Unsere Seite mit Google durchsuchen
Internetrecht Rostock
E-Mail
Rechtsberatung
Informationen für Sie auf 3.053 Seiten - neuster Beitrag: 21.02.2020
Neuster Beitrag: 21.02.2020 Impressum

Rechtliche Aspekte der IT-Sicherheit

 

Teil 1:Ohne IT-Sicherheit keinen Kredit?

Teil 2:

Rechtspflichten & Haftung der Unternehmen

 

Am 15. Februar 2006 hat dasBundeskabinett denGesetzesentwurf zur Umsetzung der Banken und Kapitaladäquanzrichtlinie in deutsches Recht beschlossen. Damit gelten demnächst geänderte Anforderungen bei der Kreditvergabe. Das Gesetz geht auf eine neu gefasste Richtlinie aus dem Basel II Abkommen zurück, wonach IT-Sicherheit als operationelles Risiko des kreditsuchenden Unternehmens zukünftig stärker zu berücksichtigen ist. In Kraft treten soll das Gesetz voraussichtlich zum 1. Januar 2007. Den Unternehmen also weniger als 10 Monate Zeit, um ihrer IT-Sicherheitsstruktur anzupassen, womit die Geschäftsführungen erneut unter Handlungsdruck geraten. Noch immer werden die haftungsrechtlichen Risiken einer fehlenden oder mangelhaften IT- und Telekommunikations-Struktur für das Unternehmen häufig unterschätzt. Grund genug also, sich diesem unliebsamen Thema anzunehmen und sich das neue Gesetz anzusehen (Teil 1) sowie bei den übrigen Vorschriften zur Gewährleistung der IT-Sicherheit darzulegen, welche Pflichten und welche Haftungsrisiken für die Unternehmensleitung bestehen (Teil 2 ).

Neues Gesetz zur Banken- und Kapitaladäquanzrichtlinie

Bei Basel I wurde der Eigenkapitalanteil pauschal nach Einteilung in bestimmte Risikogruppen bestimmt. Mit Basel II nun sind die Banken verpflichtet, eine individuelle Ermittlung des Ausfallrisikos vorzunehmen, also zu ermitteln wie die Chancen der Bank stehen, dass das kreditsuchende Unternehmen den geliehenen Betrag zurückzahlt. Dies erfolgt mit internen Rating-Systemen des jeweiligen Kreditinstitutes oder durch externe Rating-Agenturen, wie die SchuFa. Dabei werden verschiedenste Daten des Kreditsuchenden, wie die bisherige Kreditbilanz bei der Schufa, aber auch der Wert von (Unternehmens-)Immobilien bzw. Wohnungen, Berufsabschluss und Geschlecht als Einzelfaktoren bestimmte Werte zugeordnet und miteinander in Verbindung gesetzt. Anhand des daraus berechneten sog. Score-Wertes entscheidet das kreditgewährende Bankinstitut dann, ob sie überhaupt einen Kredit gewähren und wenn ja, zu welchen Bedingungen, sprich mit welchen Zins-, Tilgungssätzen und Eigenkapitalquote. Ein Unternehmen erhält umso bessere Kreditkonditionen, je geringer das Risiko der Insolvenz ist. Aus Sicht des Datenschutzrechts ist das Scoring-Verfahren nicht unumstritten (siehe dazu: Unabhängiges Zentrum für Datenschutz Schleswig-Holstein).

 

IT-Sicherheit ist ein operationelles Risiko:

Bei der Entscheidung zur Kreditvergabe spielen neben den allgemeinen Markt- und Kreditrisiken auch operationelle Risiken des kreditsuchenden Unternehmens eine Rolle. Zu eben diesen operationellen Risiken, gehören die Unwägbarkeiten, die sich aus dem Einsatz von Informationstechnologie im täglichen Unternehmensprozess ergeben. IT-Technologie wird heute in allen wesentlichen Unternehmensabläufen eingesetzt. Unternehmen sind mittlerweile in extremen Maße abhängig von einer stabilen & sicheren IT-& Telekommunikations-Architektur, was nun erheblich stärker auch auf die Kreditwürdigkeit des durchschlägt. Die Anforderungen des Gesetzesentwurfes richten sich daher keineswegs nur Unternehmen der IT-Branche, sondern jedes Unternehmen, indem zur Erreichung des Geschäftszwecks Informationstechnologie in maßgeblichen Umfang einsetzt. Fehlende oder mangelhafte Sicherheit des IT- und TK-Infrastruktur  werden nunmehr als erhebliche Risikofaktoren bewerten und führen zu negativen Ratings & damit letztlich zu schlechten Kreditkonditionen. Das kann sich keine Unternehmen leisten.

Das Mittelstands-Paket: Dem Mittelstand soll aber die Kreditaufnahme erleichtert werden. So sieht der Gesetzentwurf, dass die Bank Kredite unter 1 Mio. EUR einem „Retail-Portfolio“ zuordnen kann. Dafür gelten – aufgrund besserer Risikostreuung – geringere Anforderungen an das Eigenkapital. Anderenfalls wären die Investitionen, die sich aus den neuen Anforderungen ergebenden, vom Mittelstand kaum zu erbringen.

Was bedeutet das für Praxis? Schlechte Ratings aufgrund einer mangelhaften IT-Sicherheitsstruktur führen zu schlechten Konditionen bei der Kreditaufnahme. Vorbeugen lässt sich dem nur mit einem umfassenden und dokumentierten IT-Sicherheitskonzepts. Dabei ist zunächst generell die IT- und Telekommunikations-Struktur des Unternehmens abzubilden. Ausgehend davon sind die Angriffs- und Schwachpunkte des Systems zu ermitteln und dafür geeignete Sicherheitsmaßnahmen zu treffen. Was „geeignet“ ist, ergibt sich nicht unmittelbar aus dem Gesetz. Dies hängt stark vom Einzelfall ab, insbesondere von der Größe, der Struktur und dem Geschäftsfeld des Unternehmens. In jedem Fall, sollte sowohl die externe Bedrohung, wie Hackerangriffe, Viren oder Trojaner, als auch die Gefährdungen aus dem eigenen Unternehmen einbezogen werden. Sehr gute Hilfe für die Erarbeitung eines Sicherheitskonzepts bietet das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit & Informationstechnologie. Es enthält einen Katalog von Sicherheitsmaßnahmen, die modular aufgebaut und daher flexibel handhabbar sind (www.bsi.de).

Haftung der Unternehmensführung: Nach Inkrafttreten des Gesetzes schadet eine mangelhafte IT-Sicherheit dem Unternehmen also doppelt: zum einen riskiert es einen Sicherheits-Fall und damit Mehrkosten durch Arbeitsausfall oder Schadensbeseitigung. Zum anderen erhält das Unternehmen Kredite zu schlechteren Konditionen als die Konkurrenz. Folglich wird die Unternehmensleitung einem zweifachen Haftungsrisiko ausgesetzt. Denn die Geschäftsführung ist gesetzlich & vertraglich verpflichtet, das Unternehmen vor finanziellen Einbußen zu schützen. Muss das Unternehmen nun wegen ungünstiger Kreditkonditionen erhöhte Zinssätze zahlen oder mehr Eigenkapital stellen, kann die Geschäftsführung für diese finanzielle Einbuße des Unternehmens zur Verantwortung gezogen werden, was sich nicht nur als Kündigung des Anstellungsverhältnisses äußern kann.

Weitere Rechtspflichten zur IT-Sicherheit

IT-Sicherheit ist aber noch in anderen rechtlichen Vorschriften niedergelegt. Die haftungsrechtlichen Risiken einer fehlenden oder mangelhaften IT-& TK-Struktur für das Unternehmen, aber auch für die Geschäftsleitung selbst, werden häufig unterschätzt. Rechtspflichten ergeben sich unter anderem aus:

·       vertraglichen Vereinbarungen

·       dem Wirtschaftsverwaltungsrecht (GewO)

·       dem Datenschutzrecht (BDSG, TKG, TDDSG)

·       der Pflicht zur Risikofrüherkennung nach dem KonTraG und

·       dem Deliktsrecht & Strafrecht.

Mit diesen weiteren Rechtspflichten zur Vorhaltung eines sicheren IT-Systems beschäftigt sich Teil 2 .

Drei Säulen der IT-Sicherheit: Gefordert ist ein ganzheitliches Sicherheitskonzept für die unternehmensinterne IT- & TK-Struktur, das flexibel ist und sich an die technischen Entwicklungen & damit Bedrohungen anpassen lässt. Denn angesichts der Dynamik in diesem Bereich kann ein System nur so sicher sein, wie es stetig weiterentwickelt, aktualisiert und überwacht wird. Aus juristischer Sicht ruht ein solches Konzept auf folgenden drei Säulen:

Technik: geeignete Hard- & Software bspw. zum Virenscannen, E-Mail-Filtern oder Blockieren von Webseiten. Mit sogenannten Penetrationstests, also simulierten Angriffen des eigenen Systems, lässt sich die Wirksamkeit der Sicherheitsmaßnahmen feststellen.

Organisation: Begleitung der technischen Seite durch organisatorische Maßnahmen; vielfach liegt IT-Sicherheit im psychologischen Bereich und ist nur erfolgreich, wenn die Maßnahmen von den Mitarbeitern angenommen werden. Hier bieten sich konkreteVereinbarungen bspw. zur privaten Nutzung des Internets am Arbeitsplatz mit der Mitarbeitervertretung an.

Recht: All dies muss sich im rechtlich erlaubten Rahmen halten. Wie steht es mit dem Öffnen von betrieblichen oder privaten E-Mails? Weiter beim Einsatz von E-Mail-Filtern vorab zu prüfen, ob dies rechtlich zulässig ist und damit nicht etwa das Fernmeldegeheimnis verletzt wird.

 Haben Sie noch Fragen zu den rechtlichen Anforderungen oder Rahmenbedingungen Ihrer IT-Sicherheit? Rufen Sie uns einfach an oder senden Sie uns eine E-Mail.

Ansprechpartnerin ist Rechtsanwältin Elisabeth Vogt

https://ssl-vg03.met.vgwort.de/na/d9d7ae8c28d94528967580052a36cbcc