Anwalt für Datensicherheit

Datensicherheitsrecht
Informationssicherheit
 

Datensicherheit

Datensicherheitsrecht

Informationssicherheit und Risikoanalytik oder ...muss der Krug erst brechen?

Jedes Unternehmen, das in eigenen oder fremden Systemen (Cloud) Daten über Geschäftsvorfälle verarbeitet und speichert, ist darauf angewiesen, jederzeit und sicher auf die eigenen Geschäftsdaten und die Daten seiner Kunden zuzugreifen. Spektakuläre Cyber-Fraud-Fälle gehen regelmäßig durch die Presse. Datenverluste führen zu hohem Wiederherstellungsaufwand und im Worst Case zu Betriebsunterbrechungen mit massiven Schadensfolgen.

Unternehmen besonderer Branchen sind deshalb gesetzlich verpflichtet, technische und organisatorische Maßnahmen zum Schutz Ihrer Daten zu ergreifen. Auch für nicht direkt verpflichtete Unternehmen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Leitlinie zur Informationssicherheit auf der Grundlage eines Regelwerks für den IT-Grundschutz für Unternehmen entwickelt, auf dessen Grundlage sich Managementsysteme für Informationssicherheit (ISMS) erstellen umsetzen, schulen, überwachen und monitoren lassen.

Grundlage ist zunächst eine Risikoanalyse des Unternehmens, in der die Geschäftsleitung auf der Grundlage einer Entscheidung der Gesellschafterversammlung festlegt, welche Folgen Datenverluste für das Unternehmen haben können, mit welchen Maßnahmen und in welchen Zeiträumen Datenwiederherstellungen möglich sein müssen und welche technischen und organisatorischen Maßnahmen zur Vermeidung und Ermöglichung der Wiederherstellung umgesetzt werden müssen. Die Risikoanalyse und die darauf beruhende Entscheidung der Geschäftsleitung wird durch die IT-Abteilung und den Informationssicherheitsbeauftragten (ISB) des Unternehmens umgesetzt, geprüft, geschult, überwacht und jährlich einer Überprüfung unterzogen. Die technischen und organisatorischen Maßnahmen sind dabei permanent auf dem neuesten Stand der Technik zu halten (Virenscanner, Wächterprogramme, Firewalls etc.).

Ziel ist bestenfalls die Vermeidung von Datenverlusten und Betriebsunterbrechungen, jedenfalls aber die Schadensminimierung. Außerdem sind die entsprechenden Maßnahmen häufig Voraussetzung für den erfolgreichen Abschluss einer Cyber-Versicherung.

Die Haftpflicht des Geschäftsführers ergibt sich aus den gesetzlichen Vorschriften der Organhaftung, z.B. § 42 GmbHG die für den Geschäftsführer einer GmbH.

Rechtsfragen zur Regulatorik, also den Rahmenbedingungen für die gesetzliche und gesellschaftsrechtliche Verpflichtung des Unternehmens beraten die Rechtsanwälte Falla, Lange und Hartmann. Die technische und organisatorische Umsetzung und Dokumentation im Unternehmen beraten die Rechtsanwälte Hartmann und Schöll und Frau Rechtsanwältin Bauer (IT/ITC). Fragestellungen im Zusammenhang mit der Cyber-Versicherung beraten die Rechtsanwälte Hartmann und Lange.

...die Zuständigkeiten

Informationssicherheitsbeauftragter, IT-Leitung und Geschäftsführung

Die Datensicherheit ist grundsätzlich Entscheidungsthema der Inhaber oder Gesellschafter des Unternehmens, da nicht versicherte Schäden unmittelbar auf das Betriebsergebnis durchschlagen und im Worst Case das wirtschaftliche Überleben des Unternehmens gefährden können. Für die Umsetzung sind deshalb die Organe der Gesellschaft unmittelbar zuständig, bei der GmbH also deren Geschäftsführer.

Die Verantwortung für Informationssicherheit sollten deshalb gesellschaftsrechtlich geregelt sein. Sind mehrere Gesellschafter bestellt, sollte eine Geschäftsordnung die Zuständigkeit regeln.

Da die Geschäftsführung selten über eigenes IT-Know-how verfügen wird, beraten der Leiter der IT-Abteilung des Unternehmens und es wird gegebenenfalls auch ein Experte für Informationssicherheit hinzugezogen werden müssen. Externe Dienstleister haben sich spezialisiert und bieten ihre Dienstleistungen auch als Informationssicherheitsbeauftragte (ISB) an, um die erforderlichen Audits, die Mitarbeiterschulungen, die Überwachung und das erforderliche Monitoring begleiten können und im Falle einer Datenpanne als Ersthelfer und Bindeglied zu den IT-Unternehmen und die Cyber-Versicherung helfen zu können.

Die Personen sollten mit den entsprechenden Befugnissen ausgestattet sein, müssen gleichzeitig aber auch bei externer Beauftragung vertraglich verpflichtet werden, da sie gegebenenfalls als Auftragsdatenverarbeiter fungieren und (Remote-)Zugriff auf die eigenen oder providergestützten Systeme des Unternehmens erhalten (müssen).

Soweit die Belange der handelnden Personen arbeitsrechtlich geregelt werden, stehen Ihnen Frau Rechtsanwältin Bauer und Herrn Rechtsanwalt Schöll als Berater zur Verfügung. Für die vertragliche Verpflichtung externer Dienstleister unsere handelsrechtlich spezialisierten Rechtsanwälte Falla, Hartmann, Lange und Bauer (IT/ITC).

Kausalität, Schadenseintritt und Unterbrechungssschäden

... die Haftpflicht und die (Cyber-) Versicherung

Ist ein Managementsystem eingerichtet, existiert eine präzise individuell auf das Unternehmen maßgeschneiderte Agenda, die im Schadensfalle ohne zeitliche Verzögerung abgearbeitet werden kann.

Diese Agenda wird die zu verständigenden Personen und die erforderlichen Schritte, beispielsweise die unverzügliche Meldung des Schadensfalls an den Cyber-Versicherer und die Einholung seiner Instruktionen beinhalten.

Oft wird er zur Feststellung des Angriffs und seiner Folgen die Einschaltung sachverständiger Personen erforderlich, die häufig in Kooperation mit Cyber-Versicherern arbeiten. Die eigene IT-Abteilung und der Informationssicherheitsbeauftragte sind gegebenenfalls federführend und arbeiten die gesetzlich oder vertragsrechtlich vorgegebene Agenda ab. Gleichzeitig wird die Wiederherstellung der gegebenenfalls auch provisorischen Arbeitsfähigkeit des Unternehmens bearbeitet und – soweit geeignete Kopien (Backups) vorliegen die Wiederherstellung der verlorenen Daten veranlasst. Da die am Schadensfall arbeitenden Beteiligten und der Cyber-Versicherer selbst Vertragspflichten erfüllen, kann sich im Schadensfall eine rechtliche Beratung und rechtzeitige Einschaltung eines eigenen auf Unterbrechungsschäden spezialisierten Rechtsanwalts empfehlen. Da im Schadensfall häufig die Fragen der haftungsbegründenden und haftungsausfüllenden Kausalität die entscheidende Rolle spielen wird derjenige Rechtsanwalt eingeschaltet, der die zugrunde liegende Haftungsfrage vom Sachverhalt her bestmöglich entscheiden und vertreten kann. Im Regelfall wird dies Frau Rechtsanwältin Bauer zusammen mit den Herren Rechtsanwälten Falla, Hartmann und Lange sein. Spielt das Versicherungsvertragsrecht die entscheidende Rolle werden die Rechtsanwälte Hartmann und Lange die ersten Ansprechpartner sein.