Facebook Twitter Instagram
    SOLCOM Freiberufler Blog
    • Steuer
    • Recht
    • Versicherung
    • Business
    • Marktstudien
    • Tipps
    • Über uns
    • Redaktion
    • Freiberufler Magazin
    • Servicebereich
    SOLCOM Freiberufler Blog
    Sicherheit in der IT: Chefsache und Haftungspotential
    Sicherheit in der IT: Chefsache und Haftungspotential

    Sicherheit in der IT: Chefsache und Haftungspotential

    0
    Unser Autor: Markus Timm am 7. Oktober 2011 Business, Recht

    Die Sicherheit elektronisch gespeicherter Daten gewinnt angesichts wachsender Datenbestände zunehmend an Bedeutung für Unternehmen und deren interner und externer Beauftragten. Dem Schutz dieser Daten dienen gleich mehrere Gesetze.

    So finden sich wesentliche Grundsätze der IT-Sicherheit unmittelbar im BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik). Ferner wird die Haftung der Unternehmensführung bei einer schadensverursachenden Missachtung der IT-Sicherheit mittelbar über die gesellschaftsrechtlichen Gesetze (z.B. Aktiengesetz (AktG)) geregelt. Diese Haftung kann zur Falle für den externen Dienstleister werden und dient schnell als Anspruchsgrundlage für den Regress des erst einmal (vor-)haftenden Vorstands. Der Vorstand hält sich wegen pflichtwidriger Leistung beim externen Dienstleister schadlos, wenn ihm der Beweis gelingt, dass der Schaden durch diesen verursacht worden ist. Grundkenntnisse und ein Verständnis von der Wirkung rechtlicher Vorgaben der IT-Sicherheit gehören schon allein deshalb zum unverzichtbaren Rüstzeug jedes IT-Dienstleisters.

    I. Grundlagen

    § 2 Absatz 2 BSIG lautet:

    „(2) Sicherheit in der Informationstechnologie im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
    1. in informationstechnischen Systemen oder Komponenten oder
    2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.“

    Das IT-Sicherheitsrecht umfasst also alle rechtlichen Regelungen und Bestimmungen, die sich auf die Sicherheit von Daten im Sinne einer Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität dieser Daten richten.

    Verfügbarkeit bedeutet dabei die Eigenschaft eines Systems, dass bestimmte Anforderungen innerhalb eines ebenfalls bestimmbaren Zeitrahmens erfüllt werden. Der Grundsatz der Vertraulichkeit zielt auf die Eigenschaft des Systems, berechtigten Objekten den Zugriff zu gewähren und unberechtigte Objekte auszuschließen. Eine dem Vertraulichkeitsgrundsatz genügende IT-Umgebung bietet Gewähr für die Unveränderbarkeit von Daten und damit dafür, dass die Daten unversehrt und korrekt sind.

    Was dies im Einzelnen bedeutet, soll an dem praxisrelevanten § 9 des Bundesdatenschutzgesetzes (BDSG) kurz geschildert werden. Der Datenschutz ist insbesondere dem Grundsatz der Integrität der IT-Umgebung eines Unternehmens verpflichtet. § 9 BDSG lautet:

    „Öffentliche und nicht-öffentliche Stellen, die (…) personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

    Aus dem Inhalt der Anlage zu § 9 BDSG ergeben sich insgesamt acht Gruppen, denen verschiedene Schutzzwecke zugedacht werden:

    1. Zutrittskontrolle
    2. Zugangskontrolle
    3. Zugriffskontrolle
    4. Weitergabekontrolle
    5. Eingabekontrolle
    6. Auftragskontrolle
    7. Verfügbarkeitskontrolle
    8. Datentrennungskontrolle

    Aus diesen Grundsätzen lassen sich dann die im Einzelnen relevanten Maßnahmen ableiten. So soll die Zutrittskontrolle verhindern, dass Unbefugte Zugang zu den Datenverarbeitungsanlagen haben, mit denen personenbezogene Daten verarbeitet werden. In der Praxis bedeutet das die Festlegung und Dokumentation von Zugangsberechtigungen sowie die Kontrolle des Zugangs und der Absicherung der Zugangswege durch

    • Aufstellung von Anlagen und Terminals in Räumen, die nur dem Berechtigten zugänglich sind,
    • Verpflichten der Benutzer, das Terminal bei Verlassen des Arbeitsplatzes abzumelden,
    • Automatische Abmeldung des Terminals bei längerer Untätigkeiten des Benutzers;
    • Einrichtung von Sicherheitsbereichen,
    • Vergabe von Berechtigungsausweisen an Bedienstete sowie Vergabe von Besucherausweisen,
    • Regelungen des Zugangs für Besucher, Reinigungsdienst, Wartung, An- und Ablieferung,
    • Abschließung der Geräte, verschlossene Aufbewahrung der Datenträger;
    • Objektsicherung (z. B. Fenster- und Türensicherung durch Spezialglas, Einbruch hemmende Türen, Installation von Überwachungsanlagen, Überwachungspersonal).

    Hier wird den abstrakten rechtlichen Vorschriften durch die konkreten praktischen Ansätze Leben eingehaucht. Aus den weiteren Grundsätzen lassen sich eine Vielzahl praktischer Maßnahmen ableiten.

    II. Haftung der Unternehmensführung

    Wie bereits erwähnt wird aus der Haftung z. B. des Vorstands schnell ein Anspruch wegen schlechter erbrachter Dienste gegen den externen Dienstleister. Daher gehen wir zuerst auf die Haftung der Unternehmensführung ein. Für den Vorstand einer Aktiengesellschaft erläutert § 91 Absatz 2 AktG:

    „(1) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

    Hierdurch wird die Pflicht des Vorstands normiert, ein internes Kontrollsystem (IKS) zu installieren. Dabei hat der Vorstand die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden, wie § 93 Absatz 1 AktG vorsieht. Der mitunter für die Unternehmensleitung schmerzhafte Absatz 2 dieser Vorschrift normiert eine Haftung der Vorstandsmitglieder bei einer Verletzung vorbenannter Sorgfaltspflicht:

    „(2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.

    Für einen Vorstand kann das eine einmalige Erfahrung werden, denn die möglichen (unmittelbaren wie mittelbaren) Schäden können horrend sein. Deshalb wird die Geschäftsleitung auch auf die Dienstleistung von Experten zurückgreifen.

    III. Haftung der externen IT-Dienstleister

    Es gilt auch hier der Grundsatz: Wer schlechte Arbeitet leistet, hat dafür gerade zu stehen. Dies kann im schlechtesten Fall bedeuten, dass oben benannte Schäden gegenüber dem IT-Dienstleister geltend gemacht werden. Das die wirtschaftliche Existenz bedrohende Szenario muss erkannt und entsprechende Vorkehrungen getroffen werden.

    So muss bspw. der Auftrag, mit dem der IT-Freelancer betraut wird, genau umrissen werden. Soll er nur konkrete Anweisungen in die Praxis umsetzen, wird seine Verantwortung weit weniger ins Gewicht fallen, als wenn sein Auftrag sowohl das Konzept als auch dessen Umsetzung umfasst. Bei Letzterem wird der Auftragnehmer sämtliche IT-Grundsätze in seine konzeptionelle Arbeitsphase einfließen lassen müssen. Die detailgetreue Dokumentation des Konzepts dient neben der eigenen Kontrolle v. a. zur Widerlegung einer Sorgfaltspflichtverletzung.

    Eine Schärfung des Bewusstseins für diese und weitere haftungsrelevante Fragen vermindert das Risiko der Inanspruchnahme wegen einer Schlechtleistung. Es schult im Umgang mit der Unternehmungsführung und zeugt von fachlicher Kompetenz.

    Share. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Markus Timm
    • Website

    Rechtsanwalt und Fachanwalt für IT-Recht Markus Timm ist Partner der Kanzlei Peukert & Timm in Potsdam. Er begleitet und berät Unternehmen sowie Dienstleister in der IT-Branche.

    Das könnte Sie interessieren

    Sichere Passwörter erstellen und verwalten

    IT-Sicherheit für Freiberufler

    Mit sicheren Passworten den Hackern entgegentreten – neue Erkenntnisse (Teil 2)

    Beitrag kommentieren Cancel Reply

    Basiswissen, Guides, Kompendien, Glossar, Tools und Software für jede Lebenslage -
    GRATIS von freiberufler-blog.de

    Zum Servicebereich

    Freiberufler Magazin Abonnieren

    *Datenschutzerklärung

    Für die Anmeldung zu unserem Newsletter verwenden wir das sog. Double-opt-in-Verfahren. Das heißt, dass wir Ihnen nach Angabe Ihrer E-Mail Adresse eine Bestätigungs-E-Mail senden, in welcher wir Sie um Bestätigung bitten, dass Sie den Versand des Newsletters wünschen. Wenn Sie dies nicht innerhalb von 48 Stunden bestätigen, wird Ihre Anmeldung automatisch gelöscht. Durch Anklicken des Bestätigungslinks wird Ihre Anmeldung abgeschlossen. Sie empfangen dann unseren Newsletter unter der von Ihnen angegebenen E-Mail Adresse bis Sie den Newsletter abbestellen. Wenn Sie unseren Newsletter nicht mehr erhalten wollen, können Sie sich über den entsprechenden Link jederzeit abmelden. Pflichtangaben für die Übersendung des Newsletters sind Ihre E-Mail Adresse, sowie, zwecks Personalisierung Anrede und Ihr Nachname. Die Einwilligung in den Versand des Newsletters / Freiberufler Magazins ist freiwillig und kann jederzeit widerrufen werden. Wenn Sie den Newsletter künftig nicht mehr erhalten möchten, können Sie ihn jederzeit über den entsprechenden Link abbestellen.
    zur Datenschutzerklärung

    News Alert abonnieren
    Meistgelesene Beiträge
    • Häusliches Arbeitszimmer: Kosten teilen (Teil 2)
    • Freiberufler können Geschäftshandy von der Steuer absetzen
    • Freiberufler profitieren vom neuen Reisekostenrecht
    • Die 15 besten Steuertipps für Selbstständige und Freiberufler
    • Steuern: Auch gebrauchte Gegenstände können abgeschrieben werden
    Letzte Kommentare
    • Probst Karin zu Scrum aus Zeitmanagement-SichtSehr geehrte Frau Dr. Herrmann, gerade lese ich Ihren Beitrag, den ich sehr…
    • Chiara Cuvillier zu Freelancer-Bewerbung: So überzeugen Ihre UnterlagenHallo vielen Dank zunächst für den tollen Beitrag! Ist wohl die Projektdaue…
    • Otto zu Was Sie als Freelancer über Steuern wissen müssenHier findet man zumindest die Informationen, die man benötigt. Endlich werd…
    • Araceli zu Was Sie als Freelancer über Steuern wissen müssenDieser Artikel könnte für jeden, der Freelancer ist, von Bedeutung sein. Es…
    • Araceli zu Was Sie als Freelancer über Steuern wissen müssenVielen Dank für diesen klaren Beitrag zu Steuern als Freelancer. Sehr gut f…
    Soziale Medien

    Xing
    Linkedin
    Twitter
    Facebook
    Instagram

    RSS SOLCOM Projektportal
    • Projekt-Nr. 82524 - Konstrukteur für Kunststoffspritzguss (m/w/d)
    • Projekt-Nr. 82522 - SPS-Inbetriebnehmer BeckhoffTwinCAT3 (m/w/d)
    • Projekt-Nr. 82531 - Embedded Entwickler C++ (m/w/d)
    • Projekt-Nr. 82527 - SPS Programmierer (m/w/d)
    • Projekt-Nr. 82532 - Gehäuse Konstrukteur (m/w/d)
    Zum SOLCOM Projektportal
    • Impressum
    • Datenschutz
    Links
    • Über uns
    • Redaktion
    • Freiberufler Magazin
    • Servicebereich
    A company  

    Type above and press Enter to search. Press Esc to cancel.

    Zur mobilen Version gehen