bei der Entwicklung von Produkten und Dienstleistungen mitgedacht und rechtlich geprüft werden.
Mehr Sicherheit durch Legal Incident Response erreichen
Gesetzliche Vorgaben müssen auch bei der Bewältigung von Cyberangriffen (Incident Response) berücksichtigt werden. So ist beispielsweise bei Abwehrmaßnahmen, die Spuren vernichten, stets zu hinterfragen, ob die Spuren noch für eine Dokumentation oder weitere rechtliche Maßnahmen (z. B. die Geltendmachung von Regressansprüchen) erforderlich sind. Auch Detektionsmaßnahmen, wie z. B. die Durchsicht von E-Mail-Postfächern von Arbeitnehmern oder Zugriffe auf fremde Systeme, müssen einer rechtlichen Bewertung unterzogen werden. Unabhängig davon können rechtliche Maßnahmen auch zur Gewährleistung bzw. Absicherung der Prozesse zur Bewältigung von Cyberangriffen dienen (Legal Incident Response). Dies gilt insbesondere für die technisch schwierige Situation, dass sich ein Cyberangriff nicht im eigenen Unternehmen, sondern bei einem Dienstleister ereignet. Klare vertragliche Regelungen schaffen speziell in dieser Konstellation die notwendige Basis für eine routinierte Bewältigung von Cyberangriffen und gewinnen daher enorm an Bedeutung.
Compliance Management als Schlüssel zur erfolgreichen Umsetzung
Aufgrund der komplizierten Rechtslage sowie teilweise versteckter bzw. indirekter Verpflichtungen zur Cybersicherheit ist die Reduzierung rechtlicher Risiken für Unternehmen eine wachsende Herausforderung. Unternehmen sollten diesem Risiko durch die Etablierung eines Cybersecurity Compliance Managements begegnen. Hierbei empfehlen wir insbesondere die folgenden Schritte:
- Anwendbare Gesetze und Verpflichtungen für Unternehmen und Produkt identifizieren
- Aus den rechtlichen Vorgaben konkrete Maßnahmen Cybersecurity ableiten sowie erforderliche Risikoabwägungen durchführen
- Einheitliches IT-Sicherheitskonzept erstellen, anpassen und dokumentieren
- Kontinuierliches Monitoring bzgl. neuer gesetzlicher Vorgaben (Früherkennung) und regelmäßige Kontrolle der Umsetzung
Zum Autor
Rechtsanwalt Stefan Hessel, LL.M. ist Co-Head der Digital Business Unit bei reuschlaw Legal Consultants in Saarbrücken. Er berät Unternehmen zu komplexen Fragestellungen im Bereich des Datenschutzes, der Cybersicherheit sowie des IT-Rechts. Seine umfassenden Kenntnisse technischer Sachverhalte und sein wirtschaftliches Denken hat Stefan Hessel in der Vergangenheit unter anderem am CISPA Helmholtz-Zentrum für Informationssicherheit in Saarbrücken sowie als Geschäftsführer eines Cybersecurity-Start-ups unter Beweis gestellt. Das Saarland auch bei den rechtlichen Aspekten von Cybersicherheit zu einem Vorreiter zu machen, ist ihm ein besonderes Anliegen.
Über reuschlaw Legal Consultants
reuschlaw Legal Consultants zählt zu den führenden wirtschaftsberatenden Kanzleien im Produkthaftungsrecht und berät seit 2004 national und international tätige Unternehmen mit den Schwerpunkten Produktsicherheitsrecht, Produkthaftungsrecht, Data Protection & Cybersecurity, Rückrufmanagement, Versicherungsrecht, Compliance Management und Vertragsrecht.