IT-Sicherheitsrecht: Pflichten und Haftung im Unternehmen [2 ed.] 9783504387624

Der Schutz der unternehmenseigenen Systeme vor internen wie externen Bedrohungen ist für Unternehmen von höchster Bedeut

238 84 2MB

German Pages 297 [298] Year 2021

Report DMCA / Copyright

DOWNLOAD PDF FILE

Recommend Papers

IT-Sicherheitsrecht: Pflichten und Haftung im Unternehmen [2 ed.]
 9783504387624

  • 0 0 0
  • Like this paper and download? You can publish your own PDF file online for free in a few minutes! Sign Up
File loading please wait...
Citation preview

Voigt IT-Sicherheitsrecht

.

IT-

Sicherheitsrecht Pflichten und Haftung im Unternehmen von

Dr. Paul Voigt Lic. en Derecho, Fachanwalt für Informationstechnologierecht in Berlin

2. neu bearbeitete Auflage

2022

Zitierempfehlung: Voigt, IT-Sicherheitsrecht, 2. Aufl. 2022, Rz. …

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 58, 50968 Köln Tel. 02 21/9 37 38-01, Fax 02 21/9 37 38-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-56108-6 ©2022 by Verlag Dr. Otto Schmidt KG, Köln Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeiche­ rung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungs­ beständig und umweltfreundlich. Einbandgestaltung: Lichtenford, Mettmann Satz: WMTP, Birkenau Druck und Verarbeitung: CPI books GmbH, Leck Printed in Germany

Vorwort zur zweiten Auflage Das Informationssicherheitsrecht im Allgemeinen und das IT-Sicherheitsrecht im Konkreten sind in den letzten Jahren umfangreich fortentwickelt worden. Eine der wichtigsten Neuerungen stellt sicherlich das IT-Sicherheitsgesetz 2.0 dar, welches den Anwendungsbereich der Verpflichteten, die Befugnisse des BSI, die zu ergreifenden Sicherheitsmaßnahmen sowie die bei Nichtbefolgung zu erwartenden Bußgelder deutlich erweitert hat. Daneben führten Änderungen im Telekommunikations- und Telemedienrecht, im Gesundheitsrecht und Finanzrecht, im Arbeitsrecht und im allgemeinen Zivilrecht ebenso zu Änderungen im Informations- und IT-Sicherheitsrecht wie das Inkrafttreten des Geschäftsgeheimnisgesetzes. Neben den vorgenannten umfangreichen rechtlichen Änderungen ist auch die Bedrohungslage aus IT-Sicherheitssicht eine andere als zum Zeitpunkt des Erscheinens der ersten Auflage dieses Handbuchs. KRITIS-Betreiber werden zunehmend Gegenstand von Ransomware-Attacken, und Angriffe auf Krankenhaus-IT führten aufgrund ausgefallener medizinischer Geräte zu ersten Todesfällen. Auch die Corona-Pandemie und das manchmal überhastet eingeführte Home-Office haben aufgrund der damit häufig einhergehenden geringeren Absicherung der IT-Systeme zu einem Anstieg der IT-Angriffe auf Unternehmen geführt. Vor diesem Hintergrund war es notwendig, das vorliegende Handbuch umfangreich zu überarbeiten und an die neue Sach- und Rechtslage anzupassen. Ich danke Mahsum Bas, Rita Danz, Christoph Emde, Christin Carlsen und Mirjam Dietrich für die Unterstützung bei der Überarbeitung des Handbuchs und für diverse konstruktive Gespräche. Daneben bedanke ich mich bei Frau Sonja Behrens-Khaled vom Verlag Dr. Otto Schmidt für die Betreuung und zeitnahe Herausgabe des Buchs. Wie immer bin ich dankbar für Hinweise, Anregungen und Kritik jeder Art zu diesem Buch, welche Sie gerne per E-Mail an [email protected] richten können. Berlin, im November 2021 Paul Voigt

V

2021-11-22, 12:05, HB groß

2021-11-22, 12:05, HB groß

Inhaltsverzeichnis Seite

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

V XV

Rz. Seite

Einleitung I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Checkliste der wichtigsten IT-sicherheitsrechtlichen Pflichten . . . . . . . A. IT-Sicherheit in der Unternehmensorganisation I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Bedeutung für Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. IT als Risikofaktor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Interne und externe Risiken . . . . . . . . . . . . . . . . . . . . . . . . . b) Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Typische Sicherheitsversäumnisse . . . . . . . . . . . . . . . . . . . . . 2. IT-Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Nachteile durch Sicherheitsdefizite . . . . . . . . . . . . . . . . . . . . . . . III. IT-Sicherheitspflichten der Geschäftsleitung . . . . . . . . . . . . . . . . . . 1. Grundlagen der Verantwortlichkeit von Vorstand bzw. Geschäftsführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Besonderheiten der Aktiengesellschaft . . . . . . . . . . . . . . . . . . b) Ressortverantwortlichkeit für IT-Sicherheit . . . . . . . . . . . . . . 2. Pflicht zur Früherkennung bestandsgefährdender Risiken . . . . . . . a) Geeignete Maßnahmen zur Früherkennung . . . . . . . . . . . . . . b) Implementierung eines Früherkennungs- und Überwachungssystems … . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) … als Bestandteil eines allgemeinen Risikomanagementsystems 3. Weitere Compliance-Pflichten . . . . . . . . . . . . . . . . . . . . . . . . . . a) Compliance-Pflichten mit IT-Sicherheitsbezug . . . . . . . . . . . . b) Umsetzung durch die Geschäftsleitung . . . . . . . . . . . . . . . . . 4. Umfang der Geschäftsleitungspflichten . . . . . . . . . . . . . . . . . . . . a) Anzuwendender Sorgfaltsmaßstab . . . . . . . . . . . . . . . . . . . . . b) Ermessensspielraum: Business Judgement Rule . . . . . . . . . . . . IV. Pflicht zur Buchführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Zulässiger Umfang elektronischer Buchführung . . . . . . . . . . . . . . 2. Sicherungspflichtige Daten und IT-Systeme . . . . . . . . . . . . . . . . 3. Anforderungen an die IT-Sicherheit der Buchführung . . . . . . . . . 4. Umsetzung der Anforderungen: Internes Kontrollsystem . . . . . . . 5. Besonderheiten für an der US-Börse notierte Unternehmen . . . . . V. Rechtslage im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Konzernweite Compliance-Pflicht . . . . . . . . . . . . . . . . . . . . . . . 2. Konzernweite Überwachungspflicht . . . . . . . . . . . . . . . . . . . . . .

1 4

1 2

. . . . . . . . .

9 10 12 15 19 22 23 27 32

7 7 8 8 10 11 12 13 14

. . . . .

34 36 37 40 41

15 16 16 17 18

. . . . . . . . . . . . . . . . .

46 49 52 53 54 56 57 62 66 68 71 72 73 76 80 81 84

19 20 21 21 22 23 23 25 27 28 29 30 31 32 33 33 34

VII

2021-11-22, 12:05, HB groß

Inhaltsverzeichnis Rz. Seite

VI. Einbeziehung des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Mitwirkungsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Mitbestimmungsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

89 90 92

36 36 37

B. IT-Sicherheit als vertragliche Pflicht I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. IT-Sicherheit als Hauptleistungspflicht . . . . . . . . . . . . . . . . . . . . . . . 1. Verträge mit IT-Sicherheitsbezug . . . . . . . . . . . . . . . . . . . . . . . . a) Hohe Praxisrelevanz: Outsourcing-Verträge . . . . . . . . . . . . . . b) Unternehmen als Schuldner oder Gläubiger von IT-Sicherheitsleistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. „Sichere“ IT-Produkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Verträge über die dauerhafte Überlassung von IT-Produkten . . . aa) Allgemeine Anforderungen . . . . . . . . . . . . . . . . . . . . . . . bb) Besonderheiten bei Verbraucherverträgen . . . . . . . . . . . . . b) Verträge über die zeitweise Überlassung von IT-Produkten . . . . c) Fazit: Anbieterseitige Pflichten zur Anpassung des IT-Sicherheitsstandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. IT-Sicherheit als Nebenpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Hinweise zur Vertragsgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Übersicht zu typischen Fallgruppen . . . . . . . . . . . . . . . . . . . . . . . . .

96 97 98 100

41 41 41 43

103 105 107 108 116 125

45 46 46 47 49 52

131 134 139 142

54 55 57 58

C. IT-Sicherheit zum Schutz von Geschäftsgeheimnissen . . . . . . . . . . .

144

61

..

156

67

. . . .

158 160 161 162

67 68 69 69

164 165 167 169 175 176 177

71 71 72 73 75 75 75

178 181 182

76 78 78

D. IT-Sicherheitsdefizite als Rechtsbruch I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Informationssicherheitsrechtliche Vorschriften als Marktverhaltensregelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vorgaben des BSI-Gesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . III. Wettbewerbsrechtliche Verletzungsfolgen . . . . . . . . . . . . . . . . . . .

. . . .

E. Datenschutz und IT-Sicherheit I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Rechtsentwicklung und Rechtsquellen . . . . . . . . . . . . . . . . . . . . . . . 1. DSGVO und BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Bereichsspezifisches Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . III. Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . a) Personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Anonymisierung als Mittel zum Ausschluss der Anwendbarkeit der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Persönlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . a) Verantwortlicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIII

2021-11-22, 12:05, HB groß

Inhaltsverzeichnis Rz. Seite

b) Auftragsverarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . a) DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Datenschutzrechtliche IT-Sicherheitsvorgaben . . . . . . . . . . . . . . . . 1. IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Technische und organisatorische Maßnahmen . . . . . . . . . . . b) Mindestschutzanforderungen . . . . . . . . . . . . . . . . . . . . . . . c) Selbstregulierung und präventive Sicherheitsmaßnahmen . . . aa) Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen . . . . . . . . . . . . . . . . bb) Zertifizierungen und Verhaltensregeln . . . . . . . . . . . . . . d) Schrems II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Weitere datenschutzrechtliche Informations-Sicherheitsvorgaben a) Verzeichnis von Verarbeitungstätigkeiten . . . . . . . . . . . . . . b) Datenschutz-Folgenabschätzung . . . . . . . . . . . . . . . . . . . . . c) Datenschutzbeauftragter . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Meldepflichten bei Datenschutzverletzungen . . . . . . . . . . . . . . . a) Meldung gegenüber der Datenschutzaufsichtsbehörde . . . . . . b) Benachrichtigung der betroffenen Personen . . . . . . . . . . . . . c) Exkurs: Checkliste „To-dos bei Data Breaches“ . . . . . . . . . . . V. Verletzungsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Festsetzung von Bußgeldern für Datenschutzverstöße . . . . . . . . . 2. Strafrechtliche Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Hinweise zur Kommunikation mit den Aufsichtsbehörden . . . . .

. . . . . . . . .

. . . . . . . . .

184 185 186 189 192 193 196 200 206

79 79 79 81 82 82 83 86 88

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

207 209 210 213 214 216 217 221 222 227 230 232 233 239 240

89 90 90 91 92 92 93 94 94 96 97 100 101 103 104

F. Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Rechtsentwicklung und Rechtsquellen . . . . . . . . . . . . . . . . . . . . . . . 1. Nationale Gesetzgebung: BSI-Gesetz und IT-Sicherheitsgesetz (2.0) 2. NIS-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Regelungssystematik des BSI-Gesetzes . . . . . . . . . . . . . . . . . . . . . . . IV. IT-Sicherheitspflichten nach dem BSI-Gesetz . . . . . . . . . . . . . . . . . . 1. Pflichten von KRITIS-Betreibern . . . . . . . . . . . . . . . . . . . . . . . . a) Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) KRITIS-Dienstleistungen und Anlagen . . . . . . . . . . . . . . bb) KRITIS-Versorgungsgrad . . . . . . . . . . . . . . . . . . . . . . . b) IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Einhaltung der Vorgaben . . . . . . . . . . . . . . . . . . . . . . . . bb) Einhaltung des „Stands der Technik“ . . . . . . . . . . . . . . . . cc) Branchenspezifische Standards . . . . . . . . . . . . . . . . . . . . dd) Angriffserkennungssysteme . . . . . . . . . . . . . . . . . . . . . . ee) Nachweis der Einhaltung . . . . . . . . . . . . . . . . . . . . . . . . c) Meldepflichten gegenüber dem BSI . . . . . . . . . . . . . . . . . . . . aa) Meldepflichtige Störungen . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

243 244 245 248 250 253 254 255 260 263 265 267 269 270 272 274 277 280

107 107 107 108 109 110 110 110 112 113 114 115 116 117 117 118 119 120

IX

2021-11-22, 12:05, HB groß

Inhaltsverzeichnis Rz. Seite

bb) Meldefrist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Inhalt und Form der Meldung . . . . . . . . . . . . . . . . . . . . d) Einsatz kritischer Komponenten . . . . . . . . . . . . . . . . . . . . . e) Bußgelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) Zivilrechtliche Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Pflichten von Unternehmen im besonderen öffentlichen Interesse a) Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Registrierung gegenüber dem BSI . . . . . . . . . . . . . . . . . . . . . d) Meldepflichtige Störungen . . . . . . . . . . . . . . . . . . . . . . . . . aa) Meldefrist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Inhalt und Form der Meldung . . . . . . . . . . . . . . . . . . . . e) Bußgelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Pflichten der Anbieter digitaler Dienste . . . . . . . . . . . . . . . . . . . a) Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Bußgelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Auswirkungen des BSI-Gesetzes auf Hersteller von IT-Produkten . a) Hersteller kritischer Komponenten . . . . . . . . . . . . . . . . . . . . b) Mitwirkungspflichten der Hersteller bei Störungen der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) IT-Sicherheitskennzeichen . . . . . . . . . . . . . . . . . . . . . . . . . d) Warnungen und Empfehlungen des BSI an die Öffentlichkeit . e) Untersuchungsrechte des BSI . . . . . . . . . . . . . . . . . . . . . . . f) Bußgelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . .

286 288 293 299 301 305 306 310 313 315 318 319 321 323 324 331 334 340 343 344

121 122 123 125 126 127 127 128 129 130 131 131 131 132 132 135 136 137 138 139

. . . . .

346 348 354 357 360

139 140 142 142 143

G. Sonstige branchenspezifische Vorschriften zur IT-Sicherheit I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. IT-Sicherheitspflichten von Telemedienanbietern . . . . . . . . . . . . . . 1. Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Pflichtenumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Abgrenzung zum BSI-Gesetz . . . . . . . . . . . . . . . . . . . . . . . . 3. Verletzungsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. IT-Sicherheitspflichten im Telekommunikationsbereich . . . . . . . . . . 1. Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Sicherheitsbeauftragter und Sicherheitskonzept . . . . . . . . . . . . . 4. Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Meldepflichten zu Sicherheitsvorfällen nach § 168 Abs. 1 TKG aa) Meldepflichtige Ereignisse . . . . . . . . . . . . . . . . . . . . . . . bb) Inhalt und Form der Meldung . . . . . . . . . . . . . . . . . . . . cc) Benachrichtigung der Öffentlichkeit . . . . . . . . . . . . . . . . b) Datenschutzrechtliche Meldepflichten gem. § 169 TKG . . . . .

. . . . . . . . . . . . . . . . .

361 362 363 366 373 377 380 383 384 391 400 404 405 405 408 411 413

145 145 145 146 148 150 150 151 152 153 156 158 158 158 159 160 160

X

2021-11-22, 12:05, HB groß

Inhaltsverzeichnis Rz. Seite

IV.

V.

VI.

VII.

VIII.

aa) Benachrichtigungspflichten bei Datenschutzverletzungen . bb) Dokumentationspflichten bei Datenschutzverletzungen . . . c) Informationspflicht bei von Nutzern ausgehenden Beeinträchtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Verletzungsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Bußgelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Schadensersatz und Unterlassung . . . . . . . . . . . . . . . . . . . . . IT-Sicherheitspflichten von Energieversorgern . . . . . . . . . . . . . . . . . 1. Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Betreiber von Energieversorgungsnetzen . . . . . . . . . . . . . . . . b) Betreiber von Energieanlagen . . . . . . . . . . . . . . . . . . . . . . . . c) Systeme zur Angriffserkennung . . . . . . . . . . . . . . . . . . . . . . 3. Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Verletzungsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IT-Sicherheitspflichten im Atomenergiebereich . . . . . . . . . . . . . . . . 1. Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Verletzungsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IT-Sicherheitspflichten im Gesundheitswesen . . . . . . . . . . . . . . . . . 1. IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. IT-Sicherheitspflichten für Krankenhäuser . . . . . . . . . . . . . . . . . 3. IT-Sicherheitspflichten in der Telematikinfrastruktur . . . . . . . . . . a) Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) IT-Sicherheitsstandard . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Verletzungsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. IT-Sicherheitspflichten für Hersteller digitaler Gesundheits- und Pflegeanwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Hersteller digitaler Gesundheitsanwendungen . . . . . . . . . . . . b) Hersteller digitaler Pflegeanwendungen . . . . . . . . . . . . . . . . . IT-Sicherheit im Versicherungsbereich . . . . . . . . . . . . . . . . . . . . . . 1. Adressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. IT-Sicherheitspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Verletzungsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IT-Sicherheit im Finanz- und Bankwesen . . . . . . . . . . . . . . . . . . . . 1. IT-Sicherheitspflichten im Bankensektor . . . . . . . . . . . . . . . . . . a) Allgemeine IT-Sicherheitspflichten . . . . . . . . . . . . . . . . . . . . b) Auslagerung von IT-Prozessen . . . . . . . . . . . . . . . . . . . . . . . c) Verletzungsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. IT-Sicherheitspflichten im Online-Zahlungsverkehr . . . . . . . . . . 3. IT-Sicherheitspflichten für Zahlungs- und E-Geld-Institute . . . . . 4. IT-Sicherheitspflichten für Identifizierungsdienstleistungen . . . . .

414 161 416 161 417 420 421 423 427 428 429 430 434 437 438 441 443 444 446 447 448 450

162 162 162 163 165 165 165 166 167 168 169 169 170 170 170 171 171 172

453 456 461 461 462 465 466

173 174 175 175 175 176 176

467 467 472 476 477 478 483 485 486 486 491 493 494 495 496

177 177 178 179 179 180 181 182 182 182 184 185 186 186 187

XI

2021-11-22, 12:05, HB groß

Inhaltsverzeichnis Rz. Seite

5. IT-Sicherheitspflichten von Wertpapierdienstleistungsunternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Besondere Pflichten von Börsenträgern . . . . . . . . . . . . . . . . . . . . IX. IT-Sicherheitspflichten nach dem Geldwäschegesetz . . . . . . . . . . . . . H. Allgemeine Haftung für IT-Sicherheit I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Haftungsverhältnisse im Unternehmen . . . . . . . . . . . . . . . . . . . . . 1. Haftung der Geschäftsleitung gegenüber der Gesellschaft . . . . . . . a) Grundlagen der Vorstands-Haftung in der AG . . . . . . . . . . . b) Grundlagen der Geschäftsführer-Haftung in der GmbH . . . . . c) Praxislösung: D&O-Versicherung . . . . . . . . . . . . . . . . . . . . d) Haftungsbeschränkung durch Zuweisung von Verantwortlichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Horizontale Delegation: Ressortverantwortlichkeiten . . . . bb) Vertikale Delegation . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Exkurs: Haftung des Aufsichtsrats der AG . . . . . . . . . . . . . . . 2. Haftung der Geschäftsleitung gegenüber den Aktionären bzw. Gesellschaftern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Haftung des Unternehmens gegenüber Dritten . . . . . . . . . . . . . . . . 1. Haftung der Geschäftsleitung im Außenverhältnis . . . . . . . . . . . a) Geringe Praxisrelevanz: Vertragsrecht . . . . . . . . . . . . . . . . . . b) Gesteigerte Praxisrelevanz: Deliktsrecht . . . . . . . . . . . . . . . . 2. Vertragliche Haftung des Unternehmens . . . . . . . . . . . . . . . . . . a) Grundlagen der vertraglichen Haftung . . . . . . . . . . . . . . . . . aa) Pflichtverletzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Vertretenmüssen und Beweislast . . . . . . . . . . . . . . . . . . cc) Haftung für das Verhalten anderer . . . . . . . . . . . . . . . . . dd) Schaden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Anspruchsreduzierendes Mitverschulden . . . . . . . . . . . . b) Möglichkeiten des Haftungsausschlusses . . . . . . . . . . . . . . . . aa) Praxisrelevante Regelungsfelder . . . . . . . . . . . . . . . . . . . bb) Unwirksamkeit nach speziellen gesetzlichen Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Individualvertragliche Unwirksamkeit und AGB-Recht . . . (1) Gesetzliche Klauselverbote für Verbraucherverträge . . (2) Ausstrahlungswirkung der Klauselverbote . . . . . . . . . 3. Deliktische Haftung des Unternehmens . . . . . . . . . . . . . . . . . . . a) Haftung nach § 823 Abs. 1 BGB . . . . . . . . . . . . . . . . . . . . . . aa) Deliktischer Schutz des Rechts am eingerichteten und ausgeübten Gewerbebetrieb . . . . . . . . . . . . . . . . . . . . . . . . bb) Verkehrssicherungspflichten . . . . . . . . . . . . . . . . . . . . . cc) Insbesondere: Verkehrssicherungspflichten bzgl. fehlerhafter IT-Produkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Weitere Anspruchsvoraussetzungen . . . . . . . . . . . . . . . .

XII

2021-11-22, 12:05, HB groß

498 187 499 188 501 189

. . . . . .

508 509 510 511 519 521

191 191 191 192 195 195

. . . .

523 524 528 531

196 196 197 198

. . . . . . . . . . . . . .

533 538 539 540 541 544 545 546 550 553 554 555 561 563

199 201 201 202 202 204 204 205 206 208 208 208 210 211

. . . . . .

565 566 567 568 572 573

212 213 213 214 215 215

. .

574 216 578 217

. .

580 218 582 220

Inhaltsverzeichnis Rz. Seite

b) Haftung nach § 823 Abs. 2 BGB wegen der Verletzung eines Schutzgesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Haftung nach § 831 BGB für Verrichtungsgehilfen . . . . . . . . . . 4. Verschuldensunabhängige Produkthaftung . . . . . . . . . . . . . . . . . . IV. Inanspruchnahme von Cyber-Angreifern . . . . . . . . . . . . . . . . . . . . . 1. Anspruchsgrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anspruchssicherung und Vorgehen im Falle von Cyber-Angriffen . . V. Ordnungswidrigkeiten- und Strafrecht . . . . . . . . . . . . . . . . . . . . . . . 1. Haftung der Geschäftsleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . a) § 130 OWiG – Verletzung der Aufsichtspflicht im Unternehmen aa) Vorliegen von Aufsichtsdefiziten . . . . . . . . . . . . . . . . . . . bb) Ahndung von Aufsichtsdefiziten . . . . . . . . . . . . . . . . . . . . b) § 266 StGB – Unternehmerische Fehlentscheidungen als Untreue? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Haftung des Unternehmens . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Haftung des IT-Sicherheitsbeauftragten . . . . . . . . . . . . . . . . . . . . I. Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Benennung betrieblicher Beauftragter für IT-Sicherheit . . . . . . . . . . 1. Abgrenzung verschiedener betrieblicher Beauftragter . . . . . . . . . 2. Stellung des IT-Sicherheitsbeauftragten . . . . . . . . . . . . . . . . . . 3. Haftung des IT-Sicherheitsbeauftragten . . . . . . . . . . . . . . . . . . a) Geringe Praxisrelevanz: Haftung des internen IT-Sicherheitsbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Höhere Praxisrelevanz: Haftung des externen IT-Sicherheitsbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Aufgaben des IT-Sicherheitsbeauftragten . . . . . . . . . . . . . . . . . 5. Kriterien zur Auswahl des IT-Sicherheitsbeauftragten . . . . . . . . III. Einrichtung eines Informationssicherheitsmanagementsystems . . . . 1. Vorteile des Informationssicherheitsmanagementsystems . . . . . . 2. Struktur des Informationssicherheitsmanagementsystems . . . . . . 3. Vorgehensweise bei der Schaffung des Informationssicherheitsmanagementsystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Implementierung von IT-Betriebsrichtlinien . . . . . . . . . . . . . . . . . 1. Schaffung eines internen Handlungsstandards . . . . . . . . . . . . . . 2. Zentrale Elemente von IT-Betriebsrichtlinien . . . . . . . . . . . . . . 3. Praxisrelevante Problemfelder . . . . . . . . . . . . . . . . . . . . . . . . . a) Private Internetnutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Bring your own Device . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Social-Media-Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Mobiles Arbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Notfallkonzept und Verhalten im Falle von IT-Sicherheitsvorfällen . . 1. Konzeption und Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Verhalten bei und Bewältigung von IT-Sicherheitsvorfällen . . . . .

. . . . .

. . . . .

583 588 590 595 596 598 602 603 604 605 606

220 222 223 225 225 226 228 228 229 229 230

608 231 612 232 615 233

618 620 624 626 630

235 235 237 238 240

..

631 240

. . . . . .

. . . . . .

637 639 641 643 646 649

242 243 244 245 245 246

. . . . . . . . . . . .

. . . . . . . . . . . .

650 658 659 661 664 665 671 676 680 683 684 687

248 250 250 251 253 253 255 257 258 259 259 261

XIII

2021-11-22, 12:05, HB groß

Inhaltsverzeichnis Rz. Seite

VI. Nutzung technischer Regelwerke . . . . . . 1. BSI-Grundschutz . . . . . . . . . . . . . . 2. ISO/IEC 27001 . . . . . . . . . . . . . . . . 3. IT Infrastructure Library (ITIL) . . . . 4. Standard-Datenschutzmodell (SDM) . 5. ENISA-Empfehlungen . . . . . . . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

688 689 691 693 694 695

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

XIV

2021-11-22, 12:05, HB groß

262 262 263 264 264 264 267

Literaturverzeichnis Alber, Matthias u.a., Beck’sches Steuer- und Bilanzrechtslexikon, Edition 56, Stand: 1.1.2021 Altenburg, Johannes, Unternehmerische (Fehl-)Entscheidungen als Untreue?: Eine gefährliche (Fehl-)Entwicklung!, BB 2015, 323–328 Ann, Christoph, EU-Richtlinie zum Schutz vertraulichen Know-hows – Wann kommt das neue deutsche Recht, wie sieht es aus, was ist noch offen?, GRUR-Prax 2016, 465–467 Arbeitskreis Externe und Interne Überwachung der Unternehmung, Aktuelle Herausforderungen im Risikomanagement – Innovationen und Leitlinien, DB 2010, 1245– 1252 Auer-Reinsdorff, Astrid/Conrad, Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019 Bamberger, Georg/Roth, Herbert/Hau, Wolfgang/Poseck, Roman (Hrsg.), BeckOK BGB, 59. Edition, Stand: 1.8.2021 Barton, Dirk M., Der Compliance-Officer im Minenfeld des Strafrechts – Folgewirkungen des Urteils des BGH vom 17.7.2009 – 5 StR 394/08 – auch für den Datenschutzbeauftragten?, RdV 2010, 19–27 Baumbach, Adolf/Hopt, Klaus J. (Hrsg.), HGB, 40. Aufl. 2021 Baumbach, Adolf/Hueck, Alfred (Hrsg.), GmbH-Gesetz, 22. Aufl. 2019 Berg, Kai, Korruption in Unternehmen und Risikomanagement nach § 91 Abs. 2 AktG, AG 2007, 271–278 Bergt, Matthias, Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutz-Grundverordnung, DSRITB 2016, 483–500 Beucher, Klaus/Utzerath, Julia, Cybersicherheit – Nationale und internationale Regulierungsinitiativen – Folgen für die IT-Compliance und die Haftungsmaßstäbe, MMR 2013, 362–367 Bicker, Eike, Compliance – organisatorische Umsetzung im Konzern, AG 2012, 542– 552 Bildhäuser, Carsten/Reinhardt, Sonja, Das neue GeschGehG: Systematik, Rechtsprechung und Unternehmenspraxis, GRUR-Prax 2020, 576–578 Binder, Jens-Hinrich, Geschäftsleiterhaftung und fachkundiger Rat, AG 2008, 274– 287 Bischoff, Claudia/Drechsler, Julian, Pseudonymisierung und Anonymisierung im Rahmen klinischer Prüfungen von Arzneimitteln (Teil II), PharmR 2020, 389–396 Blasche, Sebastian, Die Mindestanforderungen an ein Risikofrüherkennungs- und Überwachungssystem nach § 91 Abs. 2 AktG, CCZ 2009, 62–67 Boos, Karl-Heinz/Fischer, Reinfrid/Schulte-Mattler, Hermann (Hrsg.), KWG, CRR-VO, 5. Aufl. 2016 Borges, Georg/Hilber, Marc (Hrsg.), BeckOK IT-Recht, 3. Edition, Stand: 1.7.2021 Böttcher, Lars, Bankvorstandshaftung im Rahmen der Sub-Prime Krise, NZG 2009, 1047–1052

XV

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Brammsen, Jörg, „Durchlöcherter“ Bestandsschutz – Wirtschaftsgeheimnisse im 21. Jahrhundert, ZIP 2016, 2193–2201 Bräutigam, Peter/Klindt, Thomas, Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137–1142 Brühl, Friederike Gräfin von/Brandenburg, Anne, Cyberbedrohungen: Rechtliche Rahmenbedingungen und praktische Lösungen, ITRB 2013, 260–263 Bürkle, Jürgen, Corporate Compliance als Standard guter Unternehmensführung des Deutschen Corporate Governance Kodex, BB 2007, 1797–1801 Bürkle, Jürgen (Hrsg.), Compliance in Versicherungsunternehmen. Rechtliche Anforderungen und praktische Umsetzung, 3. Aufl. 2020 Busekist, Konstantin von/Hein, Oliver, Der IDW PS 980 und die allgemeinen rechtlichen Mindestanforderungen an ein wirksames Compliance Management System (1) – Grundlagen, Kultur und Ziele, CCZ 2012, 41–48 Busekist, Konstantin von/Hein, Oliver, Der IDW PS 980 und die allgemeinen rechtlichen Mindestanforderungen an ein wirksames Compliance Management System (2) – Risikoermittlungspflicht, CCZ 2012, 86–95 Bussche, Axel Frhr. von dem, Anmerkung zu LG Bonn, Urteil vom 11.11.2020 – 29 OWi 1/20, ZD 2021, 154–161 Bussche, Axel Frhr. von dem, Anmerkung zu LG Berlin, Beschluss vom 18.2.2021 – 526 OWi LG 212 Js-OWi 1/20 (1/20), ZD 2021, 270–274 Bussche, Axel Frhr. von dem/Voigt, Paul (Hrsg.), Konzerndatenschutz Rechtshandbuch, 2. Aufl. 2019 Byok, Jan, Informationssicherheit von Kritischen Infrastrukturen im Wettbewerbsund Vergaberecht, BB 2017, 451–455 Calliess, Christian/Ruffert, Matthias (Hrsg.), EUV/AEUV, Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 5. Aufl. 2016 Djeffal, Christian, Neue Sicherungspflicht für Telemediendiensteanbieter, Webseitensicherheit jetzt Pflicht nach dem IT-Sicherheitsgesetz, MMR 2015, 716–721 Dorschel, Joachim, IT-Sicherheit und Datenschutz in der Vertragsgestaltung, DSRITB 2010, 651–664 Ebenroth, Carsten Thomas/Boujong, Karlheinz/Joost, Detlev/Strohn, Lutz (Hrsg.), Handelsgesetzbuch, 4. Aufl. 2020 Ebke, Werner/Schmidt, Karsten (Hrsg.), Münchener Kommentar zum HGB, 4. Aufl. 2020 (zit.: Bearbeiter in MüKo-HGB) Ehmann, Eugen/Selmayr, Martin (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018 Eicke, Anne, Die wichtigsten Neuerungen durch das Betriebsrätemodernisierungsgesetz, ArbRAktuell 2021, 313–316 Firsching, Lukas, Der Kauf von Sachen mit digitalen Elementen, ZUM 2021, 210–220 Fleischer, Holger, Corporate Compliance im aktienrechtlichen Unternehmensverbund, CCZ 2008, 1–6 Fleischer, Holger, Aktuelle Entwicklungen der Managerhaftung, NJW 2009, 2337–2343 XVI

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Fleischer, Holger/Goette, Wulf (Hrsg.), Münchener Kommentar zum GmbHG, Band 2, 3. Aufl. 2018 (zit.: Bearbeiter in MüKo-GmbHG) Fokken, Martin, Telekommunikationsrechtliche Pflichten des Arbeitgebers bei privater E-Mail-Nutzung der Mitarbeiter, NZA 2020, 629–633 Forgó, Nikolaus/Helfrich, Marcus/Schneider, Jochen (Hrsg.), Betrieblicher Datenschutz, Rechtshandbuch, 3. Aufl. 2019 Frank-Fahle, Constantin/Ebner, Stephan, Sarbanes-Oxley Act im internationalen Wirtschaftsverkehr, IWRZ 2020, 58–64 Fritzsche, Jörg/Münker, Reiner/Stollwerck, Christoph (Hrsg.), BeckOK UWG, 13. Edition, Stand: 1.8.2021 Fuhlrott, Michael/Hiéramente, Mayeul, BeckOK GeschGehG, 8. Edition, Stand: 15.6.2021 Gabel, Detlev/Heinrich, Tobias/Kiefner, Alexander (Hrsg.), Rechtshandbuch Cyber-Security. IT-Sicherheit, Datenschutz, Gesellschaftsrecht, Compliance, M&A, Versicherungen, Aufsichtsrecht, Arbeitsrecht, Litigation, 2019 Gausling, Tina/Baumgartner, Ulrich, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen – Was Unternehmen jetzt nach der DS-GVO beachten müssen, ZD 2017, 308–313 Gehrmann, Mareike/Klett, Detlef, IT-Sicherheit in Unternehmen – Weiterhin viel Unsicherheit bei der Umsetzung des IT-Sicherheitsgesetzes, K&R 2017, 372–378 Gehrmann, Mareike/Voigt, Paul, IT-Sicherheit – Kein Thema nur für Betreiber Kritischer Infrastrukturen, CR 2017, 93–99 Geppert, Martin/Schütz, Raimund (Hrsg.), Beck’scher TKG-Kommentar, 4. Aufl. 2013 Gerlach, Carsten, Sicherheitsanforderungen für Telemediendienste – der neue § 13 Abs. 7 TMG, CR 2015, 581–589 Gersdorf, Hubertus/Paal, Boris P. (Hrsg.), BeckOK Informations- und Medienrecht, 33. Edition, Stand: 1.8.2021 Giebel, Christoph/Malten, Marc, Schadensersatz bei Ausfällen von TK-Netzen, Haftung des Diensteanbieters gegenüber Unternehmenskunden, MMR 2014, 302–307 Gierschmann, Sibylle, Was „bringt“ deutschen Unternehmen die DS-GVO? Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51–55 Gierschmann, Sibylle/Schlender Katharina/Stentzel, Rainer/Veil, Winfried (Hrsg.) Kommentar Datenschutz-Grundverordnung, 2017 Goette, Wolfgang/Habersack, Mathias/Kalss, Susanne (Hrsg.), Münchener Kommentar zum Aktiengesetz, Band 2, 5. Aufl. 2019 (zit.: Bearbeiter in MüKo-AktG) Gola, Peter (Hrsg.), Datenschutz-Grundverordnung: DS-GVO Kommentar, 2. Aufl. 2018 Gola, Peter/Heckmann, Dirk (Hrsg.), BDSG, 13. Aufl. 2019 Graf, Jürgen-Peter (Hrsg.), BeckOK OWiG, 31. Edition, Stand: 1.7.2021 Graf, Jürgen-Peter (Hrsg.), BeckOK StPO mit RiStBV und MiStra, 40. Edition, Stand: 1.7.2021 Grieger, Ferdinand, Haftung des AG-Vorstands bei Schäden durch Cyberangriffe, WM 2021, 8–16 Groß, Wolfgang, Kapitalmarktrecht, 7. Aufl. 2020

XVII

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Grottel, Bernd/Schmidt, Stefan/Schubert, Wolfgang/Störk, Ulrich, Beck’scher BilanzKommentar, 12. Aufl. 2020 Grunewald, Barbara, Gesellschaftsrecht, 11. Aufl. 2020 Grünwald, Andreas/Nüßing, Christoph, Machine To Machine (M2M) – Kommunikation, Regulatorische Fragen bei der Kommunikation im Internet der Dinge, MMR 2015, 378–383 Grützmacher, Malte, Dateneigentum – ein Flickenteppich, CR 2016, 485–495 Grützner, Thomas/Jakob, Alexander (Hrsg.), Compliance von A–Z, 2. Aufl. 2015 Gühr, Alisha/Karper, Irene/Maseberg, Sönke, Der lange Weg zur Akkreditierung nach Art. 42 DSGVO. Praxiserfahrungen und Situationsbericht, DuD 2020, 649–653 Günther, Jens/Lenz, Fabian, Liken, Posten, Teilen – Kündigungsrechtliche Einordnung Social Media-spezifischer Ausdrucksformen, ArbRAktuell 2020, 405–408 Habbe, Julia Sophia/Gergen, Philipp, Compliance vor und bei Cyberangriffen – Pflichten der Geschäftsleitung und deren konkrete Umsetzung in der Praxis, CCZ 2020, 281–286 Harte-Bavendamm, Henning/Henning-Bodewig, Frauke (Hrsg.), Gesetz gegen den unlauteren Wettbewerb (UWG), 5. Aufl. 2021 Harte-Bavendamm, Henning/Ohly, Ansgar/Kalbfus, Björn, GeschGehG, Gesetz zum Schutz von Geschäftsgeheimnissen, 2020 Härting, Niko, Internetrecht, 6. Aufl. 2017 Häublein, Martin/Hoffmann-Theinert, Roland (Hrsg.), BeckOK HGB, 33. Edition, Stand: 15.7.2021 Hauck, Ronny, Was lange währt … – Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) ist in Kraft, GRUR-Prax 2019, 223–225 Hauschka, Christoph E./Moosmayer, Klaus/Lösler, Thomas (Hrsg.), Corporate Compliance, Handbuch der Haftungsvermeidung im Unternehmen, 3. Aufl. 2016 Heckmann, Dirk, Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen – Maßstäbe für ein IT-Sicherheitsrecht, MMR 2006, 280–285 Heckmann, Dirk, IT-Sicherheit auf Raten?, MMR 2015, 289–290 Heckmann, Dirk/Paschke, Anne, juris PraxisKommentar Internetrecht. Das Recht der Digitalisierung, 7. Aufl. 2021 Heermann, Peter W./Schlingloff, Jochen (Hrsg.), Münchener Kommentar zum Lauterkeitsrecht (UWG), 3. Aufl. 2020 (zit.: Bearbeiter in: MüKo-UWG) Heidinger, Andreas/Leible, Stefan/Schmidt, Jessica (Hrsg.), Kommentar zum Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbH-Gesetz), 3. Aufl. 2017 Hennenhöfer, Gerald/Mann, Thomas/Pelzer, Norbert/Sellner, Dieter (Hrsg.), Atomgesetz/Pariser Atomhaftungs-Übereinkommen: AtG / PÜ. Kommentar, 2021 Hennrichs, Joachim/Kleindiek, Detlef/Watrin, Christoph (Hrsg.), Münchener Kommentar zum Bilanzrecht, Band 2, 2013 (zit.: Bearbeiter in: MüKo Bilanzrecht) Henssler, Martin/Herresthal, Carsten/Paschke, Marian (Hrsg.), BeckOGK HGB, Stand: 1.7.2021 Henssler, Martin/Spindler, Gerald/Stilz, Eberhard (Hrsg.), BeckOGK AktG, Stand: 1.6.2021 Henssler, Martin/Strohn, Lutz (Hrsg.), Gesellschaftsrecht, 5. Aufl. 2021

XVIII

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Hoene, Verena, Neues zum Warenkauf. EU-Richtlinien zur Stärkung des Verbraucherschutzes, IPRB 2021, 88–92 Hoeren, Thomas/Sieber, Ulrich/Holznagel Bernd (Hrsg.), Handbuch MultimediaRecht, 56. EL, 2021 Hoffmann-Becking, Michael (Hrsg.), Münchner Handbuch des Gesellschaftsrechts, Band 4, 5. Aufl. 2020 Holleben, Kevin Max von/Menz, Monika, IT-Risikomanagement – Pflichten der Geschäftsleitung, CR 2010, 63–68 Hölters, Wolfgang (Hrsg.), Aktiengesetz, 3. Aufl. 2017 Hopt, Klaus J./Binder, Jens-Hinrich/Böcking, Hans-Joachim (Hrsg.), Handbuch Corporate Governance von Banken und Versicherungen, 2. Aufl. 2020 Hornung, Gerrit, Neue Pflichten für Betreiber Kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334–3340 Hornung, Gerrit, Eine Datenschutz-Grundverordnung für Europa?, Licht und Schatten im Kommissionsentwurf vom 25.1.2012, ZD 2012, 99–106 Hornung, Gerrit/Schallbruch, Martin (Hrsg.), IT-Sicherheitsrecht. Praxishandbuch, 2021 Hüffer, Uwe/Koch, Jens, Aktiengesetz, 15. Aufl. 2021 Hütten, Christoph/Stromann, Hilke, Umsetzung des Sarbanes-Oxley Act in der Unternehmenspraxis, BB 2003, 2223–2227 Jandt, Silke/Steidle, Roland (Hrsg.), Datenschutz im Internet. Rechtshandbuch zu DSGVO und BDSG, 2018 Joecks, Wolfgang/Miebach, Klaus (Hrsg.), Münchener Kommentar zum StGB (zit.: Bearbeiter in MüKo-StGB) Kahlert, Fabian, Neue Regelwerke für den Online-Zahlungsverkehr: Auswirkungen von MaSI und PSD II auf Verbraucher, Zahlungsdienstleister und die FinTech-Branche, DSRITB 2016, 579–590 Karg, Moritz, Anwendbares Datenschutzrecht bei Internet-Diensteanbietern – TMG und BDSG vs. Konzernstrukturen?, ZD 2013, 371–375 Keppeler, Lutz Martin, Was bleibt vom TMG-Datenschutz nach der DS-GVO? Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, 779–783 Kiethe, Kurt, Vermeidung der Haftung von geschäftsführenden Organen durch Corporate Compliance, GmbHR 2007, 393–400 Kiparski, Gerd, Die Telekommunikations-Datenschutzregelungen im neuen TTDSG, CR 2021, 482–491 Kipker, Dennis-Kenji, Der 2. Korb der BSI-Kritisverordnung tritt in Kraft, MMR-Aktuell 2017, 393037 Kipker, Dennis-Kenji (Hrsg.), Cybersecurity. Rechtshandbuch, 2020 Kipker, Dennis-Kenji/Scholz, Dario, Das IT-Sicherheitsgesetz 2.0, MMR 2019, 431– 435 Klein, Franz/Orlopp, Gerd (Begr.), Abgabenordnung – einschließlich Steuerstrafrecht, 15. Aufl. 2020 Klindt, Thomas (Hrsg.) Produktsicherheitsgesetz ProdSG, 3. Aufl. 2021 XIX

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Koch, Frank A., Updating von Sicherheitssoftware – Haftung und Beweislast, Eine Problemskizze zur Verkehrssicherungspflicht zum Einsatz von Antivirenprogrammen, CR 2009, 485–491 Koch, Jens, Compliance-Pflichten im Unternehmensverbund?, WM 2009, 1013–1020 Koch, Robert, Haftung für die Weiterverbreitung von Viren durch E-Mails, NJW 2004, 801–807 Koenig, Ulrich (Hrsg.), Abgabenordnung, 4. Aufl. 2021 Köhler, Markus, Der Schutz kritischer Infrastrukturen im Gesundheitswesen – gesetzliche Anforderungen an die IT-Sicherheit, GesR 2017, 145–149 Köhler, Helmut/Bornkamm, Joachim/Feddersen, Jörn, Gesetz gegen den unlauteren Wettbewerb, 39. Aufl. 2021 König, Tassilo-Rouven, Beschäftigtendatenschutz in der Beratungspraxis, 2020 Koreng, Ansgar/Lachenmann, Matthias (Hrsg.), Formularhandbuch Datenschutzrecht, 3. Aufl. 2021 Kort, Michael, Verhaltensstandardisierung durch Corporate Compliance, NZG 2008, 81–86 Kort, Michael, Was ändert sich für Datenschutzbeauftragte, Aufsichtsbehörden und Betriebsrat mit der DS-GVO? Die zukünftige Rolle der Institutionen rund um den Beschäftigtendatenschutz, ZD 2017, 3–7 Kramer, Stefan (Hrsg.), IT-Arbeitsrecht. Digitalisierte Unternehmen: Herausforderungen und Lösungen, 2. Aufl. 2019 Krupna, Karsten, IT-Compliance – Informationspflichten nach dem Bundesdatenschutzgesetz bei Hackerangriffen, BB 2014, 2250–2254 Kühling, Jürgen/Buchner, Benedikt (Hrsg.), Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3. Aufl. 2020 Kühner, Jasmin/Piltz, Carlo, Die Updatepflicht für Unternehmen in Umsetzung der Digitale-Inhalte-Richtlinie, CR 2021, 1–7 Kupfer, Tim/Weiß, Johannes, Der Referentenentwurf zur Warenkaufrichtlinie – Vorbote einer endgültigen Fragmentierung des nationalen Kaufrechts?, ZVertriebsR 2021, 21–26 Laars, Reinhard/Both, David, Nomos Bundesrecht Erläuterungen, Versicherungsaufsichtsgesetz, 4. Online-Aufl. 2017 Laue, Philip/Kremer, Sascha, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. 2019 (zit.: Laue/Kremer, Datenschutzrecht) Leisterer, Hannfried/Schneider, Florian, Staatliches Informationshandeln im Bereich der IT-Sicherheit, K&R 2015, 681–688 Lensdorf, Lars, IT-Compliance – Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, CR 2007, 413–418 Lensdorf, Lars/Steger, Udo, IT-Compliance im Unternehmen, ITRB 2006, 206–210 Leupold, Andreas/Wiebe, Andreas/Glossner, Silke (Hrsg.), Münchener Anwaltshandbuch IT-Recht. Recht, Wirtschaft und Technik der digitalen Transformation, 4. Aufl. 2021 Libertus, Michael, Zivilrechtliche Haftung und strafrechtliche Verantwortlichkeit bei unbeabsichtigter Verbreitung von Computerviren, MMR 2005, 507–512

XX

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Lösler, Thomas, Das moderne Verständnis von Compliance im Finanzmarktrecht, NZG 2005, 104–108 Lurz, Hanna/Scheben, Barbara/Dolle, Wilhelm, Das IT-Sicherheitsgesetz: Herausforderungen und Chancen für Unternehmen – vor allem für KMU, BB 2015, 2755– 2762 Maier, Natalie/Pawlowska, Ilona M./Lins, Sebastian/Sunyaev, Ali, Die Zertifizierung nach der DS-GVO. Transparenz und Vertrauen für Nutzer digitaler Dienste?, ZD 2020, 445–449 Mangels, Fabian, KRITIS zu Zeiten einer Pandemie. Was sollten Betreiber beachten? DuD 2021, 579–583 Marly, Jochen, Praxishandbuch Softwarerecht, 7. Aufl. 2018 Mehrbrey, Kim Lars/Schreibauer, Marcus, Haftungsverhältnisse bei Cyber-Angriffen, Ansprüche und Haftungsrisiken von Unternehmen und Organen, MMR 2016, 75– 82 Müller-Broich, Jan D., Nomos-Kommentar TMG, 2012 Müller-Peltzer, Philipp/Selz, Ilan Leonard, PinG – Schlaglichter. Neues TKG und TTDSG – Update, PinG 2021, 153 Nacimiento, Grace/Bornhofen, Roland, Neuordnung des Kundenschutzes im Entwurf der TKV vom 30.4.2003, K&R 2003, 440–448 Nolte, Norbert/Becker, Thomas, IT-Compliance, BB Beilage 2008, Nr. 5, 23–27 Ohly, Ansgar, Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441– 451 Ohly, Ansgar/Sosnitza, Olaf, Gesetz gegen den unlauteren Wettbewerb mit Preisangabenverordnung, 7. Aufl. 2016 Paal, Boris P., Meldepflicht bei Datenschutzverstößen nach Art. 33 DS-GVO, ZD 2020, 119-124 Paal, Boris P., Kritische Würdigung des Konzepts der Datenschutzaufsichtsbehörden zur Bußgeldzumessung, RDV 2020, 57–64 Paal, Boris P./Pauly, Daniel A. (Hrsg.), Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. 2021 Palandt, Otto (Begr.), Bürgerliches Gesetzbuch mit Nebengesetzen, 80. Aufl. 2021 Pfirrmann, Volker/Rosenke, Torsten/Wagner, Klaus (Hrsg.), BeckOK AO, 17. Edition, Stand: 1.7.2021 Piltz, Carlo, Das neue TTDSG aus Sicht der Telemedien, CR 2021, 555–565 Piltz, Carlo/Kühner, Jasmin, Ausnahmevorschriften bei Cookie-Einwilligungen, ZD 2021, 123–128 Plath, Kai-Uwe (Hrsg.), DSGVO/BDSG, 3. Aufl. 2018 Preußner, Joachim/Becker, Florian, Ausgestaltung von Risikomanagementsystemen durch die Geschäftsleitung – Zur Konkretisierung einer haftungsrelevanten Organisationspflicht, NZG 2002, 846–851

XXI

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Raue, Benjamin, Haftung für unsichere Software, NJW 2017, 1841–1846 Rauer, Nils/Ettig, Diana, Update Cookies 2020. Aktuelle Rechtslage und Entwicklungen, ZD 2021, 18–24 Rechenberg, Wolf-Georg von/Ludwig, Rüdiger, Kölner Handbuch Handels- und Gesellschaftsrecht, 4. Aufl. 2017 Redeke, Julian, Zur gerichtlichen Kontrolle der Angemessenheit der Informationsgrundlage im Rahmen der Business Judgement Rule nach § 93 Abs. 1 Satz 2 AktG, ZIP 2011, 59–64 Reiners, Wilfried, Datenschutz in der Personal Data Economy – Eine Chance für Europa, ZD 2015, 51–55 Richardi, Reinhard (Hrsg.), Betriebsverfassungsgesetz mit Wahlordnung, 16. Aufl. 2018 Riehm, Thomas/Meier, Stanislaus, Rechtliche Durchsetzung von Anforderungen an die IT-Sicherheit, MMR 2020, 571–576 Ritter, Steve (Hrsg.), Die Weiterentwicklung des IT-Sicherheitsgesetzes. Kommentar zum IT-Sicherheitsgesetz 2.0, 2021 (im Erscheinen) Ritter, Steve, Die (Nicht-)Umsetzung der Pflicht für Anbieter digitaler Dienste, einen Vertreter in der EU zu benennen, ICLR 2020, 13–17 Rockstroh, Sebastian/Kunkel, Hanno, IT-Sicherheit in Produktionsumgebungen – Verantwortlichkeit von Herstellern für Schwachstellen in ihren Industriekomponenten, MMR 2017, 77–82 Rodewald, Jörg/Unger, Ulrike, Corporate Compliance – Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, BB 2006, 113–117 Rolfs, Christian/Giesen, Richard/Kreikebohm, Ralf/Meßling, Miriam/Udsching, Peter (Hrsg.), BeckOK Arbeitsrecht, 61. Edition, Stand: 1.9.2021 Rolfs, Christian/Giesen, Richard/Kreikebohm, Ralf/Meßling, Miriam/Udsching, Peter (Hrsg.), BeckOK Sozialrecht, 62. Edition 1.9.2021 Roos, Philipp, Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein?, MMR 2015, 636–645 Roos, Philipp/Schumacher, Philipp, Botnetze als Herausforderung für Recht und Gesellschaft – Zombies außer Kontrolle?, MMR 2014, 377–383 Rosenkranz, Frank, Spezifische Vorschriften zu Verträgen über die Bereitstellung digitaler Produkte im BGB, ZUM 2021, 195–210 Rosenthal, Simone/Trautwein, Frank, NIS-Richtlinie und IT-Sicherheitsgesetz in 2017, PinG 2017, 148–150 Roßnagel, Alexander (Hrsg.), Das neue Datenschutzrecht, 2017 (zit.: Roßnagel, DSGVO) Roßnagel, Alexander, Datenlöschung und Anonymisierung. Verhältnis der beiden Datenschutzinstrumente nach DS-GVO, ZD 2021, 188–192 Roßnagel, Alexander (Hrsg.), Beck’scher Kommentar zum Recht der Telemediendienste, 2013 Roth, Birgit/Schneider, Uwe K., IT-Sicherheit und Haftung, ITRB 2005, 19–22

XXII

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Säcker, Franz Jürgen (Hrsg.), Berliner Kommentar zum Energierecht, 4. Aufl. 2019 Säcker, Franz Jürgen/Rixecker, Roland/Oetker, Hartmut/Limperg, Bettina (Hrsg.), Münchener Kommentar zum Bürgerlichen Gesetzbuch (zit.: Bearbeiter in MüKoBGB) Sassenberg, Thomas/Faber, Tobias (Hrsg.), Rechtshandbuch Industrie 4.0 und Internet of Things. Praxisfragen und Perspektiven der digitalen Zukunft, 2. Aufl. 2020 Schallbruch, Martin, Die EU-Richtlinie über Netz- und Informationssicherheit: Anforderungen an digitale Dienste – Wie groß ist der Umsetzungsbedarf der NISRichtlinie in deutsches Recht im Bereich digitaler Dienste?, CR 2016, 663–670 Schantz, Peter, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841–1847 Scheurle, Klaus-Dieter/Mayen, Thomas (Hrsg.), Telekommunikationsgesetz: TKG, 3. Aufl. 2018 Schippel, Robert, Die Pflicht zur Bereitstellung von Aktualisierungen für digitale Produkte, K&R 2021, 151–153 Schlegel, Rainer/Voelzke, Thomas (Hrsg.), juris PraxisKommentar SGB V – Gesetzliche Krankenversicherung, 4. Aufl. 2020 Schneider, Florian, Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, 2017 Schneider, Jochen, Datenschutz nach der Datenschutzgrundverordnung, 2. Aufl. 2019 Schneider, Jochen (Hrsg.), Handbuch EDV-Recht, 5. Aufl. 2017 Schneider, Sven H./Schneider, Uwe H., Vorstandshaftung im Konzern, AG 2005, 57– 66 Schneider, Uwe H., Compliance im Konzern, NZG 2009, 1321–1326 Schneider, Uwe H./Schneider, Sven H., Konzern-Compliance als Aufgabe der Konzernleitung, ZIP 2007, 2061–2065 Scholtyssek, Swen/Judis, Christian Michael/Krause, Sven, Das neue Geschäftsgeheimnisgesetz – Risiken, Chancen und konkreter Handlungsbedarf für Unternehmen, CCZ 2020, 23–29 Schönke, Adolf/Schröder, Horst (Hrsg.), Strafgesetzbuch. Kommentar, 30. Aufl. 2019 Schröder, Georg F., Datenschutzrecht für die Praxis. Grundlagen, Datenschutzbeauftragte, Audit, Handbuch, Haftung etc., 4. Aufl. 2021 Schultze-Melling, Jyn, IT-Sicherheit in der anwaltlichen Beratung, CR 2005, 73–80 Schulz, Martin R. (Hrsg.), Compliance Management im Unternehmen. Erfolgsfaktoren und praktische Umsetzung, 2. Aufl. 2020 Schulze, Reiner u.a., Bürgerliches Gesetzbuch Handkommentar, 10. Aufl. 2019 Schürmann, Kathrin, Anonymisierung und Pseudonymisierung in der Praxis, DSB 2021, 49–51 Schuster, Fabian/Grützmacher, Malte (Hrsg.), IT-Recht. Kommentar, 2020 Schwark, Eberhard/Zimmer, Daniel (Hrsg.), Kapitalmarktrechts-Kommentar, 5. Aufl. 2020 Schwartmann, Rolf/Benedikt, Kristin/Reif, Yvette, Entwurf zum TTDSG: Für einen zeitgemäßen Online-Datenschutz?, MMR 2021, 99–102 Senge, Lothar (Hrsg.), Karlsruher Kommentar zum Gesetz über Ordnungswidrigkeiten, 5. Aufl. 2018

XXIII

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Simitis, Spiros/Hornung, Gerrit/Spiecker gen. Döhmann, Indra (Hrsg.), Datenschutzrecht DSGVO mit BDSG, 2019 Simon, Stefan/Merkelbach, Matthias, Organisationspflichten des Vorstands betreffend das Compliance-System – Der Neubürger-Fall, Kommentar zu LG München I v. 10.12.2013 – 5HK O 1387/10, AG 2014, 318–321 Sowa, Aleksandra, Meldepflichten für Sicherheitsvorfälle: Was gilt – was wird, PinG 2019, 213–217 Specht, Louisa/Mantz, Reto (Hrsg.), Handbuch Europäisches und deutsches Datenschutzrecht, 2019 Specht-Riemenschneider, Louisa/Buchner, Benedikt/Heinze, Christian/Thomsen, Oliver (Hrsg.), Festschrift für Jürgen Taeger. IT-Recht in Wissenschaft und Praxis, 2020 Spickhoff, Andreas (Hrsg.), Medizinrecht, 3. Aufl. 2018 Spies, Axel, Bruch der Datensicherheit: ein Albtraum, ZD 2015, 293–294 Spindler, Gerald, IT-Sicherheitsgesetz und zivilrechtliche Haftung – Auswirkungen des IT-Sicherheitsgesetzes im Zusammenspiel mit der endgültigen EU-NIS-Richtlinie auf die zivilrechtliche Haftung, CR 2016, 297–312 Spindler, Gerald, IT-Sicherheit und Produkthaftung – Sicherheitslücken, Pflichten der Hersteller und der Softwarenutzer, NJW 2004, 3145–3150 Spindler, Gerald, Compliance in der multinationalen Bankengruppe, WM 2008, 905– 918 Spindler, Gerald, Umsetzung der Richtlinie über digitale Inhalte in das BGB, MMR 2021, 451–457 Spindler, Gerald/Schmitz, Peter, Telemediengesetz: TMG mit Netzwerkdurchsetzungsgesetz (NetzDG). Kommentar, 2. Aufl. 2018 Spindler, Gerald/Schuster, Fabian (Hrsg.), Recht der elektronischen Medien, 4. Aufl. 2019 Spindler, Gerald/Stilz, Eberhard (Hrsg.), Kommentar zum Aktiengesetz, 4. Aufl. 2019 Spittka, Jan, Dürfen nicht betroffene Private bei Datenschutzverstößen klagen?, GRUR-Prax 2020, 384 Stollmann, Frank/Halbe, Bernd, Zukunftsprogramm Krankenhäuser – Krankenhauszukunftsfonds, MedR 2021, 785–795 Stradomsky, Christopher, KRITIS – Der Weg zum Audit. Im Leben eines Auditors – Ein Blick hinter die Kulissen, DuD 2021, 589–593 Stroscher, Jan-Philipp, Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) – Was gibt es Neues?, ZD-Aktuell 2021, 05222 Stroscher, Jan-Philipp, IT-Sicherheitsgesetz 2.0 – Was gibt’s Neues?, ZD-Aktuell 2021, 05098 Suwelack, Felix, Datenschutzrechtliche Vorgaben für Homeoffice und Remote Work, ZD 2020, 561–566 Sydow, Gernot (Hrsg.), Europäische Datenschutzgrundverordnung, 2. Aufl. 2018 Taeger, Jürgen/Gabel, Detlev (Hrsg.), DSGVO BDSG, 3. Aufl. 2019 Taeger, Jürgen/Pohle, Jan (Hrsg.), Computerrechts-Handbuch, 36. EL, 2021 Terhaag, Michael, IT-Sicherheitsgesetz – Auswirkungen, Entwicklung und Materialien für die Praxis, 2015

XXIV

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Thiel, Sandra/Nazari-Khanachayi, Arian, Digitalisierung aus gesellschaftsrechtlicher Perspektive, RDi 2021, 134–142 Thienemann, Werner, Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, CB 2021, 225–231 Thüsing, Gregor/Wurth, Gilbert (Hrsg.), Social Media im Betrieb. Arbeitsrecht und Compliance, 2. Aufl. 2020 Venn, Nikolai/Wybitul, Tim, Die bußgeldrechtliche Haftung von Unternehmen nach Art. 83 DS-GVO, NStZ 2021, 204–209 Voigt, Paul, Dauerbrenner IT-Sicherheit – Nun macht Brüssel Druck, MMR 2016, 429–430 Voigt, Paul, Die Anwendung des datenschutzrechtlichen Marktortprinzips auf Auftragsverarbeiter im Drittland, CR 2021, 307–313 Voigt, Paul, Neue Standardvertragsklauseln für internationale Datentransfers, CR 2021, 458–465 Voigt, Paul, Reform der europäischen NIS-Richtlinie – NIS 2.0, MMR-Aktuell 2021, 437048 Voigt, Paul, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, 2020 Voigt, Paul/Bussche, Axel Frhr. von dem, EU-Datenschutz-Grundverordnung (DSGVO) Praktikerhandbuch, 2018 Voigt, Paul/Gehrmann, Mareike, Die europäische NIS-Richtlinie – Neue Vorgaben zur Netz- und IT-Sicherheit, ZD 2016, 355–358 Voigt, Paul/Herrmann, Volker/Grabenschröer, Jan Felix, Das neue Geschäftsgeheimnisgesetz – praktische Hinweise zu Umsetzungsmaßnahmen für Unternehmen, BB 2019, 142–146 Westphalen, Friedrich Graf von/Thüsing, Gregor (Hrsg.), Vertragsrecht und AGBKlauselwerke, 46. EL, 2021 Wicker, Magda, Haftet der Cloud-Anbieter für Schäden beim Cloud-Nutzer? Relevante Haftungsfragen in der Cloud, MMR 2014, 715–718 Wilhelmi, Rüdiger, Beschränkung der Organhaftung und innerbetrieblicher Schadensausgleich, NZG 2017, 681–690 Wilsing, Hans-Ulrich/Ogorek, Markus, Kündigung des Geschäftsführer-Anstellungsvertrags wegen unterlassener Konzernkontrolle, NZG 2010, 216–217 Winter, Nico, Meldepflichten bei Cyberangriffen, CR 2020, 576–584 Woitke, Annika, Prüfgrundlagen nach § 8a. Welche Prüfgrundlagen gibt es und wer trifft die Entscheidung, welche zu nutzen ist?, DuD 2021, 584–588 Wolff, Heinrich Amadeus/Brink, Stefan (Hrsg.), BeckOK Datenschutzrecht, 37. Edition, Stand: 1.8.2021 Wybitul, Tim, E-Mail-Auswertung in der betrieblichen Praxis – Handlungsempfehlungen für Unternehmen, NJW 2014, 3605–3611 Wybitul, Tim, DS-GVO veröffentlicht – Was sind die neuen Anforderungen an die Unternehmen?, ZD 2016, 253–254 Wybitul, Tim/Draf, Oliver, Projektplanung und Umsetzung der EU-DatenschutzGrundverordnung im Unternehmen, BB 2016, 2101–2107 XXV

2021-11-22, 12:05, HB groß

Literaturverzeichnis

Ziemons, Hildegard/Jaeger, Carsten/Pöschke, Moritz (Hrsg.), BeckOK GmbHG, 49. Edition, Stand: 1.8.2021 Zöllner, Wolfgang/Noack, Ulrich (Hrsg.), Kölner Kommentar zum Aktiengesetz, Band 2/I, 3. Aufl. 2009 (zit.: Bearbeiter in KölnKomm-AktG)

XXVI

2021-11-22, 12:05, HB groß

Einleitung I. Einführung Informationstechnologie dominiert alle Unternehmensbereiche – von der Kommunikation bis hin zur Produktherstellung oder Buchhaltung. IT-Systeme ermöglichen aber nicht nur eine effizientere Organisation und Geschäftsabwicklung, sondern eröffnen gleichzeitig ein hohes Risikopotential. So ist die IT-Infrastruktur eines Unternehmens nicht nur Bedrohungen von außen, z.B. durch Viren oder gezielte CyberAngriffe ausgesetzt, sondern auch solchen von innen durch die Mitarbeiter des Unternehmens, z.B. durch Fehler im Umgang mit der Technik oder gar durch eine Mitnahme vertraulicher Dateien aus dem Unternehmen.1 Mit der zunehmenden Vernetzung von Gegenständen steigt auch im Machine-to-Machine-Bereich das Risikopotential. Schon heute kommen in Unternehmen viele Geräte zum Einsatz, die über Schnittstellen an das Internet oder Firmennetzwerk angeschlossen sind und automatisch kommunizieren. Diese übernehmen Bereiche, welche in der Vergangenheit weitestgehend der menschlichen Kommunikation vorbehalten waren.2 Die Sicherheit der eigenen IT-Systeme bildet aus diesen Gründen ein zentrales Thema für Unternehmen.

1

IT-Sicherheit beschreibt den Zustand der Sicherheit vor Gefahren oder Schäden aller Art im Hinblick auf die IT-Infrastruktur.3 Zur Umsetzung kommen verschiedene technische, organisatorische oder rechtliche Maßnahmen in Betracht. Dabei besteht nicht nur ein praktisches Bedürfnis nach IT- und Informationssicherheit4: ein möglichst hohes Sicherheitsniveau liegt im Eigeninteresse des Unternehmens, um die eigenen Geschäftsabläufe und Betriebsgeheimnisse zu schützen. Unternehmen, gleich welcher Branche, trifft überdies eine diesbezügliche Rechtspflicht. Der Umfang dieser Pflicht ist jedoch schwer zu erfassen. Ein „Recht der IT-Sicherheit“ im eigentlichen Sinn gibt es nicht.5 IT-Sicherheitspflichten ergeben sich aus Gesetzen diverser Rechtsgebiete. Dabei handelt es sich teilweise um branchenspezifische oder auf bestimmte Technologien bezogene Normen, so dass sich ein genereller Sicherheitsstandard nicht ohne weiteres identifizieren lässt.

2

1 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 1. 2 Grünwald/Nüßing, MMR 2015, 378, 378. 3 Roth/Schneider, ITRB 2005, 19, 19; Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 8. 4 Die Informationssicherheit umfasst den Schutz von Informationen unabhängig davon, ob sie in digitaler oder analoger Form vorgehalten werden, wohingegen die IT-Sicherheit als Teilaspekt der Informationssicherheit den Schutz der IT-Systeme und der digital vorgehaltenen Informationen umfasst. Die Ausführungen in diesem Buch berühren häufig die Informationssicherheit insgesamt, auch wenn die IT-Sicherheit in den Erörterungen im Fokus steht. 5 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 9.

1

2021-11-22, 12:01, HB groß

Einl. Rz. 3 | Einleitung 3

Der Gesetzgeber hat die Bedeutung hinreichender Sicherheitsstandards erkannt und wird auf diesem Gebiet sowohl auf Bundes- als auch auf Landesebene1 zunehmend tätig, zuletzt insbesondere durch die Verabschiedung des IT-Sicherheitsgesetzes 2.0.2 Teils durch neue Gesetze geschaffene Haftungsansprüche nehmen Unternehmen immer stärker in die Pflicht – ein Ende dieser gegenwärtigen Rechtsentwicklung ist nicht absehbar.3 Insbesondere die Rechtsetzung durch die Europäische Union spielt dabei eine wichtige Rolle. So stellte die Europäische Kommission gemeinsam mit dem Hohen Vertreter der EU für Außen- und Sicherheitspolitik im Dezember 2020 eine neue EU-Cybersicherheitsstrategie vor,4 mit der die kollektive Abwehrfähigkeit Europas gegen Cyberbedrohungen gestärkt werden soll. So sollen u.a. die NIS-Richtlinie überarbeitet und eine neue Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen verabschiedet werden. IT-Sicherheit bildet damit aus wirtschaftlicher wie rechtlicher Sicht ein zentrales Thema für Unternehmen.

II. Checkliste der wichtigsten IT-sicherheitsrechtlichen Pflichten 4

Dieses Handbuch schafft einen Überblick zum bestehenden Rechtsrahmen und legt das sich daraus ergebende Pflichtenprogramm aus Unternehmenssicht dar. Zu diesem Zweck enthält dieses Werk diverse übersichtsartige Zusammenfassungen („Das Wesentliche in Kürze“) sowie Umsetzungsvorschläge, Checklisten und Anwendungsbeispiele. Wenngleich der Fokus regelmäßig auf IT-Sicherheitspflichten liegt, werden häufig auch „allgemeine“ Informationssicherheitsvorgaben thematisiert.5 Die wesentlichen Pflichten lassen sich im Rahmen einer „Checkliste“ wie folgt systematisieren:

5 & Jedes Unternehmen treffen nach allgemeinen Rechtsvorschriften (überwiegend aus dem Handels- und Gesellschaftsrecht) grundlegende IT-Sicherheitspflichten, die insofern gewissermaßen den branchen- und sektorübergreifenden „IT-Sicherheits-Mindeststandard“ bilden (s. Rz. 9 ff.). Die Umsetzung der IT-Sicherheit im Unternehmen fällt dabei in den Verantwortungsbereich der Geschäftsleitung (s. Rz. 32 ff.). Es bestehen folgende grundlegende IT-Sicherheitspflichten:

– Pflicht zur Einhaltung der anwendbaren IT-sicherheitsrechtlichen Vorschriften, die insbesondere branchen- oder sektorspezifischer Natur sein können im Rahmen der IT-Compliance (s. Rz. 52 ff.);

1 Vgl. Gesetz für die Cybersicherheit in Baden-Württemberg (Cybersicherheitsgesetz – CSG) vom 4.2.2021, GBl. 2021, S. 182. 2 Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18.5.2021, BGBl. I S. 1122, 4304. 3 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 7. 4 Europäische Kommission, Joint Communication to the European Parliament and the Council, JOIN(2020) 18 final, abrufbar in englischer Sprache unter: https://digital-strategy. ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade-0, zuletzt aufgerufen am 29.10.2021. 5 Zur Abgrenzung s. die Fußnote 4 zu Rz. 2.

2

2021-11-22, 12:02, HB groß

II. Checkliste der wichtigsten IT-sicherheitsrechtlichen Pflichten | Rz. 7 Einl.

– Pflicht zur Einrichtung eines Systems zur Früherkennung und Überwachung bestandsgefährdender IT-Sicherheitsrisiken (s. Rz. 40 ff.); – Pflicht zur Überwachung und Steuerung aller IT-Sicherheitsrisiken (s. Rz. 53 ff.); zur praktischen Umsetzung empfiehlt sich in vielen Fällen die Einrichtung eines Informationssicherheitsmanagementsystems (s. Rz. 643 ff.); – eine EDV-gestützte Buchführung macht die Einrichtung eines „Internen Kontrollsystems“ mit Steuerungs- und Überwachungselementen erforderlich, um eine ordnungsgemäße Buchführung zu gewährleisten (s. Rz. 66 ff.); – zum Schutz eigener Geschäftsgeheimnisse müssen Unternehmen Informationssicherheitsvorkehrungen treffen, um dem Schutz des GeschGehG zu unterfallen (s. Rz. 144 ff.); – die unternehmerischen Informationssicherheitspflichten bilden bei Verträgen mit Dritten regelmäßig einen Bestandteil des vertraglichen Pflichtenprogramms (s. Rz. 97 ff.). & Nahezu alle Unternehmen verarbeiten auf irgendeine Weise personenbezogene

6

Daten (z.B. von Mitarbeitern und Kunden), so dass bei der Verarbeitung dieser Daten datenschutzrechtliche Informationssicherheitsvorgaben einzuhalten sind (s. Rz. 164 ff.): – Das Ergreifen technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten während ihrer Verarbeitung (s. Rz. 196 ff.); – das Umsetzen präventiver Datenschutzmaßnahmen im Vorfeld der Verarbeitung, indem neue Produkte und Dienste möglichst datenschutzfreundlich eingestellt werden (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen), (s. Rz. 206 ff.); – die Benennung eines Datenschutzbeauftragten (s. Rz. 217 ff.); – das Führen eines Verzeichnisses der Datenverarbeitungstätigkeiten zu Dokumentationszwecken (s. Rz. 214 f.); – die Durchführung einer Datenschutz-Folgenabschätzung zur Ermittlung des Schutzbedarfs bei risikoreichen Verarbeitungsvorgängen (s. Rz. 216); – das Ergreifen von (bspw. technischen) Maßnahmen zur Rechtfertigung von Drittlandtransfers (s. Rz. 210 ff.); – kommt es zu Datenschutzverletzungen, werden regelmäßig Meldepflichten des Unternehmens ausgelöst (s. Rz. 221 ff.). & Ergänzend dazu müssen Unternehmen zur Erreichung einer IT-Compliance auf

sie anwendbare branchen- und sektorspezifische IT-Sicherheitsvorgaben erfüllen. Diese erfordern regelmäßig die Erreichung eines erhöhten IT-Sicherheitsstandards: – Unternehmen, die als Versorgungsdienstleister in bestimmten Sektoren regelmäßig mehr als 500.000 Personen versorgen, unterfallen als KRITIS-Betreiber dem Pflichtenprogramm des BSIG (s. Rz. 253 ff.). Sie müssen: 3

2021-11-22, 12:02, HB groß

7

Einl. Rz. 7 | Einleitung

– sich als KRITIS-Betreiber registrieren und eine Kontaktstelle für das BSI einrichten; – angemessene technische und organisatorische Sicherheitsvorkehrungen zum Schutz der KRITIS-Anlagen treffen und dies regelmäßig nachweisen; – den Einsatz sog. „kritischer Komponenten“ gegenüber dem Bundesinnenministerium anzeigen; – erhebliche Störungen der IT-Systeme an das BSI melden. – Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Cloud-Computing-Diensten treffen als „Anbieter digitaler Dienste“ mit den vorbeschriebenen Pflichten vergleichbare, eigene Pflichten aus dem BSIG (s. Rz. 323 ff.). – Auch sog. Unternehmen im besonderen öffentlichen Interesse, die neben einigen Rüstungsherstellern und Chemie-Unternehmen u.a. auch solche Unternehmen umfassen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind, werden – im Verhältnis zu KRITIS-Betreibern abgeschwächten – IT-Sicherheitsvorgaben unterworfen und müssen sich u.a. beim BSI registrieren, eine Selbsterklärung über ihre IT-Sicherheit abgeben und bestimmte Störungen melden (s. Rz. 305). – Telemedienanbieter müssen gem. § 19 TTDSG technische und organisatorische Vorkehrungen treffen, um ihre Dienste u.a. gegen Störungen und unerlaubten Zugriff durch Dritte zu schützen (s. Rz. 362 ff.). – Unternehmen aus der TK-Branche müssen die im TKG vorgesehenen IT-Sicherheitspflichten erfüllen (s. Rz. 383 ff.), u.a.: – Ergreifen technischer und organisatorischer Vorkehrungen zur Verhinderung störungsbedingter Beeinträchtigungen der Dienste; – Benennung eines Telekommunikationssicherheitsbeauftragten; – Erstellung eines Sicherheitskonzepts; – Meldung von Beeinträchtigungen der Dienste und über Datenschutzverletzungen. – Unternehmen, die Gas-, Elektrizitäts-, Wasserstoff-, Übertragungsnetze oder Energieanlagen betreiben, müssen u.a. auf Grundlage des EnWG einen Katalog mit Sicherheitsanforderungen einhalten sowie bestimmte Störungen melden (s. Rz. 427 ff.). – Unternehmen, die Kernbrennstoffe aufbewahren oder verwenden, unterliegen IT-Sicherheitspflichten auf Grundlage des AtG. Eine Genehmigung zur Verfolgung entsprechender Wirtschaftstätigkeiten erfordert den Nachweis angemessener IT-Sicherheitsvorkehrungen. Genehmigungsinhaber müssen IT-Störungen unverzüglich melden (s. Rz. 443 ff.). – Versicherungsdienstleister sind zur Einführung eines allgemeinen Risikomanagementsystems auf Grundlage des VAG verpflichtet (s. Rz. 476 ff.). 4

2021-11-22, 12:02, HB groß

II. Checkliste der wichtigsten IT-sicherheitsrechtlichen Pflichten | Rz. 8 Einl.

– Kredit- und Finanzdienstleistungsinstitute müssen hohe IT-Sicherheitsvorkehrungen treffen. Dies umfasst u.a. (s. Rz. 485 ff.): – die Gewährleistung eines wirksamen Risikomanagements; – die Einführung eines angemessenen Notfallkonzepts für IT-Systeme; – das Vorhandensein einer angemessenen technisch-organisatorischen Ausstattung; – tätigkeitsbezogene IT-Sicherheitspflichten im Onlinezahlungsverkehr und bei der Erbringung von Wertpapierdienstleistungen. & Kommt es im Unternehmen zu IT-Sicherheitsdefiziten, droht stets ein erhebli-

ches Haftungsrisiko, wobei die Haftungsverhältnisse alle für entsprechende Defizite verantwortlichen Akteure und betroffenen Personen umfassen. Eine entsprechende Darstellung der Haftungsgrundlagen erfolgt in Rz. 508 ff. Während die Haftung innerhalb des Unternehmens letztlich die Geschäftsleitung trifft, droht bei Schäden Dritter durch IT-Sicherheitsdefizite überwiegend eine Inanspruchnahme des Unternehmens selbst. Die Verletzung auf das Unternehmen anwendbarer spezialgesetzlicher IT-Sicherheitsvorgaben führt regelmäßig zur Verwirklichung spezialgesetzlicher Ordnungswidrigkeiten mit entsprechenden Haftungsfolgen.

5

2021-11-22, 12:02, HB groß

8

2021-11-22, 12:02, HB groß

A. IT-Sicherheit in der Unternehmensorganisation I. Vorbemerkung Ein angemessener IT- und Informationssicherheitsstandard1 ist für Unternehmen von großer wirtschaftlicher Relevanz, sei es zur Verhinderung einer haftungsrechtlichen Inanspruchnahme oder zur Vermeidung von Absatzeinbußen. Software- und Hardware-Hersteller müssen die Sicherheit ihrer IT-Produkte gewährleisten. Dies erfordert einigen Aufwand. Die diesbezügliche Verantwortlichkeit, die aus einer Vielzahl an Rechtsgrundlagen hergeleitet wird, bspw. auf der Grundlage von Verträgen mit Dritten oder gar als wettbewerbsrechtliche Pflicht, liegt in unterschiedlich starkem Maße bei den verschiedenen Organen der Gesellschaft. Im Rahmen dieses Kapitels soll auf die informationssicherheitsrechtlichen Kernpflichten im Unternehmen auf Grundlage allgemeiner gesellschaftsrechtlicher Vorschriften eingegangen werden.

9

II. Bedeutung für Unternehmen Nur eine funktionierende IT ermöglicht einen reibungslosen Geschäftsablauf im Unternehmen. Viele Prozesse lassen sich heute ohne entsprechenden Technologieeinsatz nicht mehr oder nicht in effizienter Weise umsetzen, so dass eine sichere IT-Infrastruktur immer (auch) dem Selbstschutz des Unternehmens vor Geschäftsausfällen dient. Dieses Eigeninteresse tritt jedoch im Hinblick auf die zur Umsetzung erforderlichen finanziellen und zeitlichen Ressourcen häufig in den Hintergrund, was im schlimmsten Fall unternehmensbedrohlich werden kann. Informationssicherheit sollte damit ein Kernthema für Unternehmen bilden.

10

IT-Sicherheit wird über zwei verschiedene Instrumente erreicht: die Einhaltung verschiedener technischer und rechtlicher Standards, sog. IT-Compliance, und präventive Maßnahmen zur Verhinderung von Risiken in Bezug auf die eingesetzte IT.2 Während die Einhaltung technischer und rechtlicher Standards Unternehmen von „außen“, insbesondere durch den Gesetzgeber, auferlegt wird, müssen Präventionsmaßnahmen vom Unternehmen regelmäßig eigenständig ergriffen werden. Diese gewissermaßen „innere“ Pflicht zur IT-Sicherheit kann nur erfüllt werden, wenn Unternehmen IT als Risikofaktor begreifen3 und mittels einer Risikoanalyse geeignete Maßnahmen zur Prävention von Bedrohungen ergreifen.

11

1 Zum Verhältnis von IT- und Informationssicherheit vgl. Fußnote 4 zu Rz. 2. 2 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 8; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 36. 3 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 2.

7

2021-11-22, 12:02, HB groß

A. Rz. 12 | IT-Sicherheit in der Unternehmensorganisation

1. IT als Risikofaktor 12

Wie bereits eingangs erwähnt, bedeutet IT-Sicherheit die Sicherheit vor Gefahren oder Schäden im Hinblick auf die eingesetzte IT im Unternehmen. Unternehmen sind alltäglich verschiedenartigen Risiken ausgesetzt, die sich häufig auf die eine oder andere Weise auf den allgegenwärtigen Einsatz von IT zurückführen lassen.1

13

Beispiele für auf IT-Sicherheitslücken zurückzuführende Zwischenfälle: – Systembedingter Ausfall von Betriebsstätten; – Preisgabe vertraulicher Informationen an Dritte; – Installation von Viren oder Trojanern; – Malware im IT-System des Unternehmens.

14

IT-Sicherheit trägt entscheidend zur Gewährleistung praktisch aller Infrastrukturen und Prozesse im Unternehmen bei.2 Maßnahmen zur Risikoprävention sind somit für einen reibungslosen Geschäftsablauf unerlässlich. Zur Einschätzung der Bedrohungslage müssen Unternehmen eine Risikoanalyse durchführen. Dabei sind sowohl interne als auch externe Risiken zu berücksichtigen. a) Interne und externe Risiken

15

Viele Unternehmen unterschätzen interne Bedrohungen durch die eigenen Angestellten.3 In einer von Dell durchgeführten Studie gaben 72 % der befragten Arbeitnehmer an, dass sie unter gewissen Umständen bereit seien, sensible Unternehmensinformationen an Dritte weiterzugeben.4 Es ist keineswegs eine Seltenheit, dass Mitarbeiter, die ihren Arbeitsplatz verloren haben, vertrauliche Daten mitnehmen, sei es durch den Versand der Kundendatenbank des Unternehmens an das Postfach der privaten E-Mail-Adresse oder durch Mitnahme einer entsprechenden Kopie auf einem Datenträger.5 Ein nachlässiger Umgang des Unternehmens mit Passwörtern oder anderweitigen Zugangsbarrieren erleichtert ein solches Vorgehen. Die unfreiwillige Preisgabe von Informationen durch Mitarbeiter stellt eine weitere Herausforderung dar. Häufig werden sie durch Social-Engineering-Methoden zum unbewussten Werkzeug Dritter.6 Social-Engineering-Angriffe nutzen „soziale“ Komponenten

1 2 3 4

Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 1. Spindler, CR 2016, 297, 297. Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 1. Dell, End User Security Survey 2017, abrufbar unter: https://www.dell.com/learn/us/en/84/ learn_docs/dell-end-user-security-survey-2017.pdf, zuletzt aufgerufen am 29.10.2021. 5 Ponemon Institute, Data Loss Risks During Downsizing, 2009, abrufbar unter: http://me dia.techtarget.com/Syndication/NATIONALS/Data_Loss_Risks_During_Downsizing_Feb_ 23_2009.pdf, zuletzt aufgerufen am 29.10.2021; Conrad in Auer-Reinsdorff/Conrad, ITund Datenschutzrecht, § 33 Rz. 1. 6 BSI, Die Lage der IT-Sicherheit in Deutschland 2020, abrufbar unter: https://www.bsi.bund. de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.pdf, zuletzt aufgerufen am 29.10.2021. In einem Bericht der ENISA wird überdies darauf hingewiesen, dass 84 % der Cyber-Angriffe auf Social Engineering angewiesen sind, ENISA, Threat Landscape 2020 – Main Incidents, S. 9, abrufbar unter: https://www.enisa.europa.eu/publica tions/enisa-threat-landscape-2020-main-incidents, zuletzt aufgerufen am 29.10.2021.

8

2021-11-22, 12:02, HB groß

II. Bedeutung für Unternehmen | Rz. 17 A.

aus, um das Opfer dazu zu verleiten, ungewollt Handlungen im Sinne des Angreifers durchzuführen.1 Eine Abgrenzung interner und externer Risiken ist dadurch häufig nicht ohne weiteres möglich, da die Übergänge fließend sind.2 Dies wird am Beispiel von Viren deutlich, die über Anhänge von E-Mails extern ins Unternehmen geschleust, jedoch erst intern von Mitarbeitern geöffnet und auf diese Weise aktiviert werden.3 Entsprechende Gefahren werden ggf. durch die private Nutzung der Unternehmens-IT durch Angestellte begünstigt. Trotz des unternehmensinternen Risikopotentials überwiegt die praktische Relevanz externer Bedrohungen. Meistens sind Dritte Initiatoren und Nutznießer der Angriffe; sie können nachhaltigen Schaden anrichten. Das Internet wird immer häufiger von Dritten als Angriffsmittel auf Unternehmen genutzt. Laut einer Studie des Bitkom aus dem Jahr 2020 waren in den zwei vorangegangenen Jahren 75 % der befragten Unternehmen Opfer und weitere 13 % vermutlich Opfer von digitaler Wirtschaftsspionage, Sabotage und Datendiebstählen. Die Arten und Ziele dieser Angriffe sind vielfältig. So kommt es durch Malware oder Denial-of-Service-Attacken z.B. zu Beeinträchtigungen der Betriebsfähigkeit von Unternehmen, zur Erpressung von Zahlungen als Gegenleistung für die Einstellung von Cyber-Angriffen oder zum Ausspähen von Unternehmensdaten.4 Aber auch bei der Auswahl und Kontrolle externer Anbieter (auch nicht technischer Leistungen, wie z.B. Reinigungsfirmen) sollten Unternehmen Sorgfalt walten lassen, da diese in Einzelfällen Zugang zu Teilen der ITInfrastruktur und damit zu sicherheitsrelevanten Bereichen oder Informationen haben können.5

16

Vorfälle wie die globale Cyberattacke der WannaCry-Ransomware6, die sich auf über 150 Länder erstreckte und weitreichende Folgen für private Haushalte und öffentliche Einrichtungen mit sich brachte, bis hin zu Vorfällen wie dem tiefgreifenden Datendiebstahl von sensiblen Daten etwa 143 Millionen überwiegend amerikanischer Staatsbürger bei Equifax7 im Mai 2017, rücken die IT-Sicherheit zunehmend in den medialen Fokus und bestätigen, dass Informationssicherheit längst ein essentieller Bestandteil ordnungsgemäßer Unternehmensführung ist. Verdeutlicht wird dies auch durch eine Studie der CSIS und McAfee, die von weltweiten Verlusten i.H.v.

17

1 2 3 4

Sohr/Kemmerich in Kipker, Cybersecurity, Kapitel 2 Rz. 178. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 17 f. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 18. Bitkom, Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt, Studienbericht 2020, abrufbar unter: https://www.bitkom.org/sites/default/files/2020-02/ 200211_bitkom_studie_wirtschaftsschutz_2020_final.pdf, zuletzt aufgerufen am 29.10.2021; Mehrbrey/Schreibauer, MMR 2016, 75, 75; zu Funktionsweise und Bedrohung durch Botnetze s. Roos/Schumacher, MMR 2014, 377 ff. 5 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 19. 6 Kaspersky, Was ist die WannaCry-Ransomware?, abrufbar unter: https://www.kaspersky. de/resource-center/threats/ransomware-wannacry, zuletzt aufgerufen am 29.10.2021. 7 http://www.spiegel.de/netzwelt/netzpolitik/hackerangriff-auf-equifax-kriminelle-erbeuten-da ten-von-etwa-143-millionen-us-buergern-a-1166659.html, zuletzt aufgerufen am 29.10.2021.

9

2021-11-22, 12:02, HB groß

A. Rz. 17 | IT-Sicherheit in der Unternehmensorganisation

einer Billion US-Dollar pro Jahr durch Cyber-Angriffe und -Spionage ausgeht.1 Allein in Deutschland beläuft sich der jährliche Schaden schätzungsweise auf 102,9 Milliarden Euro.2 18

Neue technische Entwicklungen, wie Künstliche Intelligenz, Cloud Computing, Big Data und das Internet of Things, verstärken die Bedrohungslage weiter. Mit der Komplexität der IT-Infrastrukturen und -Systeme steigt auch deren Angreifbarkeit.3 Die IT-Sicherheit ist damit ein wichtiger Bestandteil des internen Risikomanagements zum Schutz der (insbesondere finanziellen) Ressourcen des Unternehmens. Eine ordnungsgemäße Unternehmensorganisation erfordert es, die mit dem IT-Einsatz zusammenhängenden Risiken zu analysieren und entsprechend auf diese zu reagieren.4 b) Risikoanalyse

19

Um IT-Risiken zu erkennen und Schäden zu verhindern, muss eine auf die konkrete Unternehmenssituation zugeschnittene Risikoanalyse durchgeführt werden.5 Dabei muss das Unternehmen die eingesetzte IT auf Schwachstellen hin überprüfen, wobei interne und externe Risiken Beachtung finden müssen. Die verschiedenen Unternehmensabteilungen sollten in diesen Evaluationsprozess einbezogen werden, wobei eine entsprechende Einschätzung mittels Workshops, spezieller Befragungen oder Selbsteinschätzungen durchgeführt werden sollte.6 Ein besonderes Augenmerk ist dabei auf die folgenden Aspekte zu legen7: – die im Unternehmen eingesetzte IT in Form von Firmencomputern, Hard- und Software, aber auch elektronischen Hilfsmitteln jeder Art, wie bspw. mobile Speichermedien, Smartphones oder andere mobile Endgeräte; – die Art und Weise der Wartung und/oder Modernisierung der IT bzw. des Geräteaustauschs; – die Zugriffsberechtigungen der verschiedenen Softwareanwender innerhalb und außerhalb des Unternehmens; – die vorhandenen Datenbestände und die Zugriffsbefugnisse im Hinblick auf diese Daten; – bestehende Sicherheitsvorkehrungen im Hinblick auf die IT (v.a. auch zur Datensicherung); – ggf. vorhandene IT-Sicherheitsrichtlinien im Unternehmen.

1 Malekos Smith/Lostri/Lewis, The Hidden Costs of Cybercrime, abrufbar unter: https:// www.mcafee.com/enterprise/en-us/assets/reports/rp-hidden-costs-of-cybercrime.pdf, zuletzt aufgerufen am 29.10.2021. 2 Deutscher Bundestag, Drucksache 19/21675, S. 1. 3 von Holleben/Menz, CR 2010, 63, 63. 4 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 2. 5 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 16. 6 S. auch Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 26 ff. 7 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 6 f.

10

2021-11-22, 12:02, HB groß

II. Bedeutung für Unternehmen | Rz. 22 A.

Ausgehend vom erarbeiteten Risikoinventar erfolgt eine Risikoanalyse und -bewertung.1 Klassische Ansatzpunkte sind dabei Eintrittswahrscheinlichkeit und drohendes Schadensausmaß.2 Es existieren diesbezüglich verschiedene Bewertungsmethoden, von denen diejenige auszuwählen ist, die im Hinblick auf Art und Größe des Unternehmens angemessen ist.3 So kann bspw. die IT-Grundschutz-Vorgehensweise des BSI zur Kategorisierung der Risiken Verwendung finden.4

20

Mit Hilfe der Risikoanalyse kann das Unternehmen ein individuelles IT-Sicherheitskonzept ausarbeiten, um auf Bedrohungslagen zu reagieren und Schäden zu verhindern. Dabei kann es sich u.a. um ein IT-Risikomanagementsystem und Betriebsrichtlinien handeln (s. Rz. 658 ff.). Ein angemessenes IT-Sicherheitskonzept ist zur Erfüllung der unternehmerischen IT-Sicherheitspflichten unerlässlich.

21

c) Typische Sicherheitsversäumnisse Eine Risikoanalyse kann nur mit erheblichem zeitlichen, personellen und damit finanziellen Aufwand durchgeführt werden.5 Allerdings haben sich (nahezu unabhängig von Unternehmensgröße und Branche) in den vergangenen Jahren typische Fehler und Versäumnisse beim IT-Einsatz herausgebildet, die Unternehmen im Rahmen der Risikoanalyse in jedem Fall berücksichtigen sollten:6 – unzureichende Informationssicherheitsstrategie: im Vergleich zu anderen Anforderungen hat Informationssicherheit häufig einen zu geringen Stellenwert im Unternehmen, so dass ein durchgängiges internes System zum IT-Risikomanagement häufig nicht oder nur unzureichend implementiert wird; – unzureichende Konfiguration von IT-Systemen: aus Zeitgründen wird bei der Einräumung von Zugriffsrechten unternehmensintern häufig nicht restriktiv genug vorgegangen; auch Softwareanwendungen werden aus diesem Grund nicht entsprechend dem konkreten Einsatz im Unternehmen konfiguriert; – unsichere Vernetzung und Internet-Anbindung: Schwachstellen in der Konfiguration der Internetverbindung sind nicht unüblich und ermöglichen Cyber-Angriffe durch Dritte;

1 Bitkom, IT-Risiko- und Chancenmanagement im Unternehmen, S. 20, abrufbar unter: https://www.bitkom.org/sites/default/files/file/import/060601-Bitkom-Leitfaden-IT-Risikoma nagement-V10-final.pdf, zuletzt aufgerufen am 29.10.2021. 2 Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 164 ff.; Bitkom, IT-Risiko- und Chancenmanagement im Unternehmen, S. 20. 3 Bitkom, IT-Risiko- und Chancenmanagement im Unternehmen, S. 21. 4 BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 104 ff., abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_ Standards/standard_200_2.pdf, zuletzt aufgerufen am 29.10.2021. 5 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 16. 6 BSI, IT-Grundschutz-Kompendium Edition 2021, abrufbar unter: https://www.bsi.bund. de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grund schutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html, zuletzt aufgerufen am 29.10.2021.

11

2021-11-22, 12:02, HB groß

22

A. Rz. 22 | IT-Sicherheit in der Unternehmensorganisation

– Nichtbeachtung von Sicherheitsrichtlinien und Vorgaben durch Mitarbeiter: entsprechende Schulungen können Mitarbeiter für Informationssicherheit sensibilisieren; – unzureichende Wartung der IT-Systeme; – sorgloser Umgang mit Passwörtern und Sicherheitsmechanismen; – mangelhafter Schutz vor Einbrechern und Elementarschäden. 2. IT-Compliance 23

Wie bereits dargelegt (s. Rz. 10 ff.), umfasst IT-Sicherheit nicht nur interne Maßnahmen zur Risikoprävention, sondern auch die Einhaltung rechtlicher Standards, was als „IT-Compliance“ bezeichnet wird. Dieser Begriff umschreibt die Einhaltung aller rechtlichen Anforderungen, die sich auf den Einsatz von IT beziehen.1 Die Umsetzung erfolgt über einen organisatorischen Compliance-Ansatz. Die gesetzlichen Vorgaben sollen Sicherheitsvorfälle verhindern, da diese u.U. erhebliche Nachteile mit sich bringen: Sie können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, beträchtliche finanzielle Verluste verursachen, das Vertrauen von Kunden untergraben und der Wirtschaft damit großen Schaden zufügen.2 Damit ist die Gewährleistung von IT-Sicherheit nicht nur aus betriebswirtschaftlicher Sicht angezeigt, sondern gleichzeitig Teil des Pflichtenprogramms eines jeden Unternehmens, dessen Nichtbeachtung neben empfindlichen Haftungsrisiken (s. Rz. 508 ff.) auch andere Nachteile (s. Rz. 27 ff.) mit sich bringt.

24

Ein branchenübergreifendes „Recht der IT-Sicherheit“ existiert als solches zwar nicht (s. Rz. 2). Der normative Rahmen der IT-Compliance ergibt sich jedoch aus einem Bündel ganz unterschiedlicher Vorschriften.3 Auf sektoraler Ebene ist dabei insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) zu berücksichtigen, welches Unternehmen, die wichtige Infrastruktur- und Versorgungsleistungen erbringen, zur Einhaltung von Mindest-Sicherheitsstandards verpflichtet. Diese rechtlichen Mindestvorgaben beziehen sich zwar nur auf bestimmte Branchen, schaffen aber zumindest im Rahmen ihres Anwendungsbereichs einen einheitlichen Rechtsrahmen. Außerhalb dieses Anwendungsbereichs ist für Unternehmen ihr Pflichtenprogramm aufgrund der bestehenden Rechtszersplitterung jedoch nur schwer zu erfassen. Auf Grundlage des vorhandenen Rechtsrahmens lassen sich die rechtlichen Anforderungen an die IT-Sicherheit grob wie folgt unterteilen:4 (1) Mittelbare Anforderungen: Dabei handelt es sich um allgemeine unternehmerische Sorgfalts- und Leitungspflichten, die mittelbar Anforderungen an den Ein-

1 Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 23; Lensdorf, CR 2007, 413, 413; Lensdorf/Steger, ITRB 2006, 206, 206. 2 S. auch ErwGr. 2 NIS-Richtlinie (EU) 2016/1148, ABl. L 194/1; ErwGr. 10 DSGVO. 3 Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 23. 4 S. zu dieser grundsätzlichen Aufteilung Lensdorf/Steger, ITRB 2006, 206, 206; Lensdorf, CR 2007, 413, 413 f.

12

2021-11-22, 12:02, HB groß

II. Bedeutung für Unternehmen | Rz. 28 A.

satz von IT stellen. Diese ergeben sich u.a. aus der grundsätzlichen Verantwortung der Unternehmensleitung für die Compliance (s. Rz. 32 ff.); (2) Unmittelbare Anforderungen: Diese Vorschriften beziehen sich ihrem Inhalt nach spezifisch auf den Einsatz von IT. Dazu gehören nicht nur Datenschutzvorschriften (s. Rz. 164 ff.), sondern auch branchen- und sektorspezifische Regelungen für bestimmte Unternehmen (s. Rz. 243 ff.). Für Unternehmen ergibt sich aus der Normenvielfalt ein umfassender Pflichtenkatalog, der aufgrund unterschiedlicher Anwendungsbereiche der Vorschriften immer im konkreten Fall bestimmt werden muss. Die Identifizierung der für die IT-Compliance relevanten Anforderungen stellt Unternehmen damit vor eine komplexe Aufgabe.1

25

Praxishinweis zum IT-Sicherheitsstandard im Unternehmen: Die gesellschafts-, handels- und zivilrechtlichen IT-Sicherheitspflichten finden auf Unternehmen aller Branchen Anwendung, so dass sie gewissermaßen den rechtlichen IT-SicherheitsMindeststandard bilden. Hinzu treten verstärkte IT-Sicherheitspflichten aus Spezialgesetzen wie dem BSIG oder dem KWG, die auf Unternehmen bestimmter Sektoren oder Branchen Anwendung finden.

26

3. Nachteile durch Sicherheitsdefizite Neben finanziellen Verlusten durch eine Inanspruchnahme für die Verletzung von ITSicherheitspflichten (s. Rz. 508 ff.) kann das Bekanntwerden von IT-Mängeln im Unternehmen zum Reputationsverlust gegenüber Kunden und Geschäftspartnern führen. Die Folgen einer entsprechenden negativen Außenwirkung sollten nicht unterschätzt werden. Die höchsten Kosten durch IT-Sicherheitsvorfälle entstehen für Unternehmen neben solchen für die Rechtsverfolgung vor allem durch Imageschäden.2 Deren Tragweite ist dabei kaum absehbar, da nicht nur das Vertrauen der konkret betroffenen Kunden beeinträchtigt wird.3 Schließlich erregen IT-Sicherheitsvorfälle in der Regel ein großes Aufsehen in der Öffentlichkeit. Daneben sehen insbesondere Datenschutzvorschriften eine Pflicht von Unternehmen zur Benachrichtigung betroffener Personen im Falle von Sicherheitsvorfällen vor (Art. 34 DSGVO, §§ 168 f. TKG; s. Rz. 227 ff. und Rz. 411 ff.). Unternehmen sollten daher entsprechende Vorfälle – unabhängig von einer dahingehenden Rechtspflicht – auch im Hinblick auf deren negative Außenwirkung in jedem Fall durch präventive Sicherheitsmaßnahmen vermeiden.

27

Daneben bringen IT-Sicherheitsvorfälle ggf. auch anderweitige Wettbewerbsnachteile für das Unternehmen mit sich. So können öffentlich bekannt gewordene IT-Sicherheitsdefizite zu einem Unterliegen in Ausschreibungen führen.4 Über Cyber-An-

28

1 Lensdorf, CR 2007, 413, 413. 2 Bitkom, Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt, Studienbericht 2020, S. 23. 3 Krupna, BB 2014, 2250, 2254. 4 Bitkom, Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt, Studienbericht 2020, S. 23.

13

2021-11-22, 12:02, HB groß

A. Rz. 28 | IT-Sicherheit in der Unternehmensorganisation

griffe könnten konkurrierende Unternehmen zudem Kenntnis von Betriebsgeheimnissen oder neuartigen Fertigungsmethoden gewinnen und versuchen, daraus entsprechende Vorteile zu ziehen.1 29

Überdies drohen Finanzierungsrisiken. Banken bewerten bei Unternehmen vor jeder Kreditentscheidung individuell deren Bonität auf Grundlage der Baseler Eigenkapitalvereinbarungen (Basel II und III). Ein solches Rating bewertet und gewichtet zwar Kreditrisiken, nicht unmittelbar die IT-Sicherheit.2 Allerdings ist ein relevantes Bewertungskriterium auch ein etwaiges Verlustrisiko, das aufgrund inadäquater oder fehlerhafter interner IT-gestützter Prozesse entsteht.3 Bestehen IT-Sicherheitsdefizite, wird das Unternehmen u.U. schlechter geratet und erhält weniger vorteilhafte Kreditkonditionen. Dadurch können Refinanzierungsprobleme entstehen.

30

Verletzt das Unternehmen durch unzureichende IT-Sicherheit ihm obliegende Sorgfaltspflichten, werden entstandene Schäden vom Versicherungsschutz unter Umständen nicht oder nur teilweise gedeckt. Zu einem vollständigen Entfallen der Versicherungsdeckung wird es eher seltener kommen (z.B. § 81 Abs. 1 VVG, vorsätzliche Herbeiführung des Versicherungsfalles).4 Weitaus häufiger werden Versicherungsunternehmen eine Kürzung der Versicherungsleistung vornehmen, wenn das Unternehmen übliche Sicherungsmaßnahmen, wie bspw. eine Datensicherung oder die Implementierung ausreichender Kontroll- und Erkennungssysteme, unterlassen hat.5

31

Die vielfältigen drohenden Nachteile durch Sicherheitsdefizite zeigen, dass die Einhaltung der IT-Sicherheitspflichten im Unternehmen einen hohen Stellenwert einnehmen muss. Die bestehenden Vorgaben zur IT-Compliance müssen daher im Hinblick auf das bestehende Risikopotential gewissenhaft umgesetzt werden.

III. IT-Sicherheitspflichten der Geschäftsleitung 32

Kapitalgesellschaften sind als juristische Personen des Privatrechts organisiert. Im Rechtsverkehr handeln ihre Gesellschaftsorgane für sie nach außen.6 Vor allem den jeweiligen Geschäftsführungsorganen obliegen daher die entscheidenden Pflichten zur Leitung der Gesellschaft und zur Einhaltung von Rechtspflichten, die die Gesellschaft treffen. Als Ausfluss dieser Leitungsaufgabe obliegt auch die Gewährleistung der IT-Sicherheit der Geschäftsleitung, was die Prävention von Risiken und die ITCompliance umfasst. 1 Bitkom, Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt, Studienbericht 2020, S. 23. 2 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 347 f. 3 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 346. 4 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 106; Lensdorf/Steger, ITRB 2006, 206, 209. 5 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 106 f.; Lensdorf/ Steger, ITRB 2006, 206, 209. 6 Dazu grundlegend Leuschner in MüKo-BGB, vor § 21 Rz. 1 ff.

14

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten der Geschäftsleitung | Rz. 35 A.

Die jeweils anwendbaren gesellschaftsrechtlichen Vorschriften konkretisieren den allgemeinen Pflichtenkreis der Gesellschaftsorgane und können daher auch zur Bestimmung des Umfangs der Pflicht zur IT-Sicherheit herangezogen werden. So lassen sich etwa aus den Pflichten zur Früherkennung von Risiken (s. Rz. 40 ff.) und den sonstigen Compliance-Pflichten der Geschäftsführung (s. Rz. 52 ff.) Vorgaben für die IT-Sicherheit ableiten.

33

1. Grundlagen der Verantwortlichkeit von Vorstand bzw. Geschäftsführung § 91 AktG – Organisation; Buchführung […] (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Als Ausprägung seines Rechts und seiner Pflicht zur Geschäftsleitung nach § 76 Abs. 1 AktG hat in der AG der Vorstand die Aufgabe, den Fortbestand des Unternehmens zu sichern.1 Dabei handelt es sich um einen allgemeinen, in § 91 Abs. 2 AktG normierten Risikoverteilungsgrundsatz.2 Die Vorschrift wurde vor gut 20 Jahren als Reaktion auf zahlreiche Unternehmenskrisen eingeführt.3 Der Vorstand muss unter Einrichtung eines Früherkennungs- und Überwachungssystems in der Lage sein, bestandsgefährdenden Krisen vorzubeugen.4 Bei derartigen Krisen kann es sich auch um durch IT-Sicherheitsverstöße ausgelöste Bedrohungen für das Unternehmen handeln.

34

Es besteht ausgehend von § 91 Abs. 2 AktG Einigkeit, dass die Erreichung und Aufrechterhaltung von IT-Sicherheit in der AG die Aufgabe des Vorstands ist.5 Der allgemein normierte Risikoverteilungsgrundsatz hat zudem eine „Ausstrahlungswirkung“ auf den Pflichtenkreis der Geschäftsführer anderer Gesellschaftsformen.6 Dies gilt insbesondere für die Geschäftsführer der GmbH.7 Die Ausstrahlungswirkung sollte jedoch auch bei anderen Kapitalgesellschaften gegeben sein.8 Damit ist die IT-Si-

35

1 2 3 4 5

Spindler in MüKo-AktG, § 76 Rz. 14 f. Koch in Hüffer/Koch, AktG, § 91 Rz. 1; Spindler in MüKo-AktG, § 91 Rz. 1. Spindler in MüKo-AktG, § 91 Rz. 1. Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 29. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 46; Conrad/ Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 39; Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 23; Lensdorf, CR 2007, 413, 414; von Holleben/Menz, CR 2010, 63, 63 ff. 6 Bundesrat, Drucksache 872/97, S. 37; Spindler in MüKo-AktG, § 91 Rz. 1; von Holleben/ Menz, CR 2010, 63, 63. 7 Spindler in MüKo-AktG, § 91 Rz. 80; Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 34; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 59; Conrad/ Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 77 ff.; Lensdorf, CR 2007, 413, 414. 8 Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 77; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 59 f.; Lensdorf, CR 2007,

15

2021-11-22, 12:02, HB groß

A. Rz. 35 | IT-Sicherheit in der Unternehmensorganisation

cherheit Aufgabe der Geschäftsleitung. Diese muss ihr allgemeines Auswahl- und Entschließungsermessen zur Risikoüberwachung an den Vorgaben des § 91 Abs. 2 AktG orientieren.1 Der Pflichtenumfang ist dabei jeweils von der Größe, Komplexität und Struktur des Unternehmens abhängig.2 Vor allem kleinen Unternehmen kann die Einrichtung umfassender Systeme zur Erkennung und Verhinderung von IT-Krisen nicht in gleichem Maße abverlangt werden wie großen Konzernen. a) Besonderheiten der Aktiengesellschaft 36

Bei Aktiengesellschaften sollte zusätzlich Beachtung finden, dass die Tätigkeit des Vorstands der Kontrolle durch den Aufsichtsrat unterworfen ist. Diesen trifft insoweit eine Überwachungspflicht nach § 111 Abs. 1 AktG. Damit obliegt die Erreichung und Einhaltung der IT-Sicherheit in der AG nachgelagert auch dem Aufsichtsrat.3 Bei bestehenden Defiziten muss er unter Anwendung geeigneter Maßnahmen und Sanktionen auf ein rechtmäßiges Verhalten des Vorstands hinwirken.4 b) Ressortverantwortlichkeit für IT-Sicherheit

37

In der Praxis werden einzelnen Mitgliedern des Vorstands bzw. der Geschäftsführung regelmäßig bestimmte Ressorts zugewiesen, so dass die Zuständigkeit für die IT-Sicherheit des Unternehmens letztlich ein einziges Mitglied der Geschäftsleitung trifft.5 Das Gesellschaftsrecht lässt im Interesse der Effektivität der Geschäftsführung eine solche Geschäftsverteilung zu.6

38

Diese interne Aufgabenverteilung führt allerdings nicht zur Abweichung von dem Grundsatz, dass die Gesamtverantwortung für IT-Sicherheit dem gesamten Vorstand bzw. der gesamten Geschäftsführung zukommt.7 Bei der Zuteilung von Ressortver-

1 2 3 4 5 6 7

413, 414. Wegen der expliziten Regelung der Bestandssicherungspflicht in § 91 Abs. 2 AktG für die AG lässt sich das Pflichtenprogramm des Vorstands auch im Bereich der Informationssicherheit dem Gesetz entnehmen. Aus diesem Grund beziehen sich die folgenden Abschnitte, die das Pflichtenprogramm der Geschäftsleitung in Bezug auf Informationssicherheit darlegen, zur klareren Darstellung auf die Regelungen des AktG. Spindler in MüKo-AktG, § 91 Rz. 28; Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 36. Spindler in MüKo-AktG, § 91 Rz. 28; vgl. Deutscher Bundestag, Drucksache 13/9712, S. 15; von Holleben/Menz, CR 2010, 63, 63; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 61. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 46; Grieger, WM 2021, 8, 16. Zu den verschiedenen zur Verfügung stehenden Mitteln und Sanktionen, s. Spindler in BeckOGK-AktG, 1.6.2021, § 111 Rz. 28 f.; Habersack in MüKo-AktG, § 111 Rz. 53. Spindler in MüKo-AktG, § 93 Rz. 169; Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 75. Spindler in MüKo-AktG, § 93 Rz. 169; Hölters in Hölters, AktG, § 93 Rz. 235 f.; zur GmbH Haas/Ziemons in Heidinger/Leible/Schmidt, GmbHG, § 43 Rz. 154. BGH, Urt. v. 8.7.1985 – II ZR 198/84, NJW 1986, 54, 55 = GmbHR 1986, 19; BGH, Urt. v. 26.6.1995 – II ZR 109/94, NJW 1995, 2850, 2850 f. = GmbHR 1995, 653; Haas/Ziemons in Heidinger/Leible/Schmidt, GmbHG, § 43 Rz. 153; Spindler in MüKo-AktG, § 93 Rz. 170.

16

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten der Geschäftsleitung | Rz. 40 A.

antwortlichkeiten wandelt sich lediglich die konkrete Pflicht der Geschäftsleitungsmitglieder im Hinblick auf andere Ressorts um. In dieser Konstellation sind die ressortfremden Mitglieder statt zur Vornahme von Geschäftsführungsmaßnahmen zur Überwachung des ressortverantwortlichen IT-Vorstands verpflichtet.1 Der konkrete Umfang der Überwachungspflicht ist einzelfallabhängig ausgehend von verschiedenen Faktoren zu bestimmen: so werden die Größe und der Gegenstand des Unternehmens, die Bedeutung der Geschäfte, die Art der übertragenen Aufgaben sowie die persönliche Befähigung des ressortverantwortlichen Geschäftsleitungsmitglieds, seine Erfahrung und Bewährung auf dem jeweiligen Gebiet ins Gewicht fallen.2 Auch wenn letztlich der gesamten Geschäftsleitung in unterschiedlicher Ausprägung die IT-Sicherheitspflicht obliegt, können sich über die Verteilung von Ressortverantwortlichkeiten für die nicht IT-zuständigen Geschäftsleitungsmitglieder Haftungserleichterungen ergeben (s. Rz. 523 ff.). In der Praxis bietet die Verteilung von Verantwortlichkeiten somit Vorteile.

39

2. Pflicht zur Früherkennung bestandsgefährdender Risiken § 91 AktG – Organisation; Buchführung […] (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

IT-Sicherheit umfasst Maßnahmen zur Prävention von sowohl internen als auch externen Risiken in Bezug auf die eingesetzte IT (s. Rz. 12 ff.). Wie soeben gezeigt, fällt die Pflicht zu Früherkennung und Verhinderung derartiger Krisen auf der Grundlage von § 91 Abs. 2 AktG in die Verantwortlichkeit des Vorstands bzw. der Geschäftsführung (s. Rz. 35 ff.). Dem Wortlaut der Vorschrift nach bezieht sich die Pflicht der Geschäftsleitung insbesondere auf die Einrichtung eines Überwachungssystems, um den Fortbestand der Gesellschaft gefährdende Entwicklungen früh zu erkennen. § 91 Abs. 2 AktG verknüpft damit ein Sicherheitsziel mit organisatorischen Grundanforderungen, wobei die Reichweite der erforderlichen Maßnahmen zur Risikoprävention nicht unumstritten ist.3

1 BGH, Urt. v. 6.11.2018 – II ZR 11/17 (KG), BGHZ 2020, 162 = NZG 2019, 225; BGH, Urt. v. 26.6.1995 – II ZR 109/94, NJW 1995, 2850, 2850 f. = GmbHR 1995, 653; Spindler in MüKo-AktG, § 93 Rz. 169; Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 76. 2 Hölters in Hölters, AktG, § 93 Rz. 236; Spindler in MüKo-AktG, § 93 Rz. 152. 3 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 30; Koch in Hüffer/Koch, AktG, § 91 Rz. 8 ff.; Spindler in MüKo-AktG, § 91 Rz. 29 ff.; Conrad/Streitz in Auer-Reinsdorff/Conrad, ITund Datenschutzrecht, § 33 Rz. 45 ff.; von Holleben/Menz, CR 2010, 63, 63 f.; Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 24.

17

2021-11-22, 12:02, HB groß

40

A. Rz. 41 | IT-Sicherheit in der Unternehmensorganisation

a) Geeignete Maßnahmen zur Früherkennung 41

Bei der Früherkennungspflicht handelt es sich um eine besondere Ausprägung der allgemeinen Geschäftsleitungspflicht, für eine ordnungsgemäße Organisation im Unternehmen zu sorgen.1 Damit ließe sie sich für den Vorstand der AG bereits aus der Leitungs- und Sorgfaltspflicht der §§ 76 Abs. 1, 93 Abs. 1 AktG ableiten.2 Die explizite Regelung des § 91 Abs. 2 AktG entfaltet eine entsprechende Ausstrahlung dieser Pflicht auf die Geschäftsleitungsorgane anderer Gesellschaftsformen.

42

Die Geschäftsleitung hat demnach interne Maßnahmen zu ergreifen, um bestandsgefährdende Entwicklungen frühzeitig zu erkennen. Darunter sind Risiken zu verstehen, die sich wesentlich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft auswirken können.3 Hinsichtlich des Risikopotentials kann als Anhaltspunkt dienen, ob die Situation das Insolvenzrisiko der Gesellschaft erheblich steigert oder hervorruft.4 Die Auslegung des unbestimmten Begriffes der „Bestandsgefährdung“ bereitet hierbei einige Schwierigkeiten. Aufgrund des regelmäßig allgegenwärtigen IT-Einsatzes, der praktisch alle Infrastrukturen und Prozesse im Unternehmen unterstützt, können Sicherheitsvorfälle durch Bedrohungen von innen und außen schnell ein hohes Risiko für Unternehmen bergen.

43

Beispiel für eine bestandsgefährdende Entwicklung: Über einen Cyber-Angriff verschaffen sich Hacker Zugang zum Swift-System, welches Banken nutzen, um untereinander Transaktionen abzuwickeln und Nachrichten auszutauschen. Sie veranlassen dann Geldüberweisungen zu Lasten einer mittelständischen Bank in Millionenhöhe. Auch wenn ein großer Teil der Überweisungen blockiert werden kann, erleidet die Bank erhebliche Verluste. Zudem wird der Vorfall in der Presse bekannt. In diesem Beispiel erleidet die mittelständische Bank, die dem Cyber-Angriff zum Opfer fiel, nicht nur erhebliche finanzielle Einbußen, sondern zugleich einen Reputationsverlust, der zum Verlust von Kunden führen kann. Die erheblichen Auswirkungen des IT-Sicherheitsvorfalls auf die Vermögens- und Ertragslage dürften als bestandsgefährdend einzustufen sein.

44

Beispiel für eine bestandsgefährdende Entwicklung: Ein Unternehmen betreibt eine Online-Plattform, die Kunden gegen Bereitstellung ihrer personenbezogenen Daten nutzen können. Das Unternehmen finanziert sich über Werbeeinnahmen auf der Plattform. Über einen öffentlichkeitswirksamen Cyber-Angriff erlangen Dritte Zugriff auf die Datenbank der Nutzerdaten und veröffentlichen diese. Infolge des Reputationsverlustes verliert das Unternehmen den überwiegenden Teil seines Kundenstamms. In diesem Beispiel verliert das Unternehmen seine Nutzer und damit seine Ertragsgrundlage. Da dadurch ein erhebliches Insolvenzrisiko ausgelöst wird, ist der IT-Sicherheitsvorfall als bestandsgefährdend zu bewerten.

1 Spindler in MüKo-AktG, § 91 Rz. 20. 2 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 29; Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 39. 3 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 32; Spindler in MüKo-AktG, § 91 Rz. 21; Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 23. 4 Koch in Hüffer/Koch, AktG, § 91 Rz. 6; Spindler in MüKo-AktG, § 91 Rz. 21 ff; Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 32.

18

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten der Geschäftsleitung | Rz. 47 A.

Die frühzeitige Erkennung bestandsgefährdender Entwicklungen erfordert, dass die Geschäftsleitung sie zu einem solchen Zeitpunkt identifiziert, zu dem noch geeignete Maßnahmen zur Sicherung des Fortbestands der Gesellschaft getroffen werden können.1 Das Unternehmen muss bestandsgefährdende IT-Sicherheitslücken also so frühzeitig erkennen, dass risikoreiche Entwicklungen noch verhindert werden können.2 Diesem Zweck soll nach § 91 Abs. 2 AktG insbesondere die Einrichtung eines Überwachungssystems dienen (s. sogleich unter Rz. 46 ff.).

45

b) Implementierung eines Früherkennungs- und Überwachungssystems … Dem Wortlaut des § 91 Abs. 2 AktG lässt sich nicht eindeutig entnehmen, worauf sich das einzurichtende „Überwachungssystem“ beziehen soll, so dass teilweise die Einrichtung eines umfassenden Risikomanagementsystems gefordert wird.3 Aus dem Regelungszusammenhang lässt sich allerdings erkennen, dass die Einrichtung eines zweistufigen Systems erforderlich wird, bestehend aus:

46

– dem Früherkennungssystem – und dem Überwachungssystem.4 Damit müssen organisatorische Maßnahmen nicht nur eine methodische und fortdauernde Risikoerkennung sicherstellen, sondern zugleich für die systematische Überwachung der erkannten Risiken Sorge tragen.5 Zur Risikofrüherkennung muss im Unternehmen ein entsprechendes Risikobewusstsein geschaffen und es müssen Risikofelder festgelegt werden, die zu bestandsgefährdenden Entwicklungen führen können, so dass eine Risikobewertung und Risikokommunikation stattfinden wird.6 Zur Überwachung des Funktionierens der Früherkennung müssen entsprechende Zuständigkeiten in den relevanten Unternehmensbereichen klar festgelegt und detaillierte interne Berichts- und Dokumentationspflichten vorgegeben werden.7 Die genaue Ausgestaltung der Maßnahmen wird nicht vorgeschrieben, sie muss jedoch jedenfalls nach Einschätzung der Geschäftsleitung angemessen sein.8 Der Vorstand muss über diese Systeme in der Lage sein, bestandsgefährdenden Krisen vorzubeugen (ausführlicher dazu Rz. 683 ff.).9

1 Deutscher Bundestag, Drucksache 13/9712, S. 15; Koch in Hüffer/Koch, AktG, § 91 Rz. 7; Spindler in MüKo-AktG, § 91 Rz. 27; Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 31. 2 Spindler in MüKo-AktG, § 91 Rz. 30. 3 So z.B. Berg, AG 2007, 271, 271; Preußner/Becker, NZG 2002, 846, 848; Koch in Hüffer/ Koch, AktG, § 91 Rz. 6 ff. m.w.N. 4 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 31 ff.; Koch in Hüffer/Koch, AktG, § 91 Rz. 8 f.; Spindler in MüKo-AktG, § 91 Rz. 29; im Grundsatz von Holleben/Menz, CR 2010, 63, 63 f.; Blasche, CCZ 2009, 62, 64. 5 von Holleben/Menz, CR 2010, 63, 64 dort Fn. 16. 6 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 31. 7 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 36; Koch in Hüffer/Koch, AktG, § 91 Rz. 10. 8 Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 23. 9 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 33.

19

2021-11-22, 12:02, HB groß

47

A. Rz. 48 | IT-Sicherheit in der Unternehmensorganisation 48

Rein rechtlich schreibt § 91 Abs. 2 AktG kein bestimmtes betriebswirtschaftliches Modell zur Risikofrüherkennung vor.1 Dennoch besteht in der praktischen Umsetzung der Vorgaben eine Unterscheidung zum allgemeinen Risikomanagementsystem (hierzu sogleich unter Rz. 49 ff.) letztlich meist nur terminologisch.2 Bereits aus betriebswirtschaftlicher Sicht dürfte die Einrichtung eines solchen Systems ab einer gewissen Unternehmensgröße angezeigt sein.3 In derartigen Fällen bildet das Früherkennungssystem für bestandsgefährdende Risiken nur einen Teilbestandteil des allgemeinen Risikomanagementsystems für alle Risiken. Die organisatorischen Vorgaben des § 91 Abs. 2 AktG stellen dann letztlich vielmehr Zielvorgaben für das Risikomanagementsystem dar. c) … als Bestandteil eines allgemeinen Risikomanagementsystems

49

Auch wenn sich eine generelle Pflicht zur Einführung eines allgemeinen Risikomanagementsystems aus § 91 Abs. 2 AktG nicht herleiten lässt, wird die Geschäftsleitung ihr Leitungsermessen häufig dennoch dahingehend ausüben, ein allgemeines Risikomanagementsystem im Unternehmen einzurichten. Teilweise wird die Geschäftsleitung auch aufgrund von anderen Rechtsvorschriften ohnehin zur Einrichtung eines spezifischen IT-Risikomanagementsystems verpflichtet sein, etwa auf der Grundlage von § 11 EnWG (s. Rz. 429 ff.).4 Dieses allgemeine Risikomanagementsystem ist nicht bloß auf bestandsgefährdende Risiken ausgerichtet, sondern besteht aus mehreren Komponenten und Funktionen, die dem proaktiven Umgang mit allen operationellen, finanziellen und strategischen Risiken eines Unternehmens dienen.5 Mögliche Risiken sind dabei alle unsicheren vermögensmindernden Ereignisse.6 Davon sind auch jegliche IT-Sicherheitsrisiken umfasst, da diesen zumeist ein hohes Schadenspotential anhaftet (s. Rz. 12 ff.). Besonderes Gewicht kommt häufig der Prävention gegen Ausfälle der in aller Regel vollständig von einer funktionierenden IT-Infrastruktur abhängigen Buchführungssysteme eines Unternehmens zu (s. Rz. 66 ff.).7

50

Da das allgemeine Risikomanagementsystem über die Bewältigung der bestandsgefährdenden Risiken i.S.d. § 91 Abs. 2 AktG hinausgeht und möglichst umfassend der Bewältigung aller Risiken dient, ist das nach § 91 Abs. 2 AktG erforderliche zweistufige Risikofrüherkennungssystem integraler Bestandteil dieses Systems.8

1 Spindler in MüKo-AktG, § 91 Rz. 28. 2 Spindler in MüKo-AktG, § 91 Rz. 30; Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 34 ff.; dahingehend auch von Holleben/Menz, CR 2010, 63, 64. 3 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 36; ähnlich Koch in Hüffer/Koch, AktG, § 91 Rz. 7; von Holleben/Menz, CR 2010, 63, 64. 4 Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 34, 42 ff.; teilweise wird § 91 Abs. 2 AktG derart interpretiert, dass dieser die Pflicht zur Einrichtung eines allgemeinen Risikomanagementsystems ohnehin umfasst. S. nur von Holleben/Menz, CR 2010, 63, 64; Berg, AG 2007, 271, 271; Preußner/Becker, NZG 2002, 846, 848 ff. 5 Arbeitskreis Externe und Interne Überwachung, 11.6.2010, DB 2010, 1245, 1245. 6 Arbeitskreis Externe und Interne Überwachung, 11.6.2010, DB 2010, 1245, 1245. 7 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 48. 8 Arbeitskreis Externe und Interne Überwachung, 11.6.2010, DB 2010, 1245, 1245.

20

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten der Geschäftsleitung | Rz. 53 A.

Die Einrichtung eines allgemeinen Risikomanagementsystems bildet einen Teilbereich der allgemeinen Leitungs- und Sorgfaltspflicht der Unternehmensleitung, vgl. §§ 76 Abs. 1, 93 Abs. 1 AktG, sog. Compliance (dazu sogleich unter Rz. 52 ff.), wonach die Geschäftsleitung dazu beitragen muss, etwaige Risiken frühzeitig zu individualisieren und zu minimieren.1

51

3. Weitere Compliance-Pflichten § 76 AktG – Leitung der Aktiengesellschaft (1) Der Vorstand hat unter eigener Verantwortung die Gesellschaft zu leiten. […]

Nach § 76 Abs. 1 AktG hat der Vorstand das Recht und die Pflicht, die Gesellschaft zu leiten.2 Dieser Prozess umfasst die strategische Führung des Unternehmens und mithin eine Fülle an Entscheidungen, wobei eine genaue Definition des Aufgabenspektrums nur schwer auszumachen ist.3 Anhaltspunkte werden dabei häufig in der betriebswirtschaftlichen Organisations- und Managementlehre gesucht.4

52

a) Compliance-Pflichten mit IT-Sicherheitsbezug Verschiedene dieser Leitungs- und Organisationsaufgaben weisen einen Bezug zur IT-Sicherheit auf. Dies betrifft insbesondere die Pflicht zur Compliance, die auch die Sicherstellung der IT-Sicherheit im Unternehmen umfasst und sich im Allgemeinen grob in folgende Teilbereiche untergliedern lässt:5 – die Pflicht, im Einklang mit der geltenden Rechtsordnung zu handeln: Diese in Bezug auf die EDV häufig mit dem Schlagwort „IT-Compliance“ umschriebene Legalitätspflicht (s. Rz. 23 ff.) erfordert die Einhaltung der rechtlichen Anforderungen, die sich auf den Einsatz von IT beziehen. Der Pflichtenkreis ergibt sich aus einer Vielzahl ganz unterschiedlicher Rechtsquellen, s. die Einzelheiten unter den Rz. 164 ff., Rz. 243 ff. und Rz. 361 ff.; – die Überwachungspflicht: die Geschäftsleitung muss Aufsichtsmaßnahmen ergreifen, um zu verhindern, dass die Gesellschaft Schäden erleidet.6 IT-Sicherheitsrisiken müssen daher möglichst frühzeitig erkannt werden. Wie diese Überwachung

1 Koch in Hüffer/Koch, AktG, § 76 Rz. 11; Kiethe, GmbHR 2007, 393, 394. 2 Dauner-Lieb in Henssler/Strohn, Gesellschaftsrecht, § 76 AktG Rz. 5 ff.; Spindler in MüKoAktG, § 76 Rz. 14 m.w.N.; Fleischer in BeckOGK-AktG, 1.6.2021, § 76 Rz. 10. 3 Weber in Hölters, AktG, § 76 Rz. 18 ff.; Spindler in MüKo-AktG, § 76 Rz. 15; Fleischer in BeckOGK-AktG, 1.6.2021, § 76 Rz. 15; ähnlich Koch in Hüffer/Koch, AktG, § 76 Rz. 9. 4 Spindler in MüKo-AktG, § 76 Rz. 15; Fleischer in BeckOGK-AktG, 1.6.2021, § 76 Rz. 15; Koch in Hüffer/Koch, AktG, § 76 Rz. 9. 5 Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 33; Koch in Hüffer/Koch, AktG, § 76 Rz. 11. 6 Koch, WM 2009, 1013, 1014; Koch in Hüffer/Koch, AktG, § 76 Rz. 11; Kiethe, GmbHR 2007, 393, 394.

21

2021-11-22, 12:02, HB groß

53

A. Rz. 53 | IT-Sicherheit in der Unternehmensorganisation

organisatorisch umgesetzt wird, liegt grundsätzlich im Ermessen der Geschäftsleitung.1 Wie bereits dargestellt, ist zu diesem Zweck allerdings häufig die Einrichtung eines allgemeinen Risikomanagementsystems angezeigt (s. Rz. 49)2; sowie – die Pflicht zur sorgfältigen Unternehmensführung im engeren Sinne: Es ist notwendiger Teil der ordnungsgemäßen Unternehmensführung, auf erkannte IT-Sicherheitsrisiken auch entsprechend zu reagieren, um Schäden der Gesellschaft zu verhindern.3 Welche Gegenmaßnahmen ergriffen werden, liegt im Entscheidungsermessen der Geschäftsleitung.4 b) Umsetzung durch die Geschäftsleitung 54

Die konkrete Umsetzung der Pflichten ist von der Einschätzung der Geschäftsleitung abhängig (s. auch Rz. 56 ff. zum anzuwendenden Sorgfaltsmaßstab und zum Ermessensspielraum). Es wird unterschiedlich beurteilt, wie weit die einzelnen Compliance-Pflichten reichen und ob sie sich derart standardisieren lassen, dass daraus allgemeine Verhaltensanforderungen und konkrete Strukturvorgaben gefolgert werden können.5 Hinsichtlich der konkreten Anforderungen an die Umsetzung sind jedenfalls die Art und Größe, die besondere Lage des Unternehmens sowie das Risikopotential der verfolgten Geschäftstätigkeiten zu berücksichtigen.6 Vor allem bei kleineren Unternehmen mit geringem Risikopotential können institutionalisierte Compliance-Strukturen von Gesetzes wegen nicht gefordert werden.7 Allerdings werden im Falle vermuteter Verstöße gegen die Organisations- und Leitungspflichten aus §§ 76, 93 AktG die getroffenen Maßnahmen unter Umständen an den herkömmlichen Praxisstandards gemessen, nach denen standardisierte Compliance-Strukturen in Form eines umfassenden Compliance-Systems üblich sind.8

55

Da die Compliance-Pflichten gesellschaftsschädigende Vorgänge verhindern sollen, dienen sie u.a. auch der Verhinderung von IT-Sicherheitsvorfällen.9 Es müssen sowohl präventive Maßnahmen, wie ein umfassendes IT-Sicherheitskonzept und regelmäßige interne Personalschulungen, als auch organisatorische Sicherheitsmaßnah-

1 Koch in Hüffer/Koch, AktG, § 76 Rz. 13 ff.; Fleischer in BeckOGK-AktG, 1.6.2021, § 76 Rz. 15. 2 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 48 ff.; Koch in Hüffer/Koch, AktG, § 76 Rz. 18 ff.; ähnlich von Holleben/Menz, CR 2010, 63, 66. 3 S. Koch in Hüffer/Koch, AktG, § 76 Rz. 18. 4 Koch in Hüffer/Koch, AktG, § 76 Rz. 13 ff.; auch Spindler in MüKo-AktG, § 91 Rz. 28; Koch in Hüffer/Koch, AktG, § 91 Rz. 7. 5 Aus der Vielzahl der Quellen beispielhaft Koch in Hüffer/Koch, AktG, § 76 Rz. 13; von Busekist/Hein, CCZ 2012, 41, 41 ff. und 86, 86 ff. 6 Deutscher Bundestag, Drucksache 13/9712, S. 15; Spindler in MüKo-AktG, § 91 Rz. 28; Koch in Hüffer/Koch, AktG, § 91 Rz. 7. 7 Koch in Hüffer/Koch, AktG, § 76 Rz. 15; von Busekist/Hein, CCZ 2012, 41, 43. 8 Koch in Hüffer/Koch, AktG, § 76 Rz. 15; Hölters in Hölters, AktG, § 93 Rz. 94; von Busekist/Hein, CCZ 2012, 41, 41 ff. 9 Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 37.

22

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten der Geschäftsleitung | Rz. 58 A.

men zur Einhaltung rechtlicher Vorgaben und zur Eindämmung erkannter Risiken getroffen werden.1 4. Umfang der Geschäftsleitungspflichten § 93 AktG – Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder (1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. […]

IT-Sicherheitspflichten ergeben sich für die Geschäftsleitung bereits aus ihrer Stellung als Organ der Gesellschaft in Bezug auf die Früherkennung bestandsgefährdender Risiken (s. Rz. 40 ff.) und die Compliance (s. Rz. 52 ff.). Der insbesondere für eine etwaige Haftung maßgebliche Umfang dieser Pflichten ist von zweierlei Faktoren abhängig. Zum einen muss die Geschäftsleitung bei der Umsetzung ihrer Pflichten einen gesetzlich vorgegebenen Sorgfaltsmaßstab anwenden, und zum anderen ergeben sich auch hinsichtlich des Ermessenspielraums der Geschäftsleitung Beschränkungen. Daraus folgt, dass die Geschäftsleitung dafür verantwortlich ist, ihre organschaftlichen IT-Sicherheitspflichten in einer bestimmten Weise umzusetzen.

56

a) Anzuwendender Sorgfaltsmaßstab § 93 Abs. 1 Satz 1 AktG legt fest, welchen Sorgfaltsmaßstab der Vorstand seinen unternehmerischen Entscheidungen zugrunde legen muss. Die im Fall einer Verletzung dieser Vorgabe drohende Haftung (s. Rz. 508 ff.) soll die Geschäftsleitung zur sorgfältigen Wahrnehmung ihrer Funktionen und zur Loyalität gegenüber der Gesellschaft anhalten.2 Den Verhaltensstandard für die Geschäftsleitung bildet „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“.

57

Ein einheitlicher Geschäftsleitertyp existiert als Maßstab nicht.3 Vielmehr beurteilt sich die anzuwendende Sorgfalt danach, wie sich ein Geschäftsleiter, der ein Unternehmen vergleichbarer Art und Größe unter eigener Verantwortung leitet, zu verhalten hat.4 Damit sind verschiedene Faktoren für die Bewertung maßgeblich: die Art und Größe des Unternehmens, die Zahl der Beschäftigten, die Konjunkturlage, das wirtschaftliche Umfeld und die Art der Geschäftsführungsmaßnahmen.5 Daraus ergibt sich, dass den Vorstand einer großen AG im Vergleich zum Geschäftsführer ei-

58

1 Zu den typischen Bestandteilen eines IT-Sicherheitskonzepts s. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 48 ff. 2 Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 6. 3 Spindler in MüKo-AktG, § 93 Rz. 25. 4 Spindler in MüKo-AktG, § 93 Rz. 25; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 55 ff.; Hölters in Hölters, AktG, § 93 Rz. 26. 5 Spindler in MüKo-AktG, § 93 Rz. 25; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 55; Hölters in Hölters, AktG, § 93 Rz. 26; Grieger, WM 2021, 8, 11.

23

2021-11-22, 12:02, HB groß

A. Rz. 58 | IT-Sicherheit in der Unternehmensorganisation

nes kleinen Unternehmens eine erhöhte Sorgfaltspflicht trifft.1 Im Hinblick auf Maßnahmen zur IT-Sicherheit spielen damit die Umstände des Einzelfalls bei der Beurteilung des Sorgfaltsmaßstabs eine wichtige Rolle, was sich insbesondere auf die Sensibilität der von Risiken betroffenen Daten, mögliche Schadensszenarien und die Möglichkeit sowie Kosten einer Schadensbeseitigung bezieht.2 Da der Datenbestand der Gesellschaft regelmäßig einen bedeutenden Unternehmenswert darstellt, je nach Branche und Geschäftsmodellen auch den bedeutendsten Wert, und da beim Verlust dieser Daten irreversible Schäden und empfindliche rechtliche Konsequenzen drohen können, sind die Anforderungen an die IT-Sicherheit regelmäßig hoch.3 59

Neben dem objektiven Sorgfaltsmaßstab finden auch spezielle Kenntnisse und Fähigkeiten der jeweiligen Geschäftsleitung Berücksichtigung.4 Dadurch wird, soweit vorhanden, insbesondere das IT-ressortverantwortliche Mitglied der Geschäftsleitung in die Pflicht genommen (s. Rz. 37 ff.). Nicht zuletzt erfolgt die Zuteilung von Ressortverantwortlichkeiten häufig gerade aus dem Grund, dass das jeweilige Geschäftsleitungsmitglied Spezialkenntnisse oder Fähigkeiten auf dem jeweiligen Gebiet besitzt.5 Für das Ressort der Informationssicherheit empfiehlt sich zudem die Benennung eines Chief Information Security Officer (CISO), welcher unterhalb der Geschäftsleitung als Ansprechpartner fungiert.6 Dadurch wird Kompetenz in die Unternehmensführung geholt, um den Herausforderungen der Digitalisierung zu entsprechen.7

60

Das IT-ressortverantwortliche Mitglied der Geschäftsleitung sollte interdisziplinäre Kenntnisse im Bereich der Informationssicherheit haben, um seine Aufgaben effektiv wahrnehmen zu können. Auch im Übrigen müssen alle Geschäftsleitungsmitglieder diejenigen Fähigkeiten und Kenntnisse besitzen, die zur Wahrnehmung der Geschäftsleitung erforderlich sind.8 Eine dahingehende Unfähigkeit zur Geschäftsführung kann Geschäftsleitungsmitglieder nicht aus ihrer organisatorischen Verantwortlichkeit entheben (vgl. Rz. 38).9

61

Beispiel zum Sorgfaltsmaßstab10: Ein Unternehmen führt seine Handelsbücher elektronisch. Bei der Erfassung der Handelsgeschäfte kommt es zur Aufzeichnung verschiedener Rechnungen. Allerdings werden trotz ent-

1 2 3 4

5 6 7 8 9 10

Spindler in MüKo-AktG, § 93 Rz. 25; Böttcher, NZG 2009, 1047, 1050. Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 50. Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 50. Hölters in Hölters, AktG, § 93 Rz. 27; Spindler in MüKo-AktG, § 93 Rz. 25; besondere subjektive Stärken sind aus Gründen des Verkehrs- und Vertrauensschutzes zu berücksichtigen: BGH, Urt. v. 9.1.1990 – VI ZR 103/89, NJW-RR 1990, 406 = MDR 1990, 612; Grundmann in MüKo-BGB, § 276 Rz. 56. Spindler in MüKo-AktG, § 93 Rz. 25. Habbe/Gergen, CCZ 2020, 281, 284. Thiel/Nazari-Khanachayi, RDi 2021, 134, 136 f. Spindler in MüKo-AktG, § 93 Rz. 25; Hölters in Hölters, AktG, § 93 Rz. 27; Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 136 f. Hölters in Hölters, AktG, § 93 Rz. 27 m.w.N. Angelehnt an OLG Jena, Urt. v. 12.8.2009 – 7 U 244/07, NZG 2010, 226, 226 ff. = GmbHR 2010, 483.

24

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten der Geschäftsleitung | Rz. 63 A. sprechender handels- und steuerrechtlicher Pflichten (s. Rz. 66 ff.) vollständige und inhaltlich richtige Belege über diese Zahlungen nicht erfasst. Dies ist dem Umstand geschuldet, dass es sich in Wirklichkeit um Scheinrechnungen handelt. Die Geschäftsleitung hat kein System zur Überwachung der ordnungsgemäßen Buchhaltung eingerichtet. Ein solches hätte es ermöglichen können, das Fehlen der in Rechnung gestellten Lieferungen und Leistungen unabhängig von etwaig formal ausgestellten Scheinrechnungen aufzudecken. Rechtlich ist im Rahmen der elektronischen Buchführung die Einrichtung eines Internen Kontrollsystems (IKS), welches auch eine Überwachung der Buchhaltung ermöglichen muss, vorgeschrieben. Ein ordentlicher und gewissenhafter Geschäftsleiter würde dieser Rechtspflicht nachkommen. Weil die Geschäftsleitung in diesem Beispiel kein Überwachungssystem eingerichtet hat, hat sie den auf ihre Entscheidungen anzuwendenden Sorgfaltsmaßstab verletzt.

b) Ermessensspielraum: Business Judgement Rule Hinsichtlich der unternehmerischen Leitungs- und Organisationsentscheidungen kommt der Geschäftsleitung ein erheblicher Ermessensspielraum zu. Dieser wird von der sog. Business Judgement Rule näher ausgeformt. Sie ist für den Vorstand der AG explizit in § 93 Abs. 1 Satz 2 AktG geregelt, findet nach der Rechtsprechungspraxis aber auch auf andere Gesellschaftsformen Anwendung und billigt der Geschäftsleitung einen breiten Handlungsspielraum zu.1 Übt die Geschäftsleitung ihr Ermessen entsprechend der Business Judgement Rule aus, ist ihre unternehmerische Entscheidung der gerichtlichen Prüfung entzogen, so dass ein haftungsrechtlicher „safe harbor“ entsteht.2 Nach § 93 Abs. 1 Satz 2 AktG liegt eine Pflichtverletzung nicht vor, wenn die Geschäftsleitung bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln.3

62

Entsprechend der unternehmerischen Eigenverantwortlichkeit der Geschäftsleitung und weil unternehmerische Entscheidungen Freiraum benötigen, um dynamischen Marktentwicklungen Rechnung tragen zu können, liegen die Leitungsentscheidungen im Ermessen der Geschäftsleitung.4 Unternehmerische Entscheidungen sind stets zukunftsgerichtet und beruhen auf Planungen und Prognosen, so dass ihnen stets ein Element der Unsicherheit anhaftet.5 Allerdings muss die Geschäftsleitung gemäß der Business Judgement Rule ihre unternehmerischen Entscheidungen auf der Grund-

63

1 BGH, Urt. v. 21.4.1997 – II ZR 175/95, NJW 1997, 1926, 1927 = AG 1997, 377; OLG Zweibrücken, Urt. v. 22.12.1998 – 8 U 98/98, NZG 1999, 506, 507; OLG Jena, Urt. v. 8.8.2000 – 8 U 1387/98, NZG 2001, 86, 87 = GmbHR 2001, 243; Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 12 f.; Ziemons/Pöschke in BeckOK-GmbHG, 49. Edition, 1.8.2021, § 43 Rz. 101 ff.; Hölters in Hölters, AktG, § 93 Rz. 29; Spindler in MüKo-AktG, § 93 Rz. 43 ff.; Grieger, WM 2021, 8, 12. 2 Spindler in MüKo-AktG, § 93 Rz. 44; Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 13; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 82; Wiesner in Münchner Hdb d. Gesellschaftsrechts, Band 4, § 25 Rz. 58. 3 Wiesner in Münchner Hdb d. Gesellschaftsrechts, Band 4, § 25 Rz. 59. 4 Spindler in MüKo-AktG, § 93 Rz. 44; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 77; Hölters in Hölters, AktG, § 93 Rz. 29. 5 Hölters in Hölters, AktG, § 93 Rz. 30; Spindler in MüKo-AktG, § 93 Rz. 43.

25

2021-11-22, 12:02, HB groß

A. Rz. 63 | IT-Sicherheit in der Unternehmensorganisation

lage angemessener Informationen treffen.1 Daher muss vor der Entscheidungsfindung eine entsprechende Informationsgrundlage geschaffen werden. Welche Informationen als „angemessen“ anzusehen sind, lässt sich nur anhand des konkreten Falles feststellen.2 Der Umfang der Informationsgrundlage hängt u.a. von der Art und Bedeutung der Entscheidungen, der für den Informationsgewinn zur Verfügung stehenden Zeit, anerkannten betriebswirtschaftlichen Verhaltensmaßstäben, den tatsächlichen und rechtlichen Möglichkeiten des Informationszugangs sowie dem Verhältnis von Informationsbeschaffungskosten und voraussichtlichem Informationsnutzen ab.3 Grundsätzlich muss die Geschäftsleitung alle vorhandenen Informationsquellen ausschöpfen.4 In Abhängigkeit von den zuvor beschriebenen Faktoren kann es ggf. zudem erforderlich sein, neue Informationsquellen zu erschließen oder Sachverständigengutachten einzuholen.5 64

65

Zur angemessenen Umsetzung ihrer IT-Sicherheitspflichten muss sich die Geschäftsleitung die mit der Nutzung der IT im Unternehmen verbundenen Gefahren vergegenwärtigen und auf der Grundlage dieser Informationen die Entscheidungen treffen, von denen sie ausgehen kann, dass sie dem Wohle des Unternehmens dienen.6 Damit bildet der Informationsgewinn über mögliche IT-Risiken ein Kernelement des allgemeinen Risikomanagementsystems.7 Die Unternehmensleitung muss daher den Ist-Zustand der eingesetzten IT erfassen, Risikopotentiale erkennen und eine Prognose bezüglich dieser Risiken vornehmen (s. Rz. 19 ff.).8 Erst auf Grundlage dieser Informationen kann sie ihre Entscheidungen in Bezug auf für die IT-Sicherheit erforderlichen Maßnahmen treffen. & Das Wesentliche in Kürze: Einrichtung und Aufrechterhaltung von IT-Sicherheit im Unternehmen fällt in den Aufgabenbereich der Geschäftsleitung (vgl. § 91 Abs. 2 AktG): – Praktische Umsetzung: Benennung eines IT-ressortverantwortlichen Geschäftsleitungsmitglieds, das von den anderen Mitgliedern überwacht wird. – Konkrete IT-Sicherheitsmaßnahmen beruhen auf unternehmerischer Entscheidung der Geschäftsleitung im Einzelfall.

1 Hölters in Hölters, AktG, § 93 Rz. 34 ff.; Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 32; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 89 f.; von Holleben/Menz, CR 2010, 63, 66. 2 Koch in Hüffer/Koch, AktG, § 93 Rz. 20; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 89 f. 3 Hölters in Hölters, AktG, § 93 Rz. 34; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 89; Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 33. 4 Spindler in MüKo-AktG, § 93 Rz. 55; Hölters in Hölters, AktG, § 93 Rz. 34; Binder, AG 2008, 274, 281; Fleischer, NJW 2009, 2337, 2339; Redeke, ZIP 2011, 59, 60; BGH, Beschl. v. 14.7.2007 – II ZR 202/07, NZG 2008, 705, 706 = GmbHR 2008, 1033. 5 Hölters in Hölters, AktG, § 93 Rz. 34; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 89; Spindler in MüKo-AktG, § 93 Rz. 48 ff. 6 Conrad/Streitz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 52. 7 von Holleben/Menz, CR 2010, 63, 66. 8 von Holleben/Menz, CR 2010, 63, 66; Spindler in MüKo-AktG, § 91 Rz. 20; ausführlich zu den geeigneten Maßnahmen zur Abwehr von Cyber-Angriffen: Grieger, WM 2021, 8, 12 ff.

26

2021-11-22, 12:02, HB groß

IV. Pflicht zur Buchführung | Rz. 67 A. Grundlegende gesellschaftsrechtliche IT-Sicherheitspflichten: – IT-Compliance = Einhaltung der anwendbaren IT-sicherheitsrechtlichen Vorschriften – Einrichtung eines Systems zur Früherkennung und Überwachung bestandsgefährdender (= existenzbedrohender) IT-Sicherheitsrisiken (vgl. § 91 Abs. 2 AktG) – Pflicht zur Überwachung und Steuerung aller IT-Risiken (vgl. § 93 AktG) fi praktische Umsetzung regelmäßig über Einrichtung eines allgemeinen (IT-)Risikomanagementsystems

IV. Pflicht zur Buchführung Jedes Unternehmen ist zum Führen von Handelsbüchern zum Zwecke der Rechnungslegung und als Grundlage zur Erstellung von Jahresabschlüssen verpflichtet, §§ 238 ff. HGB. Die Umsetzung dieser Aufgabe trifft die Geschäftsleitung des Unternehmens (vgl. §§ 91 Abs. 1 AktG, 41 Abs. 1 GmbHG) und wird heute in der Regel – innerhalb des zulässigen Umfangs – in Form einer elektronischen Buchführung erfüllt. Dabei sind die Rechnungslegungsvorschriften der §§ 238 ff. HGB und der Abgabenordnung zu berücksichtigen.

66

Bei der EDV-Buchführung muss sichergestellt sein, dass die Daten während der gesetzlichen Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können, §§ 239 Abs. 4 Satz 2 HGB, 146 Abs. 5 Satz 2 AO.1 Hintergrund dieser sog. Revisionssicherheit ist die Überprüfung und Überprüfbarkeit von Daten und Systemen durch die interne und ggf. externe Revision, wobei die betroffenen Daten über Sicherheitsvorkehrungen vor inhaltlichen Veränderungen geschützt werden müssen.2 Um eine solche Überprüfung zu ermöglichen, muss die Geschäftsleitung die Sicherheit der zu diesem Zweck eingesetzten IT gewährleisten. Umfang und Gegenstand dieser handels- und steuerrechtlichen IT-Sicherheitspflicht werden über die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 28. November 2019 (kurz: GoBD) konkretisiert.3 Mit den GoBD hat das Bundesfinanzministerium dargelegt, welche Vorgaben aus Sicht der Finanzverwaltung an IT-gestützte Prozesse zu stellen sind, um eine ordnungsgemäße Buchführung zu gewährleisten. Die Einhaltung dieser IT-Sicherheitspflicht muss in jedem Fall sichergestellt werden. Verstöße gegen die Aufbewahrungspflicht können

67

1 S. zu den gesetzlichen Aufbewahrungsfristen und dem Datenumfang Ballwieser in MüKoHGB, § 257 Rz. 3 ff. 2 Scheja/Quae/Conrad/Hausen in Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil IV, Kapitel 1, Rz. 57 ff. 3 Diese gelten für Veranlagungszeiträume, die nach dem 31.12.2019 beginnen. Für die Zeiträume davor mussten die GoBD (Schreiben vom 14.11.2014) bzw. die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und Prüfbarkeit digitaler Unterlagen (GDPdU) beachtet werden.

27

2021-11-22, 12:02, HB groß

A. Rz. 67 | IT-Sicherheit in der Unternehmensorganisation

zu einer Verweigerung des Bestätigungsvermerks durch externe Prüfer sowie zu Geldbußen und Freiheitsstrafen führen. Wesentliche Folgen können sein:1 – Schätzung der Besteuerungsgrundlage gem. § 162 AO, – Erlass von Zwangsmitteln nach § 328 AO zur Sicherstellung einer ordnungsgemäßen Buchführung, – Bußgelder von bis zu 50.000 Euro gem. §§ 377 ff. AO, § 26a UStG und § 334 HGB (bei kapitalmarktorientierten Unternehmen i.S.v. § 264d HGB i.V.m. § 2 Abs. 11 WpHG deutlich höher), – Entfall der Beweiskraft der Handelsbücher im Zivilprozess gem. §§ 258, 260 ZPO, – Haftung im Unternehmen (s. dazu Rz. 508 ff.), – Strafrechtliche Konsequenzen gem. §§ 283, 283a (Bankrott), § 283b (Verletzung der Buchführungspflicht), § 274 (Urkundenunterdrückung) StGB mit Freiheitsstrafe von bis zu 10 Jahren.2 1. Zulässiger Umfang elektronischer Buchführung 68

Nach § 239 Abs. 4 HGB ist die Führung der Handelsbücher auch elektronisch möglich, sofern die Grundsätze der ordnungsgemäßen Buchführung eingehalten werden. Für den zulässigen Umfang der elektronischen Buchführung sind die Anforderungen an die Erfüllung der Aufbewahrungspflicht für Unterlagen nach § 257 Abs. 3 HGB zu beachten. Diese Vorschrift ermöglicht zwar die Aufbewahrung von Unterlagen in elektronischer Form, allerdings sind die Eröffnungsbilanz, die Jahres- und die Konzernabschlüsse in Urschrift (mit Unterschrift und ggf. Bestätigungsvermerk oder Vermerk über dessen Versagung) aufzubewahren.3

69

Grundsätzlich sind Unterlagen in der Form (ausgedruckt oder elektronisch) aufzubewahren, in der sie entstanden oder eingegangen sind.4 Schließlich gibt nur das Original die inhaltliche und äußerliche Aufmachung einschließlich der Urheberschaft der Unterlagen im Handelsverkehr wieder.5 Das lässt sich an Handelsbriefen verdeutlichen: Werden Handelsbriefe zwar im Computer gespeichert, aber in Papierform mit Unterschrift verschickt, dann entspricht der gespeicherte Brief nicht mehr automatisch dem „Original“ in Papierform.6 Möchte man die Bücher also im zulässigen Umfang vollständig elektronisch führen, muss bei der Archivierung auf Bild- oder

1 Traut in BeckOGK-HGB, 1.10.2020, § 257 Rz. 46; Regierer in BeckOK-HGB, 33. Edition, 15.7.2021, § 257 Rz. 13 ff. 2 Melchior in Beck’sches Steuer- und Bilanzrechtslexikon, Aufbewahrungspflicht, Rz. 9. 3 Böcking/Gros in Ebenroth/Boujong/Joost/Strohn, HGB, § 257 Rz. 21. 4 Störk/Philipps in Beck‘scher Bilanz-Kommentar, § 257 HGB Rz. 23; Regierer in BeckOKHGB, 33. Edition, 15.7.2021, § 257 Rz. 10. 5 Regierer in BeckOK-HGB, 33. Edition, 15.7.2021, § 257 Rz. 10 m.w.N. 6 Regierer in BeckOK-HGB, 33. Edition, 15.7.2021, § 257 Rz. 10; Ballwieser in MüKo-HGB, § 257 Rz. 14 m.w.N.

28

2021-11-22, 12:02, HB groß

IV. Pflicht zur Buchführung | Rz. 71 A.

sonstigen Datenträgern die Übereinstimmung mit dem Original gewährleistet werden:1 – Für empfangene Handelsbriefe und Buchungsbelege wird grundsätzlich bildliche Übereinstimmung verlangt, damit die Urheberschaft der angebrachten Sicht-, Kontroll- und Bearbeitungsvermerke sowie von deren Inhalt festgestellt werden kann.2 – Für die übrigen Unterlagen genügt inhaltliche Übereinstimmung, d.h. Vollständigkeit und inhaltliche Richtigkeit der Wiedergaben.3 Werden diese Vorgaben beachtet, dürfen Originale nach ordnungsgemäßer Aufnahme bzw. Speicherung grundsätzlich vernichtet werden.4 Steuerrechtlich wird Unternehmen eine bestimmte Form für Bücher und Aufzeichnungen nicht vorgeschrieben.5 § 146 Abs. 5 AO eröffnet dem steuerpflichtigen Unternehmen somit ein Wahlrecht bzgl. der Aufzeichnungsform, etwa in elektronischer Form.6 Entscheidet sich das Unternehmen für eine elektronische Buchführung, sind die Grundsätze für die ordnungsgemäße Buchführung einzuhalten. Konkrete technische Mindeststandards werden jedoch auch durch die GoBD nicht vorgegeben. Die Ordnungsmäßigkeit der elektronischen Buchführung richtet sich nach einer vergleichenden Betrachtung mit der physischen Buchführung, z.B. durch einen Vergleich der Archivierung von Papierunterlagen mit der Speicherung von Daten.7 Die konkret zu ergreifenden Maßnahmen sind einzelfallbezogen entlang der Grundsätze der GoBD zu bestimmen (näher dazu Rz. 72).

70

2. Sicherungspflichtige Daten und IT-Systeme Die steuerrechtlichen und handelsrechtlichen Anforderungen an den Umfang der Buchführung entsprechen sich weitgehend. Hiernach sind zahlreiche Daten aufbewahrungspflichtig.8 Neben Handelsbüchern, (Jahres-)Abschlüssen und Lageberichten sowie den zur Aufstellung des Jahresabschlusses erforderlichen Buchungsbelegen sind auch entsprechende Arbeitsanweisungen und Organisationsunterlagen aufzubewahren, die Dritten die Überprüfung der Buchführung ermöglichen, so dass z.B. auch Kontenpläne und Systemdokumentationen betroffen sind.9 Auch der E-Mail-, Telefax- und anderweitige Kommunikationsfluss des Unternehmens muss in Teilen ar-

1 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 406; Böcking/Gros in Ebenroth/Boujong/Joost/Strohn, HGB, § 257 Rz. 22. 2 Störk/Philipps in Beck Bil-Komm, § 257 HGB Rz. 20; Böcking/Gros in Ebenroth/Boujong/ Joost/Strohn, HGB, § 257 Rz. 23 m.w.N. 3 Böcking/Gros in Ebenroth/Boujong/Joost/Strohn, HGB, § 257 Rz. 24 m.w.N. 4 Böcking/Gros in Ebenroth/Boujong/Joost/Strohn, HGB, § 257 Rz. 22. 5 Cöster in Koenig, AO, § 140 Rz. 8. 6 Rätke in Klein, AO, § 146 Rz. 106 m.w.N. 7 Rätke in Klein, AO, § 146 Rz. 106 m.w.N.; Matthes in BeckOK-AO, 17. Edition, 1.7.2021, § 146 Rz. 25. 8 Graf in MüKo-Bilanzrecht, § 257 HGB Rz. 1. 9 Graf in MüKo-Bilanzrecht, § 257 HGB Rz. 5, 12.

29

2021-11-22, 12:02, HB groß

71

A. Rz. 71 | IT-Sicherheit in der Unternehmensorganisation

chiviert werden.1 Von einer Aufbewahrungspflicht sind darüber hinaus jegliche Unterlagen betroffen, die zur Überprüfung einer Besteuerung erforderlich sind, was sich – abhängig vom jeweiligen Unternehmen – auch auf Kassenzettel oder Lohnstundenzettel beziehen kann.2 Da unzählige Daten aufbewahrungspflichtig sind, unterliegen auch viele IT-Systeme im Unternehmen der handels- und steuerrechtlichen IT-Sicherheitspflicht. Davon betroffen sind u.a. folgende Systeme3: – Finanz-, Lohn-, Anlagenbuchhaltung; – PC- und Registrier-Kassen; – Zahlungsverkehrssysteme; – Office-Programme für die Textverarbeitung, Tabellenkalkulation und den E-MailVerkehr; – Dokumentenmanagement-Systeme; – Zeiterfassungssysteme. 3. Anforderungen an die IT-Sicherheit der Buchführung 72

Die Anforderungen an die IT-gestützte Buchführung sollen die Verfügbarkeit der Informationen, deren Fälschungssicherheit und nachträgliche Unveränderbarkeit sicherstellen.4 Dabei sind u.a. folgende Grundsätze einzuhalten: – Nachvollziehbarkeit und Nachprüfbarkeit: Die Buchführung muss einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und die Lage des Unternehmens ermöglichen, weshalb die Geschäftsvorfälle aufgezeichnet und durch Belege nachgewiesen werden müssen.5 – Vollständigkeit: Alle Geschäftsvorfälle sind vollzählig und lückenlos aufzuzeichnen, wenngleich dies nur im Rahmen der Zumutbarkeit und Praktikabilität zu erfolgen hat.6 Beispiel für Zumutbarkeit und Praktikabilität: In einem Einzelhandelsgeschäft kommt zulässigerweise eine PC-Kasse ohne Kundenverwaltung zum Einsatz. Dass die Namen der Kunden bei Bargeschäften nicht erfasst und beigestellt werden, ist nicht zu beanstanden, da dies weder praktikabel noch zumutbar ist.

– Richtigkeit: Die Geschäftsvorfälle müssen inhaltlich zutreffend durch Belege abgebildet werden.7

1 Ballwieser in MüKo-HGB, § 257 Rz. 3 ff.; Graf in MüKo-Bilanzrecht, § 257 HGB Rz. 13. 2 Graf in MüKo-Bilanzrecht, § 257 HGB Rz. 15; Rätke in Klein, AO, § 147 Rz. 27. 3 S. Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 405 für eine ausführlichere Aufzählung. 4 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 404. 5 Bundesministerium der Finanzen, GoBD-Schreiben vom 28.11.2019, S. 10, 35. 6 Bundesministerium der Finanzen, GoBD-Schreiben vom 28.11.2019, S. 10. 7 Bundesministerium der Finanzen, GoBD-Schreiben vom 28.11.2019, S. 12.

30

2021-11-22, 12:02, HB groß

IV. Pflicht zur Buchführung | Rz. 75 A.

– Zeitgerechte Buchungen und Aufzeichnungen: Die Geschäftsvorfälle sind zeitgerecht zu erfassen, was bei einer elektronischen Buchführung unmittelbar erfolgen muss, da dies zumutbar und praktikabel sein sollte.1 – Ordnung: Der Grundsatz der Klarheit verlangt u.a. eine systematische Erfassung und übersichtliche, eindeutige und nachvollziehbare Buchungen.2 – Unveränderbarkeit: Die erfassten Daten dürfen nicht nachträglich so veränderbar sein, dass ihr ursprünglicher Inhalt nicht mehr feststellbar ist. Aus diesem Grund sind Veränderungen und Löschungen von und an elektronischen Buchungen oder Aufzeichnungen entsprechend zu protokollieren.3 4. Umsetzung der Anforderungen: Internes Kontrollsystem Die Umsetzung dieser Anforderungen an die zur Buchhaltung eingesetzte IT erfordert die Einrichtung eines Internen Kontrollsystems (IKS), welches die dauerhafte Einhaltung der Anforderungen absichert.4 Dieses besteht aus zwei Elementen:5

73

(1) Internes Steuerungssystem: Dieses sieht Maßnahmen zur Steuerung der Unternehmensaktivitäten vor und stellt auf diese Weise die ordnungsgemäße Erfassung von Geschäftsvorfällen und die Einhaltung der weiteren Buchhaltungsgrundsätze sicher. Es gewährleistet nicht nur den reibungslosen Arbeitsablauf der Buchhaltung, sondern auch aller rechnungslegungsrelevanten Bereiche der Unternehmensorganisation. (2) Internes Überwachungssystem: Dieses stellt die Nachhaltigkeit der internen Steuerung über prozessintegrierte und prozessunabhängige Überwachungsmaßnahmen sicher. Beispiele für Überwachungsmaßnahmen: – EDV-Zugangs- und Zugriffsberechtigungskontrollen – Vier-Augen-Prinzip – Funktionstrennungen – Erfassungskontrollen (Fehlerhinweise, Prüfung der Plausibilität der Erfassungen) – Schutzmaßnahmen gegen die Verfälschung von Programmen, Daten und Dokumenten

74

Die Implementierung eines IKS ist zur Gewährleistung der Ordnungsmäßigkeit und Verlässlichkeit des Rechnungswesens unerlässlich.6 Art und Umfang des Systems sind von der Komplexität des Unternehmens, dessen Organisationsstruktur, der Diversifikation der Geschäftstätigkeiten und der eingesetzten IT abhängig.7

75

1 2 3 4 5

Bundesministerium der Finanzen, GoBD-Schreiben vom 28.11.2019, S. 12. Bundesministerium der Finanzen, GoBD-Schreiben vom 28.11.2019, S. 14. Bundesministerium der Finanzen, GoBD-Schreiben vom 28.11.2019, S. 15, 26. Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 404. Für die folgenden Ausführungen s. Deussen in BeckOK-GmbHG, 49. Edition, 1.8.2021, § 41 Rz. 11 ff. 6 Deussen in BeckOK-GmbHG, 49. Edition, 1.8.2021, § 41 Rz. 13. 7 Bundesministerium der Finanzen, GoBD-Schreiben vom 28.11.2019, S. 25; Deussen in BeckOK-GmbHG, 49. Edition, 1.8.2021, § 41 Rz. 13.

31

2021-11-22, 12:02, HB groß

A. Rz. 76 | IT-Sicherheit in der Unternehmensorganisation

5. Besonderheiten für an der US-Börse notierte Unternehmen 76

Die Pflichten zur ordnungsgemäßen elektronischen Buchführung treffen in verstärkter Ausprägung deutsche Unternehmen, die an der US-Börse notiert sind. Die Grundlage dafür bildet überwiegend der amerikanische Sarbanes-Oxley Act (SOX) aus dem Jahr 2002, der auf diese Unternehmen Anwendung findet und in diesem Zusammenhang eine Vielzahl von Vorgaben im „Compliance“-Bereich stellt.1 Die Vorschriften sind eine Konsequenz zahlreicher Bilanzskandale von US-Firmen um die Jahrtausendwende und sollen das Vertrauen von Anlegern in die Korrektheit der veröffentlichen Unternehmensfinanzdaten sichern.2 Der Anwendbarkeit des SOX unterfallen sowohl deutsche Unternehmen, deren Aktien an der US-Börse gehandelt werden, als auch deutsche Unternehmen, deren Konzernmutter an der US-Börse notiert ist.3

77

Die wohl bedeutendste IT-sicherheitsrechtliche Vorschrift bildet Sec. 404 SOX, die Unternehmen zur Einrichtung eines effektiven IKS zur Sicherstellung einer funktionsfähigen Finanzberichterstattung an die amerikanische Börsenaufsichtsbehörde (United States Securities and Exchange Commission) verpflichtet. Jeder Bericht an die Aufsichtsbehörde muss Informationen über das Rahmenkonzept des Kontrollsystems und eine Eigenbewertung zu dessen Effektivität enthalten.4 Während dieser Report von US-Unternehmen vierteljährlich abgegeben werden muss, sind ausländische und damit auch deutsche Unternehmen nur einmal im Jahr dazu verpflichtet.5 Diese besonderen Finanzberichterstattungspflichten sind bei der steuer- und handelsrechtlichen Pflicht zur Einführung eines IKS zu berücksichtigen.

78

Darüber hinaus verlangt Sec. 302 SOX vom Vorstand des Unternehmens die Abgabe einer Erklärung, in der er seine Kenntnis aller rechnungslegungsbezogenen Informationen bestätigt, was sich auch auf die Funktionsweise des IKS bezieht.6 Falsche Erklärungen, die wissentlich oder vorsätzlich abgegeben wurden, werden mit Geldbußen bis zu einer Höhe von 5 Mio. US-Dollar sowie Freiheitsstrafen von bis zu 20 Jahren sanktioniert.

79

& Das Wesentliche in Kürze: Buchführung kann im Unternehmen weitestgehend IT-basiert erfolgen (§§ 239 Abs. 4, 257 Abs. 3 HGB, § 146 Abs. 5 AO) unter Berücksichtigung folgender Besonderheiten: – Für Eröffnungsbilanz, Jahres- und Konzernabschlüsse ist die Urschrift aufzubewahren.

1 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 324. 2 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 324; Obermayr in Hauschka/Mossmayer/Lösler, Corporate Compliance, § 44 Rz. 111; etwa Meldung http://www.spiegel.de/wirtschaft/bilanzskandal-bei-worldcom-schlimmer-als-enrona-202626.html, zuletzt aufgerufen am 29.10.2021. 3 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 325. 4 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 326 ff. 5 Hütten/Stromann, BB 2003, 2223, 2225; Frank-Fahle, IWRZ 2020, 58, 62. 6 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 328.

32

2021-11-22, 12:02, HB groß

V. Rechtslage im Konzern | Rz. 81 A. – Handelsbriefe und Buchungsbelege müssen in elektronischer Form bildlich mit Papieroriginal übereinstimmen. Nach den GoBD sind folgende IT-Sicherheitsziele bzgl. der Unterlagen einzuhalten: Nachvollziehbarkeit, Nachprüfbarkeit, Vollständigkeit, Richtigkeit, zeitgerechte Buchungen und Aufzeichnungen, Ordnung sowie Unveränderbarkeit. Die Umsetzung dieser Grundsätze wird über ein Internes Kontrollsystem mit Steuerungs(sichere Erfassung und Aufbewahrung der Informationen) und Überwachungselementen (Kontrolle der IT-Sicherheit) gewährleistet. Für an der US-Börse notierte deutsche Unternehmen gilt eine Besonderheit: Die Effektivität des Internen Kontrollsystems ist jährlich gegenüber der amerikanischen Börsenaufsichtsbehörde nachzuweisen (Sec. 404 SOX).

V. Rechtslage im Konzern In der Praxis sind die meisten Gesellschaften nicht uneingeschränkt selbstständig, sondern in eine Konzernstruktur eingegliedert.1 Konzerne bestehen aus mehreren rechtlich selbstständigen Unternehmen, davon ein herrschendes Unternehmen und mehrere beherrschte Unternehmen, unter einheitlicher Leitung des herrschenden Unternehmens, vgl. § 18 Abs. 1 AktG. Seit einigen Jahren verstärkt sich die Diskussion über eine konzernweite Compliance-Pflicht, die in die Verantwortlichkeit des Mutterunternehmens fällt.2 Diese wird in der Rechtswissenschaft überwiegend, aber mit unterschiedlichen Begründungen, befürwortet.3 Die Schaffung einer umfassenden konzernweiten Compliance-Struktur dürfte aus Praktikabilitätsgründen angezeigt sein, muss rechtlich aber lediglich in Form konzernweiter Überwachungsmaßnahmen umgesetzt werden.

80

1. Konzernweite Compliance-Pflicht Die Geschäftsleitung des Mutterunternehmens hat für eine ordnungsgemäße, konzernweite Compliance-Organisation zu sorgen.4 Dazu gehört die Verabschiedung einheitlicher Konzernrichtlinien und die Schaffung einheitlicher Compliance-Struk-

1 Koch, WM 2009, 1013, 1013 dort Fn. 4. 2 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 102; Koch, WM 2009, 1013, 1013; Fleischer, CCZ 2008, 1, 4 ff.; Schneider/Schneider, ZIP 2007, 2061, 2061 ff.; Bürkle, BB 2007, 1797, 1798 f.; Koch in Hüffer/Koch, AktG, § 76 Rz. 20 f. 3 Bicker, AG 2012, 542, 548; Bürkle, BB 2007, 1797, 1798 f.; Fleischer, CCZ 2008, 1, 5; Lösler, NZG 2005, 104, 105 ff.; Schneider, NZG 2009, 1321, 1323 ff.; Schneider/Schneider, ZIP 2007, 2061, 2064 f.; enger Koch in Hüffer/Koch, AktG, § 76 Rz. 21 ff.; Koch, WM 2009, 1013, 1015 ff.; Spindler in MüKo-AktG, § 76 Rz. 46; Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 70. 4 Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36 Rz. 82 ff.; Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 70; Kort, NZG 2008, 81, 84; Schneider/Schneider, AG 2005, 57, 59; Simon/Merkelbach, AG 2014, 318, 319.

33

2021-11-22, 12:02, HB groß

81

A. Rz. 81 | IT-Sicherheit in der Unternehmensorganisation

turen (s. auch Rz. 54 f.).1 Die konkrete Ausgestaltung liegt im Ermessen der Geschäftsleitung des Mutterunternehmens (s. Rz. 56 ff.), wobei sich allgemein verbindliche Leitlinien noch weniger herausbilden lassen als für die einzelne Gesellschaft.2 82

In der Praxis ist die IT-Prozess- und Systemlandschaft im Konzern in der Regel gesellschaftsübergreifend konzipiert und damit zentralisiert. Dies birgt nicht nur die Vorteile einer vereinfachten globalen Interaktion, sondern schafft zugleich ein erhöhtes Risikopotential. Cyber-Angriffe auf die zentralisierten IT-Systeme können gesellschaftsübergreifende Schäden auslösen. Die konzernweite Compliance-Organisation muss daher auf die besonderen Gegebenheiten im Konzern zugeschnitten werden und erfordert überdies teilweise die Berücksichtigung nationaler oder regionaler Besonderheiten.

83

Während die Compliance-Organisation der Geschäftsleitung des Mutterunternehmens obliegt, fällt die konkrete Umsetzung dieser Compliance-Vorgaben in den Pflichtenkreis der Geschäftsleitung der einzelnen Konzernunternehmen.3 Die jeweiligen Leitungsorgane der Tochtergesellschaften trifft damit die Pflicht zur Erreichung von IT-Sicherheit.4 Je stärker allerdings die Verantwortlichkeiten des Mutterunternehmens hinsichtlich der konzernweiten Compliance-Organisation ausgestaltet sind, desto mehr können sich die Verantwortlichkeiten der Geschäftsleitungsorgane in den Tochtergesellschaften in Überwachungs- und Kontrollpflichten hinsichtlich der IT-Sicherheit umwandeln.5 2. Konzernweite Überwachungspflicht

84

Obwohl IT-Sicherheitsvorfälle über eine konzernweite Compliance-Struktur am einfachsten und effektivsten abzuwenden sind, stößt die Einwirkungsmacht der Muttergesellschaft auf die Tochtergesellschaften mitunter auf gesellschaftsrechtliche Grenzen.6 Da die Konzernunternehmen trotz ihrer Verbundenheit rechtlich selbstständige Einheiten bilden, hat das Mutterunternehmen kein uneingeschränktes Informationsrecht gegenüber den Tochterunternehmen, so dass die konzernweite Überwachung der Compliance nicht umfassend möglich ist.7 Je nach Intensität der gesellschaftsrechtlichen Einflussmöglichkeiten kann die Muttergesellschaft ihren Willen im Bereich der Compliance nicht vollständig durchsetzen.8 Einflussmöglichkeiten und 1 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 70 f. m.w.N.; Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36 Rz. 83. 2 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 71; Fleischer, CCZ 2008, 1, 5 f. 3 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 72; Bicker, AG 2012, 542, 548; Fleischer, CCZ 2008, 1, 6; Hölters in Hölters, AktG, § 93 Rz. 111; Spindler, WM 2008, 905, 916. 4 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 100 ff. m.w.N.; Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36 Rz. 88; Spindler in MüKo-AktG, § 91 Rz. 82. 5 Spindler in MüKo-AktG, § 91 Rz. 82. 6 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 78; Spindler in MüKo-AktG, § 91 Rz. 79 ff. 7 Zu den Einzelheiten s. Spindler in MüKo-AktG, § 91 Rz. 79 ff. mit zahlreichen Nachweisen. 8 Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36 Rz. 83; Koch in Hüffer/Koch, AktG, § 76 Rz. 20 ff.

34

2021-11-22, 12:02, HB groß

V. Rechtslage im Konzern | Rz. 87 A.

Verantwortungsbereich der Geschäftsleitung der Konzernmutter decken sich insofern.1 Das rechtliche Mindestmaß der Einflussnahme der Konzernleitung ergibt sich daher auch aus ihren gesellschaftsrechtlichen Pflichten. Die Geschäftsleitung muss als Teil ihrer Leitungskompetenz Schäden von der Gesellschaft abwenden.2 Ihre Pflicht zur Risikoüberwachung muss sich daher auch auf solche Schäden beziehen, die sich mittelbar oder unmittelbar durch die Beteiligungen an den Tochtergesellschaften ergeben können.3 Damit trifft die Konzernleitung zumindest eine begrenzte CompliancePflicht in Form einer Überwachung von IT-Sicherheitsrisiken in den Tochterunternehmen im Rahmen ihrer Möglichkeiten. Obwohl auch hier grundsätzlich ein weites Handlungsermessen der Geschäftsleitung bzgl. der Umsetzung besteht (s. Rz. 62 ff.), dürfte die Schaffung eines konzernweiten Kontrollsystems zur Überwachung der Compliance in den Tochtergesellschaften häufig angezeigt sein.4

85

Beispiel zur konzernweiten Überwachungspflicht5: Ein Unternehmen, welches als beherrschtes Tochterunternehmen Teil einer Konzernstruktur ist, erfasst im Rahmen der Buchführung Scheinrechnungen über Lieferungen und Leistungen, die tatsächlich nicht oder nicht wie belegt stattgefunden haben. Somit erfasst das Tochterunternehmen trotz entsprechender handels- und steuerrechtlicher Pflicht (s. Rz. 66 ff.) vollständige bzw. inhaltlich richtige Belege über diese Zahlungen nicht. Die Geschäftsleitung des Mutterunternehmens kann davon keine Kenntnis erhalten, denn es bestehen keine Überwachungsmaßnahmen in Bezug auf den Geschäftsgang der Tochtergesellschaft.

86

In Konzernstrukturen ist die Konzernleitung (= Geschäftsleitung der Muttergesellschaft) dazu verpflichtet, konzerninterne Strukturen zu schaffen, die es ihr ermöglichen, sich grundsätzlich über den wesentlichen Geschäftsgang der Tochtergesellschaften zuverlässig zu unterrichten. In diesem Beispiel konnte das Mutterunternehmen mangels vorhandener Überwachungsmaßnahmen keine Kenntnisse über schwerwiegende Verstöße des Tochterunternehmens gegen die EDV-Buchführungspflicht erlangen. Darin liegt ein Verstoß gegen die konzernweite Überwachungspflicht.

Unabhängig von einer teilweise umfassend anerkannten konzernweiten CompliancePflicht trifft die Konzernleitung also zumindest eine konzernweite Überwachungspflicht.6 Es ist erforderlich, konzerninterne Strukturen zu schaffen, die zumindest eine grundsätzliche Überwachung des wesentlichen Geschäftsgangs der Tochtergesellschaften ermöglichen.7 Zumindest gravierende Unregelmäßigkeiten dürfen der Kon1 Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36 Rz. 83. 2 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 74; Koch, WM 2009, 1013, 1014. 3 Fleischer in BeckOGK-AktG, 1.6.2021, § 91 Rz. 74; Koch, WM 2009, 1013, 1014; Fleischer, CCZ 2008, 1, 5. 4 Beurskens in Baumbach/Hueck, GmbHG, Anhang Die GmbH im Unternehmensverbund (GmbH-Konzernrecht) Kapitel B Titel IV Rz. 58 ff.; OLG Jena, Urt. v. 12.8.2009 – 7 U 244/ 07, NZG 2010, 226, 228 m.w.N. = GmbHR 2010, 483. 5 Angelehnt an OLG Jena, Urt. v. 12.8.2009 – 7 U 244/07, NZG 2010, 226, 226 ff. = GmbHR 2010, 483. 6 OLG Jena, Urt. v. 12.8.2009 – 7 U 244/07, NZG 2010, 226, 228 = GmbHR 2010, 483; Wilsing/Ogorek, NZG 2010, 216, 217. 7 Wilsing/Ogorek, NZG 2010, 216, 217.

35

2021-11-22, 12:02, HB groß

87

A. Rz. 87 | IT-Sicherheit in der Unternehmensorganisation

zernleitung nicht über einen längeren Zeitraum verborgen bleiben.1 Auch wenn eine umfassende Compliance-Pflicht an rechtliche Grenzen stößt, müssen die konzernleitenden Geschäftsführer wenigstens über Kontrollmechanismen auf die konzernweite Compliance hinwirken.2 88

& Das Wesentliche in Kürze: Konzerne bestehen aus einem herrschenden und mehreren beherrschten Unternehmen. Die Einhaltung IT-sicherheitsrechtlicher Pflichten wird dabei z.B. folgendermaßen sichergestellt: – Entwicklung konkreter IT-Sicherheitsvorgaben in Übereinstimmung mit anwendbarem Recht durch herrschendes Unternehmen; – Umsetzung jeweils durch die beherrschten Unternehmen; – konzernweite Überwachung der Umsetzung zur Verhinderung von IT-Sicherheitsrisiken durch herrschendes Unternehmen.

VI. Einbeziehung des Betriebsrats 89

Unternehmen mit Betriebsrat sollten beachten, dass Maßnahmen rund um die ITInfrastruktur des Unternehmens häufig zwingende Mitbestimmungsrechte des Betriebsrats auslösen. Der Betriebsrat wird als Arbeitnehmervertretungsorgan auf Initiative der Arbeitnehmer hin eingerichtet, vorausgesetzt, dass ein Betrieb mindestens fünf ständig wahlberechtigte Arbeitnehmer beschäftigt, § 1 Abs. 1 BetrVG. Zur rechtskonformen Erreichung von Informationssicherheit im Unternehmen ist die ordnungsgemäße Beteiligung des Betriebsrats unerlässlich. Dieser hat u.a. die Pflicht, darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen eingehalten werden, § 80 Abs. 1 Nr. 1 BetrVG. Um den Schutz der Arbeitnehmer auch gewährleisten zu können, hat der Betriebsrat verschiedene Mitwirkungs- und Mitbestimmungsrechte. 1. Mitwirkungsrechte

90

Umfassende Mitwirkungsrechte ermöglichen dem Betriebsrat Zugriff auf Informationen. Das Zugriffsrecht umfasst auch Informationen bezüglich der IT-Sicherheitsvorkehrungen des Unternehmens, sofern die mit den Vorkehrungen umgesetzten informationssicherheitsrechtlichen Vorschriften auch auf Arbeitnehmer Anwendung finden, was zumindest im Bereich des Datenschutzrechts der Fall ist.3 Der Betriebs-

1 Wilsing/Ogorek, NZG 2010, 216, 217. 2 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 101; ähnlich Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36 Rz. 84. 3 Zum Datenschutzrecht Kort, ZD 2017, 3, 5; s. auch Wedde in von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 6, Rz. 105.

36

2021-11-22, 12:02, HB groß

VI. Einbeziehung des Betriebsrats | Rz. 92 A.

rat wacht etwa darüber, dass ein Datenschutzbeauftragter benannt (s. Rz. 217) und dass der Datenschutz im Unternehmen beachtet wird.1 So muss der Arbeitgeber dem Betriebsrat u.a. Informationen zur Planung oder Anpassung von IT-Systemen oder zur geplanten Einführung einer zentralisierten Personalplanung innerhalb einer Konzernstruktur (§ 92 BetrVG) geben.2 Ein weiterer wesentlicher Aspekt der Überwachung gilt der Kontrolle der Umsetzung und Einhaltung arbeitnehmerschützender Betriebsvereinbarungen.3 So hat der Betriebsrat etwa die Aufgabe, dafür einzutreten, dass der Arbeitgeber Pflichten erfüllt, die sich für diesen aus IT-Betriebsrichtlinien (s. dazu Rz. 658 ff.) ergeben.4 Zur Ausübung dieser Überwachungsaufgaben hat der Betriebsrat gegenüber dem Arbeitgeber u.a. Informationsrechte und einen Anspruch auf Überlassung für die Aufgaben erforderlicher Unterlagen, §§ 80 Abs. 2, 90 Abs. 1 BetrVG. Zu beachten bleibt allerdings, dass die (durchsetzbaren) Mitwirkungsrechte des Betriebsrats nicht zu dessen Mitbestimmungsrecht in den betroffenen Angelegenheiten führen.5 Der Betriebsrat kann Vorschläge bzgl. der verschiedenen Angelegenheiten machen, aber der Arbeitgeber ist nicht dazu verpflichtet, diese auch anzunehmen. Damit haben die Mitwirkungsrechte keinen signifikanten Einfluss auf die Entscheidungen des Arbeitgebers bzgl. der IT-Sicherheit.

91

2. Mitbestimmungsrechte Allerdings lösen zahlreiche Angelegenheiten im Unternehmen, die einen Informationssicherheitsbezug aufweisen, Mitbestimmungsrechte des Betriebsrats aus. Dies ergibt sich insbesondere aus den folgenden Vorschriften: – § 87 Abs. 1 Nr. 1 BetrVG (Verhalten und Ordnung im Betrieb): Gegenstand der Mitbestimmung ist das betriebliche Zusammenleben und -wirken der Arbeitnehmer, welches der Arbeitgeber beeinflussen und koordinieren kann.6 Daraus ergibt sich ein Mitbestimmungsrecht des Betriebsrats, wenn Fragen der Ordnung des Betriebs bzw. des Ordnungsverhaltens der Arbeitnehmer geregelt werden sollen, da diese das reibungslose betriebliche Zusammenleben und Zusammenwirken der Arbeitnehmer sicherstellen sollen.7 Entsprechende Vorgaben werden häufig über verbindliche Vorgaben in Betriebsvereinbarungen geregelt,8 so dass IT-Betriebsrichtlinien (s. Rz. 658 ff.) meist ein Mitbestimmungsrecht auf Grundlage dieser Vorschrift auslösen werden.

1 2 3 4 5 6

Thüsing in Richardi, BetrVG, § 80 Rz. 10. S. auch Wedde in von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 6, Rz. 114. Thüsing in Richardi, BetrVG, § 80 Rz. 13. Vgl. Thüsing in Richardi, BetrVG, § 80 Rz. 13. S. auch BAG, Beschl. v. 16.7.1985 – 1 ABR 9/83, DB 1986, 231. Werner in BeckOK-ArbeitsR, 60. Edition, 1.6.2021, § 87 BetrVG Rz. 27 m.w.N; Kania in ErfK, BetrVG § 87 Rz. 18. 7 Werner in BeckOK-ArbeitsR, 60. Edition, 1.6.2021, § 87 BetrVG Rz. 27 f. m.w.N. 8 Werner in BeckOK-ArbeitsR, 60. Edition, 1.6.2021, § 87 BetrVG Rz. 27 m.w.N.

37

2021-11-22, 12:02, HB groß

92

A. Rz. 92 | IT-Sicherheit in der Unternehmensorganisation Beispiele für mitbestimmungspflichtige IT-Sicherheitsregelungen1: – Regelungen zur Benutzung betrieblicher Einrichtungen zu privaten Zwecken, insbesondere des Telefons, des Internets oder eines E-Mail-Systems (nicht die Gestattung und Untersagung selbst); – Regelung über die Mitnahme von Arbeitsunterlagen nach Hause; – Regelungen zu Bring your own Device (BYOD)-Vorgaben (s. Rz. 671 ff.), etwa Passwortschutzpflicht, Verbot dienstlicher Nutzung des Datenroamings im Ausland.

– § 87 Abs. 1 Nr. 2 BetrVG (Verteilung und Lage der Arbeitszeit): Gegenstand des Mitbestimmungsrechts sind der Beginn und das Ende der täglichen Arbeitszeit, einschließlich der Pausen, sowie die Verteilung der Arbeitszeit auf die einzelnen Wochentage. Auch wenn dieses Mitbestimmungsrecht zunächst keinen Informationssicherheitsbezug aufzuweisen scheint, ist es denkbar, dass in IT-Betriebsrichtlinien zugleich Regelungen zur Arbeitszeit getroffen werden. Dies betrifft etwa BYOD-Regelungen, die Vorgaben zur zeitlichen dienstlichen Erreichbarkeit oder Rufbereitschaft umfassen.2 – § 87 Abs. 1 Nr. 6 BetrVG (Einführung und Anwendung technischer Einrichtungen): Dieses Mitbestimmungsrecht betrifft die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Im Bereich der IT-Sicherheit kommt dieser Vorschrift erhebliche Bedeutung zu. Sie soll den Schutz des einzelnen Arbeitnehmers gegen anonyme Kontrolleinrichtungen bezwecken, die in sein Persönlichkeitsrecht eingreifen können und häufig Überwachungsmöglichkeiten bieten, die nicht wahrnehmbar sind.3 Aus diesem Grund unterfallen nicht nur ITSysteme einem Mitbestimmungsrecht, die tatsächlich der Überwachung von Arbeitnehmern dienen, sondern auch solche, die dies nur objektiv ermöglichen.4 Eine Vielzahl von EDV-gestützten Anwendungen ist dazu geeignet, Mitarbeiterverhalten am Arbeitsplatz zu beobachten. Daher müssen Unternehmen regelmäßig die Zustimmung des Betriebsrats einholen, sobald neue IT-Systeme oder Software eingeführt werden sollen oder bestehende IT umgestaltet werden soll.5 Der weite Anwendungsbereich dieses Mitbestimmungsrechts führt zu einem Beteiligungsrecht des Betriebsrats bei einer Vielzahl von IT-Sicherheitsfragen. – § 87 Abs. 1 Nr. 14 BetrVG (Ausgestaltung von mobiler Arbeit): Das Mitbestimmungsrecht bildet einen Auffangtatbestand für alle Regelungen, die im Zusammenhang mit der mobilen Arbeit getroffen werden. Dazu gehören z.B. Regelungen über den zeitlichen Umfang mobiler Arbeit, über Beginn und Ende der täglichen Arbeitszeit in Bezug auf mobile Arbeit oder über den Ort, von welchem aus mobil gearbeitet werden kann und darf. Es können Regelungen zu konkreten Anwesenheitspflichten in der Betriebsstätte des Arbeitgebers, zur Erreichbarkeit, zum Um1 Werner in BeckOK-ArbeitsR, 60. Edition, 1.6.2021, § 87 BetrVG Rz. 32 f. m.w.N.; Kania in ErfK, BetrVG § 87 Rz. 19. 2 Hoppe in Kramer, IT-Arbeitsrecht, Teil B Kapitel VIII Rz. 665 ff. 3 Mengel in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 39 Rz. 76. 4 S. auch Wedde in von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 6, Rz. 128; BAG, Beschl. v. 6.12.1983 – 1 ABR 43/81, NJW 1984, 1476, 1476. 5 Voigt/von dem Bussche, Handbuch DSGVO, Teil 8.2.3.

38

2021-11-22, 12:02, HB groß

VI. Einbeziehung des Betriebsrats | Rz. 95 A.

gang mit Arbeitsmitteln der mobilen Arbeit und über einzuhaltende Sicherheitsaspekte getroffen werden. Maßgeblich ist, dass die Betriebsräte ein Mitbestimmungsrecht bzgl. des „Wie“ des mobilen Arbeitens haben.1 Beispiele für mitbestimmungspflichtige Sachverhalte mit Informationssicherheitsbezug2: – Einführung von Sicherheitssoftware gegen Angriffe von innen und außen – Einführung von Key Cards – Einführung von E-Mail-Anwendungen – Nutzung von Überwachungsanlagen – Vorkehrungen zur Zugangskontrolle mit Personenerfassung – Regelungen zu BYOD und zum mobilen Arbeiten

93

Unternehmen müssen sicherstellen, den Betriebsrat bei der Umsetzung von IT-Sicherheit im Unternehmen entsprechend frühzeitig einzubeziehen, um dessen Zustimmung zu bewirken. Kommt es zu einer Verletzung des Mitbestimmungsrechts, hat der Betriebsrat einen einklagbaren Unterlassungsanspruch in Bezug auf die Maßnahme des Arbeitgebers, die der Mitbestimmung durch den Betriebsrat unterliegt. Darüber wird der Arbeitgeber dazu verpflichtet, die vom Unterlassungsanspruch betroffenen Maßnahmen rückgängig zu machen und zu beseitigen. Dies würde für Unternehmen zu erheblichen Verzögerungen bei der Umsetzung von Informationssicherheitsvorkehrungen führen und damit die Einhaltung von Sicherheitsstandards erheblich erschweren. Sofern der Betriebsrat ordnungsgemäß beteiligt wurde, aber seine Zustimmung verweigert, kann der Arbeitgeber eine Einigungsstelle anrufen, die einen verbindlichen Beschluss in der Angelegenheit fassen wird.

94

& Das Wesentliche in Kürze:

95

Rechtskonforme Umsetzung von Informationssicherheit im Unternehmen ohne Beteiligung des Betriebsrats ist regelmäßig nicht möglich, denn der Betriebsrat: – hat ein Zugriffsrecht auf Informationen bzgl. der IT-Infrastruktur. – überwacht die Durchsetzung von Mitarbeiterrechten, z.B. aus dem Datenschutzrecht oder aus IT-Betriebsrichtlinien. – hat ein zwingendes Mitbestimmungsrecht bzgl. Verhalten und Ordnung im Betrieb (z.B. verbindliche Vorgaben zur IT-Nutzung durch Mitarbeiter) sowie bzgl. der Einführung und Anwendung technischer Einrichtungen (§ 87 Abs. 1 Nr. 1, 6 BetrVG). – hat ein Mitbestimmungsrecht bei der Ausgestaltung der Betriebsrichtlinien zum mobilen Arbeiten (§ 87 Abs. 1 Nr. 14 BetrVG).

1 Deutscher Bundestag, Drucksache 19/28899, S. 23; Eicke, ArbRAktuell 2021, 313, 316. 2 Voigt/von dem Bussche, Handbuch DSGVO, Teil 8.2.3.

39

2021-11-22, 12:02, HB groß

2021-11-22, 12:02, HB groß

B. IT-Sicherheit als vertragliche Pflicht I. Vorbemerkung IT-Sicherheit wird nicht nur im Innenverhältnis des Unternehmens aufgrund bestehender Risiken und Rechtspflichten beim Einsatz von IT relevant, sondern nimmt auch im Rahmen von Verträgen des Unternehmens mit Dritten eine immer bedeutendere Rolle ein. IT-Sicherheit kann dabei nicht nur als vertraglich geschuldete Leistung, sondern auch aus Vertrauensgesichtspunkten relevant werden. Nicht nur Anbieter von IT-Produkten oder -Leistungen sind von der Gewährleistung von IT-Sicherheit als vertraglicher Pflicht betroffen. Diese kann auch bei Verträgen relevant werden, die auf den ersten Blick gar keinen entsprechenden IT-Sicherheitsbezug aufweisen. Unternehmen sollten daher in jedem Fall prüfen, inwiefern sich ihre eigenen IT-Sicherheitspflichten auf Verträge mit anderen Parteien auswirken. Dies ist auch zur Steuerung von Haftungsrisiken besonders bedeutsam (zur vertraglichen Haftung s. Rz. 544 ff.).

96

II. IT-Sicherheit als Hauptleistungspflicht IT-Sicherheit bildet mit der fortschreitenden Digitalisierung einen zunehmend wichtigen Teil des vertraglichen Pflichtenprogramms. Die Widerstandsfähigkeit von ITProdukten und -Leistungen gegen innere und äußere Sicherheitsbedrohungen liegt beim allgegenwärtigen Technologieeinsatz maßgeblich im Interesse von Kunden. Von IT-Anbietern wird IT-Sicherheit dann regelmäßig als Teil der vertraglichen Hauptleistungen erbracht. Im Rahmen von Verträgen treffen Unternehmen aber auch zum Schutz der eigenen IT-Systeme teilweise spezifische Vereinbarungen zur IT-Sicherheit.

97

1. Verträge mit IT-Sicherheitsbezug Angesichts der hohen Bedeutung von IT-Sicherheit aus Unternehmenssicht (s. Rz. 10 ff.) ist es durchaus üblich, dass diese zur wesentlichen Leistungspflicht von Verträgen wird. Welche Leistungen von den Vertragsparteien zu erbringen sind, richtet sich danach, welcher Erfolg oder welches Verhalten nach den konkreten Vereinbarungen jeweils geschuldet wird.1 Vertraglich können die Parteien vereinbaren, dass die Vornahme und Aufrechterhaltung bestimmter IT-Sicherheitsvorkehrungen geschuldet wird oder gar ein bestimmter IT-Sicherheitsstandard eingehalten werden muss.

1 Wiegand in Kipker, Cybersecurity, Kapitel 7 Rz. 3; Bachmann in MüKo-BGB, § 241 Rz. 18; Sutschet in BeckOK-BGB, 59. Edition, 1.8.2021, § 241 Rz. 33; Grüneberg in Palandt, BGB, § 241 Rz. 4.

41

2021-11-22, 12:02, HB groß

98

B. Rz. 99 | IT-Sicherheit als vertragliche Pflicht 99

Beispiele für Verträge, in denen Informationssicherheit regelmäßig als wesentliche Leistungspflicht erbracht werden muss, sind:1 – Geheimhaltungsvereinbarungen: Im Rahmen von Kooperationsanbahnungen, aber auch im Rahmen von Entwicklungs- oder Dienstleistungsverträgen kommt es häufig zum Abschluss von Non-Disclosure-Agreements.2 Unter teilweiser Androhung von Vertragsstrafen wird der Vertragspartner dabei häufig vom Unternehmen zum Ergreifen technischer oder organisatorischer Maßnahmen verpflichtet, um sicherzustellen, dass übermittelte Daten und Informationen gegen Einsichtnahme durch unberechtigte Personen gesichert sind.3 Dies bietet sich aufgrund der Regelung in § 2 Nr. 1 GeschGehG auch an, um sicherzustellen, dass die weitergegebenen Informationen dem Schutz des GeschGehG unterfallen.4 Der Informationssicherheitsstandard zum Schutz der Daten gegen unberechtigten Zugriff bildet insoweit eine vertragliche Leistungspflicht. – Vereinbarungen zur Auftragsverarbeitung: Unternehmen können andere Unternehmen mit einer Verarbeitung ihres Datenbestands beauftragen. Der Auftragsverarbeiter führt in diesen Fällen bestimmte Vorgänge für den Auftraggeber aus, was bspw. bei Cloud-Computing-Anbietern oder Anbietern von Rechenzentren regelmäßig der Fall ist. Die Einbeziehung eines Auftragsverarbeiters in die Verarbeitung der unternehmenseigenen Datensätze unterliegt besonderen datenschutzrechtlichen Anforderungen, die zur Gewährleistung eines angemessenen Datenschutzniveaus u.a. den Abschluss eines Vertrags mit bestimmtem Mindestinhalt vorsehen. Auftragsverarbeiter werden dabei zur Anwendung bestimmter technischer und organisatorischer Maßnahmen zur Sicherung der Daten verpflichtet, so dass diese datenschutzrechtlichen Informationssicherheitspflichten eine wesentliche Vertragspflicht darstellen. – Verträge über die Wartung und Pflege im Unternehmen eingesetzter Hard- und Software: Verträge über die Wartung und Pflege von im Unternehmen eingesetzter Hard- und Software sollen die dauerhafte Gebrauchsfähigkeit dieser IT-Produkte sicherstellen, indem insbesondere vorhandene Mängel behoben und Aktualisierungen vorgenommen werden.5 Viele dieser Pflege- und Wartungsleistungen stellen mit der Funktionstüchtigkeit der IT-Produkte auch deren Sicherheit gegen insbesondere externe Bedrohungen sicher. Weil mit der Gebrauchsfähigkeit auch die Sicherheit der IT-Produkte erhalten wird, bildet letztere eine wesentliche Vertragsleistung. Dabei können auch durch „Service Level Agreements“ (SLA) weitrei-

1 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 318; Roth/Schneider, ITRB 2005, 19, 20. 2 Schultze-Melling, CR 2005, 73, 75. 3 Schultze-Melling, CR 2005, 73, 75. 4 Voigt/Herrmann/Grabenschröer, BB 2019, 142, 145; Ohly, GRUR 2019, 441, 444; Scholtyssek/Judis/Krause, CCZ 2020, 23, 27; LAG Düsseldorf, Urt. v. 3.6.2020 – 12 SaGa 4/20, CR 2021, 295. 5 Conrad/Schneider in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 14 Rz. 1, 65 ff.

42

2021-11-22, 12:02, HB groß

II. IT-Sicherheit als Hauptleistungspflicht | Rz. 101 B.

chende Verpflichtungen wie Reaktions- und Beseitigungszeiten für Störungen festgelegt werden und einen zentralen Vertragsbestandteil bilden.1 – Cloud-Services: Über Cloud-Services erhalten die Nutzer einen zeitlich begrenzten Fernzugriff auf Soft- und Hardware-Ressourcen des Anbieters und können auf diese Weise externe IT nutzen, wobei die Verträge regelmäßig Bestimmungen zur Sicherheit der IT und zum Datenschutz enthalten.2 Dies ist insbesondere dem Umstand geschuldet, dass es sich regelmäßig (auch) um eine Auftragsverarbeitung durch den Cloud-Anbieter handelt. Damit bildet IT-Sicherheit regelmäßig eine Hauptleistungspflicht von Cloud-Computing-Verträgen. a) Hohe Praxisrelevanz: Outsourcing-Verträge Häufig schließen Unternehmen mit externen Dienstleistern Verträge, um bestimmte IT-Leistungen outsourcen zu können. Diese Outsourcing-Vereinbarungen sind in der Praxis vielgestaltig und reichen von der Übertragung von Verantwortung aus der unternehmenseigenen IT-Abteilung an einen externen Dienstleister bis hin zur umfassenden Erbringung von IT-Leistungen mit unternehmensexterner Hard- und Software oder zur Erbringung spezifischer IT-Sicherheitsdienste.3 Die geschlossenen Verträge sind dabei regelmäßig umfangreich. Da beim IT-Outsourcing meist hochkomplexe interne Prozesse auf andere Unternehmen ausgelagert werden, berühren die Outsourcing-Verträge zahlreiche Rechtsgebiete – vom allgemeinen Vertragsrecht und Datenschutzrecht bis hin zu spezialgesetzlichen Regelungen im Finanzdienstleistungsbereich oder anderen Bereichen.4 Outsourcing-Projekte umfassen zudem regelmäßig ganz unterschiedliche vertragliche Leistungsarten, so dass es sich schuldrechtlich regelmäßig um typengemischte Verträge mit kauf-, miet-, dienstoder werkvertraglichen Elementen (z.B. Kauf von Netzwerkkomponenten, mietweise Zurverfügungstellung von Rechenzentrumsplatz, Support, Softwarepflege, Netzwerkleistungen) handelt.5

100

Auch wenn das Unternehmen im Rahmen des Outsourcings eigene Aufgaben an Dritte überträgt, wird es nicht von seinen IT-Sicherheitspflichten entbunden. Wenngleich die Umsetzung der IT-Sicherheitsvorgaben durch die Vertragspartner erfolgt, bleibt die Verantwortung für IT-Risiken zumindest gegenüber Dritten – wie Kunden oder Geschäftspartnern – beim auslagernden Unternehmen.6 Aus diesem Grund enthalten die Vertragswerke Vereinbarungen zu vom Outsourcing-Partner zu erbringenden IT-Sicherheitsleistungen, zur ordnungsgemäßen Art und Weise sowie Überwachung der Leistungserbringung:

101

1 2 3 4 5

Conrad/Schneider in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 14 Rz. 142 ff. Strittmatter in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 22 Rz. 5, 24. Thalhofer/Żdanowiecki in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 1 ff. Thalhofer/Żdanowiecki in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 4. Pour Rafsendjani/Bomhard in Hornung/Schallbruch, IT-Sicherheitsrecht, § 9 Rz. 144; Thalhofer/Żdanowiecki in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 36 f. 6 Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 25.

43

2021-11-22, 12:02, HB groß

B. Rz. 101 | IT-Sicherheit als vertragliche Pflicht

– Vereinbarte IT-Sicherheitsleistungen: Diejenigen IT-Sicherheitspflichten, die das Unternehmen bei der eigenen Durchführung der ausgelagerten IT-Prozesse einhalten müsste, werden beim Outsourcing dem Vertragspartner auferlegt. Dem Outsourcing-Anbieter werden dabei regelmäßig Vorgaben zu erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen gemacht, über die ein bestimmtes IT-Sicherheitsniveau erreicht wird. Die vereinbarten IT-Sicherheitspflichten können dabei vor allem im Falle von anwendbaren spezialgesetzlichen ITSicherheitspflichten, z.B. im Versicherungs- oder Bankenbereich (s. Rz. 476 ff. und Rz. 485 ff.), sehr detailliert festgelegt sein. Das auslagernde Unternehmen gibt beim Outsourcing die eigenen IT-Sicherheitspflichten gewissermaßen vertraglich weiter, so dass diese eine Hauptleistungspflicht bilden.1 – Art und Weise der Leistungserbringung: Auch die Regelungen zur Art und Weise der Leistungserbringung fallen entsprechend vielschichtig aus.2 Üblich sind Vereinbarungen über die Auswahl und Qualifikation der vom Outsourcing-Anbieter mit der Projektdurchführung beauftragten Mitarbeiter.3 Dies ist dem Umstand geschuldet, dass das Mitarbeiterverhalten ein hohes IT-Sicherheitsrisiko birgt (s. Rz. 15). Da Outsourcing-Projekte meist eine längere Laufzeit haben, bedürfen die zu erbringenden IT-Sicherheitsmaßnahmen einer fortwährenden Aufrechterhaltung. Die Parteien treffen daher regelmäßig Vereinbarungen bzgl. der Anforderungen an die einzusetzende Technologie, einschließlich einer Aktualisierungspflicht in bestimmten Intervallen, im Sinne einer Mindestanforderung an die Art und Weise der Leistungserbringung.4 Dadurch wird der Outsourcing-Anbieter verpflichtet, seine Sicherheitsvorkehrungen veränderten Bedrohungslagen und technischen Gegebenheiten anzupassen. – Überwachung der Leistungserbringung: Um nachvollziehen zu können, ob der Outsourcing-Anbieter die ihm auferlegten IT-Sicherheitspflichten auch entsprechend der vertraglichen Vereinbarungen erbringt, werden zugunsten des Outsourcing-Kunden Kontroll- und Steuerungsrechte vertraglich eingeräumt.5 Diese Überwachung der Leistungserbringung wird häufig so umgesetzt, dass der Outsourcing-Anbieter seine Leistungserbringung durch computergestützte Monitoring-Systeme aufzeichnet und die Ergebnisse der Aufzeichnung dem OutsourcingKunden in regelmäßigen Abständen zur Verfügung stellt.6

1 Thalhofer/Żdanowieck in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 157; Beucher/Utzerath, MMR 2013, 362, 367; ähnlich Dorschel, DSRITB 2010, S. 651, 656. 2 Pour Rafsendjani/Bomhard in Hornung/Schallbruch, IT-Sicherheitsrecht, § 9 Rz. 145 ff.; Thalhofer/Żdanowiecki in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 63. 3 Thalhofer/Żdanowiecki in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 63 ff. 4 Thalhofer/Żdanowiecki in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 68. 5 Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 25; Pour Rafsendjani/Bomhard in Hornung/Schallbruch, IT-Sicherheitsrecht, § 9 Rz. 155 ff. 6 Thalhofer/Żdanowiecki in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 73.

44

2021-11-22, 12:02, HB groß

II. IT-Sicherheit als Hauptleistungspflicht | Rz. 104 B.

Die vorgenannten Vereinbarungen erlauben es Unternehmen, die eigenen IT-Compliance-Pflichten über das komplexe Vertragswerk dem Outsourcing-Anbieter aufzuerlegen und auf diese Weise im Vertragsverhältnis zu verrechtlichen.

102

b) Unternehmen als Schuldner oder Gläubiger von IT-Sicherheitsleistungen Unternehmen können Schuldner oder Gläubiger vertraglicher IT-Sicherheitsleistungen sein. Bieten Unternehmen bestimmte IT-Produkte oder IT-basierte Leistungen an, müssen diese gewisse Sicherheitsstandards erfüllen, so dass das Unternehmen zum IT-Sicherheitsschuldner wird. Hat die vertraglich geschuldete Leistung einen starken IT-Bezug, so hat sie in der Regel auch einen starken IT-Sicherheitsbezug. Nutzen Unternehmen IT-Produkte oder nehmen sie IT-basierte Leistungen in Anspruch, so stehen ihnen gegenüber den Anbietern dieser Produkte und Leistungen vertraglich regelmäßig auch Ansprüche auf IT-Sicherheitsleistungen zu, so dass Unternehmen in diesen Fällen IT-Sicherheitsgläubiger sind. In der Praxis dürften viele Unternehmen als Anbieter von Leistungen oder Produkten und Kunden sowie als Abnehmer von Produkten und Leistungen durch andere zeitgleich sowohl Schuldner als auch Gläubiger von IT-Sicherheitspflichten sein. Ausgehend von diesem Vertragsgeflecht ist es aus Haftungsgründen (s. Rz. 508 ff.) für Unternehmen erforderlich, festzustellen, wann sie aus vertraglichen IT-Sicherheitspflichten in Anspruch genommen werden können und wann sie andere diesbezüglich in Anspruch nehmen können.

103

Die Regelung von Leistungspflichten mit IT-Sicherheitsbezug muss im Vertrag nicht explizit erfolgen. Derartige Pflichten können auch durch eine Auslegung des Vertrags nach §§ 133, 157 BGB ermittelt werden. Um das Pflichtenprogramm für beide Seiten näher eingrenzen zu können, ist allerdings eine ausdrückliche Regelung in jedem Fall vorzugswürdig.1 In der Praxis legen größere Unternehmen bei der Inanspruchnahme externer IT-Leistungen den Anbietern regelmäßig bei Vertragsschluss umfassende Regelwerke zur Umsetzung rechtlicher IT-Sicherheitspflichten vor.2 Eine Anpassung der Vorgaben im Einzelfall sollte jedoch stattfinden, um die genauen IT-Sicherheitsmaßnahmen festzulegen, die der Anbieter umsetzen soll und mit seinen Mitteln auch kann.3 Der Auftraggeber wird sich bezüglich der IT-Sicherheit beim Anbieter regelmäßig Kontrollrechte vertraglich einräumen (s. Rz. 101).4 Dies ist für den Auftraggeber zur Einschätzung und Vermeidung von Unternehmensrisiken erforderlich (zur diesbezüglichen Pflicht der Geschäftsleitung s. Rz. 32 ff.). Je stärker die IT-Risikofaktoren und deren Vermeidung in die Sphäre des Anbieters verlagert werden, desto stärker fallen regelmäßig auch dessen Berichtspflichten und die Kontrollrechte des Auftragnehmers aus.5

104

1 2 3 4

Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 319. Dorschel, DSRITB 2010, S. 651, 656. Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 255. Dorschel, DSRITB 2010, S. 651, 659 f.; Pour Rafsendjani/Bomhard in Hornung/Schallbruch, IT-Sicherheitsrecht, § 9 Rz. 155 ff. 5 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 320.

45

2021-11-22, 12:02, HB groß

B. Rz. 105 | IT-Sicherheit als vertragliche Pflicht

2. „Sichere“ IT-Produkte 105

Die Sicherheit von IT-Produkten rückt immer stärker in den Fokus von Unternehmern, Verbrauchern und Gesetzgebern, so dass vertragliche oder gesetzliche IT-Sicherheitspflichten bestehen können. So werden die Vertragsparteien u.a. durch die Umsetzungen der Warenkauf-Richtlinie und der Richtlinie über digitale Inhalte und digitale Dienstleistungen vor neue Herausforderungen gestellt.1

106

Unabhängig hiervon weisen Verträge zur Veräußerung oder Bereitstellung von ITProdukten (z.B. Hardware, Software, Smart Devices) regelmäßig einen besonders starken Bezug zur IT-Sicherheit auf. Beim Handel mit IT-Produkten wird vertraglich eine bestimmte Beschaffenheit dieser Produkte entweder vereinbart oder kann vernünftigerweise vorausgesetzt werden.2 Dazu gehört auch regelmäßig ein bestimmter IT-Sicherheitsstandard. Kann dieser nicht gewährleistet werden, kommt es regelmäßig zur Entstehung von Ansprüchen des Nutzers (s. Rz. 538 ff.). Ob und in welchem Umfang ein bestimmtes Maß an IT-Sicherheit geschuldet wird, ergibt sich aus den Vereinbarungen der Vertragsparteien (s. Rz. 98 ff.). a) Verträge über die dauerhafte Überlassung von IT-Produkten

107

Werden IT-Produkte dauerhaft überlassen, kommt es regelmäßig zum Abschluss eines Kaufvertrags (zu den Besonderheiten im Verbraucherverhältnis s. Rz. 116 f.).3 Dadurch verpflichtet sich der Verkäufer gem. § 433 Abs. 1 BGB, die Sache frei von Sach- und Rechtsmängeln zu übergeben und zu übereignen. Die Kaufsache ist frei von Mängeln, wenn sie bei Gefahrenübergang subjektiven Anforderungen, objektiven Anforderungen und Montageanforderungen entspricht, § 434 Abs. 1 BGB. Die subjektiven Anforderungen knüpfen an die Vereinbarung zwischen den Vertragsparteien an, wohingegen die objektiven Anforderungen primär auf den Erwartungshorizont eines vernünftigen Käufers abstellen.4 Zudem entspricht die Sache Montageanforderungen, wenn entweder die Montage sachgemäß durchgeführt worden ist oder die unsachgemäß durchgeführte Montage weder auf einer unsachgemäßen Montage durch den Verkäufer noch auf einem Mangel in der vom Verkäufer übergebenen Anleitung beruht, § 434 Abs. 4 BGB. Die Anforderungen des § 434 Abs. 1 BGB müssen

1 Richtlinie (EU) 2019/771, ABl. L 136/28, umgesetzt durch das Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags vom 25.6.2021, BGBl. I S. 2133 – und Richtlinie (EU) 2019/770, ABl. L 136/1, umgesetzt durch das Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen vom 25.6.2021, BGBl. I S. 2123. 2 S. bspw. zur Beschaffenheit von Kaufgegenständen Westermann in MüKo-BGB, § 434 Rz. 6 ff.; Weidenkaff in Palandt, BGB, § 434 Rz. 9 ff. oder zur Mietsache § 535 Rz. 14 ff. 3 Spätestens mit der UsedSoft-Rechtsprechung von EuGH (EuGH, Urt. v. 3.7.2012 – C-128/ 11) und BGH (BGH, Urt. v. 17.7.2013 – I ZR 129/08) bildet der Abschluss eines Kaufvertrags beim Download von zeitlich unbegrenzt überlassener Software den Regelfall. Bei der Herstellung von Individualsoftware für Kunden oder wenn Standardsoftware auf Grundlage von Kundenbedürfnissen in nicht unerheblichem Umfang angepasst wird, liegt dagegen regelmäßig ein Werkvertrag vor; s. auch Wiegand in Kipker, Cybersecurity, Kapitel 7 Rz. 1 ff. 4 Rosenkranz, ZUM 2021, 195, 196; Kupfer/Weiß, ZVertriebsR 2021, 21, 22.

46

2021-11-22, 12:02, HB groß

II. IT-Sicherheit als Hauptleistungspflicht | Rz. 111 B.

grundsätzlich kumulativ vorliegen, sodass zusätzlich zu den subjektiven auch grundsätzlich die objektiven Anforderungen erfüllt sein müssen. Dennoch können die Vertragsparteien durch Beschaffenheitsvereinbarungen von etwaig strengeren objektiven Anforderungen abweichen. aa) Allgemeine Anforderungen Der Kaufgegenstand entspricht den subjektiven Anforderungen, wenn er die vereinbarte Beschaffenheit aufweist. Zur vereinbarten Beschaffenheit können gem. § 434 Abs. 2 Satz 2 BGB die Art, Menge, Qualität, Funktionalität, Kompatibilität, Interoperabilität und sonstige Merkmale gehören. Der genauen Leistungsbeschreibung im Kaufvertrag kommt dadurch eine große Bedeutung zu.1 Zudem muss sich die Sache für die vertraglich bezweckte Verwendung eignen und das vereinbarte Zubehör sowie die vereinbarten Anleitungen übergeben und übereignet werden, § 434 Abs. 2 Satz 1 Nr. 2, 3 BGB.

108

Beispiel für eine Beschaffenheitsvereinbarung zur IT-Sicherheit: Beim Kauf von Antiviren-Programmen wird die Programmversion genau bezeichnet. Dies ist dem Umstand geschuldet, dass sich diese Programme immer nur auf bereits bekannte Bedrohungen, wie bspw. sich im Umlauf befindliche Malware oder Viren, beziehen können und gerade der Verhinderung dieser IT-Risiken dienen. Die Versionsbezeichnung enthält Informationen darüber, welche Bedrohungen in der Software berücksichtigt sind. Der Anbieter macht dadurch deutlich, welches Schutzniveau das Programm bietet. Ein Kauf derartiger Software wird in der Regel per Download aus dem Internet abgewickelt. Der Zweck von Antiviren-Programmen liegt gerade in der Abwehr von IT-Sicherheitsrisiken, so dass die Funktionalität der gekauften Version ein wesentlicher bzw. wertbildender Faktor ist. Damit stellt die Versions„Signatur“ regelmäßig eine Beschaffenheitsvereinbarung i.S.d. § 434 Abs. 2 Satz 1 Nr. 1 BGB dar.

109

Neben den subjektiven Anforderungen bilden die objektiven Anforderungen ein gleichwertiges Kriterium zur Bestimmung der Sachmängelfreiheit.2 Die objektiven Anforderungen gem. § 434 Abs. 3 BGB setzen voraus, dass sich die Sache für die gewöhnliche Verwendung eignet und eine Beschaffenheit aufweist, die bei Sachen derselben Art üblich ist und die ein Käufer unter Berücksichtigung der Art der Sache und der öffentlichen Äußerung des Verkäufers oder einem anderen Glied in der Verkaufskette erwarten kann, soweit nicht durch eine negative Beschaffenheitsvereinbarung davon abgewichen wurde.3 Zu der üblichen Beschaffenheit gehören u.a. die Haltbarkeit4, Funktionalität, Kompatibilität und Sicherheit der Sache.

110

Eine Äußerung eines Glieds der Verkaufskette ist z.B. die Werbeaussage des Herstellers über das IT-Produkt. Zum Schutz der Käufererwartungen muss sich der Verkäufer dann beim Vertrieb des IT-Produkts die Angaben des Herstellers zurechnen las-

111

1 2 3 4

Hoene, IPRB 2021, 88, 89. Hoene, IPRB 2021, 88, 89. Kupfer/Weiß, ZVertriebsR 2021, 21, 22 f.; Hoene, IPRB 2021, 88, 89. Zur Frage, ob sich daraus eine allgemeine Haltbarkeitsgarantie ableiten lässt, s. Kupfer/Weiß, ZVertriebsR 2021, 21, 22.

47

2021-11-22, 12:02, HB groß

B. Rz. 111 | IT-Sicherheit als vertragliche Pflicht

sen.1 Die Regelung beruht auf der Erwägung, dass der Verkäufer von der Werbung durch den Hersteller regelmäßig durch eine Absatzsteigerung profitiert, weshalb er sich dessen Äußerungen grundsätzlich auch zurechnen lassen muss.2 Dies bezieht sich jedoch nur auf Äußerungen des Herstellers im Vorfeld des Vertragsabschlusses, da die Äußerung gem. § 434 Abs. 3 Satz 3 BGB einen Einfluss auf die Erwartungen des Käufers bei der Kaufentscheidung haben muss.3 Überdies kommt eine Zurechnung der Herstellerangaben nur in Betracht, wenn sich diese auf eine bestimmte Eigenschaft des IT-Produkts beziehen.4 Diese Voraussetzung ist auch erfüllt, wenn der Hersteller das Produkt allgemein einem bestimmten Qualitätsstandard – also auch einem bestimmten IT-Sicherheitsstandard – öffentlich zuordnet.5 112

Sollte eine Beschaffenheitsvereinbarung oder öffentliche Äußerung über den IT-Sicherheitsstandard nicht bestehen, so kann dennoch die Pflicht zur Einhaltung eines marktüblichen Sicherheitsstandards bestehen, § 434 Abs. 3 Satz 1 Nr. 2 lit. a BGB. Der Umfang des Sicherheitsstandards ist aufgrund der ständigen Fortentwicklung von Technologie und Gefahren für die IT-Sicherheit produktspezifisch und dynamisch zu bestimmen.

113

Es ist weiterhin erörterungsbedürftig, inwieweit außerhalb von Verbraucherverträgen eine Pflicht zur Aktualisierung des IT-Sicherheitsschutzes als objektive Anforderung an die Mangelfreiheit besteht. So könnte sich die Aktualisierungspflicht aus der Anforderung an die Haltbarkeit ergeben, § 434 Abs. 3 Satz 2 BGB. Haltbarkeit ist die Fähigkeit der Sache, ihre erforderlichen Funktionen und ihre Leistung bei normaler Verwendung zu behalten.6 Dies könnte auch die Aufrechterhaltung des IT-Sicherheitsniveaus an sich ständig ändernde IT-Sicherheitsrisiken umfassen. Jedoch hat der Verkäufer grundsätzlich lediglich dafür einzustehen, dass die Sache zum Zeitpunkt des Gefahrübergangs die Fähigkeit hat, ihre erforderlichen Funktionen und ihre Leistung bei normaler Verwendung zu behalten. Dies begründet keine gesetzliche Haltbarkeitsgarantie, die eine Aktualisierungspflicht umfassen könnte. Gegen eine Aktualisierungspflicht als Hauptleistungspflicht spricht auch, dass der Gesetzgeber es unterlassen hat, außerhalb von Verbraucherverträgen (s. Rz. 123) eine Aktualisierungspflicht des Verkäufers vorzusehen.7

114

Auch ohne ausdrückliche gesetzliche Normierung wird dennoch teilweise eine Aktualisierungspflicht außerhalb von Verbraucherverträgen angenommen. Dies wird zum Teil aus einer (nachvertraglichen) Schutzpflicht, einer nachwirkenden Leistungstreuepflicht oder der Verkehrssicherungspflicht des Verkäufers abgeleitet (näher dazu Rz. 127 ff.).8 Aufgrund der unklaren Rechtslage erscheint es jedoch empfehlenswert, 1 Deutscher Bundestag, Drucksache 19/27424, S. 24; Faust in BeckOK-BGB, 59. Edition, 1.8.2021, § 434 Rz. 75 ff.; Saenger in Schulze, BGB, § 434 Rz. 14 ff. 2 Saenger in Schulze, BGB, § 434 Rz. 15. 3 Saenger in Schulze, BGB, § 434 Rz. 16. 4 Faust in BeckOK-BGB, 59. Edition, 1.8.2021, § 434 Rz. 86. 5 Faust in BeckOK-BGB, 59. Edition, 1.8.2021, § 434 Rz. 83 m.w.N. auch zur Gegenansicht. 6 Deutscher Bundestag, Drucksache 19/27424, S. 24. 7 Kupfer/Weiß, ZVertriebsR 2021, 21, 23. 8 Wiesner in Leupold/Wiebe/Glossner, IT-Recht, Teil 10.6 Rz. 19.

48

2021-11-22, 12:02, HB groß

II. IT-Sicherheit als Hauptleistungspflicht | Rz. 117 B.

im Vertrag Regelungen über Aktualisierungspflichten zu vereinbaren, wenn diese gewünscht sind. Auf diese Weise können der Pflichtenumfang der Vertragsparteien rechtssicher bestimmt und Haftungsrisiken verringert werden: So können bspw. Haftungsrisiken bestehen, wenn es sich beim Endabnehmer in einer Vertragskette um einen Verbraucher handelt. Die unterlassene Aktualisierung gegenüber dem Verbraucher stellt eine Pflichtverletzung des Verkäufers dar, was zur Geltendmachung zivilrechtlicher Ansprüche des Verbrauchers führen kann. Der Verkäufer kann wiederum Ersatzansprüche für die getätigten Aufwendungen gegen den Lieferanten bzw. Vertriebspartner geltend machen und ihn damit in Regress nehmen. Durch den Unternehmerregress kann für das B2B-Verhältnis mittelbar eine Obliegenheit zur Bereitstellung von Aktualisierungen durch den Lieferanten bzw. Vertriebspartner entstehen, § 327u BGB bzw. § 445a Abs. 1 BGB.

115

bb) Besonderheiten bei Verbraucherverträgen Bei Verbraucherverträgen, also Verträgen zwischen einem Verbraucher i.S.v. § 13 BGB (als Käufer) und einem Unternehmer i.S.v. § 14 BGB (als Verkäufer), bestehen punktuelle Besonderheiten, welche aus der Umsetzung der Vorgaben der Warenkauf-Richtlinie und der Richtlinie über digitale Inhalte und digitale Dienstleistungen resultieren.1 Die beiden Richtlinien unterscheiden sich hinsichtlich ihres Anwendungsbereiches, sodass sie getrennt im BGB umgesetzt wurden. Die Regelungen der Warenkauf-Richtlinie beziehen sich grundsätzlich auf Waren, also bewegliche körperliche Gegenstände.2 Gegenstand des Anwendungsbereichs der Richtlinie über digitale Inhalte und digitale Dienstleistungen sind:3

116

– Daten, die in digitaler Form erstellt und bereitgestellt werden; – Dienstleistungen, die dem Verbraucher die Erstellung, Verarbeitung oder Speicherung von Daten in digitaler Form oder den Zugang zu solchen Daten ermöglichen; und – Dienstleistungen, die die gemeinsame Nutzung der vom Verbraucher oder von anderen Nutzern der entsprechenden Dienstleistung in digitaler Form hochgeladenen oder erstellten Daten oder sonstige Interaktionen mit diesen Daten ermöglichen. Die Natur des Kaufgegenstands ist von erheblicher Bedeutung zur Bestimmung des maßgeblichen Regelungsregimes. So finden auf den Kaufvertrag über körperliche Gegenstände grundsätzlich die §§ 433 ff. BGB i.V.m. §§ 474 ff. BGB Anwendung, wo1 Richtlinie (EU) 2019/771, ABl. L 136/28, umgesetzt durch das Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags vom 25.6.2021, BGBl. I S. 2133 – und Richtlinie (EU) 2019/770, ABl. L 136/1, umgesetzt durch das Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen vom 25.6.2021, BGBl. I S. 2123. 2 Art. 2 Nr. 5 Richtlinie (EU) 2019/771, ABl. L 136/28. 3 Art. 2 Nr. 1, 2, Art. 3 Richtlinie (EU) 2019/770, ABl. L 136/1.

49

2021-11-22, 12:02, HB groß

117

B. Rz. 117 | IT-Sicherheit als vertragliche Pflicht

hingegen bei Verträgen über digitale Inhalte und Dienstleistungen die Besonderheiten der §§ 327 ff. BGB zu beachten sind. 118

Der Anwendungsbereich der neu eingeführten §§ 327 ff. BGB ist bei entgeltlichen Verträgen eröffnet, sowie bei Verträgen, bei denen der Verbraucher als Gegenleistung seine personenbezogenen Daten bereitstellt bzw. sich zur Bereitstellung verpflichtet, soweit gem. § 312 Abs. 1a Satz 2 BGB die durch den Unternehmer erfolgte Verarbeitung personenbezogener Daten nicht ausschließlich zur Erfüllung einer Leistungspflicht oder rechtlicher Anforderungen dient, § 327 Abs. 1 Satz 1, Abs. 3 BGB. Damit werden der wirtschaftliche Wert von personenbezogenen Daten und das „Bezahlen mit Daten“ rechtlich anerkannt sowie neue Geschäftsmodelle erfasst. Neben unentgeltlichen Verträgen finden die Regelungen der §§ 327 ff. BGB keine Anwendung auf die in § 327 Abs. 6 BGB genannten Verträge wie Behandlungsverträge (Nr. 3) oder Verträge über Finanzdienstleistungen (Nr. 5).

119

Unproblematisch erfolgt die Abgrenzung der Anwendungsbereiche in Fällen, bei denen ausschließlich eine Komponente, also bspw. ein beweglicher körperlicher Gegenstand oder eine digitale Dienstleistung, vorliegt. Weist der Kaufgegenstand Elemente beider Komponenten auf, so muss unterschieden werden. Handelt es sich beim Kaufgegenstand um einen beweglichen körperlichen Gegenstand, der ausschließlich als Datenträger für den digitalen Inhalt oder die digitale Dienstleistung fungiert, so finden die Regelungen der §§ 327 ff. BGB Anwendung, § 327 Abs. 5 BGB. Handelt es sich beim Kaufgegenstand nicht ausschließlich um einen Datenträger und besteht ein funktionaler Zusammenhang mit dem digitalen Inhalt bzw. der digitalen Dienstleistung, so finden die §§ 433 ff. BGB i.V.m. §§ 474 ff. BGB Anwendung. Der funktionale Zusammenhang liegt bei Waren mit digitalen Elementen vor, wenn die Ware ihre Funktion ohne das digitale Element nicht erfüllen kann, § 327a Abs. 3 Satz 1 BGB.

120

Zudem kann die Abgrenzung zwischen Verträgen über Sachen mit digitalen Elementen und Verträgen über digitale Produkte Schwierigkeiten bereiten, wenn nicht zweifelsfrei bestimmt werden kann, ob die Erbringung eines digitalen Elements als Teil des Kaufvertrages über die Sache oder als eigenständiger Vertrag zu qualifizieren ist. Sollte im Zweifelsfall eine Abgrenzung nicht möglich sein, so gilt die digitale Dienstleistung als Bestandteil des Kaufvertrages über die Sache und beim Kaufgegenstand handelt es sich um eine Ware mit digitalen Elementen, § 327a Abs. 3 Satz 3 BGB.1

121

Beispiele für die Abgrenzung bei Verbraucherverträgen2: Eine Uhr ist ein beweglicher körperlicher Gegenstand und ihr Kauf unterfällt den §§ 433 ff. BGB i.V.m. §§ 474 ff. BGB. Ein Online-Spiel, welches gegen Bezahlung heruntergeladen wird, unterfällt als digitales Produkt den Regelungen der §§ 327 ff. BGB.

1 Firsching, ZUM 2021, 210, 216; vgl. auch Art. 3 Abs. 3 und ErwGr. 15 der Richtlinie (EU) 2019/771, ABl. L 136/28. 2 ErwGr. 21 der Richtlinie (EU) 2019/770, ABl. L 136/1; ErwGr. 14 der Richtlinie (EU) 2019/771, ABl. L 136/28.

50

2021-11-22, 12:02, HB groß

II. IT-Sicherheit als Hauptleistungspflicht | Rz. 123 B. Bei einer CD mit einem Computerspiel handelt es sich um einen körperlichen Gegenstand. Jedoch ist die CD lediglich Datenträger des Computerspiels und weist keine darüberhinausgehende eigenständige Funktion auf, so dass gem. § 327 Abs. 5 BGB die §§ 327 ff. BGB anzuwenden sind. Bei einer Smart-Watch handelt es sich um einen körperlichen Gegenstand, welcher digitale Elemente wie ein Betriebssystem und Software-Anwendungen beinhaltet. Die Besonderheit ist, dass die Smart-Watch nicht allein als Träger des digitalen Inhalts fungiert, sondern mit diesem derart verknüpft ist, dass ein funktionaler Zusammenhang besteht. Danach sind die §§ 327 ff. BGB gem. § 327a Abs. 3 BGB nicht anzuwenden, sondern die §§ 433 ff. BGB i.V.m. §§ 474 ff. BGB.

Auch im Verbrauchsgüterkauf ist der Abschluss von negativen Beschaffenheitsvereinbarungen möglich, jedoch sind die Abweichungen von objektiven Anforderungen nur unter strengeren Voraussetzungen zulässig. Beim Verbrauchsgüterkauf muss der Unternehmer den Verbraucher über die Abweichung eines bestimmten Merkmals von den objektiven Anforderungen informieren und deutlich machen, inwieweit von der tatsächlich geschuldeten Beschaffenheit abgewichen wird.1 Zur Wirksamkeit der negativen Beschaffenheitsvereinbarung muss der Verbraucher von der Abweichung vor Abgabe seiner Vertragserklärung in Kenntnis gesetzt werden. Im Vertrag muss ausdrücklich und gesondert eine Vereinbarung über die Abweichung getroffen werden, § 327h BGB bzw. § 476 Abs. 1 BGB. Ausdrücklich vereinbart ist die negative Beschaffenheitsvereinbarung, wenn ein eindeutiges aktives Verhalten des Verbrauchers erfolgt.2 Die Regelung erfolgt gesondert, wenn sie sich von anderen Erklärungen und Vereinbarungen abgrenzt, sodass eine negative Beschaffenheitsvereinbarung auf Grundlage allgemeiner Geschäftsbedingungen fraglich erscheint. Eine ausdrückliche und gesonderte Vereinbarung kann durch Anklicken eines Kästchens, Betätigung einer Schaltfläche oder Aktivierung einer ähnlichen Funktion erfolgen.3 Dabei trägt der Unternehmer das Beweislastrisiko über den Nachweis der Erfüllung der Anforderung.

122

Bei Verbraucherverträgen besteht die Besonderheit, dass eine Aktualisierungspflicht des Unternehmers ausdrücklich normiert ist. Von der Aktualisierung werden grundsätzlich solche Maßnahmen erfasst, die für den Erhalt der Vertragsmäßigkeit des digitalen Elements der Sache oder den digitalen Inhalt bzw. die digitale Dienstleistung erforderlich sind. Hierzu zählen u.a. Anforderungen an die Kompatibilität und Sicherheitsaktualisierungen, § 327f Abs. 1 Satz 2 BGB bzw. § 475b Abs. 4 Nr. 2 BGB. So muss der Unternehmer Schutzmaßnahmen treffen, die nach dem Stand der Technik geeignet und erforderlich sind, um den Verbraucher vor einem unberechtigten Zugriff Dritter auf die Daten oder Funktionen zu schützen:4 Weitergehende Aktuali-

123

1 Deutscher Bundestag, Drucksache 19/27653, S. 61. 2 Kupfer/Weiß, ZVertriebsR 2021, 21, 24. 3 Deutscher Bundestag, Drucksache 19/27653, S. 62; ErwGr. 49 Richtlinie (EU) 2019/770, ABl. L 136/1. 4 Deutscher Bundestag, Drucksache 19/27424, S. 33; ErwGr. 49 Richtlinie (EU) 2019/770, ABl. L 136/1.

51

2021-11-22, 12:02, HB groß

B. Rz. 123 | IT-Sicherheit als vertragliche Pflicht

sierungspflichten wie leistungssteigernde Aktualisierungen sind nicht vorgesehen, können aber vertraglich vereinbart werden.1 124

Neben dem Bereitstellungsumfang ist der Bereitstellungszeitraum der Aktualisierungen von großer Bedeutung für Unternehmer. Der Bereitstellungszeitraum der Aktualisierungen ist nicht allgemeingültig bestimmbar. Der Bereitstellungszeitraum knüpft an die Verbrauchererwartung an unter Berücksichtigung der Art und des Zwecks des Kaufgegenstandes. Die produktspezifische Bestimmung des Bereitstellungszeitraums führt zu Rechtsunsicherheit bei Unternehmen und Verbrauchern. Eine Orientierung für den Bereitstellungszeitraum lässt sich aus ErwGr. 31 der Richtlinie (EU) 2019/ 771 und ErwGr. 47 der Richtlinie (EU) 2019/770 ableiten, die sich an der Gewährleistungsdauer von zwei Jahren orientieren. Die Aktualisierungspflicht ist jedoch nicht zwingend auf die Gewährleistungsdauer beschränkt.2 Es bleibt offen, über welchen Zeitraum der Unternehmer Aktualisierungen bereitstellen muss und ob sich die Verbrauchererwartungen durch Herstellerangeben wie zur gewöhnlichen Nutzungsdauer oder zum Lebenszyklus eines Produkts leiten lassen. b) Verträge über die zeitweise Überlassung von IT-Produkten

125

Bezüglich diverser IT-Produkte findet längst eine Marktentwicklung hin zu deren überwiegend zeitweiser Überlassung statt.3 Während bei außerhalb von Verbraucherverträgen dauerhaft überlassenen Softwareprodukten ein bestimmter IT-Sicherheitsstandard nur zum Zeitpunkt der Überlassung des Produkts geschuldet wird, sind die vertraglichen Pflichten bzgl. IT-Sicherheitsleistungen bei Verträgen über die zeitweise Überlassung von IT-Produkten regelmäßig stärker ausgeprägt. Dabei handelt es sich schließlich um Verträge, bei denen kein einmaliger Leistungsaustausch stattfindet, sondern die Erbringung von Leistungen für die vereinbarte Vertragslaufzeit geschuldet wird.4 Das IT-Produkt muss dann nicht nur bei Übergabe an die Kunden eine bestimmte IT-Sicherheitsbeschaffenheit aufweisen, sondern diese für die Laufzeit des Vertrages auch beibehalten.

126

Wird bspw. Software im Rahmen von Cloud-Computing-Verträgen über einen Fernzugriff gegen Entgelt zeitlich begrenzt bereitgestellt, handelt es sich regelmäßig um einen Miet- bzw. mietähnlichen Vertrag i.S.d. § 535 BGB und der Anbieter hat als Vermieter die Software in einem zum vertragsgemäßen Gebrauch geeigneten Zustand zu überlassen und diesen Zustand während der Mietdauer zu erhalten.5 Damit muss auch der vertraglich vereinbarte IT-Sicherheitsstandard der Software während dieser Zeit aufrechterhalten werden. 1 Spindler, MMR 2021, 451, 455. 2 Kühner/Piltz, CR 2021, 1, 6. 3 Schneider in Schneider, Handbuch EDV-Recht, Kapitel M Rz. 17; zur zeitweisen Softwareüberlassung Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 1–3. 4 Sutschet in BeckOK-BGB, 59. Edition, 1.8.2021, § 241 Rz. 27. 5 S. auch Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 62; Marly, Praxishandbuch Softwarerecht, Rz. 1345; Wiegand in Kipker, Cybersecurity, Kapitel 7 Rz. 67.

52

2021-11-22, 12:02, HB groß

II. IT-Sicherheit als Hauptleistungspflicht | Rz. 129 B.

Aufgrund der mietvertraglichen Erhaltungspflicht wird hinsichtlich geschuldeter Anpassungen des IT-Sicherheitsstandards des zeitlich begrenzt überlassenen Produkts eine Differenzierung erforderlich: Der Anbieter schuldet während der Vertragslaufzeit grundsätzlich die Behebung von Produktmängeln, aber keine darüber hinausgehenden Aktualisierungen und Weiterentwicklungen.1 Entsprechende IT-Sicherheitsmängel entstehen, wenn sich die für die Vertragsgemäßheit des Gebrauchs relevanten Parameter, vorrangig in Form von Gesetzesänderungen, ändern.2 Tritt also während der zeitlich begrenzten Überlassung des IT-Produkts eine Änderung des IT-Sicherheitsrechts ein, muss der Anbieter das Produkt an die neuen rechtlichen Anforderungen anpassen und daher ggf. auch den IT-Sicherheitsstandard erhöhen, was regelmäßig über Updates umgesetzt wird. Das IT-Sicherheitsrecht gibt jedoch stets ein Mindestniveau an IT-Sicherheit vor, so dass nur zwingend notwendige Anpassungen geschuldet werden. Ein bestmögliches oder gar umfassendes IT-Sicherheitsniveau in Form regelmäßiger Anpassungen an technische oder faktische Risikolagen wird dagegen nicht zwingend vertraglich geschuldet.3 Somit ist außerhalb von Verbraucherverträgen nur eine begrenzte Update-Pflicht Bestandteil der vertraglichen IT-Sicherheitsleistung bei Verträgen auf Zeit.

127

Bei Verbraucherverträgen sind Unternehmer hingegen verpflichtet, alle Aktualisierungen und Verbesserungen gem. §§ 327f, 578b Abs. 1 BGB bereitzustellen, die zur Erhaltung des vertragsgemäßen Zustands erforderlich sind. Die Aktualisierungen können insbesondere

128

– die Behebung kleiner Softwaredefekte und – die Bereitstellung von Sicherheitsupdates beinhalten.4 Von den zur Aufrechterhaltung der Vertragsmäßigkeit nach § 327e Abs. 2 und 3 BGB und § 327f BGB erforderlichen Aktualisierungen sind sonstige Anpassungen und Änderungen zu unterscheiden, die über die Aufrechterhaltung der Vertragsmäßigkeit hinausgehen. Solche Änderungen sind nur unter den weiteren Voraussetzungen des § 327r BGB zulässig, um einen angemessenen Interessenausgleich zwischen Unternehmer und Verbraucher zu schaffen.5 Eine umfassendere vertragliche Update-Pflicht kann sich unabhängig von den beteiligten Vertragsparteien im Einzelfall aus der vertraglichen Leistungsvereinbarung ergeben. Dies sollte Verträge betreffen, bei denen ein möglichst umfassender IT-Sicherheitsstandard als dauerhafter Erfolg geschuldet wird.6

1 von dem Bussche/Schelinski in Leupold/Wiebe/Glossner, IT-Recht, Teil 2.6 Kapitel D Rz. 158; Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 72 ff. 2 Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 74. 3 Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 73. 4 Schippel, K&R 2021, 151, 151; Kühner/Piltz, CR 2021, 1, 4 f. 5 Deutscher Bundestag, Drucksache 19/27653, S. 77. 6 Koch, CR 2009, 485, 486.

53

2021-11-22, 12:02, HB groß

129

B. Rz. 130 | IT-Sicherheit als vertragliche Pflicht 130

Beispiel für einen als dauerhaften Erfolg geschuldeten IT-Sicherheitsstandard1: Antiviren-Programme dienen dem Zweck eines möglichst umfassenden Schutzes der IT vor externen Sicherheitsbedrohungen. Werden Antiviren-Programme zeitlich begrenzt zur Verfügung gestellt, sollen sie für die Vertragsdauer die Abwehr von IT-Sicherheitsrisiken sicherstellen. Da sich die Programme häufig nur auf bereits bekannte Bedrohungslagen, wie sich im Umlauf befindliche Malware oder Viren, beziehen können, kann der geschuldete, möglichst umfassende IT-Sicherheitsstandard nur über regelmäßige Updates des Antiviren-Programms erreicht werden. Da der Zweck des Vertrags ein umfassender Sicherheitsstandard ist, schuldet der Anbieter einen bestimmten Sicherheitserfolg und muss Maßnahmen ergreifen, um diesen dauerhaft sicherzustellen. Damit schuldet der Anbieter regelmäßige Aktualisierungs-Updates. Diese muss er zur Verfügung stellen, während die Installation – je nach technischer Infrastruktur – auch ein Tätigwerden des Software-Anwenders erfordern kann.

c) Fazit: Anbieterseitige Pflichten zur Anpassung des IT-Sicherheitsstandards 131

IT-Sicherheitsstandards bedürfen für ihre Effektivität einer Aufrechterhaltung, damit sie auf veränderte technische Gegebenheiten oder geänderte Bedrohungslagen eingestellt sind. Rasche technische Entwicklungen führen andernfalls dazu, dass die ITSicherheitsbeschaffenheit von Produkten zügig veraltet. Wie soeben gezeigt, hängt die vertraglich geschuldete Sicherheit von IT-Produkten maßgeblich vom geschlossenen Vertrag ab.

132

Bei der dauerhaften Überlassung von IT-Produkten (s. Rz. 107 ff.) wird eine bestimmte IT-Sicherheitsbeschaffenheit bei Übergabe des Produkts geschuldet. Enthält das Produkt Sicherheitslücken, ist es mangelhaft und der Kunde hat gegenüber dem Anbieter Gewährleistungsansprüche.2 Dies bezieht sich grundsätzlich nur auf Fehler, die bereits bei Gefahrübergang angelegt waren und nicht solche, die erst im Nachhinein durch eine weiterentwickelte Risikolage auftreten.3 Entspricht das Produkt also nach einer Weile nicht mehr dem marktüblichen Sicherheitsstandard und ist auf geänderte Bedrohungslagen hin nicht entsprechend aktualisiert worden, ergibt sich im Kaufrecht nur bei Verbrauchsgüterkaufverträgen eine zwingende Verpflichtung des Anbieters zur Aktualisierung und Modernisierung des IT-Sicherheitsstandards.4 Bei anderen Verträgen darf das Produkt zeitlich auf dem technischen Stand zum Zeitpunkt des Vertragsabschlusses gehalten werden, sofern die Parteien nichts anderes vereinbart haben.5 Es besteht damit grundsätzlich keine ungeschriebene Aktualisierungspflicht des Anbieters, so dass dafür der Abschluss gesonderter Wartungsoder Pflegeverträge erforderlich wird.6 Allerdings treffen den Anbieter auf Grund1 2 3 4 5

Koch, CR 2009, 485, 486. Raue, NJW 2017, 1841, 1843; Spindler, NJW 2004, 3145, 3146. Raue, NJW 2017, 1841, 1843. Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 72. Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 74; Weidenkaff in Palandt, BGB, § 535 Rz. 39; s. auch BGH, Urt. v. 6.10.2004 – VIII ZR 355/03, NJW 2005, 218, 218 f. = MDR 2005, 743; BGH, Urt. v. 7.7.2010 – VIII ZR 85/09, NJW 2010, 3088, 3088 f. = MDR 2010, 1041; OLG Düsseldorf, Urt. v. 6.6.2002 – 10 U 12/01, NZM 2002, 737, 737 ff. bzgl. einer Pflicht zur Anpassung an veränderte Sicherheitsstandards. 6 Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 78 zur Softwarepflege.

54

2021-11-22, 12:02, HB groß

III. IT-Sicherheit als Nebenpflicht | Rz. 134 B.

lage des Vertrags nachwirkende Treuepflichten, gemäß derer er dem Kunden die durch den Vertrag gewährten Vorteile nicht wieder entziehen oder diese wesentlich schmälern darf.1 Daraus leitet die Instanz-Rechtsprechung teilweise eine zeitlich erweiterte Verpflichtung zur Aufrechterhaltung des IT-Sicherheitsstandards ab: danach muss der Anbieter auch nach Ablauf der Gewährleistungsfrist für einen gewissen Zeitraum notwendige Erhaltungs-Updates zur Sicherung der Funktionsfähigkeit des Produkts – zumindest gegen Bezahlung – anbieten.2 Bei der zeitweisen Überlassung von IT-Produkten ist bei der vertraglich geschuldeten Anpassung des IT-Sicherheitsstandards, wie bereits dargelegt (s. Rz. 125 ff.), zu differenzieren: Updates des Sicherheitsstandards werden auf der Grundlage von Rechtsänderungen während der Vertragslaufzeit stets geschuldet, wohingegen außerhalb von Verbraucherverträgen allein auf Grundlage von technischen oder faktischen Änderungen des Risikopotentials Aktualisierungen nicht zum vertraglich geschuldeten Leistungsspektrum gehören.3 Für den Abschluss gesonderter Wartungs- und Pflegeverträge bei der zeitweisen Überlassung von IT-Produkten ist damit nur Raum, wenn der Kunde Aktualisierungen und Weiterentwicklungen zur Erreichung möglichst umfassender IT-Sicherheit wünscht. Würde hingegen der Anbieter für die vertraglich geschuldeten Mindest-Aktualisierungen eine zusätzliche Vergütung verlangen, würde der Kunde unangemessen benachteiligt, da er für eine bereits mit der Miete abgegoltene Leistung noch einmal zahlen müsste.

133

III. IT-Sicherheit als Nebenpflicht IT-Sicherheit bzw. Informationssicherheit können nicht nur zum Gegenstand der vertraglichen (Haupt-)Leistungspflichten werden, sondern können auch aus Vertrauensgesichtspunkten im Rahmen von Verträgen relevant werden. Dabei muss es sich nicht notwendigerweise um Verträge handeln, die einen offensichtlichen Informationssicherheitsbezug aufweisen. § 241 Abs. 2 BGB verpflichtet Vertragsparteien zur gegenseitigen Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen der jeweils anderen Partei. Verträge begründen eine Sonderbeziehung zwischen den Parteien, die nicht nur die Erbringung der geschuldeten Leistungen, sondern auch gegenseitige Rücksichtnahme als Nebenpflicht erforderlich machen.4 Die Einhaltung der eigenen Informationssicherheitspflichten durch das Unternehmen kann daher auch eine vertragliche Pflicht sein, da den Vertragspartnern durch Zwischenfälle materielle oder immaterielle Schäden entstehen können.

1 Raue, NJW 2017, 1841, 1843; Sutschet in BeckOK-BGB, 59. Edition, 1.8.2021, § 241 Rz. 99 ff. m.w.N. 2 Riehm/Meier, MMR 2020, 571, 573 f.; Raue, NJW 2017, 1841, 1843 m.w.N. in Fn. 26. 3 Roth-Neuschild in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 13 Rz. 73. 4 Grüneberg in Palandt, BGB, § 241 Rz. 6; Sutschet in BeckOK-BGB, 59. Edition, 1.8.2021, § 241 Rz. 15.

55

2021-11-22, 12:02, HB groß

134

B. Rz. 135 | IT-Sicherheit als vertragliche Pflicht 135

Umfang und Inhalt der Nebenpflichten gibt § 241 Abs. 2 BGB nicht vor. Wichtige Fallgruppen bilden jedoch Schutz- und Aufklärungspflichten.1 Während Schutzpflichten die Vertragsparteien zu einem Verhalten verpflichten, durch das die Rechte, Rechtsgüter und Interessen des anderen Teils nicht verletzt werden, verpflichten Aufklärungspflichten zur unaufgeforderten Information der anderen Partei über erkennbar entscheidungserhebliche Umstände.2 Umfang und Inhalt der Nebenpflichten sind vom konkreten Fall und daher vom vereinbarten Vertragszweck, der Verkehrssitte, den beiderseitigen Interessen und den Anforderungen des Geschäftsverkehrs abhängig.3 Je mehr eine Partei auf die Zusammenarbeit angewiesen ist oder auf die ITSicherheitsvorkehrungen der anderen Partei vertrauen muss und je größer die Sicherheitsrisiken sind, denen sie durch die vertragliche Beziehung ausgesetzt wird, desto mehr erlangen die Nebenpflichten im konkreten Fall an Gewicht.4 Ein generelles Pflichtenprogramm lässt sich allerdings nicht ablesen.

136

Sind die gesetzlichen IT-Sicherheitsverpflichtungen des Unternehmens besonders intensiv ausgeprägt, stellt deren Einhaltung regelmäßig eine Nebenpflicht im Rahmen der vom Unternehmen mit Dritten abgeschlossenen Verträge dar. Dies ist z.B. beim Online-Banking (s. insbesondere Rz. 485 ff., Rz. 494 ff.) der Fall.5 Das Bestehen umfassender IT-Sicherheitspflichten ist auf ein hohes Risikopotential zurückzuführen, so dass IT-Sicherheitsvorfälle nicht nur ein hohes Risiko für die Interessen des Unternehmens, sondern auch für diejenigen der Vertragspartner bergen. Die IT-Sicherheitspflichten sind dann zugleich Schutzpflichten. Unternehmen sollten prüfen, wann und wie sich die unternehmensinterne Verletzung eigener IT-Sicherheitspflichten auf Vertragspartner nachteilig auswirken kann. Wird deren vermögensund persönlichkeitsrechtlicher status quo durch Sicherheitsvorfälle im Unternehmen potentiell beeinträchtigt, bildet dies ein starkes Indiz dafür, dass die IT-Sicherheit eine Schutzpflicht zum Vertrag ist.

137

Beispiel für IT-Sicherheit als vertragliche Nebenpflicht: Eine Bank wird zum Opfer eines Cyber-Angriffs, wodurch zahlreiche Überweisungen von Kundenkonten an Dritte veranlasst werden, die nicht alle rückgängig gemacht werden können. Auch Kunde X ist davon betroffen und erleidet einen Schaden i.H.v. 400 Euro. Der Angriff ist auf eine Schwachstelle im IT-System der Bank zurückzuführen, die von Hackern ausgenutzt wurde. Die Sicherheitsrisiken beim Online-Banking sind besonders hoch. Die Nutzung von Zahlungsdiensten ist für Kunden zur Abwicklung alltäglicher Geschäfte besonders wichtig, macht eine Verarbeitung vertraulicher Zahlungsdaten erforderlich und Banken unterliegen dementsprechend strengen IT-Sicherheitspflichten. Aus den vorgenannten Gründen ist die Einhaltung der IT-Sicherheitspflichten für Banken und Kunden gleichermaßen von besonderer Bedeu1 Grüneberg in Palandt, BGB, § 241 Rz. 7. 2 Grüneberg in Palandt, BGB, § 241 Rz. 7 und § 280 Rz. 30; Bachmann in MüKo-BGB, § 241 Rz. 121. 3 Grüneberg in Palandt, BGB, § 241 Rz. 6; Bachmann in MüKo-BGB, § 241 Rz. 50 ff.; BGH, Urt. v. 30.9.2009 – VIII ZR 238/08, NJW 2010, 1135, 1137 = MDR 2010, 18. 4 Sutschet in BeckOK-BGB, 59. Edition, 1.8.2021, § 241 Rz. 44; Bachmann in MüKo-BGB, § 241 Rz. 50. 5 Roth/Schneider, ITRB 2005, 19, 20; Beucher/Utzerath, MMR 2013, 362, 367.

56

2021-11-22, 12:02, HB groß

IV. Hinweise zur Vertragsgestaltung | Rz. 140 B. tung. Sicherheitsvorfälle können leicht zu Schäden beim Kunden führen. So hat Kunde X durch den Cyber-Angriff 400 Euro verloren. Durch den Vorfall ist es damit zu einer Verletzung der Rechtsgüter des X gekommen. Die Einhaltung der IT-Sicherheitspflichten ist eine Nebenpflicht der Bank bzgl. ihres Vertrags mit X.1

Gesetzliche Informationssicherheitspflichten überschneiden sich insofern mit entsprechenden vertraglichen Nebenpflichten, als dass sie auch einen Hinweis auf über den Umfang gesetzlicher Pflichten hinausgehende Schutzpflichten liefern können. Vor allem im Datenschutzrecht sind (teilweise bereichsspezifische) Benachrichtigungspflichten vorgesehen, die Unternehmen zur Meldung von Datenschutzverletzungen an betroffene Personen verpflichten, etwa in Art. 34 DSGVO. Dabei geht es häufig um IT-Zwischenfälle im Unternehmen, durch die Daten von Kunden oder Vertragspartnern an unberechtigte Dritte gelangen. Die gesetzlichen Benachrichtigungspflichten wurden zum Schutz der Betroffenen geschaffen, um diesen das Ergreifen von Gegenmaßnahmen zu ermöglichen, und dienen somit deren Integritätsinteresse.2 Es handelt sich dabei gewissermaßen um die Verrechtlichung von Aufklärungspflichten. Diese Benachrichtigungspflichten sind jedoch durch ihren Anwendungsbereich und etwaige Ausnahmeregelungen beschränkt. Wenn die gesetzliche Benachrichtigungspflicht nicht zur Anwendung gelangt, kann daher unter Umständen in Ausnahmefällen eine vertragliche Benachrichtigungspflicht entstehen3, da die Aufklärung über Datenschutzverletzungen für Vertragspartner zumeist eine erhebliche Information darstellen sollte. Damit liefern normierte Informationssicherheitspflichten mit Bezug auf betroffene Personen außerhalb des Unternehmens einen wertvollen Hinweis auf den möglichen Umfang vertraglicher Nebenpflichten, die je nach Umständen des Einzelfalls auch darüber hinausgehen können.4

138

IV. Hinweise zur Vertragsgestaltung Da Informationssicherheitspflichten im Rahmen von Verträgen nicht nur als Leistungs-, sondern auch als Nebenpflichten relevant werden, ist ein gänzlicher Ausschluss der Informationssicherheit als Vertragspflicht kaum denkbar. Zumindest aus der Pflicht zur gegenseitigen Rücksichtnahme müssen Unternehmen ihre Informationssicherheitspflichten auch zum Schutz der Interessen, Rechte und Rechtsgüter ihrer Vertragspartner wahren.

139

Werden beim Vertragsschluss ausdrücklich Leistungspflichten mit Informationssicherheitsbezug vereinbart, sollte die Vertragsgestaltung besonders sorgfältig erfolgen. Auch aus Haftungsgründen (s. Rz. 544 ff.) sollte ein Anbieter im Vertrag eine möglichst genaue Beschreibung des eigenen Pflichtenprogramms vornehmen, also die in-

140

1 Finanzdienstleistungen i.S.v. Art. 2 lit. b Richtlinie 2002/65/EG unterfallen gem. § 327 Abs. 6 Nr. 5 BGB, Art. 3 Abs. 5 lit. e und ErwGr. 30 der Richtlinie 2019/770 nicht dem Anwendungsbereich der Regelungen zu digitalen Inhalten und digitalen Dienstleistungen (digitale Produkte), § 327 Abs. 1 Satz 1 BGB. 2 S. dazu etwa ErwGr. 85 f. DSGVO. 3 Mehrbrey/Schreibauer, MMR 2016, 75, 81 m.w.N. 4 Spindler, CR 2016, 297, 308.

57

2021-11-22, 12:02, HB groß

B. Rz. 140 | IT-Sicherheit als vertragliche Pflicht

ternen Informationssicherheitsmaßnahmen präzise darlegen.1 Aus Anbietersicht gilt es, soweit möglich, zu vermeiden, für einen bestimmten Sicherheitserfolg als Hauptleistungspflicht einstehen zu müssen. Aus diesem Grund wären für Anbieter bspw. dienstvertragliche Regelungen vorzugswürdig, da dann zwar eine bestimmte Leistung, wie z.B. das Bemühen um einen vereinbarten Sicherheitszustand, aber kein bestimmter IT-Sicherheitszustand als Erfolg geschuldet wird.2 Ist das Unternehmen Abnehmer oder Nutzer von IT-Produkten oder -Leistungen, wären dahingegen entsprechend Werkverträge günstiger, da sie dann von ihrem Vertragspartner einen vereinbarten IT-Sicherheitserfolg verlangen können. 141

Lagert ein Unternehmen eigene IT-Prozesse auf externe Dienstleister aus, sollte auch hier darauf geachtet werden, dass das Pflichtenprogramm des Dienstleisters in Bezug auf anzustrebende Sicherheitsstandards klar umrissen wird. Das Unternehmen sollte außerdem entsprechende Kontroll- und Berichtspflichten im Vertrag vorsehen, um die Einhaltung der Vorgabe überprüfen zu können.3

V. Übersicht zu typischen Fallgruppen 142

Informationssicherheit als Leistungspflicht = wird ausgehend von den vertraglichen Vereinbarungen als Leistung geschuldet fi Bestimmung des Pflichtenprogramms im Einzelfall Vertrag

Informationssicherheitspflichten

IT-OutsourcingVerträge

Auftraggeber gibt die eigenen – Dienstvertrag: keine umfasInformationssicherheitspflichsenden Gewährleistungsanten im Rahmen des Vertrags sprüche, daher insbesondere an den Outsourcing-Anbieter Schadensersatzansprüche des weiter Auftraggebers (statt der Leistung oder neben der Leistung – als Dienstvertrag: Leisbei unzureichender oder nicht tungserbringung unter Berechtzeitiger Leistungserbrinrücksichtigung der Informagung) und ggf. Recht zur Küntionssicherheitsvorgaben digung des Vertrags wird geschuldet – Werkvertrag: umfassende Ge– als Werkvertrag: vereinbarwährleistungsansprüche (Beter Informationssicherheitshebung von Mängeln, Rückstandard wird als Erfolg getrittsrecht, Minderung der schuldet Vergütung, …) einschließlich Schadensersatzansprüche (statt oder neben der Leistung), Recht zur Kündigung bis zur Vollendung des Werks

Beispiele: Cloud Computing, Beauftragung externer IT-Sicherheitsbeauftragter, …

Mögliche Verletzungsfolgen

1 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 319. 2 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 320; s. zum Leistungsmaßstab des Dienstrechts Spinner in MüKo-BGB, § 611 Rz. 1 ff. 3 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 320.

58

2021-11-22, 12:02, HB groß

V. Übersicht zu typischen Fallgruppen | Rz. 142 B. Informationssicherheit als Leistungspflicht = wird ausgehend von den vertraglichen Vereinbarungen als Leistung geschuldet fi Bestimmung des Pflichtenprogramms im Einzelfall Vertrag

Informationssicherheitspflichten

Mögliche Verletzungsfolgen

Auftragsverarbeitung

– Auftraggeber (= für die Ver- – Schadensersatzansprüche des arbeitung personenbezoVerantwortlichen gener Daten Verantwort– Bußgelder auf Grundlage des licher) verpflichtet den allg. Datenschutzrechts Auftragnehmer (= Auftrags– bei Werkvertrag: umfassende verarbeiter) zu InformatiGewährleistungsansprüche onssicherheitsmaßnahmen – eigene datenschutzrechtliche Informationssicherheitspflichten des Auftragsverarbeiters

Kaufverträge über IT-Produkte

– Produkt muss bestimmte – umfassende GewährleistungsIT-Sicherheitseigenschaften ansprüche (Nacherfüllung bei aufweisen (subjektive/obMängeln, Rücktrittsrecht, …) jektive Anforderungen) sowie Schadensersatzansprüche (statt oder neben der Leis– Pflicht zum Bereitstellen tung bei unzureichender oder von Erhaltungs-Updates nicht rechtzeitiger Vertragszur Sicherung der Funkerfüllung) tionsfähigkeit des Produkts (zumindest während der Gewährleistungsfrist auf Kosten des Verkäufers)

Verträge über die zeitweise Überlassung von IT-Produkten Beispiele: ASP, SaaS, …

Verträge über die Wartung und Pflege von IT-Produkten

– Produkt muss vereinbarte IT-Sicherheitsbeschaffenheit während der Laufzeit des Vertrags aufweisen fi Herstellung des vertraglich vereinbarten Zustands des Produkts

– Schadensersatzansprüche (statt oder neben der Leistung bei unzureichender oder nicht rechtzeitiger Leistungserbringung)

– mietvertragliche Erhaltungspflicht: begrenzte Update-Pflicht zur Erhaltung des vereinbarten Sicherheitsstandards, keine Pflicht zur umfassenden Anpassung

– Recht zur Selbstvornahme bei Mängeln des Produkts

– Erhalt der Gebrauchsfähigkeit und Sicherheit der ITProdukte wird geschuldet

– Minderungsrecht bzgl. vereinbarter Vergütung

– s. Anmerkungen zu möglichen Verletzungsfolgen bei IT-Outsourcing-Verträgen

– häufig dienst- und werkvertragliche Elemente

59

2021-11-22, 12:02, HB groß

B. Rz. 143 | IT-Sicherheit als vertragliche Pflicht 143

Informationssicherheit als Nebenpflicht (§ 241 Abs. 2 BGB) = Verpflichtung zur Einhaltung eigener Informationssicherheitspflichten zur gegenseitigen Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen der Vertragspartner Pflicht

Umfang

Verletzungsfolge

Schutzpflichten

= Unternehmen schuldet Informationssicherheit, damit die Rechte, Rechtsgüter und Interessen der Vertragspartner nicht verletzt werden

– Schadensersatzansprüche des Vertragspartners

– je intensiver die Informationssicherheitspflichten des Unternehmens, desto weitreichender seine Schutzpflichten Aufklärungspflichten

= Unternehmen schuldet seinen Vertragspartnern unaufgeforderte Information über Informationssicherheitsvorfälle, die diese schädigen könnten – Aufklärungspflichten in Form spezialgesetzlicher Benachrichtigungspflichten (z.B. Art. 34 DSGVO) weitgehend verrechtlicht

60

2021-11-22, 12:02, HB groß

– kann Recht zum Rücktritt oder zur Kündigung des Vertrags auslösen (§§ 314, 324 BGB)

C. IT-Sicherheit zum Schutz von Geschäftsgeheimnissen

Die Einhaltung der IT- und Informationssicherheitspflichten ist für Unternehmen, wie bereits gezeigt (s. Rz. 27 ff.), nicht nur aus rechtlicher, sondern auch aus unternehmerischer Sicht bedeutsam. Ein unzureichender Informationssicherheitsstandard kann zum Reputationsverlust und damit zu empfindlichen Umsatzeinbußen führen. Investitionen in die unternehmenseigene Informationssicherheit sind daher Investitionen in die Zukunfts- und Wettbewerbsfähigkeit am Markt.1 Geschäfts- und Betriebsgeheimnisse bilden meist die Existenzgrundlage von Unternehmen. Ihr Schutz war ursprünglich in den §§ 17–19 UWG verankert, welche im Zuge der nationalen Umsetzung der Geschäftsgeheimnis-Richtlinie durch die Regelungen des § 23 GeschGehG ersetzt wurden. Damit ist das GeschGehG für Unternehmen von entscheidender Bedeutung und bildet eine neue Säule des Rechtsschutzes gegen Marktteilnehmer.2

144

Durch das GeschGehG wurde die Geschäftsgeheimnis-Richtlinie3 in deutsches Recht umgesetzt. Durch die Geschäftsgeheimnis-Richtlinie soll ein harmonisierter Schutzstandard für die gesamte EU geschaffen werden.4 Geschäftsgeheimnisse bestimmen regelmäßig den geschäftlichen Erfolg zahlloser Unternehmen und stehen daher immer mehr im Zentrum vielfältiger konkurrierender Interessen.5 Geschäftsgeheimnisse sind häufig ein wesentlicher Vermögensbestandteil des Unternehmens; mit ihrem Geheimbleiben steht und fällt deren Wert.6 Mit der zunehmenden Digitalisierung wächst auch die Wirtschaftsspionage exponentiell, wobei sich das genaue Ausmaß von Industriespionage und Geheimnisverrat mangels verlässlicher Daten, hoher Dunkelziffern und geringer Aufklärungsquoten kaum verlässlich abschätzen lässt.7 Die Offenlegung von Geschäftsgeheimnissen birgt ein gewichtiges Schadenspotential und kann für Unternehmen zum existenzbedrohenden Risiko werden (s. Rz. 15 ff., 27).8 Unzureichende Informationssicherheit bietet erfolgreicher Industriespionage regelmäßig erst einen Nährboden. Mit der zunehmenden Vernetzung der Unternehmensdaten innerhalb der eigenen IT-Systeme und der allgegenwärtigen Nutzung von Internet und Telekommunikationsnetzen werden Daten- und Wirtschaftsspionage erheblich begünstigt.9

145

1 2 3 4 5 6 7 8 9

Byok, BB 2017, 451, 453. Hauck, GRUR-Praxis 2019, 223, 223. Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates, ABl. L 157/1. Bildhäuser/Reinhardt, GRUR-Praxis 2020, 576, 576. Brammsen, ZIP 2016, 2193, 2193. Alexander in Köhler/Bornkamm/Feddersen, UWG, Vorbem. GeschGehG Rz. 38 m.w.N. Brammsen, ZIP 2016, 2193, 2193 f. m.w.N. S. etwa die Beispiele bei Brammsen, ZIP 2016, 2193, 2194 f. Brammsen, ZIP 2016, 2193, 2197.

61

2021-11-22, 12:02, HB groß

C. Rz. 146 | IT-Sicherheit zum Schutz von Geschäftsgeheimnissen 146

Der Begriff des Geschäftsgeheimnisses wird in § 2 Nr. 1 GeschGehG legaldefiniert. Damit Unternehmensinformationen als Geschäftsgeheimnisse qualifiziert werden können, müssen sie sowohl objektive als auch subjektiven Kriterien erfüllen:1 § 2 GeschGehG – Begriffsbestimmung Im Sinne dieses Gesetzes ist 1. Geschäftsgeheimnis eine Information a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und b) die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht […]

147

Damit gelten folgende Anforderungen für die Einordnung einer Information als Geschäftsgeheimnis: – Geheime Information: Ausgehend von § 2 Nr. 1 lit. a GeschGehG ist ein Geschäftsgeheimnis eine Information, die nicht allgemein bekannt oder ohne größeren Zeitund Kostenaufwand zugänglich ist.2 Bei der allgemeinen Bekanntheit und Zugänglichkeit der Information wird nicht abstrakt-generell auf die Gesamtbevölkerung abgestellt, sondern auf den informationsspezifischen Verkehrskreis.3 – Wirtschaftlicher Wert der Information: Vorausgesetzt wird, dass die Information selbst einen Handelswert hat oder durch die Bekanntmachung der Information geschäftliche oder finanzielle Interessen, die strategische Position oder die Wettbewerbsfähigkeit des geschützten Unternehmens untergraben wird.4 – Angemessene Geheimhaltungsmaßnahmen: Es wird eine aktive Handlungspflicht zum Schutz der Informationen vorausgesetzt. Auch hier ist die Angemessenheit von Geheimhaltungs-/Schutzmaßnahmen im jeweiligen Einzelfall zu bestimmen. Aspekte wie der Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten, die Bedeutung für das Unternehmen, die Größe des Unternehmens, die üblichen Geheimhaltungsmaßnahmen in dem Unternehmen und vereinbarte vertragliche Regelungen mit Arbeitnehmern und Geschäftspartnern sind im Rahmen der Angemessenheit der getroffenen Geheimhaltungsmaßnahmen zu berücksichtigen.5 Werden keine Schutzmaßnahmen ergriffen und wird lediglich darauf

1 2 3 4

Hiéramente in BeckOK-GeschGehG, 8. Edition, 15.6.2021, § 2 Rz. 9 ff. Bildhäuser/Reinhardt, GRUR-Prax 2020, 576, 576. Alexander in Köhler/Bornkamm/Feddersen, UWG, § 2 GeschGehG Rz. 37. Harte-Bavendamm in Harte-Bavendamm/Ohly/Kalbfus, GeschGehG, § 2 Rz. 36 ff.; s. auch ErwGr. 14 Richtlinie (EU) 2016/943, ABl. L 157/1. 5 Deutscher Bundestag, Drucksache 19/4724, S. 24 f.; Bildhäuser/Reinhardt, GRUR-Praxis 2020, 576, 576.

62

2021-11-22, 12:02, HB groß

V. Übersicht zu typischen Fallgruppen | Rz. 150 C.

vertraut, die geheime Information werde nicht entdeckt und bleibe verborgen, so entfällt der Schutz durch die Rechtsordnung.1 Aufgrund der deutlich nachteiligen Auswirkungen mangelnden Geheimnisschutzes sollte stets ein Mindeststandard an Informationssicherheit eingehalten werden. – Berechtigtes Interesse an der Geheimhaltung: Das berechtigte Interesse des Geheimnisinhabers wird durch die Erfüllung der vorgenannten objektiven Voraussetzungen indiziert. Ein Ausschluss des Interesses liegt z.B. vor, wenn der Geheimnisschutz auf rechtswidrige Vorgänge im Unternehmen, wie bspw. Kartellabsprachen, angewendet werden soll.2 Werden Geschäftsgeheimnisse das Ziel externer Angriffe auf die IT eines Unternehmens, so können Straftaten nach § 23 GeschGehG vorliegen. Die Vorschrift schützt sowohl Unternehmensinhaber vor einer Verletzung ihrer Geschäftsgeheimnisse als auch den Wettbewerb vor Verfälschung.3

148

§ 23 GeschGehG enthält fünf verschiedene Straftatbestände und Qualifikationen. Diese knüpfen an das Handlungsverbot des § 4 GeschGehG an und sanktionieren die illegale Erlangung (Abs. 1 Nr. 1), die illegale Nutzung oder Offenlegung rechtswidrig durch den Täter selbst erlangter Geschäftsgeheimnisse (Abs. 1 Nr. 2), den Geheimnisverrat von Beschäftigten (Abs. 1 Nr. 3), die Geheimnishehlerei (Abs. 2) und die Nutzung bzw. Offenlegung von Vorlagen und technischen Aufzeichnung (Abs. 3) mit Geldstrafe oder Freiheitstrafe von bis zu 5 Jahren (bei Erfüllung der Qualifikationen nach Abs. 4).4

149

Neben der strafrechtlichen Sanktion sieht das GeschGehG in Abschnitt 2 verschiedene zivilrechtliche Ansprüche für die Inhaber von Geschäftsgeheimnissen vor. Diese reichen vom Anspruch auf Beseitigung und Unterlassung der Rechtsverletzung gem. § 6 GeschGehG bis hin zum Schadensersatzanspruch gem. §§ 10, 12 GeschGehG. Die Durchsetzung der Rechte des Geheimnisinhabers kann im Einzelfall wegen des Einwands der missbräuchlichen Geltendmachung gem. § 14 GeschGehG versagt sein. Eine missbräuchliche Geltendmachung der Rechte ist z.B. gegeben, wenn der Anspruchsinhaber mit der Rechtsdurchsetzung sachfremde Ziele verfolgt. Die zu § 242 BGB entwickelten Grundsätze können zur Bestimmung der Missbräuchlichkeit i.S.d. § 14 GeschGehG herangezogen werden.5

150

1 Alexander in Köhler/Bornkamm/Feddersen, UWG, § 2 GeschGehG Rz. 49. 2 Die Richtlinie sah eine subjektive Komponente nicht ausdrücklich vor und erwähnte das berechtigte Interesse lediglich in ErwGr. 14. Eine richtlinienkonforme Auslegung gebietet, dass eine weite Auslegung des Merkmals vorgenommen wird und dieses nur in Sonderfällen verneint werden darf, was auch in § 1 Abs. 3 GeschGehG zur Geltung kommt (näher dazu Alexander in Köhler/Bornkamm/Feddersen, UWG, § 2 GeschGehG Rz. 73 ff.). 3 Hiéramente in BeckOK-GeschGehG, 8. Edition, 15.6.2020, § 23 Rz. 5. 4 Alexander in Köhler/Bornkamm/Feddersen, UWG, § 2 GeschGehG Rz. 1 ff.; Hiéramente in BeckOK-GeschGehG, 8. Edition, 15.6.2020, § 23 Rz. 7. 5 Spieker in BeckOK-GeschGehG, 8. Edition, 15.6.2020, § 14 Rz. 3.

63

2021-11-22, 12:02, HB groß

C. Rz. 151 | IT-Sicherheit zum Schutz von Geschäftsgeheimnissen 151

Die abschließende Regelung der zivilrechtlichen Ansprüche in Bezug auf Geschäftsgeheimnisse schließt eine Anwendung des allgemeinen Deliktsrechts aus, soweit der Anwendungsbereich nach § 1 GeschGehG eröffnet ist. Lediglich ein Rückgriff auf § 826 BGB soll bei einer vorsätzlichen sittenwidrigen Schädigung möglich sein.1

152

Der rechtliche Schutz wird, im Gegensatz zur vorhergehenden Rechtslage, nur gewährt, wenn das Unternehmen (Geheimnisinhaber) präventive Schutzmaßnahmen ergriffen hat. Industriespionage kann von Unternehmen durch die Einhaltung eigener Informationssicherheitspflichten zwar nicht immer verhindert, ein Angriffsrisiko aber zumindest gesteuert bzw. minimiert werden. Wollen Unternehmen den Wert der eigenen Geschäftsgeheimnisse erhalten, sollten sie alle zumutbaren Mittel nutzen, um deren Offenlegung zu vermeiden. Dazu bieten umfangreiche inner- wie außerbetriebliche Informationssicherheitskonzepte, ergänzt durch klassischere Hilfsmittel wie etwa vertragliche Geheimhaltungsvereinbarungen, den bestmöglichen Weg.2

153

Checkliste möglicher Schutzmaßnahmen Organisatorische Maßnahmen Einrichtung von Alarmanlagen und Überwachungssystemen Räumliche Abschottung sensibler Arbeitsbereiche („Sicherheitsinseln“) Einrichtung von Zutrittskontrollanlagen Einrichtung eines Besuchermanagements; Zugang für externe Besucher nur nach Identifikation und Vorlage eines Lichtbildausweises; ggf. Abgabe etwaiger Aufzeichnungsgeräte (z.B. Fotohandys) Sichere Verwahrung bestimmter Unterlagen in besonders gesicherten Räumen oder in Tresoren Kennzeichnung von Dokumenten als „Vertraulich“ o.ä. Anweisung an Mitarbeiter, den Arbeitsplatz nur nach Sperrung des Bildschirms zu verlassen Reglementierung externer Speichermedien; Verbot des Speicherns von Daten auf privaten Endgeräten (z.B. USB-Sticks) Verbot der Nutzung bestimmter Medien (wie z.B. WhatsApp) zur betrieblichen Kommunikation Transport wichtiger Dokumente nur durch eigene Mitarbeiter „Rückholung“ von überlassenem technischen Equipment bei Arbeitnehmern Fachgerechte Entsorgung von Altgeräten Überwachung und regelmäßige Kontrolle der Einhaltung von Sicherungsmaßnahmen Regelmäßige Evaluation (und Dokumentation) der getroffenen Maßnahmen

1 Kalbfus in Harte-Bavendamm/Ohly/Kalbfus, GeschGehG, Einleitung Rz. 206 ff.; näher dazu Alexander in Köhler/Bornkamm/Feddersen, UWG, Vorbemerkungen GeschGehG Rz. 91 ff. 2 So auch Brammsen, ZIP 2016, 2193, 2201 m.w.N.

64

2021-11-22, 12:02, HB groß

V. Übersicht zu typischen Fallgruppen | Rz. 153 C. Personelle Maßnahmen Instruktion von Mitarbeitern; Schaffung einer besonderen Sensibilität für den Schutz vertraulicher Informationen bei Mitarbeitern durch Fortbildungen oder Schulungen Schaffung eines „Need to know“-Prinzips, wonach die Mitarbeiter nur jeweils in dem Maße Zugang zu den vertraulichen Informationen erhalten, wie dies für die Erfüllung ihrer Aufgaben unbedingt notwendig ist Einsetzung eines fachlich versierten, unternehmensweit zuständigen Sicherheitsverantwortlichen („Security-Manager“) oder Geheimnisschutzbeauftragten Sorgfältige Auswahl von Mitarbeitern in sensiblen Bereichen Pre-Employment-Screenings und Backgroundchecks in datenschutzrechtlich zulässigen Grenzen Spezifische Bewerberbefragung in arbeitsrechtlich zulässigen Grenzen (etwa bzgl. einschlägiger Vorstrafen) Unterrichtung der eigenen Sicherheitskräfte, bei Bedarf auch wichtiger Geschäftspartner über die Kündigung von Mitarbeitern Technische Maßnahmen Einschränkung der Zugriffsrechte für die Computer, die einen Zugriff auf Geschäftsgeheimnisse haben Zugangssicherung der Daten durch Passwörter Geregelter Umgang mit Passwörtern, etwa die regelmäßige Änderung und das Verbot der Weitergabe Gewährleistung der Netzwerksicherheit, Virenschutz, Schutz vor Trojanern Durchführung von Sicherheitsanalysen und Schließen etwaiger Sicherheitslücken Verschlüsselter E-Mail-Verkehr im Unternehmen und nach außen Einrichtung von Data-Loss-Prevention-Systemen und IT-Sicherheitsrichtlinien Rückstandsfreie Löschung von Datenträgern Einsatz von Authentifizierungsverfahren und Verschlüsselungstechnik Versehen der Dateien mit einem „digitalen Wasserzeichen“, damit der Weg einer solchen Datei nachverfolgt werden kann Sperrung der Zugänge zu Freemailern, die einen Versand von Dateien über den Arbeitsplatzrechner ermöglichen Rechtliche Maßnahmen Vertragliche Absicherung der Verschwiegenheit in Bezug auf Geschäftsgeheimnisse, insb. Geheimhaltungsvereinbarungen (Non-Disclosure Agreements); ggf. mit Vertragsstrafe Vereinbarung von Verhaltenskodizes (Codes of Conduct) Wettbewerbsvereinbarungen nach § 74 HGB (Zügige) Anmeldung von Patenten und Gebrauchsmustern Erkundigung nach dem Geheimnisschutz in ausländischen Rechtsordnungen bei internationalem Wissensaustausch

65

2021-11-22, 12:02, HB groß

C. Rz. 154 | IT-Sicherheit zum Schutz von Geschäftsgeheimnissen 154

Trotz der besonderen Bedeutung des Geschäftsgeheimnisses für den Inhaber sind in § 3 GeschGehG Ausnahmen vom Geschäftsgeheimnisschutz vorgesehen. So darf ein Geschäftsgeheimnis erlangt, genutzt oder offengelegt werden, wenn eine gesetzliche oder vertragliche Gestattung gem. § 3 Abs. 2 GeschGehG besteht. Darüber hinaus kann die Erlangung des Geschäftsgeheimnisses entsprechend § 3 Abs. 1 GeschGehG zulässig sein: Die nicht abschließende Aufzählung in § 3 Abs. 1 GeschGehG erlaubt die Erlangung eines Geschäftsgeheimnisses, wenn es sich um eine eigenständige Entdeckung oder Schöpfung (Nr. 1), Reverse Engineering (Nr. 2) oder die Wahrnehmung von Rechten des Arbeitnehmers oder Arbeitnehmervertretungen (Nr. 3) handelt. Das Reverse Engineering i.S.v. § 3 Abs. 1 Nr. 2 GeschGehG ist die Analyse eines Produkts zur Entschlüsselung von Geschäftsgeheimnissen aus den Produkten selbst. Die Rechtmäßigkeit des Reverse Engineerings setzt die freie Verfügbarkeit des Produkts auf dem Markt gem. lit. a oder den rechtmäßigen Besitz des Produktes gem. lit. b voraus.1 Die zweite Konstellation nach lit. b soll Unternehmenskooperationen und Zulieferverhältnisse umfassen und setzt zusätzlich voraus, dass kein vertraglicher Ausschluss des Reverse Engineerings vereinbart wurde.2 Das Erfordernis eines vertraglichen Ausschlusses von Reverse Engineering zeigt erneut, dass der Geschäftsgeheimnisinhaber selbst Maßnahmen ergreifen muss, um in den Genuss des Rechtsschutzes zu kommen.

155

& Das Wesentliche in Kürze: – Informationssicherheitsvorkehrungen sind zum präventiven und repressiven Schutz eigener Geschäftsgeheimnisse unerlässlich. Nicht nur der wirtschaftliche Wert des Geschäftsgeheimnisses geht durch eine Offenlegung oftmals verloren, sondern auch der rechtliche Schutz nach dem GeschGehG setzt die Ergreifung angemessener Geheimhaltungsmaßnahmen voraus.

1 Deutscher Bundestag, Drucksache 19/4724, S. 25. 2 Spieker in BeckOK-GeschGehG, 8. Edition, 15.6.2020, § 3 Rz. 10.

66

2021-11-22, 12:02, HB groß

D. IT-Sicherheitsdefizite als Rechtsbruch I. Vorbemerkung Die Verletzung eigener IT- oder Informationssicherheitspflichten kann für das Unternehmen selbst wettbewerbsrechtliche Relevanz entfalten. Dafür bietet insbesondere § 3a UWG die Grundlage.

156

§ 3a UWG – Rechtsbruch Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 3a UWG ist eine Transformationsnorm, welche die Voraussetzungen normiert, unter denen der Verstoß gegen eine gesetzliche Vorschrift außerhalb des Wettbewerbsrechts als unlautere geschäftliche Handlung zu beurteilen ist.1 Dies ist nicht bei jedem Gesetzesverstoß der Fall, der Auswirkungen auf den Wettbewerb haben kann.2 Vielmehr muss die verletzte Rechtsvorschrift zumindest auch dazu bestimmt sein, im Interesse der Verbraucher, Mitbewerber und sonstigen Marktteilnehmer das Marktverhalten zu regeln.3 Ob Vorschriften des Rechts der Informationssicherheit als interessenschützende Marktverhaltensregelungen anzusehen sind, lässt sich nur anhand des konkreten Charakters der relevanten Verpflichtungen bestimmen. Die pauschalisierende Aussage, dass Informationssicherheitsrecht marktverhaltensregelnd ist, lässt sich nicht treffen.

157

II. Informationssicherheitsrechtliche Vorschriften als Marktverhaltensregelungen Eine Vorschrift regelt das Marktverhalten, sofern sie das Anbieten und Nachfragen von Waren und Dienstleistungen, die Geschäftsanbahnung oder den Abschluss und die Durchführung von Verträgen Handlungs- oder Unterlassungspflichten unterwirft.4 Den Gegensatz dazu bilden Vorschriften über Verhaltensweisen, die der Betätigung auf dem Markt vorangehen oder nachfolgen, wie z.B. die Produktion, Forschung und Entwicklung.5 Von hoher Praxisrelevanz sind dabei Marktzutrittsregelungen,

1 2 3 4

Ohly in Ohly/Sosnitza, UWG, § 3a Rz. 1. Köhler in Köhler/Bornkamm/Feddersen, UWG, § 3a Rz. 1.61. Köhler in Köhler/Bornkamm/Feddersen, UWG, § 3a Rz. 1.61, 1.63. Micklitz/Schirmbacher in Spindler/Schuster, Recht der elektronischen Medien, § 3a UWG Rz. 8; Ohly in Ohly/Sosnitza, UWG, § 3a Rz. 15; Köhler in Köhler/Bornkamm/Feddersen, UWG, § 3a Rz. 1.62. 5 Ohly in Ohly/Sosnitza, UWG, § 3a Rz. 16 f.; Köhler in Köhler/Bornkamm/Feddersen, UWG, § 3a Rz. 1.62.

67

2021-11-22, 12:02, HB groß

158

D. Rz. 158 | IT-Sicherheitsdefizite als Rechtsbruch

bei denen Verstöße keine wettbewerbsrechtlichen Folgen nach sich ziehen. Dabei handelt es sich um solche Normen, die Personen den Marktzutritt aus Gründen verwehren oder bestimmten Bedingungen unterwerfen, die nichts mit deren Art und Weise des Agierens am Markt zu tun haben, sondern z.B. dem Schutz bestimmter Personen oder der Festlegung von Rahmenbedingungen des Wettbewerbs dienen.1 Die Abgrenzung von Marktverhaltens- und -zutrittsregelungen wird allerdings dadurch erschwert, dass Normen häufig einen Doppelcharakter besitzen. Regeln die Vorschriften zumindest auch das Marktverhalten, kann ein Verstoß nach § 3a UWG wettbewerbsrechtliche Konsequenzen nach sich ziehen.2 159

Von einer Doppelfunktion kann nach der Rechtsprechung in der Regel ausgegangen werden, wenn eine Betätigung am Markt einer öffentlich-rechtlichen Erlaubnis unterliegt bzw. die betreffende Norm gleichzeitig im Interesse der Marktteilnehmer – insbesondere der Verbraucher – eine bestimmte Qualität, Sicherheit oder Unbedenklichkeit der angebotenen Waren oder Dienstleistungen sicherstellen will.3 Informationssicherheitsverstöße eines Unternehmens können, wie bereits gezeigt (s. Rz. 12 ff.), nicht nur negative Folgen für das Unternehmen selbst, sondern auch für dessen Kunden und Geschäftspartner – also andere Marktteilnehmer – haben. Damit liegt es auf den ersten Blick nahe, dass das Informationssicherheitsrecht bestimmte Standards schafft, die zumindest auch die Marktteilnehmer vor IT-Risiken schützen sollen. Wie bereits gezeigt (s. Rz. 96 ff.), können Kunden bspw. beim Erwerb von IT-Produkten oder der Inanspruchnahme IT-basierter Dienste einen bestimmten Sicherheitsstandard und damit eine bestimmte Qualität erwarten. Eine pauschalisierende Klassifizierung von Informationssicherheitsvorschriften als Marktverhaltensregelungen ist dennoch nicht möglich, sondern muss immer anhand der verletzten Einzelnorm bestimmt werden. Es ist entscheidend, ob die Informationssicherheitspflicht (auch) der Förderung des Unternehmensabsatzes dient, auf die Marktteilnehmer einwirkt und deren Schutz bezweckt.4 Nicht immer kann zweifelsfrei vom Vorliegen aller drei Voraussetzungen ausgegangen werden. 1. Datenschutzrecht

160

Als Marktverhaltensregelungen kommen datenschutzrechtliche Vorgaben in Betracht. In den ErwGr. 2, 7 der DSGVO heißt es, dass das Regelungswerk nicht nur dem Schutz der Rechte und Freiheiten natürlicher Personen, deren Daten verarbeitet werden, dient, sondern auch der Förderung der digitalen Wirtschaft. Damit weist das Datenschutzrecht grundsätzlich sowohl einen Marktbezug als auch einen Schutzcharakter auf. Daher könnte es sich im Bereich des Datenschutzrechts teilweise um Marktver-

1 Köhler in Köhler/Bornkamm/Feddersen, UWG, § 3a Rz. 1.76. 2 Schaffert in MüKo-UWG, § 3a Rz. 87; Köhler in Köhler/Bornkamm/Feddersen, UWG, § 3a Rz. 1.82 f. 3 Köhler in Köhler/Bornkamm/Feddersen, UWG, § 3a Rz. 1.83; BGH, Urt. v. 25.4.2002 – I ZR 250/00, GRUR 2002, 825, 826 = ZIP 2002, 1645; BGH, Urt. v. 2.6.2005 – I ZR 215/02, GRUR 2005, 875, 876; BGH, Urt. v. 15.1.2009 – I ZR 141/06, GRUR 2009, 881, 882 f. 4 Byok, BB 2017, 451, 453.

68

2021-11-22, 12:02, HB groß

III. Wettbewerbsrechtliche Verletzungsfolgen | Rz. 162 D.

haltensregelungen handeln.1 Dagegen kann u.a. angeführt werden, dass der Datenschutz nicht dem Schutz der Verbraucher als Marktteilnehmer, sondern nur dem grundrechtlichen Schutz der Privatsphäre der natürlichen Personen diene.2 Die Frage wird kontrovers diskutiert und führt zu Rechtsunsicherheit bei Unternehmen.3 2. Vorgaben des BSI-Gesetzes Die Bestimmung des Vorliegens von sonstigen Marktverhaltensregelungen im Bereich der IT-Sicherheit fällt schwer, da bisher Rechtsprechung dazu fehlt, ob Verstöße gegen das Schutzgut der IT-Sicherheit einen Rechtsbruch gem. § 3a UWG darstellen können.4 Die wettbewerbsrechtliche Relevanz von Verstößen gegen das IT-Sicherheitsrecht unterliegt damit einer großen Rechtsunsicherheit. In Anbetracht der weitreichenden Folgen von IT-Sicherheitsverstößen für Unternehmen und ihre Kunden wird jedoch bereits teilweise befürwortet, dass zumindest Teilbereiche des IT-Sicherheitsrechts als Marktverhaltensregelungen zu qualifizieren sind. So wird ein Zusammenhang zwischen Informationssicherheit und Absatzförderung im Anwendungsbereich des BSIG (s. Rz. 254 f.) diskutiert, da die von den Regelungen betroffenen Betreiber wesentlicher Dienste, die der Bevölkerung Energie-, Finanz- oder andere Versorgungsleistungen erbringen, diese Dienste nur mit Hilfe sicherer IT-Systeme fortlaufend bereitstellen können und damit sowohl der Absatz als auch der Schutz der Nutzer vom IT-Sicherheitsstandard abhängen.5 In Anbetracht dieser Diskussion sollten Unternehmen in jedem Fall künftige Rechtsentwicklungen beobachten. Die bestehende Tendenz der Verschärfung des IT-Sicherheitsrechts unterstreicht den Bedeutungsgewinn des Schutzguts Informationssicherheit, so dass dessen Rolle für den Absatz am Markt im Wandel befindlich ist.

161

III. Wettbewerbsrechtliche Verletzungsfolgen Künftige Rechtsentwicklungen, insbesondere auf Grundlage der Rechtsprechung, können zur Annahme eines Rechtsbruchs gem. § 3a UWG führen. In solchen Fällen führt die Verletzung von Informationssicherheitsrecht potentiell zu empfindlichen wettbewerbsrechtlichen Konsequenzen. Dabei spielt das Risiko von auf Beseitigung und/oder Unterlassung gerichteten Abmahnungen für Wettbewerbsverstöße nach § 8 UWG eine eher untergeordnete Rolle, da mangelnde Informationssicherheit im Un1 Ohly in Ohly/Sosnitza, UWG, § 3a Rz. 79; von Jagow in Harte-Bavendamm/Henning-Bodewig, UWG, § 3a Rz. 33 jeweils m.w.N.; s. zum Telemediendatenschutz Gerlach, CR 2015, 581, 581 ff.; ablehnend Köhler in Köhler/Bornkamm/Feddersen, UWG, § 3a Rz. 1.74b. 2 Niebel in Fritzsche/Münker/Stollwerck, BeckOK-UWG, 13. Edition, 1.8.2021, § 3a Rz. 121. 3 Differenzierend Schaffert in MüKo-Lauterkeitsrecht, § 3a UWG Rz. 81; Janal in BeckOKIT-Recht, 3. Edition, 1.7.2021, § 3a UWG Rz. 8; ablehnend Köhler in Köhler/Bornkamm/ Feddersen, UWG, § 3a Rz. 1.74b; s. hinsichtlich der Klagebefugnis von Verbänden zur Verfolgung von Datenschutzrechtsverstößen: BGH, Beschl. v. 28.5.2020 – I ZR 186/17 und Spittka, GRUR-Prax 2020, 384, 384. 4 Byok, BB 2017, 451, 453. 5 Byok, BB 2017, 451, 453.

69

2021-11-22, 12:02, HB groß

162

D. Rz. 162 | IT-Sicherheitsdefizite als Rechtsbruch

ternehmen von außen kaum erkennbar oder gar nachweisbar ist.1 Angesichts des hohen Schadenspotentials von Informationssicherheitsmängeln (s. Rz. 12 ff.) dürften vor allem die übrigen Rechtsfolgen des UWG, insbesondere Schadensersatz und Gewinnabschöpfung gem. §§ 9, 10 UWG, von Relevanz sein.2 Von noch höherer Relevanz dürften nicht-materielle Folgen am Markt sein, insbesondere der Reputationsverlust des Unternehmens gegenüber Kunden und Geschäftspartnern (s. Rz. 27 ff.). 163

& Das Wesentliche in Kürze: – Die Verletzung der eigenen Informationssicherheitspflichten durch Unternehmen stellt ggf. einen sanktionsfähigen Rechtsbruch gem. § 3a UWG dar. Diesbezüglich besteht aufgrund fehlender Kasuistik zu dieser Thematik allerdings Rechtsunsicherheit.

1 Gerlach, CR 2015, 581, 589; Byok, BB 2017, 451, 454. 2 Byok, BB 2017, 451, 454.

70

2021-11-22, 12:02, HB groß

E. Datenschutz und IT-Sicherheit I. Vorbemerkung Eine der bedeutsamsten Quellen des Rechts der Informationssicherheit bildet das Datenschutzrecht, welches Vorgaben hinsichtlich der Sicherheit personenbezogener Daten aufstellt. Der Schutz dieser aus Sicht der betroffenen Personen besonders schützenswerten Informationen wird über unterschiedliche Anforderungen an die unternehmenseigenen IT-Systeme und Verfahrensabläufe gewährleistet. Personenbezogene Daten haben sich längst zu einem wertvollen Wirtschaftsgut entwickelt und spielen auch im Unternehmensalltag eine wichtige Rolle.1 So verarbeiten Unternehmen täglich personenbezogene Daten von Mitarbeitern, Kunden oder Geschäftspartnern. Aus diesem Grund müssen die Vorgaben des Datenschutzrechts berücksichtigt werden, nicht zuletzt unter dem Gesichtspunkt, dass mit Inkrafttreten der DSGVO nicht nur eine Verschärfung der Datenschutzanforderungen, sondern gleichsam auch der drohenden Bußgelder für entsprechende Verstöße stattgefunden hat.

164

II. Rechtsentwicklung und Rechtsquellen Mit der raschen Zunahme IT-gestützter Unternehmensführung und dem Anstieg massenhafter und schneller Verarbeitungen von Daten riefen die dadurch auftretenden Risiken für die Persönlichkeitsrechte der Betroffenen bereits in den 1970er Jahren den Gesetzgeber auf den Plan.2 Das Datenschutzniveau wurde im Zuge zahlreicher Anpassungen des BDSG seitdem stetig angehoben. Dafür war ganz erheblich auch das Tätigwerden des europäischen Gesetzgebers entscheidend. Nicht nur Daten können ohne weiteres nationale Landesgrenzen überwinden, sondern auch die Geschäftstätigkeiten von Unternehmen beschränken sich häufig nicht bloß auf den nationalen Kontext. Um die erheblich voneinander abweichenden Datenschutzbestimmungen in den Mitgliedstaaten der EG (jetzt: EU) anzugleichen und damit Rechtssicherheit in Bezug auf grenzüberschreitende Verarbeitungsvorgänge zu schaffen, wurde 1995 die EG-Datenschutzrichtlinie3 verabschiedet.4

1 Reiners, ZD 2015, 51, 55; Martini in Paal/Pauly, DSGVO, Art. 25 Rz. 45; Voigt/von dem Bussche, Handbuch DSGVO, Teil 1. 2 Gusy/Eichenhofer in BeckOK-DatenschutzR, 37. Edition, 1.8.2021, BDSG § 1 Rz. 5 f.; zur historischen Entwicklung ausführlich Simitis/Hornung/Spiecker gen. Döhmann in Simitis/ Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Einleitung Rz. 1 ff. 3 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281/31. 4 Bretthauer in Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rz. 3 ff.; Voigt/von dem Bussche, Handbuch DSGVO, Teil 1.1.1.

71

2021-11-22, 12:02, HB groß

165

E. Rz. 166 | Datenschutz und IT-Sicherheit 166

Bei der Umsetzung der EG-Datenschutzrichtlinie ins nationale Recht der Mitgliedstaaten konnte das verfolgte Ziel der Angleichung des Datenschutzniveaus innerhalb der EU nicht vollständig erreicht werden. Ausgehend von den nationalen Umsetzungsgesetzen wurden unterschiedliche Datenschutz-Regime und damit auch unterschiedliche nationale Informations-Sicherheitsvorgaben in Bezug auf die Verarbeitung personenbezogener Daten etabliert. Datenverarbeitungen, die in einem EUMitgliedstaat rechtskonform waren, konnten in einem anderen im Hinblick auf die spezifische Ausführung der Verarbeitung rechtswidrig sein.1 Zur stärkeren Angleichung des Datenschutzes innerhalb der EU wurde die seit dem 25.5.2018 anwendbare EU-Datenschutz-Grundverordnung2 geschaffen, die in allen EU-Mitgliedstaaten unmittelbare Anwendung findet. 1. DSGVO und BDSG

167

Durch die unmittelbare Anwendbarkeit der DSGVO innerhalb der EU-Mitgliedstaaten wird ein einheitliches datenschutzrechtliches Informations-Sicherheitsniveau geschaffen. Die Rechtsform der europäischen Verordnung lässt grundsätzlich wenig Raum für das Tätigwerden des nationalen Gesetzgebers.3 Für Unternehmen bedeutet die Vereinheitlichung des Datenschutzstandards innerhalb der EU eine erhöhte Rechtssicherheit hinsichtlich der Anforderungen an ihre Datenverarbeitungstätigkeiten. Davon erhoffte sich die EU nicht zuletzt eine Förderung der digitalen Wirtschaft im europäischen Binnenmarkt.4 An Unternehmen stellt die DSGVO im Vergleich zur vorher geltenden Rechtslage erhöhte Informations-Sicherheitsanforderungen. Neben der Verschärfung bereits bestehender Datenschutzpflichten und Bußgeldrahmen wurden auch neue Pflichten eingeführt.

168

Trotz ihrer Allgemeinverbindlichkeit lässt die DSGVO über zahlreiche Öffnungsklauseln einen Spielraum für die EU-Mitgliedstaaten zur Schaffung nationaler Regelungen zur Ergänzung der Verordnung. Dadurch bestehen auch künftig in begrenztem Rahmen nationale Besonderheiten hinsichtlich der datenschutzrechtlichen IT-Sicherheitsstandards fort. Deutschland hat von diesem Spielraum insbesondere im BDSG5 Gebrauch gemacht. In Deutschland tätige oder ansässige Unternehmen (zum Anwendungsbereich s. Rz. 175 ff.) müssen aus diesem Grund die Informations-Sicherheitsvorgaben der DSGVO und des BDSG gleichermaßen einhalten. So gehen die Regelungen der DSGVO dem BDSG grundsätzlich vor, wobei das BDSG

1 Voigt/von dem Bussche, Handbuch DSGVO, Teil 1.1.1. 2 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl. L 119/1. 3 Ruffert in Calliess/Ruffert, EUV/AEUV, Art. 288 AEUV Rz. 19 f.; Ständige Rechtsprechung etwa EuGH, Urt. v. 14.12.1971 – C-43/71, ErwGr. 9; EuGH, Urt. v. 17.5.1972 – C-93/71, ErwGr. 5 f. 4 ErwGr. 9 DSGVO. 5 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU) vom 30.7.2017, BGBl. I S. 2097.

72

2021-11-22, 12:02, HB groß

II. Rechtsentwicklung und Rechtsquellen | Rz. 170 E.

zur Anwendung gelangt, sofern die DSGVO nationale Regelungen über entsprechende Öffnungsklauseln ermöglicht, § 1 Abs. 5 BDSG. 2. Bereichsspezifisches Datenschutzrecht Die relevanten datenschutzrechtlichen IT-Sicherheitsvorschriften sind auf verschiedene Spezialgesetze verteilt. Ergänzend zu bzw. anstelle der Regelungen des allgemeinen Datenschutzrechts aus der DSGVO und dem BDSG kommt ggf. bereichsspezifisches Datenschutzrecht zur Anwendung. So verdrängen bereichsspezifische Datenschutzregelungen auf nationaler Ebene entsprechende Regelungen des BDSG, § 1 Abs. 2 BDSG. Auch die DSGVO enthält eine Reihe von Kollisionsregelungen. So wird die DSGVO gem. ihrem Art. 95 von bereichsspezifischen Datenschutzregelungen, die der Umsetzung der ePrivacy-Richtlinie der EU1 dienen, verdrängt. Praxisrelevante Regelungen enthält diesbezüglich etwa das TTDSG (TelekommunikationTelemedien-Datenschutz-Gesetz) für den Bereich der Telemedien (s. Rz. 362 ff.) sowie für den Bereich der Telekommunikation (s. Rz. 383 ff.).2 Trotz der vorhandenen Kollisionsregelungen bestanden bisher Unklarheiten beim Zusammenspiel verschiedener Rechtsquellen des Datenschutzrechts, insbesondere in den beiden vorgenannten Bereichen.3 So bestand in der Vergangenheit Rechtsunsicherheit dahingehend, wann die Datenschutzbestimmungen aus dem TMG, welches bisher datenschutzrechtliche Regelungen für Telemedien enthielt, und des TKG, welches bisher datenschutzrechtliche Regelungen für Telekommunikation enthielt, zur Anwendung gelangen sollten und wann sie vom allgemeinen Datenschutzrecht verdrängt wurden.4 Hintergrund dieser Schwierigkeiten war, dass die jeweiligen Regelungen die ePrivacyRichtlinie nicht oder nur zum Teil umsetzten.5 Um diese Unklarheiten zu beseitigen entschied sich der Gesetzgeber, die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, im TTDSG zusammenzuführen und die bestehenden Vorschriften an die DSGVO und die ePrivacy-Richtlinie anzupassen.

169

Zu den für die IT-Sicherheit relevanten Regelungen des TTDSG gehören u.a. Vorgaben zu technischen und organisatorischen Vorkehrungen gem. § 19 TTDSG (für eine ausführliche Darstellung der IT-Sicherheitspflichten nach dem TTDSG s. auch Rz. 366 ff.). Die Regelungen ersetzen die bisherigen Bestimmungen des § 13 Abs. 4–7 TMG. Sie verpflichten den Diensteanbieter u.a. seine Dienste so zu gestalten, dass

170

1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. L 201/37. 2 Das TTDSG ist in überwiegenden Teilen zum 1.12.2021 in Kraft getreten. Bis dahin galten die Regelungen des TMG und des TKG weiter. 3 Voigt/von dem Bussche, Handbuch DSGVO, Teil 8.3. 4 von dem Bussche/Schelinski in Leupold/Wiebe/Glossner, Münchener Anwaltshandbuch ITRecht, Teil 7.1 Rz. 16, 49, 51 ff. 5 Vgl. Schwartmann/Benedikt/Reif, MMR 2021, 99.

73

2021-11-22, 12:02, HB groß

E. Rz. 170 | Datenschutz und IT-Sicherheit

– jederzeit eine Möglichkeit für die Nutzer besteht, die Nutzung der Dienste zu beenden und der Nutzer die Dienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann (§ 19 Abs. 1 TTDSG), – zumutbare technische und organisatorische Maßnahmen zum Schutz der genutzten technischen Einrichtungen vor unerlaubtem Zugriff auf personenbezogene Daten und vor Störungen, einschließlich von außen, ergriffen werden (§ 19 Abs. 4 TTDSG). 171

Die Sicherungspflicht des Diensteanbieters wird entsprechend dieser Vorschrift auf Maßnahmen beschränkt, die technisch möglich und wirtschaftlich zumutbar sind. Diese Kriterien sollen die Verhältnismäßigkeit der Sicherungspflichten gewährleisten.1 Die Ermittlung dessen, was wirtschaftlich zumutbar ist, erfordert eine Abwägung der Kosten und sonstigen wirtschaftlichen Nachteile einer Maßnahme mit den Gefahren, die ohne diese Maßnahme drohen. Dabei können bspw. die folgenden Kriterien eine Rolle spielen: Kosten der Maßnahme, Effektivität der Maßnahme, Auswirkungen auf den Betrieb bzw. das Angebot durch die Maßnahme, mögliche negative Reaktionen der Nutzer, Wettbewerbssituation zu anderen Anbietern (die dieser Pflicht ggf. nicht unterliegen), drohende Gefahren bei Unterlassen der Maßnahme, Schutzalternativen durch die Nutzer selbst.2

172

Zudem sind ergänzende Vorschriften wie § 25 TTDSG, der Regelungen zum Schutz der Privatsphäre bei Endeinrichtungen enthält, zu beachten. Dabei wird die Zulässigkeit von Cookies grundsätzlich an ein Einwilligungserfordernis entsprechend der DSGVO geknüpft, wovon lediglich zur Diensterbringung „unbedingt erforderliche“ Cookies ausgenommen werden.3

173

Der europäische Gesetzgeber hat die Schwierigkeiten im Zusammenspiel von ePrivacy-Richtlinie und DSGVO, sowie ggf. unterschiedlichen Informationssicherheitsvorgaben der Mitgliedstaaten längst erkannt und arbeitet seit Jahren an einer ePrivacyVerordnung, welche die ePrivacy-Richtlinie ersetzen und durch die Schaffung abschließender bereichsspezifischer Datenschutzregelungen stärker harmonisierte Anforderungen vorgeben soll.4 Nachdem die Europäische Kommission im Januar 2017 ihren Vorschlag für die Verordnung veröffentlichte5, erfolgten mehrere Erörterungen im Rat; die ePrivacy-Verordnung drohte letztlich zu scheitern.6 Zum 20.5.2021

1 2 3 4 5

Schmitz in Spindler/Schmitz, TMG, § 13 Rz. 97. Schmitz in Spindler/Schmitz, TMG, § 13 Rz. 99. Strocher, ZD-Aktuell 2021, 05222; s. auch Piltz/Kühner, ZD 2021, 123, 126 f. Voigt/von dem Bussche, Handbuch DSGVO, Teil 8.3 m.w.N. Vorschlag der Europäischen Kommission für eine Verordnung des Europäischen Parlaments und des Europäischen Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG vom 10.1.2017, abrufbar unter: https://ec.europa.eu/digital-single-market/en/ news/proposal-regulation-privacy-and-electronic-communications, zuletzt aufgerufen am 27.5.2021. 6 Der aktuelle Gesetzgebungsstand ist abrufbar unter: https://eur-lex.europa.eu/procedure/ DE/2017_3?&sortOrder=asc, zuletzt aufgerufen am 27.5.2021.

74

2021-11-22, 12:02, HB groß

III. Anwendungsbereich | Rz. 177 E.

starteten jedoch die Trilog-Verhandlungen zur ePrivacy-Verordnung zwischen Parlament, Kommission und Rat, was die Verabschiedung der Verordnung in greifbarere Nähe rückt.1 Wann die ePrivacy-Verordnung jedoch das ordentliche Gesetzgebungsverfahren endgültig durchlaufen haben wird, lässt sich derzeit nicht sagen. Unternehmen sollten berücksichtigen, dass trotz Inkrafttreten des TTDSG bestimmte IT-sicherheitsspezifische Vorschriften des TKG fortbestehen (s. Rz. 362 ff.). Eine Änderung entsprechender Bestimmungen im TKG erfolgte unlängst über das Telekommunikationsmodernisierungsgesetz (s. Rz. 383 ff.). Diesen Regelungen unterfallende Unternehmen müssen die Vorgaben von TTDSG, TKG, DSGVO bzw. BDSG entsprechend berücksichtigen.2

174

III. Anwendungsbereich Die DSGVO zeichnet sich durch einen sehr weiten Anwendungsbereich aus und findet daher auf zahlreiche Unternehmen innerhalb und außerhalb der EU Anwendung. Neben der DSGVO können auf nationaler Ebene auch das BDSG und die Landesdatenschutzgesetze sowie etwaige weitere datenschutzrechtliche Spezialnormen zur Anwendung gelangen.

175

1. Sachlicher Anwendungsbereich Auf Grundlage von Art. 2 DSGVO umfasst der sachliche Anwendungsbereich der DSGVO grundsätzlich jegliche Verarbeitung personenbezogener Daten, etwa in Form des Erhebens, Erfassens, der Organisation, des Ordnens, der Speicherung oder des Löschens von Daten.3 Dies bezieht sich nicht nur auf IT-gestützte Datenverarbeitungsvorgänge, etwa durch Computer, Smartphones oder Smart Devices, sondern auch auf manuelle Datenverarbeitungen, etwa durch Mitarbeiter des Unternehmens, sofern eine systematische Verwaltung manuell verarbeiteter Daten erfolgt.4

176

a) Personenbezogene Daten Die Verarbeitung muss sich für eine Anwendbarkeit der DSGVO auf „personenbezogene Daten“ beziehen, wobei es sich gem. Art. 4 Nr. 1 DSGVO um Informationen bzw. Einzelangaben handelt, die sich auf eine identifizierte oder identifizierbare 1 Rauer/Ettig, ZD 2021, 18, 20; Piltz, ePrivacy Verordnung: Mitgliedstaaten sollen über optin oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden, abrufbar unter: https://www.delegedata.de/2018/01/eprivacy-verordnung-mitgliedstaaten-sollen-ueber-optin-oder-opt-out-fuer-den-einsatz-von-cookies-fuer-werbezwecke-entscheiden/, zuletzt aufgerufen am 27.5.2021. 2 Vgl. Schallbruch, CR 2016, 663, 669; Schneider, Datenschutz, Kapitel 7 VI 5; Sydow in Sydow, DSGVO, Einleitung Rz. 44. 3 Ernst in Paal/Pauly, DSGVO, Art. 2 Rz. 2 ff.; Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.1. 4 Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.1 m.w.N.; Bäcker in BeckOK-DatenschutzR, 37. Edition, 1.8.2021, Art. 2 Rz. 4 ff.

75

2021-11-22, 12:02, HB groß

177

E. Rz. 177 | Datenschutz und IT-Sicherheit

natürliche Person beziehen.1 Es ist ausreichend, wenn eine Person mittels Zuordnung zu einem oder mehreren Kennungsmerkmalen ermittelt werden kann, wie etwa Namen, Identifikationsnummern (Sozialversicherungs-, Personalausweisnummer), Standortdaten oder Online-Kennungen (IP-Adressen, Cookies, etc.).2 Eine solche Identifikationsmöglichkeit ist auch gegeben, wenn ein Unternehmen ohne unverhältnismäßigen Aufwand auf zusätzliche (externe) Informationen zugreifen kann, die eine Identifikation betroffener Personen ermöglichen.3 Dabei kann es sich etwa um (leicht) zugängliche Daten aus dem Internet handeln.4 Für die Bestimmung der Identifizierungsmöglichkeit sind etwa die zeitlichen, technischen und finanziellen Mittel zur Informationsbeschaffung sowie Informationsrechte des Unternehmens gegenüber Dritten (etwa bzgl. Kommunikationsdaten im Falle von Cyber-Angriffen, s. Rz. 595 ff.) zu berücksichtigen.5 Je einfacher und schneller ein Unternehmen Zugriff auf entsprechende Informationen erlangen kann, desto eher ist eine Person identifizierbar und die DSGVO gelangt zur Anwendung. b) Anonymisierung als Mittel zum Ausschluss der Anwendbarkeit der DSGVO 178

Die Anonymisierung von personenbezogenen Daten bildet eine von verschiedenartigen Techniken zur Veränderung personenbezogener Daten, um deren Sicherheit zu erhöhen und kann zur Anwendung gelangen, soweit ein Personenbezug der verarbeiteten Daten nicht mehr erforderlich ist. Bei der Anonymisierung werden die Daten so modifiziert, dass deren Verbindung zu einer natürlichen Person nicht (mehr) besteht.6 Um zu ermitteln ob diese Aufhebung gelungen ist, könnte entweder der absolute oder relative Personenbezug maßgeblich sein. Eine Anonymisierung unter Zugrundelegung des absoluten Personenbezugs setzt voraus, dass eine Wiederherstellung des Personenbezugs für niemanden möglich ist, wohingegen eine Anonymisierung unter Zugrundelegung des relativen Personenbezugs vorliegt, wenn eine Identifizierung der Person nach allgemeiner Lebenserfahrung oder dem Stand der Wissenschaft und Technik aufgrund des unverhältnismäßigen Aufwands beim konkreten Datenempfänger nicht zu erwarten ist.7 Von dieser Unterscheidung ausgehend stellt sich die Frage, welche dieser Varianten die Anforderungen an eine erfolgreiche Anonymisierung im Sinne der DSGVO erfüllt. Eine Anonymisierung unter Zugrundelegung des absoluten Personenbezugs ist in Zeiten von Big Data kaum realisierbar. Big Data bezeichnet die Auswertung großer, aus einer Vielzahl unterschiedlicher Quellen stammender unstrukturierter Daten zum Zwecke der Erkennung von Gesetzmäßigkeiten, Korrelationen und Kausalitäten und der Generierung neuer Informationen (Kontext-

1 Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.2 m.w.N. 2 Borges in BeckOK IT-Recht, 3. Edition, 1.7.2021, Teil 3 DSGVO Art. 4 Rz. 11 ff.; Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.2 m.w.N. 3 Schild in BeckOK-DatenschutzR, 37. Edition, 1.8.2021, DS-GVO Art. 4 Rz. 15: Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.2.1 m.w.N. 4 Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.2.1 m.w.N. 5 ErwGr. 26 DSGVO; BGH, Urt. v. 16.5.2017 – VI ZR 135/13 = CR 2017, 662. 6 ErwGr. 26 DSGVO; Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.2.2. 7 Roßnagel, ZD 2021, 188, 189.

76

2021-11-22, 12:02, HB groß

III. Anwendungsbereich | Rz. 180 E.

wissen).1 Nach einer Studie2 konnten aus Datensätzen mit 15 Merkmalen wie Alter oder Wohnort 99,98 % der US-Amerikaner identifiziert werden, in 80 % der Fälle genügten sogar nur die drei Merkmale Geschlecht, Geburtsdatum und Postleitzahl zur Re-Identifikation.3 Eine Anonymisierung unter Zugrundelegung des absoluten Personenbezugs derart, dass die Wiederherstellung des Personenbezugs für niemanden möglich ist, dürfte – wie dieses Beispiel illustriert – häufig nicht möglich sein und ist daher im Regelfall datenschutzrechtlich auch nicht gefordert.4 Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Die zum Zeitpunkt der Verarbeitung verfügbaren Technologien und technologischen Entwicklungen sind zu berücksichtigen, sodass eine fortlaufende Risikoanalyse erfolgen muss um festzustellen, ob die Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden können. Objektive Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, können dabei zur Beurteilung herangezogen werden.5 Die Anonymisierung lässt sich technisch auf ganz unterschiedliche Art und Weise umsetzen. Dabei kann der Personenbezug der Daten z.B. über die Veränderung ihrer Genauigkeit (Randomisierung) oder die Verallgemeinerung der Kennungsmerkmale der betroffenen Person (Verallgemeinerung) entfernt werden.6

179

Unternehmen halten regelmäßig große Datenbestände vor, von denen sie letztlich nur einen kleinen Teil für ihre Verarbeitungstätigkeiten benötigen.7 Die Nicht-Erfassung oder Löschung überschüssiger Daten kann dabei helfen, eine Anonymisierung umzusetzen.8 Diese Maßnahmen ermöglichen nicht nur die Sicherheit der Daten, sondern die DSGVO ist überdies nicht anwendbar, so dass das Unternehmen keinen datenschutzrechtlichen Informationssicherheitspflichten bzgl. der entsprechenden

180

1 Schulz in Gola, DS-GVO, Art. 6 Rz. 254. 2 Rocher/Hendrickx/de Montjoye, Estimating the success of re-identifications in incomplete datasets using generative models, Article number: 3069 (2019), abrufbar unter: https:// www.nature.com/articles/s41467-019-10933-3, zuletzt aufgerufen am 28.5.2021; Schürmann, DSB 2021, 49, 51. 3 Schürmann, DSB 2021, 49, 51. 4 BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche vom 29.6.2020, S. 4, abrufbar unter: https://www.bfdi.bund.de/DE/ Fachthemen/Inhalte/Telefon-Internet/Positionen/Positionspapier-AnonymisierungDSGVO-TKG.html, zuletzt abgerufen am 28.5.2021; Ziebarth in Sydow, DSGVO, Art. 4 Rz. 29 f.; ErwGr. 26 DSGVO. 5 ErwGr. 26 DSGVO; Klar/Kühling in Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rz. 20 ff. 6 Ausführlich zu verschiedenen Methoden zur Pseudonymisierung und Anonymisierung von personenbezogenen Daten Bischoff/Drechsler, PharmR 2020, 389, 390 ff.; Schürmann, DSB 2021, 49, 50; Art.-29-Datenschutzgruppe, WP 216 vom 10.4.2014, S. 12, 16. 7 Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.2.2. 8 Schröder, Datenschutzrecht für die Praxis, Kapitel 2 Teil II.1.b; Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.2.2.

77

2021-11-22, 12:02, HB groß

E. Rz. 180 | Datenschutz und IT-Sicherheit

Daten unterliegt.1 Jedoch ist die Anonymisierung der personenbezogenen Daten nach wohl herrschender Meinung selbst eine Verarbeitungstätigkeit und damit am Rechtmäßigkeitsmaßstab der DSGVO zu messen.2 Abgesehen von rechtlichen Vorteilen kann eine solche Datenminimierung im Unternehmen zur Einsparung von Zeit, Kosten und personellen Ressourcen führen, die für die Verwaltung der Datenbestände erforderlich sind.3 Unternehmen sollten daher prüfen, ob und welche Daten anonymisiert werden können. 2. Persönlicher Anwendungsbereich 181

Die DSGVO findet auf Unternehmen Anwendung, die personenbezogene Daten verarbeiten oder für deren Verarbeitung verantwortlich sind. Dabei können ihnen entweder als „Verantwortliche“ oder „Auftragsverarbeiter“ Pflichten im Hinblick auf den Datenschutz zugewiesen werden. a) Verantwortlicher

182

Umfassenden Datenschutzverpflichtungen unterliegen „Verantwortliche“. Dabei handelt es sich nach Art. 4 Nr. 7 DSGVO um jedes Unternehmen, welches allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die datenschutzrechtliche Verantwortlichkeit knüpft nicht an die Ausführung von Verarbeitungstätigkeiten durch das Unternehmen, sondern an dessen Entscheidungsbefugnis in Bezug auf die Verarbeitung an. Der Verantwortliche entscheidet über die Zwecke und wesentlichen Elemente der Datenverarbeitung, etwa welche Daten für wie lange durch wen verarbeitet werden sollen und welche Sicherheitsmaßnahmen ergriffen werden müssen.4 Eine datenschutzrechtliche Verantwortlichkeit ergibt sich vorrangig in folgenden Konstellationen:5 – Implizite rechtliche Verantwortlichkeit: Diese ergibt sich aus allgemeinen Rechtsvorschriften oder ständiger Rechtspraxis. Ganz unterschiedliche Rechtsbereiche können Unternehmen eine Entscheidungsbefugnis bzgl. Daten einräumen, etwa Zivil-, Handels- oder Arbeitsrecht. So ist bspw. der Arbeitgeber grundsätzlich für die Daten seiner Mitarbeiter verantwortlich. – Tatsächliche Einflussmöglichkeit: Eine Verantwortlichkeit des Unternehmens kann sich auch auf der Grundlage seiner Verträge mit Dritten ergeben. So muss ein

1 ErwGr. 26 DSGVO. 2 Zu den möglichen Rechtsgrundlagen s. Schürmann, DSB 2021, 49, 50; BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche vom 29.6.2020, S. 5 ff. 3 Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.1.2.2. 4 Mantz/Spittka in Sassenberg/Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, § 6 Rz. 35 ff.; Borges in BeckOK IT-Recht, 3. Edition, 1.7.2021, Teil 3 DSGVO Art. 4 Rz. 78 ff.; Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.2.1.3. 5 Laue in Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Einführung Rz. 47–51; Art.-29-Datenschutzgruppe, WP 169 vom 16.2.2010, S. 10 ff.

78

2021-11-22, 12:02, HB groß

III. Anwendungsbereich | Rz. 186 E.

Unternehmen zur Abwicklung seiner Verträge mit Kunden etwa deren Kontaktdaten verarbeiten und ist damit für deren Verarbeitung verantwortlich. Innerhalb von Konzernstrukturen ist jedes Unternehmen grundsätzlich eigenständig für die seiner Kontrolle unterliegenden Verarbeitungstätigkeiten verantwortlich, so dass die einzelnen Gesellschaften jeweils Verantwortliche sind.1 Daneben kennt die DSGVO auch den Fall der „gemeinsam für die Verarbeitung Verantwortlichen“, welcher z.B. im Fall von Konzernstrukturen vorliegen kann. Legen mehrere Unternehmen die Zwecke und/oder wesentlichen Mittel der Datenverarbeitung gemeinsam fest, teilen sie gem. Art. 26 DSGVO ihre Datenschutzpflichten und müssen etwa die Verantwortlichkeit für die datenschutzrechtlichen IT-Sicherheitspflichten klar untereinander aufteilen.

183

b) Auftragsverarbeiter Neben dem Verantwortlichen treffen nach der DSGVO auch den „Auftragsverarbeiter“ in einem etwas geringeren Umfang Datenschutzpflichten. Dabei handelt es sich nach Art. 4 Nr. 8 DSGVO um Unternehmen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Eine entsprechende Beteiligung an der Datenverarbeitung beruht damit auf einer Entscheidung des Verantwortlichen, der die Datenverarbeitung entweder intern durchführen kann oder ein oder mehrere externe Unternehmen mit der Datenverarbeitung beauftragt, was letztere zu Auftragsverarbeitern macht.2 Dabei kann es sich etwa um Outsourcing-Anbieter, Cloud-Computing-Anbieter oder Betreiber von Rechenzentren handeln.3

184

3. Räumlicher Anwendungsbereich Der räumliche Anwendungsbereich der DSGVO wurde an die Aktivitäten global agierender Unternehmen und Konzerne angepasst und macht an den Außengrenzen der EU nicht Halt. Die Bestimmungen des Art. 3 DSGVO knüpfen an die Verbindung der Datenverarbeitung zur EU an, sei es, weil die Verarbeitung im Rahmen der Tätigkeit einer europäischen Niederlassung des Unternehmens stattfindet oder weil die Verarbeitung natürliche Personen in der EU betrifft. Ähnliche Kriterien sieht auch das BDSG vor, um die deutschen Regelungen anwendbar zu machen.

185

a) DSGVO Findet eine Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Unternehmens in der EU statt, so findet die DSGVO gem. ihrem Art. 3 Abs. 1 Anwendung. Dafür ist es nicht erforderlich, dass die Niederlassung die Verarbeitung selbst

1 Schild in BeckOK-DatenschutzR, 37. Edition, 1.8.2021, Art. 4 Rz. 87 ff.; Borges in BeckOK IT-Recht, 3. Edition, 1.7.2021, Teil 3 DSGVO Art. 4 Rz. 76; Art.-29-Datenschutzgruppe, WP 169 vom 16.2.2010, S. 13 f. 2 Art.-29-Datenschutzgruppe, WP 169 vom 16.2.2010, S. 30 f. 3 Schulz in Gola/Heckmann, BDSG, § 46 Rz. 49 ff.; s. zur Abgrenzung von Verantwortlichem und Auftragsverarbeiter Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.2.2 m.w.N.

79

2021-11-22, 12:02, HB groß

186

E. Rz. 186 | Datenschutz und IT-Sicherheit

ausführt.1 Es reicht aus, wenn die Niederlassung mit ihren Tätigkeiten die vom Unternehmen ausgeführten Verarbeitungstätigkeiten wirtschaftlich unterstützt.2 Der eigentliche Ort der Datenverarbeitung ist daher für die Anwendbarkeit der DSGVO letztlich nicht entscheidend. Eine Niederlassung erfordert die effektive und tatsächliche Ausübung einer Tätigkeit mittels fester Einrichtung.3 So ist es unerheblich, ob die wirtschaftliche Förderung der Datenverarbeitung durch eine bloße Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit erfolgt, solange die Niederlassung einen gewissen Grad an Beständigkeit aufweist.4 Entscheidend dafür ist die konkrete Art der Tätigkeit, mit der die Niederlassung an der Datenverarbeitung mitwirkt.5 Bietet ein Unternehmen seine Dienstleistungen ausschließlich über das Internet an, so kann es für eine Niederlassung ausreichen, wenn ein einziger Vertreter in einem EU-Mitgliedstaat in das Anbieten oder die Verwaltung der Dienstleistungen involviert ist.6 Sowohl personelle als auch materielle Ressourcen können eine „feste Einrichtung“ bilden, etwa das Vorhandensein eines Bankkontos oder Postfachs in der EU.7 187

Unterhält ein datenverarbeitendes Unternehmen keine Niederlassung in der EU, kann die DSGVO dennoch nach Art. 3 Abs. 2 DSGVO zur Anwendung gelangen, wenn ein Unternehmen Kunden im europäischen Binnenmarkt anvisiert.8 Eine solche Situation liegt etwa vor, wenn ein Unternehmen gezielt Waren oder Dienstleistungen gegenüber betroffenen Personen in der EU anbietet und in diesem Zusammenhang Daten verarbeitet, etwa im Falle über das Internet agierender Unternehmen.9 Derartige Geschäftstätigkeiten liegen bei der Verwendung einer in der EU gesprochenen Sprache, der Akzeptanz des Euro als Währung, der Erwähnung von europäischen Kunden oder der Möglichkeit von Warenlieferungen in die EU nahe.10 Die DSGVO findet ebenfalls Anwendung, sofern eine Datenverarbeitung damit im Zusammenhang steht, das in der EU stattfindende Verhalten von natürlichen Personen zu überwachen. Dies betrifft Datenverarbeitungen zur Analyse/Vorhersage von Präferenzen, Verhaltensweisen und Meinungen von Kunden.11 Die Vorschrift betrifft Un-

1 EuGH, Urt. v. 13.5.2014 – Rs. C-131/12 – Google Spain, CR 2014, 460, ErwGr. 52; EuGH, Urt. v. 24.9.2019 – Rs. C-507/17, ErwGr. 41, 48 ff.; Plath in Plath, BDSG/DSGVO, Art. 3 Rz. 9; Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.3.1.2. 2 EuGH, Urt. v. 13.5.2014 – Rs. C-131/12 – Google Spain, CR 2014, 460, ErwGr. 55; Plath in Plath, BDSG/DSGVO, Art. 3 Rz. 9. 3 ErwGr. 22 DSGVO; Ernst in Paal/Pauly, DSGVO, Art. 3 Rz. 7. 4 ErwGr. 22 DSGVO; EuGH, Urt. v. 1.10.2015 – Rs. C-230/14 – Weltimmo, CR 2016, 109, ErwGr. 29; Ernst in Paal/Pauly, DSGVO, Art. 3 Rz. 7 f. 5 EuGH, Urt. v. 1.10.2015 – Rs. C-230/14 – Weltimmo, CR 2016, 109, ErwGr. 29. 6 EuGH, Urt. v. 1.10.2015 – Rs. C-230/14 – Weltimmo, CR 2016, 109, ErwGr. 29 f. 7 Plath in Plath, BDSG/DSGVO, Art. 3 Rz. 8; s. auch Klar in Kühling/Buchner, DS-GVO BDSG, Art. 3 Rz. 43 ff. 8 Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.3.2. 9 Barlag in Roßnagel, DSGVO, § 3 Rz. 18. 10 ErwGr. 23 DSGVO. 11 Zerdick in Ehmann/Selmayr, DS-GVO, Art. 3 Rz. 20; ErwGr. 24 DSGVO.

80

2021-11-22, 12:02, HB groß

III. Anwendungsbereich | Rz. 190 E.

ternehmen, die Web-Tracking oder Profiling zu den vorgenannten Zwecken durchführen, etwa über Cookies oder Social-Media-Plug-Ins.1 Agieren Unternehmen als Verantwortliche oder Auftragsverarbeiter2 somit gezielt auf dem europäischen Markt – egal ob über eine oder mehrere Niederlassungen oder über das Internet – ist die DSGVO anwendbar, so dass die datenschutzrechtlichen IT-Sicherheitspflichten eingehalten werden müssen. Davon sind nicht nur Unternehmen innerhalb der EU, sondern auch zahlreiche Unternehmen außerhalb der EU betroffen.3

188

b) BDSG § 1 BDSG legt den räumlichen Anwendungsbereich der deutschen Konkretisierungsvorschriften zur DSGVO fest. Das BDSG enthält der DSGVO inhaltlich entsprechende Regelungen, so dass in Deutschland tätige Unternehmen grundsätzlich zusätzlich zur DSGVO den Regelungen des BDSG unterliegen. Dies kann entweder der Fall sein, weil sie als Verantwortliche/Auftragsverarbeiter personenbezogene Daten in Deutschland verarbeiten oder Datenverarbeitungen im Rahmen der Tätigkeiten einer deutschen Niederlassung erfolgen, § 1 Abs. 4 Nr. 1, 2 BDSG. Zudem finden die Vorschriften des BDSG auf Unternehmen Anwendung, die zwar keine Niederlassung in der EU haben, aber in den Anwendungsbereich der DSGVO fallen, weil sie mit ihren Tätigkeiten Kunden im EWR anvisieren, § 1 Abs. 4 Nr. 3 BDSG.4 Für länderübergreifend agierende Unternehmen ergeben sich erhebliche Rechtsunsicherheiten daraus, dass das BDSG keinen ausdrücklichen Inlandsbezug voraussetzt. Zum Teil wird daher sinnvollerweise über den Wortlaut hinaus eine einschränkende Auslegung der Vorschrift befürwortet. Danach soll ein territorialer Bezug, wie die Anvisierung des deutschen Marktes vorausgesetzt werden.5 Zudem fehlt es an einer Kollisionsregel für Fälle, in denen neben den deutschen Vorschriften auch nationale DSGVOUmsetzungsgesetze anderer EU-Mitgliedstaaten potentiell zur Anwendung gelangen.6 Dies wird Unternehmen künftig vor Probleme bei der Umsetzung datenschutzrechtlicher IT-Sicherheitsvorgaben stellen.

189

Beispiel:7 Ein amerikanisches Unternehmen visiert mit seinen Verarbeitungstätigkeiten den deutschen und den österreichischen Markt an.

190

1 ErwGr. 24 DSGVO; Schantz, NJW 2016, 1841, 1842; Hornung, ZD 2012, 99, 102; Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.3.2.2; Klar in Kühling/Buchner, DS-GVO BDSG, Art. 3 Rz. 90 f. 2 Zu diesem Fall ausführlich Voigt, Die räumliche Anwendbarkeit der EU DatenschutzGrundverordnung auf Auftragsverarbeiter im Drittland, 2020, sowie Voigt, CR 2021, 307. 3 Voigt, CR 2021, 307, 307 ff. 4 Deutscher Bundestag, Drucksache 18/11325, S. 79 f. 5 Schmidt in Taeger/Gabel, DSGVO BDSG, § 1 Rz. 34; Gola/Reif in Gola/Heckmann, BDSG, § 1 Rz. 19. 6 S. dazu Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.4. 7 Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.4; Klar in Kühling/Buchner, DS-GVO BDSG, § 1 Rz. 30.

81

2021-11-22, 12:02, HB groß

E. Rz. 190 | Datenschutz und IT-Sicherheit Aus § 1 Abs. 5 BDSG resultiert zunächst die Anwendbarkeit der DSGVO. Im Bereich der Öffnungsklauseln gelangt auf Grundlage seines § 1 Abs. 4 Nr. 3 das BDSG zur Anwendung, weil seinem Wortlaut nach das amerikanische Unternehmen den deutschen Markt anvisiert. Sieht das österreichische Gesetz ebenfalls eine solche Anwendbarkeitsregelung vor, muss das Unternehmen beide nationalen Gesetze gleichzeitig berücksichtigen. Daher muss es ggf. divergierende Vorgaben im Bereich der Öffnungsklauseln erfüllen.

191

Das Beispiel verdeutlicht, dass im Bereich der Öffnungsklauseln ein kompliziertes Geflecht aus nationalen datenschutzrechtlichen Besonderheiten auch mit Inkrafttreten der DSGVO aufrechterhalten wird.1 Unternehmen müssen dann im Hinblick auf ihre Tätigkeiten in verschiedenen EU-Mitgliedstaaten ggf. unterschiedliche nationale ITSicherheitsstandards erfüllen. Die Problematik fehlender oder nicht hinreichend klarer Kollisionsregelungen dürfte in Anbetracht der mit der DSGVO angestrebten Vollharmonisierung weiterhin Diskussionsbedarf auslösen.2

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben 192

Aus dem Personenbezug der in den Anwendungsbereich der DSGVO fallenden Daten ergibt sich deren erhöhte Sensibilität und Schutzwürdigkeit, die dazu führt, dass die Anforderungen an IT-Sicherheitsstandards in Bezug auf den Umgang mit personenbezogenen Daten besonders hoch sind. Das Datenschutzrecht gibt dabei nicht nur konkrete Schutzmaßnahmen für die Datenverarbeitung vor, sondern sieht gegenüber Aufsichtsbehörden und betroffenen Personen insbesondere auch Meldepflichten für den Fall von Datenschutzverletzungen vor. 1. IT-Sicherheitsstandard

193

Um die Sicherheit personenbezogener Daten zu gewährleisten, müssen Unternehmen technische und organisatorische Schutzmaßnahmen bei der Datenverarbeitung einsetzen. Der gesetzliche Pflichtenumfang folgt dabei einem risikobasierten Ansatz: je mehr Risiken die Verarbeitung für die betroffenen Personen und ihre Daten mit sich bringt, desto umfangreichere Schutzmaßnahmen müssen zum Einsatz kommen.3 Der Pflichtenumfang für Unternehmen ist somit einzelfallabhängig, was zu erheblicher Rechtsunsicherheit führt. Es fällt schwer, ein generelles Programm an datenschutzrechtlichen IT-Sicherheitspflichten abzulesen, so dass die Umsetzung der Vorgaben von DSGVO und BDSG Unternehmen vor einige Herausforderungen stellt.4

194

Das Datenschutzrecht dient dem Schutz der von der Datenverarbeitung betroffenen Personen, Art. 1 Abs. 1, 2 DSGVO, und nicht demjenigen der Rechtsgüter des Unter-

1 Schmidt in Taeger/Gabel, DSGVO BDSG, § 1 Rz. 34; Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.4; Karg, ZD 2013, 371, 373. 2 Voigt/von dem Bussche, Handbuch DSGVO, Teil 2.4; Karg, ZD 2013, 371, 373. 3 Schmitz in Hoeren/Sieber/Holznagel, Multimedia-Recht, Teil 16.2 Rz. 236 f.; ErwGr. 74, 75, 76 DSGVO. 4 Martini in Paal/Pauly, DSGVO, Art. 24 Rz. 24; ErwGr. 74, 75, 76 DSGVO.

82

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 196 E.

nehmens.1 Die allgemeinen unternehmerischen IT-Sicherheitspflichten (s. Rz. 32 ff.) können daher in Konflikt mit den IT-Sicherheitsvorgaben des Datenschutzrechts geraten. Die aus Unternehmenssicht zum Schutz der eigenen Infrastruktur optimalen Sicherheitsmaßnahmen lassen sich zum Schutz personenbezogener Daten nur unter den teilweise einschränkenden Vorgaben von DSGVO und BDSG umsetzen, um die Rechte und Rechtsgüter betroffener Personen zu gewährleisten.2 Hinweis zum Konflikt Datenschutzrecht und IT-Sicherheitsstandard: Für die Verarbeitung personenbezogener Daten, z.B. in Form einer Erfassung oder Speicherung, bedarf es stets einer Rechtsgrundlage. Hinzu kommen organisatorische Datenschutzanforderungen und Betroffenenrechte, die das datenverarbeitende Unternehmen erfüllen muss. Bestimmte IT-Sicherheitsmaßnahmen lassen sich nur bei Erfassung personenbezogener Daten wirksam umsetzen, wie z.B. Data-Loss-Prevention-Maßnahmen, ein Intrusion-PreventionSystem oder Logging.3 Möchte ein Unternehmen diese IT-Sicherheitsmaßnahmen einsetzen, sind die Vorgaben des Datenschutzrechts unbedingt einzuhalten. Steht dem Unternehmen etwa für eine bestimmte Maßnahme keine Verarbeitungsgrundlage zur Erfüllung, ist ein Ausweichen auf alternative Maßnahmen erforderlich. Damit ist die Bandbreite möglicher IT-Sicherheitsmaßnahmen ggf. eingeschränkt.

195

a) Technische und organisatorische Maßnahmen Verantwortliche und Auftragsverarbeiter sind zur Anwendung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten verpflichtet, die dem Risiko der durchgeführten Verarbeitungstätigkeiten entsprechen, Art. 24 Abs. 1, 28 Abs. 1, 32 DSGVO. Hierbei handelt es sich um eine der grundlegendsten Datenschutzpflichten während des Verarbeitungsprozesses.4 Unternehmen obliegt es daher auch, den Einsatz entsprechender Maßnahmen durch alle an der Verarbeitung beteiligten Mitarbeiter sicherzustellen, Art. 32 Abs. 4 DSGVO. Die Maßnahmen dienen vorrangig der Datensicherheit, also dem umfassenden Schutz der zur Verarbeitung eingesetzten IT und Systeme.5 Konkrete Vorgaben hinsichtlich der einzusetzenden Maßnahmen enthält die DSGVO nicht, so dass Unternehmen eine ganze Bandbreite möglicher Schutzinstrumente zur Verfügung steht. Auch die in § 64 BDSG genannten Sicherheitsmaßnahmen können nur Anregungen für die zu implementierenden technischen und organisatorischen Maßnahmen bieten: § 64 BDSG dient der Umsetzung der Richtlinie (EU) 2016/6806 und findet auf nichtöffentliche Stellen keine Anwendung. 1 ErwGr. 1 DSGVO; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 67. 2 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 29 Rz. 66 f. m.w.N.; s. zum allgemeinen Konflikt zwischen Compliance und Datenschutzrecht Voigt/Oenning/Oenning in von dem Bussche/Voigt, Konzerndatenschutz, Datenschutzrecht und Compliance, Rz. 1 ff. 3 Mantz/Spittka in Sassenberg/Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, § 6 Rz. 176. 4 Richter in Jandt/Steidle, Datenschutz im Internet, Teil B.IV. Rz. 36 ff.; Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.3. 5 Mantz in Sydow, DSGVO, Art. 32 Rz. 1. 6 ABl. L 119/89.

83

2021-11-22, 12:02, HB groß

196

E. Rz. 197 | Datenschutz und IT-Sicherheit 197

Beispiele technischer und organisatorischer Schutzmaßnahmen1: – Minimierung der Menge verarbeiteter Daten; – Pseudonymisierung personenbezogener Daten; – betroffenen Personen die Überprüfung der Verarbeitungsvorgänge ermöglichen; – bauliche Maßnahmen zur Verhinderung unbefugter physischer Zugriffe auf personenbezogene Daten, etwa gesicherte Räume, Wachpersonal, passwortgesicherter Zugang oder Mitarbeiterkennungsmaßnahmen; – regelmäßige Datenschutz-Schulungen für Mitarbeiter; – kodierte Datenübermittlungen.

198

Welche technischen und organisatorischen Maßnahmen im konkreten Fall angemessen sind, muss das Unternehmen im Wege einer umfassenden objektiven Risikoabwägung ermitteln.2 Dabei sind die Risiken aller an der Verarbeitung Beteiligten zu berücksichtigen: des Unternehmens, der betroffenen Personen und etwaiger Dritter. Das Gesetz nennt darüber hinaus in Art. 32 Abs. 1 DSGVO weitere Gesichtspunkte zur Ermittlung angemessener Schutzmaßnahmen: den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen. Zur praktischen Umsetzung der umfassenden Abwägung bietet sich folgende Vorgehensweise an:3 (1) Ermittlung des Schutzbedarfs der betroffenen Daten: Um den Schutzbedarf der von der Verarbeitung betroffenen Daten zu ermitteln, sollte das Unternehmen prüfen, welches Schadenspotential durch Datensicherheitsdefizite im Hinblick auf die betroffenen Daten besteht. Dabei bietet sich eine Kategorisierung der Daten nach normalem, hohem und sehr hohem Schutzbedarf an. Je größer der Schutzbedarf, desto umfangreicher sollten auch die technischen und organisatorischen Schutzmaßnahmen ausfallen. (2) Ermittlung des Risikopotentials der Verarbeitung dieser Daten: Die dem Schutzbedarf entsprechenden Maßnahmen müssen unter Berücksichtigung des Risikos ihrer Verarbeitung ausgewählt werden. Dabei sind vorrangig die Risiken für die betroffenen Personen zu berücksichtigen, etwa durch die unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung der betroffenen Daten. Ein hohes Risikopotential besteht insbesondere dann, wenn besonders sensible personenbezogene Daten oder die Daten von Kin-

1 Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.3.1 m.w.N.; s. auch Bayerisches Landesamt für Datenschutzaufsicht, Good Practice bei technischen und organisatorischen Maßnahmen vom 13.10.2020, abrufbar unter: https://www.lda.bayern.de/media/checkliste/bay lda_checkliste_tom.pdf, zuletzt aufgerufen am 7.6.2021. 2 Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO, Art. 24 Rz. 11 ff.; Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.3.3 m.w.N. 3 S. für die nachfolgenden Ausführungen Bayerisches Landesamt für Datenschutzaufsicht, Sicherheit der Verarbeitung – Art. 32 DS-GVO vom 9.6.2016, abrufbar unter: https://www. lda.bayern.de/media/baylda_ds-gvo_1_security.pdf, zuletzt aufgerufen am 7.6.2021; Voigt/ von dem Bussche, Handbuch DSGVO, Teil 3.3.3 m.w.N.; Martini in Paal/Pauly, DSGVO, Art. 32 Rz. 46 ff.

84

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 199 E.

dern von der Verarbeitung betroffen sind.1 Bei der Entwicklung angemessener Schutzkonzepte sind allerdings auch die Interessen des Unternehmens im Rahmen der Abwägung zu berücksichtigen, etwa die erforderlichen technischen, personellen und finanziellen Ressourcen zur Umsetzung technischer und organisatorischer Maßnahmen, Folgen einer Verletzung des Datenschutzrechts (s. Rz. 232 ff.), Haftungsrisiken und geschäftliche Risiken. Kommt das Unternehmen anhand der konkreten Verarbeitungsumstände zu der Erkenntnis, dass die Datenverarbeitung ein hohes Risiko für die betroffenen Personen birgt, ist es zur Durchführung einer noch umfangreicheren Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Datenschutz verpflichtet, Art. 35 DSGVO. Das Ergebnis einer solchen Datenschutz-Folgenabschätzung ist ebenfalls im Rahmen der Risikobewertung zu berücksichtigen.2 (3) Entwicklung eines Datenschutzkonzepts: Die verschiedenen Risiken und Interessen sind gegeneinander abzuwägen und ihre Ergebnisse dienen als Grundlage für die Entwicklung des angemessenen Datenschutzkonzepts. Dabei werden die Pflichten für jedes Unternehmen auf Einzelfallbasis ausdifferenziert, um ein angemessenes Verhältnis von Aufwand und Nutzen der technischen und organisatorischen Maßnahmen zu erreichen. Der Aufwand ist dabei auf ein solches Maß beschränkt, welches wirtschaftlich berechtigterweise vom Verantwortlichen/ Auftragsverarbeiter erwartet werden kann.3 Allerdings können unzureichende Schutzmaßnahmen nur bedingt mit Kostengründen gerechtfertigt werden, da bestimmte Mindestanforderungen hinsichtlich des Sicherheitsstandards (s. sogleich Rz. 200 ff.) bestehen. Je nach Größe des Unternehmens ließen sich entsprechende Datenschutzmaßnahmen etwa als Teilbestandteil eines IT-Sicherheitsmanagementsystems umsetzen (s. Rz. 643 ff.). Im Vergleich zu den konkreten Vorgaben des § 9 BDSG a.F. und dessen Anlage enthält die Selbsteinschätzung des Schutzbedarfs durch das Unternehmen ein größeres Element der Unsicherheit. Hinzu kommt, dass Unternehmen unter Berücksichtigung des Stands der Technik nach Art. 32 Abs. 1 DSGVO ihre Maßnahmen an technologische Veränderungen fortlaufend anpassen müssen.4 Eine entsprechende Orientierung können zumindest ISO-Bestimmungen und das Grundschutz-Kompendium des BSI bieten.5 Darüber hinaus haben auch die deutschen Datenschutzbehörden im Rahmen einer gemeinsamen Konferenz ein Standard-Datenschutzmodell verabschiedet,

1 Höchst sensible personenbezogene Daten unterliegen als „besondere Kategorien personenbezogener Daten“ nach Art. 9, 10 DSGVO einem besonderen Schutz. Dabei handelt es sich etwa um personenbezogene Daten, die einen Rückschluss auf die Herkunft, politische Orientierung, Religionszugehörigkeit oder Gesundheit betroffener Personen zulassen. 2 ErwGr. 84 DSGVO; Martini in Paal/Pauly, DSGVO, Art. 32 Rz. 49. 3 Piltz in Gola, DS-GVO, Art. 32 Rz. 20 f.; Martini in Paal/Pauly, DSGVO, Art. 32 Rz. 60; Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.3.3. 4 Piltz in Gola, DS-GVO, Art. 32 Rz. 15 ff.; Martini in Paal/Pauly, DSGVO, Art. 32 Rz. 56 ff. 5 Martini in Paal/Pauly, DSGVO, Art. 32 Rz. 58 f. m.w.N.

85

2021-11-22, 12:02, HB groß

199

E. Rz. 199 | Datenschutz und IT-Sicherheit

welches eine der möglichen Vorgehensweisen zur Schaffung rechtskonformer technischer und organisatorischer Maßnahmen vorstellt.1 b) Mindestschutzanforderungen 200

Auch wenn die DSGVO keine konkreten Maßnahmen zur Umsetzung eines angemessenen datenschutzrechtlichen IT-Sicherheitsstandards vorgibt, stellt Art. 32 Abs. 1 DSGVO zumindest Mindestanforderungen an die technischen und organisatorischen Schutzmaßnahmen des Unternehmens. Die Mindestanforderungen sind zur Gewährleistung eines hinreichenden Datenschutzniveaus grundsätzlich erforderlich. Eine Unterschreitung ist nur unter engen Voraussetzungen möglich.2

201

So muss die unternehmerische Datenverarbeitung den klassischen Zielen der IT-Sicherheit entsprechen: Das Unternehmen muss dauerhaft die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungsmittel sicherstellen, Art. 32 Abs. 1 lit. b DSGVO. Das Unternehmen muss sowohl einen unbefugten Zugriff auf als auch die unbefugte Offenlegung von personenbezogenen Daten verhindern, sowie den Schutz der IT vor anderweitigen inneren und äußeren Bedrohungen gewährleisten.3 Kommt es trotz dieser Maßnahmen zu physischen oder technischen Datensicherheitszwischenfällen, muss das Unternehmen die personenbezogenen Daten und den Zugang zu ihnen rasch wiederherstellen können, Art. 32 Abs. 1 lit. c DSGVO. Dafür sollten Unternehmen Backup-Systeme, redundante Systeme und/ oder Notstromaggregate bereithalten.4 Wie „rasch“ die Wiederherstellung zu erfolgen hat, lässt sich der Vorschrift nicht konkret ablesen, so dass das Unternehmen bei Zwischenfällen so schnell wie möglich agieren sollte.5 Um die Effektivität der getroffenen technischen und organisatorischen Maßnahmen dauerhaft zu gewährleisten, müssen Unternehmen gem. Art. 32 Abs. 1 lit. d DSGVO die Wirksamkeit dieser Maßnahmen regelmäßig überprüfen und bewerten. Damit wird eine konstante Aufrechterhaltung und Wartung der IT-Sicherheitsvorkehrungen erforderlich. Die Mindestschutzanforderungen lassen sich wie folgt klassifizieren:6

1 Standard-Datenschutzmodell Version 2.0b vom 17.4.2020, abrufbar unter: https://www.da tenschutz.saarland.de/fileadmin/user_upload/uds/Download/SDM-Methode_V20b.pdf, zuletzt aufgerufen am 7.6.2021. 2 Zur Abdingbarkeit HmbBfDI, Vermerk: Abdingbarkeit von TOMs (Art. 32 DSGVO) vom 18.2.2021, abrufbar unter: https://datenschutz-hamburg.de/pages/abdingbarkeit-toms/, zuletzt aufgerufen am 10.6.2021; dagegen u.a. Schwartmann/Hermann in Leupold/Wiebe/ Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 10.5 Rz. 79. 3 Mantz in Sydow, DSGVO, Art. 32 Rz. 14 ff. 4 Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.3.2 m.w.N. 5 ErwGr. 87 DSGVO; Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.3.2. 6 Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. II.

86

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 202 E. Mindestschutzanforderungen gem. Art. 32 DSGVO Maßnahme

Sicherheitsziel

Beispiele zur praktischen Umsetzung

Zugangskontrolle

Nutzung der Daten durch Unbefugte technisch verhindern

– Personalisierte Nutzerkennungen

Nutzung der Daten durch Unbefugte physisch verhindern

– Wachpersonal

Nutzung der Daten entsprechend der Berechtigungen gewährleisten

– Berechtigungskonzepte

202

– Passwörter und Richtlinien zum Umgang mit diesen – Verschlüsselung/Pseudonymisierung

Zutrittskontrolle

Zugriffskontrolle

– Abgeschlossene Serverräume – Zugangskarten, -schlüssel o.Ä. nur für Berechtigte – Überprüfungen – Protokolle

Trennungskontrolle Trennung der Daten entsprechend der verschiedenen Verarbeitungszwecke

– Archivierungskonzepte

Weitergabekontrolle

– Data-Loss-Prevention-System

Datenübermittlung nur an berechtigte Empfänger

– Datenbanken – Nutzung getrennter Server – Datenverschlüsselung – Verbindungsverschlüsselung – Authentifizierungsverfahren – Digitale Signatur

Eingabekontrolle

Nachverfolgbarkeit etwaiger Datenveränderungen

– Nachvollziehbarkeit der Nutzereingaben durch Zeitstempel, Nutzernamen o.Ä.

Belastbarkeit

Robustheit der Datenverarbeitungssysteme gewährleisten

– Unterbrechungsfreie Stromversorgung

Sicherung der Daten gegen Zerstörung oder Verlust

– Notfallkonzept (s. Rz. 683 ff.)

– Plausibilitätsprüfungen

Verfügbarkeitskontrolle

– Virenschutz – Back-up-Systeme – Regelmäßige Datensicherungen – Redundanz – Gewährleistung der Aktualität/Qualität der Daten

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Aufrechterhaltung der Sicherheitsmaßnahmen gewährleisten

– Datenschutz-Management – Interne Audits durch den Informationssicherheitsbeauftragten (s. Rz. 620 ff.) – Mitarbeiterbefragungen – Regelmäßige Datenschutzschulungen

87

2021-11-22, 12:02, HB groß

E. Rz. 203 | Datenschutz und IT-Sicherheit 203

Als besonders effektive Schutzmaßnahme stuft der Gesetzgeber die Pseudonymisierung und Verschlüsselung von Daten ein, Art. 32 Abs. 1 lit. a DSGVO.1 Die Daten werden dabei so verändert, dass sie sich in Unkenntnis entsprechender Schlüssel oder ohne Hinzuziehung entfernter Kennungen bestimmten Personen nicht mehr zuordnen lassen. Auch wenn Unternehmen nicht in jedem Fall eine Pflicht zu einer entsprechenden Veränderung ihrer Datensätze trifft, sollten diese Maßnahmen ernsthaft in Betracht gezogen werden, um die datenschutzrechtlichen IT-Sicherheitspflichten wirksam einzuhalten – nicht zuletzt im Hinblick auf drohende Verletzungsfolgen bei Datenschutzverstößen (s. Rz. 232 ff.).2

204

Durch die über eine Pseudonymisierung bewirkte sichere Trennung von zu verarbeitenden Daten und Zusatzwissen, das die Identifizierung der betroffenen Person ermöglicht, hat diese eine risikominimierende Wirkung im Verarbeitungsprozess. Folge dessen ist, dass für die so bearbeiteten Daten entsprechend dem risikobasierten Ansatz der DSGVO weniger strenge anderweitige technisch-organisatorische Schutzmaßnahmen ergriffen werden müssen. Die Pseudonymisierung kann sich auch anderweitig positiv auswirken. So kann sie das Risikopotential von Datenschutzvorfällen senken, so dass ggf. eine Meldung nach Art. 33 DSGVO gar nicht erforderlich wird, weil das Risiko des Vorfalls als gering einzustufen sein kann.3 Außerdem kann sich eine Pseudonymisierung bei der Verhängung von DSGVO-Bußgeldern positiv auf deren Höhe auswirken, da sie als präventive Maßnahme zum Schutz von Betroffenen zugunsten des Verantwortlichen zu werten wäre.4

205

Praxishinweis zur erfolgreichen Datenverschlüsselung5: Eine Verschlüsselung von Daten bietet sich bei der Zugriffs-, der Zugangs- und/oder der Weitergabekontrolle an: – Verschlüsselter Zugang zu personenbezogenen Daten; – Zugriff: Verschlüsselung von Datenbanken, Ordnern oder Dateien mittels Verschlüsselungsprogrammen; – verschlüsselter Übertragungsweg zur Datenweitergabe, z.B. via VPN.

c) Selbstregulierung und präventive Sicherheitsmaßnahmen 206

Besonders im Datenschutzrecht wird ein gewandelter regulatorischer IT-Sicherheitsansatz des Gesetzgebers augenfällig. So treten an die Stelle gesetzlicher Verbotsnormen zunehmend selbstregulatorische Steuerungsmechanismen, deren Umsetzung präventiv – also im Vorfeld der Datenverarbeitung – durch das Unternehmen erfolgt.6

1 Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.3.2; s. auch Degen/Emmert, Elektronischer Rechtsverkehr, § 8 Rz. 112 ff. 2 S. dazu ausführlich Voigt/von dem Bussche, Handbuch DSGVO, Teile 2.1.2.2, 3.3.2. 3 Schürmann, DSB 2021, 49, 51. 4 Vgl. Schürmann, DSB 2021, 49, 51. 5 Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. II.2. 6 Sydow in Sydow, DSGVO, Einleitung Rz. 84 m.w.N.

88

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 208 E.

aa) Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Die Sicherheit personenbezogener Daten soll technisch nicht nur während der Verarbeitung durch das Unternehmen sichergestellt werden, sondern bereits im Vorfeld der Verarbeitungstätigkeiten. Dieser präventive Schutzansatz beruht auf der Erkenntnis, dass die Bedingungen für sichere Datenverarbeitungen maßgeblich durch die dafür verwendete IT vorgegeben werden.1 Er wird über die unternehmerischen Pflichten zu Datenschutz durch Technikgestaltung („Data Protection by Design“) und Datenschutz durch datenschutzfreundliche Voreinstellungen („Data Protection by Default“) nach Art. 25 DSGVO sichergestellt. Verantwortliche sind dazu verpflichtet, technische Datenschutzkonzepte beim Aufsetzen neuer Verarbeitungsvorgänge umzusetzen.2 Die beiden Schutzkonzepte erfordern folgende Maßnahmen:

207

– Datenschutz durch Technikgestaltung: technische und organisatorische Maßnahmen werden bereits bei der Erarbeitung des Datenverarbeitungsvorgangs integriert. Bei der Entwicklung neuer Produkte sollte die Geschäftsleitung des jeweiligen Unternehmens bereits in einer frühen Phase des Projekts darauf hinarbeiten, Entwickler und Designer auf diese Verpflichtung aufmerksam zu machen;3 Beispiele für Datenschutz durch Technikgestaltung4: – Entwicklung auf Datenminimierung ausgerichteter IT-Systeme; – Pseudonymisierung/Anonymisierung personenbezogener Daten bei ihrer Erfassung; – Ermöglichung der Erfüllung von Betroffenenrechten.

– Datenschutz durch datenschutzfreundliche Voreinstellungen: Werkseinstellungen werden datenschutzfreundlich vorgenommen. Dadurch werden nur solche Daten erhoben, die zur Erreichung des Verarbeitungszwecks zwingend benötigt werden. Durch Voreinstellungen lassen sich neben der Menge der erfassten Daten auch das Ausmaß ihrer Verarbeitung und Speicherdauer begrenzen.5 Die Pflichten werden durch den Stand der Technik sowie durch die notwendigen Implementierungskosten begrenzt.6 Unternehmen sollten in jedem Fall ihre Bemühungen erhöhen, datenschutzfreundliche Produkte zu entwickeln und bei der Verarbeitung personenbezogener Daten möglichst datensparsam vorzugehen. Während sich Datenschutz durch Technikgestaltung nur im Entwicklungsprozess vor der Datenverarbeitung umsetzen lässt, können die Werkseinstellungen von Produkten oder Voreinstellungen von Diensten auch nachträglich eine Anpassung erfahren. Insofern dürfte der Implementierungsaufwand zur Umsetzung von Datenschutz durch datenschutzfreundliche Voreinstellungen regelmäßig geringer ausfallen.

1 2 3 4 5 6

Conrad/Hausen in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 36 Rz. 210 ff. Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.7 m.w.N. Gierschmann, ZD 2016, 51, 53. ErwGr. 78 DSGVO; Wybitul/Draf, BB 2016, 2101, 2104. Gierschmann, ZD 2016, 51, 53; Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.7. Gausling/Baumgartner, ZD 2017, 308, 310 f.

89

2021-11-22, 12:02, HB groß

208

E. Rz. 209 | Datenschutz und IT-Sicherheit

bb) Zertifizierungen und Verhaltensregeln 209

Der selbstregulatorische Datenschutzansatz wird auch durch die steigende Bedeutung von Verhaltensregeln, Siegeln und Zertifizierungen nach der DSGVO verdeutlicht. Entsprechende Instrumente können von Unternehmen nicht nur genutzt werden, um gegenüber ihren Kunden und Geschäftspartnern mit einem bestimmten Datensicherheitsstandard aufzutreten, sondern können auch den Nachweis der Einhaltung von IT-Sicherheitspflichten auf unterschiedliche Art und Weise erleichtern.1 Verhaltensregeln präzisieren die technischen und organisatorischen Datenschutzanforderungen der DSGVO für eine bestimmte Verarbeitungssituation, ein bestimmtes Produkt oder einen bestimmten Sektor.2 Dadurch ermöglichen sie Unternehmen eine Selbsteinschätzung, ob und inwieweit ihre Tätigkeiten mit dem Datenschutzrecht in Einklang stehen, etwa ob angemessene technische und organisatorische Maßnahmen getroffen wurden.3 Im Gegensatz dazu konkretisieren Zertifizierungen die gesetzlichen Anforderungen nicht, sondern dienen vielmehr dem Nachweis der Vereinbarkeit der durchgeführten Verarbeitungstätigkeiten mit der DSGVO, bspw. gegenüber den Aufsichtsbehörden.4 So könnten Unternehmen ihre technischen und organisatorischen Maßnahmen zertifizieren lassen, um die Einhaltung datenschutzrechtlicher IT-Sicherheitsstandards nachzuweisen. In Deutschland obliegt die Genehmigung und Überwachung der Einhaltung von Verhaltensregeln grundsätzlich den Datenschutzaufsichtsbehörden. Die Entwicklung von Zertifizierungen erfolgt gem. § 39 BDSG durch die Deutsche Akkreditierungsstelle in Kooperation mit den Aufsichtsbehörden. Bei Verfügbarkeit entsprechender Instrumente sollte deren Verwendung jedenfalls ernsthaft in Betracht gezogen werden. So können Unternehmen mit entsprechenden Zertifizierungen nach außen einen Sorgfalts- und Leistungsnachweis erbringen, über den vertragliche wie deliktische Haftungsrisiken zu einem bestimmten Grad gesteuert werden können (s. Rz. 550 ff.). Insbesondere bei der Verhängung von Bußgeldern kann die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO oder genehmigten Zertifizierungsverfahren nach Art. 42 DSGVO als mildernder Faktor berücksichtigt werden, Art. 83 Abs. 2 Satz 2 lit. j DSGVO.5 d) Schrems II

210

Werden personenbezogene Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt, so ist dies gem. Kapitel V der DSGVO im Regelfall nur zulässig, wenn für die Behandlung der Daten im Drittland ein angemessenes Datenschutzniveau gewährleistet wird.6 Mit Urteil vom 16. Juli 20207 entschied der EuGH,

1 Gühr/Karper/Maseberg, DuD 2020, 649, 650; Laue in Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 8 Rz. 1; Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.9.1. 2 von Braunmühl/Wittmann in Plath, BDSG/DSGVO, Art. 40 Rz. 8. 3 Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.9.1. 4 Bergt, DSRITB 2016, 483, 496. 5 Maier/Pawlowska/Lins/Sunyaev, ZD 2020, 445, 446. 6 Vgl. Pauly in Paal/Pauly, DS-GVO, Art. 44 Rz. 1 f. 7 EuGH, Urt. v. 16.7.2020 – C-311/18 – Schrems II, CR 2020, 529.

90

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 213 E.

dass neben den in Kapitel V DSGVO vorgesehenen Schutzmaßnahmen, wie den EUStandardvertragsklauseln,1 ggf. zusätzliche Schutzmaßnahmen zu ergreifen seien,2 um die übermittelten personenbezogenen Daten – je nach Rechtsniveau des Empfängerlandes – vor einem überbordenden Zugriff durch Sicherheitsbehörden zu schützen.3 Solche zusätzlichen Schutzmaßnahmen können grundsätzlich sowohl technischer, organisatorischer als auch vertraglicher Natur sein.4 Voller Schutz – und damit einhergehend umfängliche Rechtssicherheit – soll jedenfalls nach Ansicht der Datenschutzaufsichtsbehörden5 nur beim Vorliegen technischer Sicherheitsmaßnahmen bestehen; rein organisatorische oder vertragliche Schutzmaßnahmen sollen im Regelfall nicht ausreichen.6 Wirksame Schutzmaßnahmen sollen nach Ansicht der Aufsichtsbehörden insbesondere das Verschlüsseln mit einem nur dem Datenexporteur in der EU zugänglichen Schlüssel7 sowie die Pseudonymisierung, wiederum mit Schlüssel nur beim Datenexporteur in der EU,8 darstellen.

211

Die EuGH-Entscheidung „Schrems II“ und die in Folge hieraus ergangenen Vorschläge des Europäischen Datenschutzausschusses dürften daher in der Praxis dazu führen, dass zusätzliche IT-Sicherheitsmaßnahmen zu ergreifen sind, um Drittlandtransfers zu rechtfertigen.

212

2. Weitere datenschutzrechtliche Informations-Sicherheitsvorgaben Neben dem Erfordernis, zum Schutz personenbezogener Daten angemessene technische und organisatorische Maßnahmen zu ergreifen, sehen die DSGVO und das BDSG weitere datenschutzrechtliche Informations-Sicherheitsvorgaben vor. Die wesentlichsten organisatorischen Informations-Sicherheitspflichten werden nachfolgend in Kürze dargestellt.

1 2 3 4 5

6 7 8

Zu den neuen EU-Standardvertragsklauseln s. Voigt, CR 2021, 458. EuGH, Urt. v. 16.7.2020 – C-311/18 – Schrems II, CR 2020, 529, Rz. 133. Vgl. EuGH, Urt. v. 16.7.2020 – C-311/18 – Schrems II, CR 2020, 529, Rz. 105. Vgl. EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten vom 18.6.2021, Rz. 52. Die Äußerungen des Datenschutzausschusses stellen lediglich Empfehlungen dar; jedenfalls in Bezug auf Teilaspekte dürfte fraglich sein, ob die Empfehlungen tatsächlich zwingende Konsequenz der Schrems II-Entscheidung sind, oder ob sie hierüber hinausgehende Vorgaben aufstellen. EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten vom 18.6.2021, Rz. 53. EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten vom 18.6.2021, Rz. 84. EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten vom 18.6.2021, Rz. 85.

91

2021-11-22, 12:02, HB groß

213

E. Rz. 214 | Datenschutz und IT-Sicherheit

a) Verzeichnis von Verarbeitungstätigkeiten 214

Unternehmen sind gem. Art. 30 DSGVO dazu verpflichtet, Verzeichnisse über ihre Verarbeitungstätigkeiten zu führen. Von dieser Pflicht befreit sind (in sehr eingeschränktem Maße) lediglich kleine, mittlere und Kleinstunternehmen mit weniger als 250 Mitarbeitern und einem Jahresumsatz von weniger als 50 Mio. Euro gem. Art. 30 Abs. 5 DSGVO.1 Die Verzeichnisse müssen im Wesentlichen die folgenden Informationen enthalten: – Namen und Kontaktdaten des Unternehmens und des Datenschutzbeauftragten (s. sogleich Rz. 217 ff.); – Informationen über die Datenverarbeitung: Verarbeitungszweck, Kategorien betroffener Personen und Daten, Kategorien von Empfängern der Daten, Übermittlungen der Daten in ein Nicht-EU-Land, ggf. Fristen zur Löschung der Datenkategorien, Beschreibung der technischen und organisatorischen Maßnahmen.

215

Die Verzeichnisse sollen die Transparenz der durchgeführten Verarbeitungsvorgänge erhöhen und dienen dazu, die Einhaltung der datenschutzrechtlichen Pflichten gegenüber den Aufsichtsbehörden nachzuweisen. b) Datenschutz-Folgenabschätzung

216

Wie zuvor erwähnt, sind Unternehmen dazu verpflichtet, für risikoreiche Datenverarbeitungsvorgänge eine tiefgehende Risikoanalyse durchzuführen, um geeignete technische und organisatorische Schutzmaßnahmen ermitteln zu können (s. Rz. 196 ff.). Die Pflicht zur Vornahme dieser Datenschutz-Folgenabschätzung ergibt sich aus Art. 35 DSGVO. Birgt eine Art der Datenverarbeitung, insbesondere unter Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, so hat das für die Verarbeitung verantwortliche Unternehmen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Insbesondere bei der Verwendung von IT-Sicherheitssoftware wird es regelmäßig zur Verarbeitung umfangreicher Daten zu Nutzeraktivitäten kommen, was eine Datenschutz-Folgenabschätzung erforderlich machen kann. Damit muss das Unternehmen eine Prognoseentscheidung vornehmen. Ergibt die Abschätzung ein hohes Risiko, wenn keine technischen und organisatorischen Maßnahmen zur Risikominimierung getroffen werden, muss das Unternehmen die Aufsichtsbehörde konsultieren, Art. 36 Abs. 1 DSGVO.2

1 ErwGr. 13 DSGVO. 2 S. zur Datenschutz-Folgenabschätzung insb. Art.-29-Datenschutzgruppe, WP 248 vom 4.4.2017, abrufbar unter: https://ec.europa.eu/newsroom/article29/items/611236, zuletzt aufgerufen am 9.6.2021.

92

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 219 E.

c) Datenschutzbeauftragter Während Unternehmen im Regelfall keiner Rechtspflicht zur Benennung eines IT-Sicherheitsbeauftragten (s. Rz. 620 ff.) unterliegen, ist die Position des Datenschutzbeauftragten gesetzlich in den Art. 37–39 DSGVO sowie § 38 BDSG verankert, so dass in vielen Fällen die Pflicht zur Benennung eines Datenschutzbeauftragten besteht:

217

– Nach Art. 37 Abs. 1 DSGVO besteht die Benennungspflicht, wenn eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten stattfindet oder die unternehmerische Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.1 – Für Unternehmen im Anwendungsbereich des BDSG (s. Rz. 189 f.) besteht regelmäßig eine Benennungspflicht. Gem. § 38 Abs. 1 Satz 1 BDSG müssen Unternehmen einen Datenschutzbeauftragten u.a. dann benennen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Ähnlich wie ein betrieblicher IT-Sicherheitsbeauftragter spielt der Datenschutzbeauftragte eine Schlüsselrolle bei der Einhaltung datenschutzrechtlicher IT-Sicherheitspflichten. Art. 39 DSGVO weist dem Datenschutzbeauftragten gesetzliche Pflichten und Aufgaben in Bezug auf die Gewährleistung des Datenschutzes im Unternehmen zu. So obliegt ihm etwa die Unterrichtung und Beratung des Unternehmens bzgl. dessen Datenschutzpflichten sowie die Überwachung der Einhaltung dieser Pflichten und der unternehmenseigenen Datenschutzstrategien. Deswegen sollten Unternehmen ihren Datenschutzbeauftragten etwa vor der Einführung technischer und organisatorischer Maßnahmen konsultieren. Seine Beteiligung wird damit für die rechtskonforme Umsetzung datenschutzrechtlicher IT-Sicherheitspflichten unerlässlich. Um von der Expertise des Datenschutzbeauftragten bestmöglich profitieren zu können, sollten Unternehmen die Übertragung zusätzlicher Aufgaben an den Datenschutzbeauftragten in Betracht ziehen. Dabei müssen allerdings Interessenkonflikte vermieden werden, Art. 38 Abs. 6 DSGVO.

218

Praxishinweis zu Interessenkonflikten2: Ein Interessenkonflikt kann entstehen, wenn der Datenschutzbeauftragte über die Zwecke und Mittel der Datenverarbeitung entscheidet oder selbst für die Rechtmäßigkeit der Verarbeitungsvorgänge verantwortlich ist. Damit scheidet etwa die Benennung folgender Personen als Datenschutzbeauftragter aus: – Inhaber gehobener Managementpositionen (Geschäftsführer, Vorstandsmitglieder, CEO, …); – Leiter der IT-, Marketing- oder Personalabteilung; – andere Positionen auf einer niedrigeren Ebene der Organisationsstruktur, soweit sie eine Festlegung der Zwecke und Mittel der Datenverarbeitung ermöglichen.

219

1 Dazu Einzelheiten bei Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.6.1.1. 2 Voigt/von dem Bussche, Handbuch DSGVO, Teile 3.6.4.1, 3.6.4.2; Paal in Paal/Pauly, DSGVO, Art. 38 Rz. 14.

93

2021-11-22, 12:02, HB groß

E. Rz. 220 | Datenschutz und IT-Sicherheit 220

Unternehmen haben bei der Umsetzung ihrer Pflicht zur Benennung eines Datenschutzbeauftragten – ähnlich wie beim IT-Sicherheitsbeauftragten (s. Rz. 620 ff.) – die Wahl zwischen der Benennung eines internen Mitarbeiters oder eines externen Dritten. In jedem Fall muss die Position anhand der beruflichen Qualifikation, des datenschutzrechtlichen Fachwissens und der Befähigung zur Erfüllung der gesetzlich vorgesehenen Aufgaben mit einem geeigneten Kandidaten ausgefüllt werden, Art. 37 Abs. 5 DSGVO. Konzerne können zur Einsparung personeller und finanzieller Ressourcen die Benennung eines gemeinsamen Datenschutzbeauftragten für alle Gruppenunternehmen auf der Grundlage von Art. 37 Abs. 2 DSGVO in Betracht ziehen. Dabei muss allerdings dessen einfache Erreichbarkeit durch Angehörige aller Gruppenunternehmen sichergestellt werden, so dass sprachliche und kommunikative Hürden im Vorfeld der Benennung entsprechend bewertet werden müssen.1 3. Meldepflichten bei Datenschutzverletzungen

221

Kommt es im Unternehmen zu einer Verletzung der Datensicherheit,2 die – unbeabsichtigt oder unrechtmäßig – zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, trifft das Unternehmen regelmäßig eine Meldepflicht bzgl. des Vorfalls gegenüber den Datenschutzaufsichtsbehörden und betroffenen Personen.3 Unabhängig von einer etwaigen Meldepflicht sind Datenschutzvorfälle stets zu dokumentieren (vgl. Art. 33 Abs. 5 DSGVO), wobei es sich bei den Vorfällen um technische oder physische Zwischenfälle mit ganz unterschiedlichen Ursachen handeln kann, etwa um Cyber-Angriffe, den Verlust von Datenträgern oder eine unbeabsichtigte Löschung von Daten bei Software-Updates.4 Meldungen entsprechender Vorfälle an Aufsichtsbehörden und Betroffene obliegen ausschließlich dem für die Datenverarbeitung verantwortlichen Unternehmen (s. Rz. 182 f.). Kommt es bei einem Auftragsverarbeiter (s. Rz. 184) zu entsprechenden Datenschutzverletzungen, trifft ihn gem. Art. 33 Abs. 2 DSGVO lediglich eine Pflicht zur unverzüglichen Meldung des Vorfalls gegenüber dem Verantwortlichen, welcher die Verantwortung für den weiteren Umgang mit der Situation trägt. a) Meldung gegenüber der Datenschutzaufsichtsbehörde

222

Im Fall einer Datenschutzverletzung ist diese unverzüglich und in der Regel binnen 72 Stunden nach Bekanntwerden der zuständigen Datenschutzaufsichtsbehörde zu melden, Art. 33 Abs. 1 DSGVO.5 Die kurze Meldefrist soll es ermöglichen, negativen Auswirkungen der Datenschutzverletzung für die betroffenen Personen schnellst1 Bergt in Kühling/Buchner, DS-GVO BDSG, Art. 37 Rz. 27 ff.; für Einzelheiten s. auch Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.6.1.3 m.w.N. 2 S. dazu insb. Art.-29-Datenschutzgruppe, WP 250rev.01 vom 6.2.2018; EDSA, Guidelines 01/2021 on Examples regarding Data Breach Notification, Version 1.0 vom 14.1.2021. 3 Zur Definition der Verletzung des Schutzes personenbezogener Daten vgl. Art. 4 Nr. 12, 32 Abs. 1 lit. c DSGVO. 4 Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.8.1. 5 Bzgl. der besonderen Benachrichtigungspflicht nach § 169 TKG s. auch Rz. 413.

94

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 224 E.

möglich entgegenzuwirken. Je mehr Risiken eine Datenschutzverletzung für die Rechte und Freiheiten der betroffenen Personen birgt, desto schneller muss demnach eine Meldung erfolgen.1 Die knapp bemessene Meldefrist zwingt Unternehmen zur Einrichtung interner Meldewege, damit Datenschutzverletzungen schnellstmöglich entdeckt, intern gemeldet und anschließend extern gegenüber den Aufsichtsbehörden gemeldet werden können. In der Praxis lässt sich dies etwa mittels spezifischer Data Breach Notification Policies oder einer entsprechenden Standard Operating Procedure im Unternehmen umsetzen.2 Diese lassen sich in ein Informationssicherheitsmanagementsystem integrieren (s. Rz. 643 ff.). Aus der Data Breach Notification Policy muss für alle Mitarbeiter ersichtlich werden, wie sie sich im Fall eines (vermuteten) Datenschutzvorfalls zu verhalten haben. Daraus muss nicht nur hervorgehen, ob es sich bei dem Zwischenfall um eine Datenschutzverletzung handelt, sondern z.B. auch, wer intern auf welche Weise zu benachrichtigen ist, welche Beweissicherungsmaßnahmen durchgeführt werden müssen und wie der betroffene Datenfluss nach außen kurzfristig unterbunden werden kann.3 Praxishinweis zur Data Breach Notification Policy: Konzeption und Inhalt der Data Breach Notification Policy folgen im Wesentlichen derjenigen eines Notfallkonzepts, so dass die entsprechenden Ausführungen berücksichtigt werden können (s. Rz. 684 ff.). Im Wesentlichen sind zumindest die folgenden Punkte regelungsbedürftig: – Definition der meldepflichtigen Datenschutzverletzung – Vorgehensweise im Falle des Verdachts einer Datenschutzverletzung – Festlegung interner Verantwortlichkeiten: Ansprechpartner in den einzelnen Abteilungen, die interne Meldungen empfangen und die nächsten Handlungsschritte auslösen – Festlegung, wer zur Meldung von Vorfällen an die Aufsichtsbehörden autorisiert ist – Festlegung von Sofortmaßnahmen: Untersuchung der Art des Vorfalls, Maßnahmen zur Beendigung oder Eindämmung des Vorfalls (z.B. Sperrung des Zugriffs, Trennung der Verbindung bestimmter Systeme) – Maßnahmen zur raschen Dokumentation des Vorfalls – Maßnahmen zur Rückkehr zum „Normalbetrieb“ der Datenverarbeitung – Strategie zur Meldung an die Aufsichtsbehörde – Strategie zur Information betroffener Personen im Bedarfsfall (s. sogleich unter Rz. 227 f.) – Nachträgliche Analyse und Bewertung des Vorfalls

223

Die Meldung des Verantwortlichen an die Aufsichtsbehörde muss bestimmte Mindestinformationen enthalten, etwa eine Beschreibung der Art der Datenschutzverletzung, ihrer möglichen Folgen sowie der ergriffenen Gegenmaßnahmen im Unternehmen, Art. 33 Abs. 3 DSGVO. Zur Vereinfachung des Meldeverfahrens bieten mittlerweile die meisten Datenschutzaufsichtsbehörden Online-Formulare bzw. Vordrucke für Meldungen an. Dadurch kann der Verantwortliche kontrollieren, ob er die erforderlichen Informationen mitgeteilt hat.

224

1 Grages in Plath, BDSG/DSGVO, Art. 33 Rz. 4; Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.8.2.2. 2 Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.8.2.2. Vgl. auch EDSA, Guidelines 01/ 2021 on Examples regarding Data Breach Notification, Version 1.0 vom 14.1.2021, S. 6 Rz. 13. 3 Spies, ZD 2015, 293, 293.

95

2021-11-22, 12:02, HB groß

E. Rz. 225 | Datenschutz und IT-Sicherheit 225

Ob eine Meldung des Vorfalls an die Aufsichtsbehörde erforderlich wird, liegt – ausgehend vom risikobasierten Datenschutzansatz der DSGVO – letztlich im Ermessen des Unternehmens.1 Kommt es zu der Einschätzung, dass ein Zwischenfall nur ein geringes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, so besteht grundsätzlich keine Pflicht zur Meldung des Vorfalls gegenüber der Aufsichtsbehörde, Art. 33 Abs. 1 DSGVO.2 Das Einschätzungsrisiko für eine solche Bewertung des Vorfalls liegt beim Unternehmen: teilt die Aufsichtsbehörde im Nachhinein die Einschätzung des Unternehmens nicht, kann die Verletzung der Meldepflicht zu einem erheblichen Bußgeld für das Unternehmen führen (s. sogleich Rz. 232 ff.).3

226

Praxishinweis zur Risikobewertung4: Um die Erforderlichkeit der Meldung eines Datenschutzvorfalls an die Aufsichtsbehörden einzuschätzen, muss das Unternehmen eine Risikobewertung vornehmen. Dabei sind alle drohenden Schäden für die betroffenen Personen zu berücksichtigen. Wegen der sehr kurzen Meldefrist ist eine vollständige Bewertung der Situation allerdings nahezu unmöglich. Der Prognoseentscheidung des Unternehmens haftet aus diesem Grund ein hoher Unsicherheitsfaktor an. Im Hinblick auf Fehleinschätzungen und bußgeldbewährte Verletzungen der Meldepflicht sollten Unternehmen daher im Regelfall ein niederschwelliges Meldeverhalten verfolgen.

b) Benachrichtigung der betroffenen Personen 227

Kommt das Unternehmen bei der Bewertung der Datenschutzverletzung zu der Einschätzung, dass diese ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt, muss es diese unverzüglich benachrichtigen, Art. 34 Abs. 1 DSGVO.5 So haben betroffene Personen die Möglichkeit, notwendige Schutzmaßnahmen zu treffen. Um Unternehmen die Risikobewertung des Vorfalls zu erleichtern, hat der Europäische Datenschutzausschuss diesbezüglich Leitlinien veröffentlicht, an denen sich Unternehmen für ihr Meldeverhalten orientieren sollten, vgl. Art. 70 Abs. 1 lit. h DSGVO.6 Unternehmen müssen bei der Benachrichtigung Betroffener die Art des Zwischenfalls beschreiben und ihnen gegenüber Handlungsempfehlungen zur Minderung nachteiliger Auswirkungen aussprechen.7 In dieser Situation kann eine enge Zusammenarbeit des Unternehmens mit der Aufsichtsbehörde stattfinden: Diese kann

1 Abwägungshilfen gibt EDSA, Guidelines 01/2021 on Examples regarding Data Breach Notification, Version 1.0 vom 14.1.2021. 2 Martini in Paal/Pauly, DSGVO, Art. 33 Rz. 22; Grages in Plath, BDSG/DSGVO, Art. 33 Rz. 6. 3 EDSA, Guidelines 01/2021 on Examples regarding Data Breach Notification, Version 1.0 vom 14.1.2021, S. 6 Rn. 10; Paal, ZD 2020, 119, 121; Grages in Plath, BDSG/DSGVO, Art. 33 Rz. 7. 4 Voigt/von dem Bussche, Handbuch DSGVO, Teile 3.8.2.4 m.w.N. 5 Bzgl. der besonderen Benachrichtigungspflicht nach § 169 TKG s. auch Rz. 413 ff. 6 Grages in Plath, BDSG/DSGVO, Art. 34 Rz. 5; s. hierzu Art.-29-Datenschutzgruppe, WP 250rev.01 vom 6.2.2018 sowie EDSA, Guidelines 01/2021 on Examples regarding Data Breach Notification, Version 1.0 vom 14.1.2021. 7 ErwGr. 86 DSGVO; für Einzelheiten s. Art. 34 Abs. 2 DSGVO i.V.m. Art. 33 Abs. 3 DSGVO.

96

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 230 E.

nicht nur eine Benachrichtigung betroffener Personen anordnen, sondern das Unternehmen auch bei der Kommunikation mit den Betroffenen beraten, Art. 34 Abs. 4 DSGVO.1 Selbst wenn ein Zwischenfall ein hohes Bedrohungspotential birgt, ist eine Benachrichtigung der betroffenen Personen nicht stets erforderlich. Entsprechende Ausnahmen sind sowohl in Art. 34 Abs. 3 DSGVO als auch in § 29 BDSG vorgesehen.2 So kann die Benachrichtigung Betroffener etwa unterbleiben, wenn das Unternehmen geeignete technische und organisatorische Maßnahmen (s. Rz. 193 ff.) zur Eindämmung drohender Risiken getroffen hat. Unternehmen sollten die negativen Auswirkungen des Bekanntwerdens von Datenschutzverletzungen gegenüber Kunden oder Geschäftspartnern nicht unterschätzen (s. Rz. 27 ff.). Aus diesem Grund ist die Aufrechterhaltung eines hohen Datensicherheitsstandards nicht nur zur Vermeidung von Verletzungen datenschutzrechtlicher IT-Sicherheitspflichten, sondern auch zur Verhinderung von Geschäftseinbußen notwendig.

228

Beispiel für Meldepflicht3: Das Informationssystem eines Krankenhauses wird einem Ransomware-Angriff ausgesetzt und ein erheblicher Teil der Daten wird vom Angreifer verschlüsselt. Protokolle zur Verfolgung aller Datenströme (einschließlich ausgehender E-Mails) belegen, dass der Täter die Daten nur verschlüsselt hat, ohne sie zu extrahieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Vom Angriff sind personenbezogene Daten tausender Personen (Mitarbeiter und Patienten) betroffen. Durch elektronische Backups konnte nach zwei Arbeitstagen der größte Teil der Daten wiederhergestellt werden. Dieser Vorgang führte zu erheblichen Verzögerungen bei der Behandlung der Patienten mit abgesagten/verschobenen Operationen und zu einer Senkung des Betreuungsniveaus aufgrund der Nichtverfügbarkeit der Daten und Systeme.

229

Aufgrund der Art des Datenschutzvorfalles, der Sensibilität und dem Umfang der betroffenen personenbezogenen Daten ergab sich aus der mangelnden Verfügbarkeit der Daten zum Zeitpunkt des Angriffs und in den darauffolgenden Tagen ein hohes Risiko für die Betroffenen. Auch wenn ein Backup der Daten vorhanden war und diese innerhalb weniger Tage wiederhergestellt werden konnten, mussten Operationen abgesagt/verschoben werden und das Betreuungsniveau senkte sich. Dies zeigt die Relevanz und Notwendigkeit einer Meldepflicht des Verantwortlichen gegenüber der zuständigen Aufsichtsbehörde und den Betroffenen auf.

c) Exkurs: Checkliste „To-dos bei Data Breaches“ Die datenschutzrechtliche Pflicht zur Meldung von Datenschutzvorfällen stellt häufig die offensichtlichste Handlungspflicht im Falle eines entsprechenden „Data Breaches“ dar. Neben den Meldepflichten sind aber diverse andere Punkte – häufig unter großem Zeitdruck – zu berücksichtigen. Die folgende Checkliste kann im Falle von Sicher-

1 ErwGr. 86 DSGVO. 2 Dazu ausführlich Voigt/von dem Bussche, Handbuch DSGVO, Teile 3.8.3. 3 EDSA, Guidelines 01/2021 on Examples regarding Data Breach Notification Version 1.0 vom 14.1.2021, S. 11 ff. Rz. 36 ff.

97

2021-11-22, 12:02, HB groß

230

E. Rz. 230 | Datenschutz und IT-Sicherheit

heitsvorfällen – insbesondere bei Angriffen von außen, z.B. bei Ransomware-Attacken1 – eine Gedankenstütze bieten, um keine wesentlichen Themen zu übersehen. 231

Interne Aufarbeitung der Datenpanne Organisation Bestimmung eines Verantwortlichen (mit Entscheidungsbefugnis) für die Koordination der internen Aufbereitung des Vorfalls Einbeziehung des Datenschutzbeauftragten Dokumentation der internen Aufbereitung, einschließlich aller Maßnahmen, die bereits vorgenommen wurden oder geplant sind Analyse des Vorfalls/Sachverhaltsaufklärung Einbeziehung eines IT-Forensikers zur Aufklärung des Sachverhalts Bestimmung Zeitraum/Zeitpunkt des Vorfalls Bestimmung Zeitpunkt der Feststellung des Vorfalls Identifizierung der Person, die Vorfall festgestellt hat Identifizierung betroffene Hardware Identifizierung betroffene Software Beschreibung des konkreten Zugriffs auf die Systeme Betroffenenkreis, wenn möglich: Anzahl der betroffenen Personen Identifizierung Arten der betroffenen Daten (Kategorien) Dokumentation der Analyse Bewertung der Risiken Prüfung, ob personenbezogene Daten von Angriff betroffen sind Prüfung, ob aufgrund des Vorfalls keine/geringe/mittlere/hohe Risiken für die betroffenen Personen erwartet werden – Prüfung und Bewertung der möglichen Folgen für die betroffenen Personen, z.B. Erhalt ungebetener Werbung, Verwendung Identität einer betroffenen Person Mitteilung des Ergebnisses der Risikobewertung an Koordinations-Verantwortlichen Dokumentation der Risikoanalyse und Bewertung Identifizierung von Abhilfemaßnahmen Technische Maßnahmen, z.B. Prüfung der Möglichkeit der Entschlüsselung der verschlüsselten Daten Prüfung der Wiederherstellung von Backups Überprüfung möglicher Sicherheitslücken, die den Angriff ermöglichten

1 Zu Beispielen für etwaige meldepflichtige Vorgänge im Rahmen von Ransomware-Angriffen s. EDSA, Guidelines 01/2021 on Examples regarding Data Breach Notification, Version 1.0 vom 14.1.2021, S. 7 Rz. 16 ff.

98

2021-11-22, 12:02, HB groß

IV. Datenschutzrechtliche IT-Sicherheitsvorgaben | Rz. 231 E. Organisatorische Maßnahmen Hinweise an Mitarbeiter Einbeziehung Behörden Meldung an die zuständige Datenschutzaufsichtsbehörde Prüfung der Meldepflicht Prüfung bzgl. Verletzung des Schutzes personenbezogener Daten: Schwelle niedrig, jede Verletzung (= unberechtigte Kenntnisnahme, Verlust) kann ausreichen Formalien Frist beachten: Unverzüglich, grundsätzlich spätestens binnen 72 Stunden nach Kenntniserlangung Inhalt Beschreibung der Datenpanne (Art der Verletzung, Kategorien der betroffenen Daten, Zahl der betroffenen Personen, Zahl der betroffenen Datensätze) Benennung des Datenschutzbeauftragten oder eines Ansprechpartners Beschreibung wahrscheinlicher Folgen der Verletzung Beschreibung der ergriffenen Abhilfemaßnahmen Meldung an Ermittlungsbehörden Strafanzeige an Polizei Meldung an sonstige Behörden Bspw. Meldung an das BSI, BNetzA etc., soweit erforderlich Meldung an die betroffenen Personen Prüfung der Meldepflicht Prüfung, ob hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht Formalien Frist beachten: „unverzüglich“, d.h. nach Feststellung eines hohen Risikos für die Rechte und Freiheiten der betroffenen Personen Inhalt Benennung des Datenschutzbeauftragten oder eines Ansprechpartners Beschreibung wahrscheinlicher Folgen der Verletzung für den Betroffenen Beschreibung der ergriffenen Abhilfemaßnahmen/Maßnahmen zur Abmilderung Ggf. „freiwillige“ Meldung Hinweis an bestimmte Personen, bei denen eine Betroffenheit nicht ausgeschlossen werden kann, z.B. – Feststellung Verlust von E-Mail-Adressen der Newsletter-Kunden: Information an Betroffene mit Warnung vor möglichen Phishing-Mails – Feststellung Zugriff auf Kontodaten: Information an Betroffene mit Warnung vor möglicher unberechtigter Zahlungsaufforderung

99

2021-11-22, 12:02, HB groß

E. Rz. 231 | Datenschutz und IT-Sicherheit Public Relations Ggf. Vorbereitung Pressemitteilung für mögliche Presseanfragen Ggf. Vorbereitung für Mitteilung auf Website Ansprechpartner für Anfragen bestimmen und intern kommunizieren Hinweise an Mitarbeiter zum Umgang mit Anfragen, insbesondere Darstellung der Kommunikationswege Sonstige Pflichten Ggf. Mitwirkungspflichten gegenüber Kreditinstituten bei Zugriff auf Kontodaten zur Vermeidung von Schadensersatzansprüchen (ggf. Sperren von bestimmten Konten) Berücksichtigung rechtlicher Pflichten in anderen Jurisdiktionen, insbesondere Meldepflichten außerhalb der EU Versicherung Insbesondere bei Bestehen einer Cyber-Security-Versicherung: Frühzeitiges Einbeziehen/Deckungsanfrage an Versicherung stellen Nachbereitung (Beispiele)1 Erstellung eines Prozesses zum Umgang mit Datenpannen in der Zukunft, insbesondere Bestimmung von Verantwortlichkeiten und Kommunikationskanälen, ggf. Gründung einer Data Breach Task Force Implementierung von Systemen zur Früherkennung von Datenpannen Checklisten zur Prüfung der Meldepflicht gegenüber der Aufsichtsbehörde und den betroffenen Personen Schulung der Mitarbeiter, z.B. durch Vor-Ort-Schulungen, Guidelines Ggf. Abschluss einer Versicherung für die Kompensation von Schäden als Folge einer Datenpanne

V. Verletzungsfolgen 232

Im Falle einer Verletzung der vorbeschriebenen datenschutzrechtlichen Informationssicherheitspflichten droht Unternehmen die Verhängung empfindlicher Bußgelder durch die Datenschutzaufsichtsbehörden. Überdies kann die Datenschutzbehörde gegenüber Unternehmen verbindliche Anweisungen oder Anordnungen aussprechen, Art. 58 Abs. 2 DSGVO. Art. 83 DSGVO regelt die allgemeinen Voraussetzungen für die Verhängung und die Höhe von Bußgeldern, welche im Vergleich zur früheren Rechtslage deutlich erhöht wurden. So drohen dem Unternehmen beim Einsatz unzureichender technischer und organisatorischer Maßnahmen Geldbußen von bis zu

1 Zu organisatorischen und technischen Maßnahmen zur Vermeidung von Angriffen und Datenschutzvorfällen s. EDSA, Guidelines 01/2021 on Examples regarding Data Breach Notification, Version 1.0 vom 14.1.2021, S. 13 f. Rz. 48 ff., S. 18 f. Rz. 69 ff., S. 21 f. Rz. 83 ff., S. 25 f. Rz. 104 ff. sowie S. 29 f. Rz. 122 ff.

100

2021-11-22, 12:02, HB groß

V. Verletzungsfolgen | Rz. 234 E.

10 Mio. Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, Art. 83 Abs. 4 lit. a i.V.m. Art. 32 DSGVO. Im Falle weitergehender Verstöße gegen die DSGVO drohen gem. Art. 83 Abs. 5 DSGVO gar Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Dabei handelt es sich zugleich um den Bußgeldhöchstbetrag im Falle mehrfacher Verstöße gegen datenschutzrechtliche Bestimmungen. Von den hohen Geldbußen sind in besonderem Maße Unternehmensgruppen betroffen, da bei der Berechnung der Bußgeldhöhe nach Ansicht der Datenschutzaufsichtsbehörden der gesamte Umsatz der Unternehmensgruppe zugrunde gelegt wird.1 Mutter- und Tochterunternehmen bilden insoweit eine wirtschaftliche Einheit. Wird im Falle unzureichender technischer und organisatorischer Maßnahmen etwa ein Bußgeld nach Art. 83 Abs. 4 DSGVO verhängt, so droht einer Unternehmensgruppe mit einem gesamten weltweiten Jahresumsatz von 2 Milliarden Euro ein maximales Bußgeld von bis zu 40 Mio. Euro (entspricht 2 % des gesamten Umsatzes). Dies führt immer wieder, wie bei dem von der Datenschutzbehörde Hamburg verhängten Bußgeld i.H.v. 35,3 Mio. Euro gegen H&M, zu medialen Berichterstattungen.2 Gem. Art. 83 Abs. 1, 2 DSGVO muss das Bußgeld verhältnismäßig sein und die Umstände des Einzelfalls müssen hinreichend berücksichtigt werden. 1. Festsetzung von Bußgeldern für Datenschutzverstöße In Deutschland handelt es sich beim Bußgeldverfahren um ein Ordnungswidrigkeitsverfahren.3 Dabei sind die Aufsichtsbehörden gesetzlich zur Verhängung wirksamer, verhältnismäßiger und zugleich abschreckender Bußgelder verpflichtet, so dass Unternehmen empfindliche finanzielle Konsequenzen bei der Verletzung ihrer datenschutzrechtlichen Informationssicherheitspflichten drohen, Art. 83 Abs. 1 DSGVO.4

233

Die Verhängung eines Bußgelds setzt voraus, dass der in Rede stehende Datenschutzverstoß dem Unternehmen auch zugerechnet werden kann. Der Anknüpfungspunkt für eine solche Zurechnung ist rechtlich umstritten. Im DSGVO-Bußgeldverfahren findet über § 41 BDSG das Ordnungswidrigkeitenrecht grundsätzlich Anwendung. Die Verhängung von Bußgeldern gegen juristische Personen richtet sich in diesem Rahmen nach §§ 30, 130 OWiG. Diese Vorschriften erfordern eine von einer natürlichen Person zu verantwortende Handlung als Anknüpfungspunkt für Bußgelder. Dies würde letztlich einen schuldhaften Verstoß gegen Datenschutzvorschriften durch die

234

1 Dazu ausführlich Voigt/von dem Bussche, Handbuch DSGVO, Teil 7.3.4; Datenschutzkonferenz, Kurzpapier Nr. 2 (2017), S. 2; ErwGr. 150 DSGVO. 2 HmbBfDI, Bußgeld wegen Datenschutzverstößen bei H&M, abrufbar unter: https://daten schutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren, zuletzt aufgerufen am 10.6.2021. 3 § 41 Abs. 2 BDSG, wobei etwa § 17 OWiG, der die Bußgeldhöhe von der Vorsätzlichkeit oder Fahrlässigkeit des Rechtsverstoßes abhängig macht, gem. § 41 Abs. 1 Satz 2 BDSG nicht zur Anwendung gelangt; Voigt/von dem Bussche, Handbuch DSGVO, Teile 7.3.5 m.w.N. 4 Feldmann in Gierschmann, DSGVO, Art. 83 Rz. 1 ff.

101

2021-11-22, 12:02, HB groß

E. Rz. 234 | Datenschutz und IT-Sicherheit

Geschäftsführung, Leitungspersonen oder Personen mit Überwachungs- und Kontrollbefugnissen (§§ 30, 130 OWiG) voraussetzen.1 Ob und inwiefern diese OWiGVorschriften auch bei der Verhängung von DSGVO-Bußgeldern heranzuziehen sind, ist umstritten: – Das LG Bonn ging in einer Entscheidung davon aus, dass die DSGVO eine unmittelbare Verbandshaftung eigener Art vorsieht und die Maßstäbe der §§ 30, 130 OWiG letztlich nicht zum Tragen kommen.2 Nach diesen Maßstäben wäre Anknüpfungspunkt des Bußgeldes letztlich nur der Datenschutzverstoß als Verletzungserfolg. Eine von einer natürlichen Person zu verantwortende Handlung als Anknüpfungspunkt für ein DSGVO-Bußgeld wäre danach nicht erforderlich. – Das LG Berlin sprach sich dahingegen für eine Anwendung von § 30 OWiG aus.3 Nach diesen Maßstäben wäre für die Verhängung eines Bußgelds die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person, die dem Unternehmen zugerechnet werden kann, erforderlich. 235

Es bleibt abzuwarten, wie andere Gerichte und ggf. der EuGH in dieser Frage entscheiden werden und schließlich zur Klärung dieser Rechtsfrage beitragen. Die derzeitige Rechtsunsicherheit dürfte jedenfalls Auswirkungen auf die aufsichtsbehördliche Praxis haben. Aufsichtsbehörden dürften zur Begründung einer Haftung u.a. ein besonderes Augenmerk auf die Ermittlung der folgenden Umstände legen: – Bestimmung von Tatzeit und -ort; – Bestimmung der handelnden natürlichen Personen bzw. Organmitglieder.4

236

Liegt ein tatsächlicher Anknüpfungspunkt für die Haftung vor, kann die Aufsichtsbehörde ein Bußgeld gegen das Unternehmen festsetzen. Die Festsetzung des Bußgeldes erfolgt durch die Aufsichtsbehörden unter Berücksichtigung der Umstände des konkreten Datenschutzverstoßes, vgl. Art. 83 Abs. 2 Satz 2 lit. a–k DSGVO.5 Neben präventiven Maßnahmen wie der Zertifizierung des Verfahrens gem. Art. 83 Abs. 2 Satz 2 lit. j DSGVO können auch dem Datenschutzvorfall nachgelagerte Maßnahmen einen positiven Einfluss auf die Höhe des Bußgeldes haben. Mildernde Umstände nach Eintritt des Datenschutzvorfalls können u.a. sein: – die Durchführung von Maßnahmen zur Minderung des entstandenen Schadens für betroffene Personen (Art. 83 Abs. 2 Satz 2 lit. c DSGVO), – die Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern (Art. 83 Abs. 2 Satz 2 lit. f DSGVO),

1 2 3 4 5

Venn/Wybitul, NStZ 2021, 204, 205. LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = CR 2021, 117. LG Berlin, Beschl. v. 18.2.2021 – 526 OWi LG 212 Js-Owi 1/20 (1/20) = NJW 2021, 2600. von dem Bussche, ZD 2021, 270, 274. ErwGr. 148 DSGVO.

102

2021-11-22, 12:02, HB groß

V. Verletzungsfolgen | Rz. 239 E.

– die Art und Weise der Kenntniserlangung vom Datenschutzvorfall durch die Aufsichtsbehörde (Art. 83 Abs. 2 Satz 2 lit. h DSGVO), – sonstige vergleichbare Maßnahmen (Art. 83 Abs. 2 Satz 2 lit. k DSGVO). Neben den vom Verantwortlichen selbst beeinflussbaren nachträglichen Umständen können auch externe Faktoren einen mildernden Einfluss haben. So wurde gegen British Airways aufgrund der wirtschaftlichen Belastung infolge der Corona-Pandemie eine Geldbuße von 20 Mio. £ verhängt anstatt der zuvor angedachten 183,39 Mio. £.1 Die Reduzierung der Geldbuße gegen British Airways zeigt, dass die Bemessung von einer Vielzahl von Faktoren abhängt und nur schwer zu prognostizieren ist. Eine einheitliche Anwendung des Art. 83 DSGVO durch die Aufsichtsbehörden ist dadurch nur schwer realisierbar.

237

Um die Rechtssicherheit zu erhöhen und kohärentes Vorgehen zu ermöglichen wurde von den Datenschutzaufsichtsbehörden des Bundes und der Länder ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen entwickelt, welches bis zum Erlass abschließender Leitlinien zur Methodik der Festsetzung von Geldbußen durch den EDSA gültig ist.2 Das Konzept bestimmt den Unternehmensumsatz als zentralen Ausgangspunkt zur Bemessung des Bußgeldes.3 Das Bemessungskonzept führt dazu, dass mildernde Aspekte des Einzelfalls nur begrenzt berücksichtigt werden können. Zudem fallen bei leichten Datenschutzverstößen umsatzstarker Unternehmen die Bußgelder unverhältnismäßig hoch aus. So befand das LG Bonn,4 dass der Unternehmensumsatz bei der Bemessung von erheblicher Bedeutung sei, aber es sich gleichwohl nicht um ein taugliches alleiniges Zumessungskriterium handele. Die DSGVO bestimme in erster Linie Zumessungsgesichtspunkte, die auf den Datenschutzvorfall bezogen seien. Diese müssten sich auch bei der Bestimmung der Bußgeldhöhe widerspiegeln.5 Das Bußgeldkonzept dürfte in Zukunft daher voraussichtlich nur noch in angepasster Art und Weise bei der Bemessung der Bußgeldhöhe zu Grunde gelegt werden.

238

2. Strafrechtliche Sanktionen Personen, die dem Anwendungsbereich des BDSG unterfallen (s. Rz. 189 f.), drohen zusätzlich strafrechtliche Sanktionen auf Grundlage des § 42 BDSG. Nach § 42 Abs. 1 BDSG werden Fälle der Offenlegung nicht allgemein zugänglicher Daten in der

1 ICO, British Airways Penalty Notice, S. 25, 74, abrufbar unter: https://ico.org.uk/actionweve-taken/enforcement/british-airways/, zuletzt aufgerufen am 10.6.2021. 2 Datenschutzkonferenz, Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vom 14.10.2019, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/ah/ 20191016_bu%C3%9Fgeldkonzept.pdf, zuletzt aufgerufen am 10.6.2021. 3 Zum Konzept der DSGVO-Bußgeldzumessung s. https://www.taylorwessing.com/-/media/ taylor-wessing/files/germany/2020/10/tw_11_2020_konzept-zur-dsgvo-bussgeldzumes sung-gegen-unternehmen.pdf, zuletzt aufgerufen am 27.7.2021; kritisch zum Bußgeldzumessungskonzept Paal, RDV 2020, 57, 59. 4 LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = CR 2021, 117. 5 von dem Bussche, ZD 2021, 154, 160.

103

2021-11-22, 12:02, HB groß

239

E. Rz. 239 | Datenschutz und IT-Sicherheit

Absicht, sich durch wiederholte Tatbegehung eine fortlaufende Einnahmequelle von einiger Dauer und einigem Umfang zu verschaffen, mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.1 Erfolgt eine Offenlegung der Daten an Dritte nicht, kommt eine Sanktionierung nach § 42 Abs. 2 BDSG in Betracht. Danach wird mit Freiheitsstrafe von bis zu zwei Jahren oder mit Geldstrafe bestraft, wer nicht allgemein zugängliche Daten ohne Berechtigung verarbeitet oder sich Zugang zu diesen erschleicht und dabei gegen Entgelt oder mit Bereicherungs- bzw. Schädigungsabsicht handelt. Dabei handelt es sich jeweils um Delikte, die nur auf Antrag einer betroffenen Person, eines Verantwortlichen oder der Aufsichtsbehörden hin verfolgt werden, § 42 Abs. 3 BDSG. 3. Hinweise zur Kommunikation mit den Aufsichtsbehörden 240

Um die vorbeschriebenen Verletzungsfolgen möglichst zu vermeiden, sollten Unternehmen bei jeglicher Kommunikation mit den Aufsichtsbehörden grundsätzlich auf gütliche Lösungen hinarbeiten. Hat das Unternehmen einen Datenschutzbeauftragten (s. Rz. 217 ff.), ist dieser im Regelfall in den Kommunikationsprozess einzubeziehen. Folgende Kommunikationsmethoden können zur Erreichung gütlicher Lösungen mit der Aufsichtsbehörde hilfreich sein:2 – Bevor Unternehmen einer Aufsichtsbehörde antworten, sollten sie nicht nur alle relevanten Fakten des Sachverhalts zusammentragen, sondern auch eine kurze rechtliche Einschätzung vornehmen und ihrer Antwort beifügen. Diese sollte insbesondere Handlungsvorschläge umfassen, um dem jeweiligen Datenschutzproblem angemessen zu begegnen. Die Aufsichtsbehörden können entsprechende Vorschläge annehmen, wenn sie eine effiziente Lösung des Problems ermöglichen. – Sofern eine derartige Möglichkeit besteht, sollten Unternehmen ein persönliches Treffen mit der Aufsichtsbehörde vereinbaren. In diesem Rahmen lassen sich weitere Einzelheiten besprechen und Missverständnisse in der Kommunikation vermeiden oder auflösen.

241

Bei der Kommunikation mit den Aufsichtsbehörden ist trotz Kooperationswillen mit Bedacht zu handeln und der kooperative Ansatz – je nach Kooperationswillen der Aufsichtsbehörde – regelmäßig auf den Prüfstand zu stellen. Eine zu umfangreiche und offene Kommunikation kann ggf. zu negativen Auswirkungen für das betroffene Unternehmen führen. Es sollte eine Strategie und Kommunikationsform gewählt werden, die sich nicht nachteilig auf ein möglicherweise nachfolgendes Bußgeldverfahren auswirkt.

1 Zum Begriff „gewerbsmäßig“ s. Maier in MüKo-StGB, § 260 Rz. 4; Ehmann in Gola/Heckmann, BDSG, § 42 Rz. 13. 2 S. dazu auch Voigt/von dem Bussche, Handbuch DSGVO, Teil 7.3.6.

104

2021-11-22, 12:02, HB groß

V. Verletzungsfolgen | Rz. 242 E. & Das Wesentliche in Kürze:

242

Bei der Verarbeitung personenbezogener Daten müssen aufgrund des hohen Schutzbedarfs zahlreiche gesetzliche Datensicherheitsvorgaben erfüllt werden: – Technische und organisatorische Maßnahmen (Art. 32 DSGVO), die folgende Sicherheitsvorgaben erfüllen: Zugangskontrolle, Zutrittskontrolle, Zugriffskontrolle, Trennungskontrolle, Weitergabekontrolle, Eingabekontrolle, Belastbarkeit der technischen Systeme, Verfügbarkeitskontrolle sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung; – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) als präventive IT-Sicherheitskonzepte im Vorfeld der Datenverarbeitung; – ggf. Benennung eines Datenschutzbeauftragten (Art. 37–39 DSGVO, § 38 BDSG); – Führen eines Verzeichnisses der Datenverarbeitungstätigkeiten = Dokumentation (Art. 30 DSGVO); – Datenschutz-Folgenabschätzung zur Ermittlung des Schutzbedarfs bei risikoreichen Datenverarbeitungen (Art. 35 f. DSGVO). Im Fall einer Datenschutzverletzung ist die Aufsichtsbehörde unverzüglich (und regelmäßig spätestens binnen 72 Stunden) nach internem Bekanntwerden des Vorfalls zu benachrichtigen (Art. 33 DSGVO). Kommt das Unternehmen zu der Einschätzung, dass die Datenschutzverletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, sind diese zusätzlich unverzüglich zu benachrichtigen (Art. 34 DSGVO). Im Falle einer Verletzung der datenschutzrechtlichen IT-Sicherheitspflichten drohen im schlimmsten Fall Bußgelder von bis zu 20 Mio. Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens.

105

2021-11-22, 12:02, HB groß

2021-11-22, 12:02, HB groß

F. Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes I. Vorbemerkung Deutschland hat bereits frühzeitig die wichtige Rolle von IT-Sicherheit erkannt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Verhinderung und Dokumentation von Sicherheitslücken auf nationaler Ebene beauftragt. Dessen erfolgreiches Tätigwerden hängt maßgeblich vom Erhalt von Meldungen durch von IT-Sicherheitsvorfällen betroffene Unternehmen ab, insbesondere von solchen aus dem Bereich der sog. kritischen Infrastrukturen. Entsprechende Unternehmen werden sowohl über das BSIG als auch über andere bereichsspezifische Gesetze zur Einhaltung hoher IT-Sicherheitsstandards verpflichtet.

243

II. Rechtsentwicklung und Rechtsquellen In Anbetracht erheblicher finanzieller Ausfälle aufgrund unzureichender IT-Sicherheit im Unternehmen sowie der steigenden Quantität und Qualität von Cyber-Angriffen (s. Rz. 16 f.) hat die Notwendigkeit zur Schaffung angemessener IT-Sicherheitsstandards den Gesetzgeber auf den Plan gerufen. Vergleichbar mit den Entwicklungen des Datenschutzrechts findet auch im IT-Sicherheitsrecht eine zunehmende Regulierung auf nationaler und EU-Ebene statt.

244

1. Nationale Gesetzgebung: BSI-Gesetz und IT-Sicherheitsgesetz (2.0) Noch vor der weitverbreiteten Internetnutzung in Unternehmen unternahm der deutsche Gesetzgeber 1991 mit der Errichtung des BSI erste Schritte hin zur Schaffung gesetzlicher IT-Sicherheitsvorgaben.1 Nachfolgend wurden über die Verabschiedung und Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) ab 2009 dem BSI Befugnisse eingeräumt, um als zentrale Meldestelle für IT-Sicherheit Informationen zu Sicherheitslücken und neuen Angriffsmustern zu sammeln, auszuwerten und daraufhin entsprechende Informationen und Warnungen an die betroffenen Unternehmen und die Öffentlichkeit auszugeben.2 Auf diese Weise schuf der deutsche Gesetzgeber bereits frühzeitig eine zentrale Stelle zur Gewährleistung der IT-Sicherheit im Bundesgebiet.

245

Im Jahr 2015 wurde der Gesetzgeber im Bereich der IT-Sicherheit mit der Verabschiedung des Artikelgesetzes zur Erhöhung der Sicherheit informationstechnischer Syste-

246

1 Gesetzlich normiert im Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik vom 17.12.1990, BGBl. I S. 2834, gültig vom 1.1.1991 bis 19.8.2009. 2 Deutscher Bundestag, Drucksache 16/11967, S. 1.

107

2021-11-22, 12:02, HB groß

F. Rz. 246 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

me (IT-SiG) tätig. Das IT-SiG führte insbesondere zu Änderungen am BSIG und erfasste Unternehmen in Geschäftsfeldern, für deren Funktionsfähigkeit eine sichere IT-Infrastruktur unerlässlich ist, hauptsächlich im Bereich der Versorgungsdienstleistungen (sog. Betreiber „Kritischer Infrastrukturen“, KRITIS). Diese wurden über das IT-SiG zu einem Mindeststandard an IT-Sicherheit verpflichtet. 247

Das am 18.5.2021 beschlossene Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0)1 führt als Artikelgesetz zu einigen weiteren Änderungen im BSiG und in anderen bereichsspezifischen Gesetzen mit Bezug zur IT-Sicherheit, wie dem EnWG. Wesentliche Änderungen durch das IT-Sicherheitsgesetz 2.0 sind2: – Erweiterungen von Prüf- und Kontrollbefugnissen des BSI zum Schutz der IT der Bundesverwaltung u.a. durch Festlegung von Mindeststandards; – Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze; – Befugnis zur Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren; – Rechtsgrundlage für das BSI, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie zum Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden; – Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikationsund Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit; – Ausweitung der Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse, – Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb kritischer IT-Komponenten; – Schaffung der Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen. 2. NIS-Richtlinie

248

Auch die EU erkannte die erheblichen Auswirkungen von IT-Sicherheitsvorfällen auf den europäischen Binnenmarkt. Bereits 2013 wurde deshalb der erste Entwurf für die Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (kurz: NIS-Richtlinie) vorgelegt.3

1 Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18.5.2021, BGBl. I S. 1122, 4304. 2 Deutscher Bundestag, Drucksache 19/26106, S. 2, 102. 3 Voigt/Gehrmann, ZD 2016, 355, 355.

108

2021-11-22, 12:02, HB groß

III. Regelungssystematik des BSI-Gesetzes | Rz. 250 F.

Eine Einigung ließ sich erst zwei Jahre später erzielen, so dass die NIS-Richtlinie1 im August 2016 – also ein Jahr nach dem deutschen IT-SiG – in Kraft trat. Die NISRichtlinie verpflichtet Unternehmen aus dem KRITIS-Bereich sowie bestimmte Anbieter digitaler Dienste zur Einhaltung von Mindest-IT-Sicherheitsstandards, um Sicherheitsvorfällen entgegenzuwirken. Damit möchte der europäische Gesetzgeber Schäden im Binnenmarkt verhindern, die aufgrund des europaweiten wirtschaftlichen Austauschs wegen Vorfällen in Netz- und Informationssystemen auftreten können.2 Die NIS-Richtlinie schafft branchenspezifisch einen einheitlichen europäischen IT-Sicherheitsrahmen. Sie bildet einen wesentlichen Bestandteil der europäischen Cyber-Sicherheitsstrategie und soll das Ausmaß von Hackerangriffen und technischen Ausfällen begrenzen.3 Zur weiteren Verbesserung der Resilienz und Reaktion auf Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit hat die Europäische Kommission einen Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2) erarbeitet, welche sich derzeit im Gesetzgebungsverfahren befindet.4

249

III. Regelungssystematik des BSI-Gesetzes Zusätzlich zu den allgemeinen IT-Sicherheitspflichten eines jeden Unternehmens (s. Rz. 32 ff.) schafft das durch das IT-SiG und IT-SiG 2.0 angepasste BSIG verstärkte IT-Sicherheitspflichten für Unternehmen ganz verschiedener Branchen. Für betroffene Unternehmen wird nicht bloß eine umfassende Erhöhung des IT-Sicherheitsniveaus erforderlich, sondern es treffen sie überdies u.a. Meldepflichten gegenüber dem BSI, die dabei helfen sollen, bspw. flächendeckende Cyber-Angriffe früh erkennen und möglichst abwenden zu können.5 Das Ziel der Regelungen ist es, Unternehmen in gesellschaftskritischen Sektoren zu einer präventiven Sicherung ihrer IT-Systeme zu verpflichten und somit die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität dieser Systeme zu sichern.6

1 Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6.7.2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netzund Informationssystemen in der Union, ABl. L 194/1. 2 ErwGr. 3 NIS-Richtlinie. 3 Rosenthal/Trautwein, PinG 2017, 148, 149. 4 COM/2020/823 Vorschlag der Europäischen Kommission für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148 vom 16.12.2020. S. hierzu auch Voigt, MMR-Aktuell 2021, 437048. 5 Deutscher Bundestag, Drucksache 18/4096, S. 1; vgl. Deutscher Bundestag, Drucksache 19/26106, S. 31, 82, 102. 6 Gehrmann/Klett, K&R 2017, 372, 373.

109

2021-11-22, 12:02, HB groß

250

F. Rz. 251 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes 251

Primäre Adressaten der Vorgaben des BSIG sind Betreiber kritischer Infrastrukturen (KRITIS), Unternehmen im besonderen öffentlichen Interesse sowie Anbieter digitaler Dienste. Zu beachten ist dabei jedoch, dass im Einzelfall IT-Sicherheitsvorschriften aus Spezialgesetzen neben dem BSIG zur Anwendung gelangen können (s. hierzu Teil G, Rz. 361 ff.). Grundsätzlich tritt das BSIG als lex generalis gegenüber Spezialgesetzen für bestimmte KRITIS-Branchen zurück.1 Entsprechende Spezialgesetze sind etwa das EnWG (s. Rz. 427 ff.), das AtG (s. Rz. 443 ff.), das TKG (s. Rz. 383 ff.) und das SGB V (s. Rz. 450 ff.). Das Zusammenspiel dieser Vorschriften bereitet in der Praxis allerdings teilweise Schwierigkeiten.2

252

Die IT-Sicherheitsvorgaben einschließlich ihres jeweiligen Anwendungsbereichs und der jeweiligen Verletzungsfolgen werden nachfolgend dargestellt. Die durch das BSIG erweiterten Befugnisse des BSI führen überdies dazu, dass in der Praxis mittelbar auch Hersteller und Zulieferer von IT-Produkten und -Systemen potentiell den erhöhten IT-Sicherheitspflichten unterliegen (s. Rz. 343 ff.).

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz 253

Nach dem BSIG müssen neben Unternehmen in gesellschaftskritischen Versorgungsbranchen (sog. KRITIS-Betreiber) auch Unternehmen im besonderen öffentlichen Interesse hohe IT-Sicherheitsvorgaben erfüllen. Daneben besteht auch für sog. Anbieter digitaler Dienste die Pflicht zur Einhaltung von IT-Sicherheitsstandards. Der Pflichtenumfang unterscheidet sich dabei in Teilen deutlich. 1. Pflichten von KRITIS-Betreibern

254

KRITIS-Betreiber erbringen regelmäßig essentielle Versorgungsdienstleistungen, so dass deren Schutz vor IT-Sicherheitsvorfällen durch das BSIG möglichst umfassend sichergestellt werden soll. KRITIS-Unternehmen müssen nicht nur einen hohen IT-Sicherheitsstandard, z.B. durch den Einsatz von Angriffserkennungssystemen, aufrechterhalten (s. Rz. 272 ff.), sondern zugleich das BSI über den geplanten Einsatz von kritischen Komponenten informieren und schwerwiegende Systemstörungen dem BSI melden (s. Rz. 277 ff.), dem wiederum ggf. die Information anderer betroffener KRITIS-Betreiber obliegt. Bei einer Verletzung dieser Pflichten drohen Bußgelder (s. Rz. 299 f.). a) Adressaten

255

Ausgehend von § 2 Abs. 10 BSIG gilt ein Unternehmen als Betreiber kritischer Infrastrukturen, sofern es zwei Voraussetzungen erfüllt. Das Unternehmen:

1 Vgl. etwa Deutscher Bundestag, Drucksache 18/11242, S. 1; Art. 1 Abs. 7 NIS-Richtlinie. 2 Vgl. von dem Bussche/Schelinski in Leupold/Wiebe/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 7.1 Rz. 16, 49, 51 ff.

110

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 257 F.

(1) gehört einem der Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, oder Siedlungsabfallentsorgung an; und (2) ist von hoher Bedeutung für das Funktionieren des Gemeinwesens, d.h. durch seinen Ausfall oder seine Beeinträchtigung würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten. Die Auslegung dieser unbestimmten Voraussetzungen1 soll von einer unter Federführung des BSI verabschiedeten Rechtsverordnung auf Grundlage des § 10 Abs. 1 BSIG erleichtert werden. Diese Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) wurde anlässlich des BSIG a.F. in mehreren „Körben“ verabschiedet und präzisierte zunächst die vom Anwendungsbereich des BSIG erfassten Unternehmen der Sektoren Energie, Wasser, Ernährung, Informationstechnik und Kommunikation sowie anschließend der Sektoren Gesundheit, Bank- und Versicherungswesen sowie Transport und Verkehr. Mit dem Inkrafttreten des Zweiten Korbs der BSI-KritisV im Juni 2017 war der Gesetzgebungsprozess zur IT-sicherheitsrechtlichen Bestimmung Kritischer Infrastrukturen zumindest vorerst abgeschlossen. Eine alle zwei Jahre stattfindende Evaluierung der Verordnung gem. § 9 BSI-KritisV sollte eine flexible Möglichkeit zur Anpassung der Infrastruktursektoren, Anlagenkategorien und Schwellenwerte an laufende technische und gesellschaftspolitische Entwicklungen schaffen.2 Aufgrund der Ergebnisse der gem. § 9 BSI-KritisV stattgefundenen Evaluierung wurde am 18.8.2021 die zweite Änderungsverordnung der BSI-KritisV verabschiedet, welche am 1.1.2022 in Kraft tritt.3 Diese sieht u.a. eine Ausweitung des Anlagenbegriffes insbesondere auf „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ sowie die Neuregelung einiger Schwellenwerte vor. Regelungen zur Bestimmung von Unternehmen im besonderen öffentlichen Interesse (s. Rz. 305 ff.) werden jedoch gänzlich vermisst. Durch die Erweiterung des Adressatenkreises auf den Sektor Siedlungsabfallentsorgung besteht außerdem Handlungsbedarf zur Bestimmung etwaiger Schwellenwerte.4

256

Die geltende BSI-KritisV sieht vor, dass Unternehmen in drei Schritten überprüfen können, ob sie als KRITIS-Betreiber eingestuft werden und damit den Pflichten des BSIG unterliegen. Zu diesem Zweck sieht die BSI-KritisV für jeden betroffenen Sektor eine gesonderte Bestimmung vor, vgl. §§ 2–8 BSI-KritisV. Zu beachten ist, dass gem. § 8d Abs. 1 BSIG Kleinstunternehmen mit weniger als zehn Beschäftigten

257

1 Kritisch hierzu Roos, MMR 2015, 636, 637, der die mangelnde Bestimmtheit dieser Voraussetzungen gerade auch im Hinblick ihrer Auswirkungen auf die betroffenen Betreiber kritisiert. Weiterführend mit Bedenken hinsichtlich einer Verletzung des verfassungsrechtlichen Bestimmtheitsgrundsatzes Heckmann, MMR 2015, 289, 290. 2 Kipker, MMR-Aktuell 2017, 393037. 3 Atug, https://www.heise.de/news/Schutz-kritischer-Infrastrukturen-Erneuerte-KRITIS-Ver ordnung-gilt-ab-2022-6171453.html, 22.8.2021, zuletzt aufgerufen am 29.10.2021. 4 Schwellenwerte für den Sektor der Siedlungsabfallentsorgung sind in der dieser Bearbeitung zugrundeliegenden Fassung der Zweiten Verordnung zur Änderung der KRITIS-Verordnung, welche am 18.8.2021 verabschiedet wurde, noch nicht enthalten. Diese werden wohl zu einem späteren Zeitpunkt in einem weiteren „Korb“ der Verordnung hinzugefügt.

111

2021-11-22, 12:02, HB groß

F. Rz. 257 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

und einem Jahresumsatz unter 2 Mio. Euro gänzlich vom Anwendungsbereich des BSIG ausgenommen werden.1 258

259

Schritte zur Prüfung der KRITIS-Voraussetzungen 1. Schritt

Bestimmung, ob das Unternehmen in einem der vom BSIG erfassten Sektoren tätig ist und eine oder mehrere der in der BSI-KritisV als kritisch eingestufte Dienstleistungen erbringt

2. Schritt

Prüfung, ob die für die Erbringung der kritischen Dienstleistungen erforderlichen Anlagen von der BSI-KritisV erfasst sind

3. Schritt

Bestimmung, ob die erbrachten Dienstleistungen denjenigen Schwellenwert überschreiten, der zu einem bedeutenden Versorgungsgrad führt, so dass die Pflichten aus dem BSIG erfüllt werden müssen (quantitativer Ansatz)

Sind alle drei Prüfungsschritte erfüllt, handelt es sich bei dem Unternehmen um einen KRITIS-Betreiber, der den Pflichten des BSIG unterfällt. aa) KRITIS-Dienstleistungen und Anlagen

260

261

Aus der BSI-KritisV lässt sich mit beachtlichem Detailgrad entnehmen, welche Dienstleistungen und Anlagen die IT-Sicherheitsvorgaben des BSIG erfüllen müssen. Schwierigkeiten bei der Prüfung dieses 1. und 2. Schritts ergeben sich jedoch aus der starken Verschachtelung der Regelungen in der BSI-KritisV, weil die allgemeinen Bestimmungen in mehreren Anhängen präzisiert werden. Systematik und Inhalt der Regelungen sind im Wesentlichen wie folgt: Systematik und Inhalt der Regelungen der BSI-KritisV zum 1. und 2. Prüfungsschritt Sektor

Kritische Dienstleistung/en

Anlage/n (Auszug)

Energie

Strom-, Gas-, Kraftstoff-, Heizölund Fernwärmeversorgung, § 2 BSI-KritisV

Energieerzeugungs- und Speicheranlagen, Übertragungs- und Verteilernetze, Steuerungsanlagen (Anhang 1)

Wasser

Trinkwasser- und Abwasserversorgung, § 3 BSI-KritisV

Wasserwerke, Wasserverteilungssysteme, Leitzentralen, Kanalisation und Kläranlagen (Anhang 2)

Ernährung

Lebensmittelversorgung, § 4 BSI-KritisV

Anlagen zur Lebensmittelproduktion, zur Verteilung, zur Bestellung oder zum Inverkehrbringen von Lebensmitteln (Anhang 3)

1 S. auch Art. 2 Abs. 3 Empfehlung 2003/361/EC der Europäischen Kommission, abrufbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041: DE:PDF, zuletzt aufgerufen am 29.10.2021.

112

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 263 F. Systematik und Inhalt der Regelungen der BSI-KritisV zum 1. und 2. Prüfungsschritt Sektor

Kritische Dienstleistung/en

Anlage/n (Auszug)

Informationstechnik und Telekommunikation

Sprach- und Datenübertragung, Datenspeicherung, Datenverarbeitung, § 5 BSI-KritisV

Zugangs- und Übertragungsnetze, DNS-Server, Rechenzentren (Anhang 4)

Gesundheit

Stationäre medizinische Versorgung, Versorgung mit Medizinprodukten und Arzneimitteln, Laboratoriumsdiagnostik, § 6 BSI-KritisV

Krankenhäuser, Produktionsstätten, Abgabestellen, Lagerräume, Apotheken, Kommunikationssysteme (Anhang 5)

Finanz- und Versicherungswesen

Bargeldversorgung, Zahlungsverkehr, Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften, Versicherungsdienstleistungen, § 7 BSI-KritisV

Autorisierungssysteme, Systeme zum Betrieb von Geldautomaten, Kontoführungssysteme, Cash Center, Transaktionssysteme, Leistungs-, Verwaltungs- und Zahlungssysteme für Versicherungen (Anhang 6)

Transport und Verkehr

Versorgung der Allgemeinheit mit Leistungen zum Personenund Gütertransport, § 8 BSI-KritisV

Anlagen des Luft-, Schienen-, Schifffahrts-, Straßenverkehrs und der Logistik sowie Anlagen zur Wettervorhersage (Anhang 7)

Erbringt ein Unternehmen Dienstleistungen im Bereich kritischer Infrastrukturen, aber fallen lediglich einzelne Anlagen des Unternehmens unter die BSI-KritisV, so müssen all diejenigen IT-Systeme des Unternehmens dem Sicherheitsstandard des BSIG entsprechen, die unmittelbar für die Funktionsfähigkeit der jeweiligen Anlage notwendig sind.1 Dies erfordert somit eine individuelle Prüfung der eigenen ITInfrastruktur durch das Unternehmen.

262

bb) KRITIS-Versorgungsgrad Ausgehend vom 3. Prüfungsschritt gelangt das BSIG auf Betreiber kritischer Infrastrukturen nur zur Anwendung, sofern die jeweilige Anlage von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, was ausgehend von quantitativen Merkmalen bestimmt wird. Ein Betreiber soll grundsätzlich nur dann den Anforderungen des BSIG unterworfen sein, wenn er eine bestimmte Mindestanzahl an Personen versorgt.2 Als Richtwert ist ab einer Versorgung von mindestens 500.000 Menschen davon auszugehen, dass die jeweilige Anlage oder deren Teile als KRITIS einzustufen sind und ihr Funktionieren damit von Bedeutung für das Gemeinwesen ist.3 Bei Kran1 BSI, Fragen und Antworten zur BSI-Kritisverordnung, abrufbar unter: https://www.bsi. bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRI TIS-FAQ/FAQ-BSI-KritisV/faq_kritisv_node.html, zuletzt aufgerufen am 29.10.2021. 2 Voigt, MMR 2016, 429, 430. 3 Gehrmann/Klett, K&R 2017, 372, 374; Mangels, DuD 2021, 579, 580.

113

2021-11-22, 12:02, HB groß

263

F. Rz. 263 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

kenhäusern gilt bereits ein Schwellenwert von 30.000 Menschen, um als KRITIS eingestuft zu werden, wobei zu beachten ist, dass ab dem 1.1.2022 auch Krankenhäuser mit einem geringeren Patientenaufkommen über § 75c SGB V zur Einhaltung entsprechender IT-Sicherheitsstandards verpflichtet sind (s. Rz. 456). Dieser Versorgungsgrad wurde mit Hilfe von sektorspezifischen Berechnungsformeln, die in Zusammenarbeit verschiedener Bundesministerien nach Anhörung von Wissenschaftlern und betroffenen Unternehmen geschaffen wurden, in verschiedene Schwellenwerte umgerechnet, vgl. § 10 Abs. 1 BSIG. Für jede als kritisch anzusehende Dienstleistung und Anlage lässt sich der BSI-KritisVentnehmen, ab welchem Schwellenwert die KRITIS-Pflichten erfüllt werden müssen. Die Schwellenwerte beziehen sich dabei etwa auf die Anzahl versorgter Personen oder die Menge umgeschlagener Waren. Jeder der sieben Anhänge der BSI-KritisV enthält jeweils für einen Sektor die angewandte Berechnungsformel sowie die ausgehend davon ermittelten Schwellenwerte, die die einzelnen Anlagen erreichen müssen, um zu den KRITIS zu zählen. 264

Gesetzliche Beispiele für KRITIS-Betreiber der verschiedenen Sektoren aus den Anhängen der BSI-KritisV: – Sektor Energie: Ein Unternehmen betreibt ein Tankstellennetz, das jährlich etwa 420 Mio. Liter Kraftstoff verteilt, Anhang 1 Teil 3 Nr. 3.3.2 BSI-KritisV. – Sektor Wasser: Ein Unternehmen betreibt eine Kanalisation mit 500.000 angeschlossenen Einwohnern, Anhang 2 Teil 3 Nr. 2.1.1 BSI-KritisV. – Sektor Ernährung: Ein Unternehmen schlägt als Lebensmittelhandel im Jahr mehr als 434.500 Tonnen Lebensmittel außer Getränke um, Anhang 3 Teil 3 Nr. 1.2.1 BSI-KritisV. – Sektor Informationstechnik und Telekommunikation: Ein Unternehmen betreibt ein Rechenzentrum, welches auf Grundlage vertraglicher Vereinbarungen im Kalenderjahr zur Erbringung einer Leistung von mehr als 3,5 Megawatt verpflichtet ist, Anhang 4 Teil 3 Nr. 2.1.1 BSI-KritisV. – Sektor Gesundheit: Ein Krankenhaus behandelt mehr als 30.000 vollstationäre Fälle pro Jahr, Anhang 5 Teil 3 Nr. 1.1 BSI-KritisV. – Sektor Finanz- und Versicherungswesen: Ein Versicherungsunternehmen hat im Leistungssystem seiner privaten Krankenversicherung mehr als 2.000.000 Leistungsfälle pro Jahr, Anhang 6 Teil 3 5.1.2 BSI-KritisV. – Sektor Transport und Verkehr: Ein Betreiber unternimmt im Schienennetz des öffentlichen Straßenpersonenverkehrs (ÖSPV) 125.000.000 Fahrgastfahrten pro Jahr, Anhang 7 Teil 3 Nr. 1.5.1 BSI-KritisV.

b) IT-Sicherheitsstandard 265

Die Pflichten von KRITIS-Betreibern zum Ergreifen technischer und organisatorischer IT-Sicherheitsmaßnahmen sind im Vergleich zu den allgemeinen unternehmerischen IT-Sicherheitspflichten (s. Rz. 32 ff.) erheblich erweitert. Die Einhaltung eines angemessenen IT-Sicherheitsstandards ist erforderlich, um die im Verletzungsfall drohenden Bußgelder zu vermeiden (s. Rz. 299 f.). § 8a Abs. 1 Satz 1 BSIG verpflichtet KRITIS-Betreiber dazu, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten und Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maß-

114

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 267 F.

geblich sind. Die Bestimmung macht die Einhaltung verschiedener IT-Sicherheitsziele erforderlich, so dass der Umfang der Pflichten entsprechend weitreichend ist:1 – Verfügbarkeit: Darunter zu verstehen ist der Schutz vor Verlust, Entzug, Blockade und Zerstörung der eigenen Systeme. Diese sollen permanent verfügbar und funktionsfähig sein. Überdies muss technisch sichergestellt werden, dass die Verfügbarkeit der Systeme nicht durch Dritte von außen beeinflusst werden kann. – Integrität: Darunter zu verstehen ist der Schutz vor jeglicher Form ungewollter Veränderung der IT-Systeme. Das System soll gegen die unbemerkte und unbefugte Veränderung der Informationen gesichert sein, was auch Maßnahmen zur Erkennung von Integritätsverletzungen umfasst. – Authentizität: Danach muss sichergestellt sein, dass Systeme tatsächlich nur von autorisierten und authentisierten Personen eingerichtet und genutzt werden, um einen Missbrauch zu vermeiden. – Vertraulichkeit: Darunter ist der Schutz vor Informationsausspähung zu verstehen. IT-Systeme sollen so konstruiert sein, dass nur befugte Personen im Rahmen ihrer Zugriffsrechte auf diese zugreifen können. Diese Verpflichtungen aus § 8a Abs. 1 Satz 1 BSIG sollen gem. § 8d Abs. 2 BSIG jedoch nur bestehen, soweit die Verpflichteten nicht aufgrund anderer Vorschriften vergleichbaren oder weitergehenden IT-Sicherheitspflichten unterliegen, etwa aus § 11 EnWG (s. Rz. 429 ff.), §§ 306 ff. SGB V (s. Rz. 461) oder § 7 AtG (s. Rz. 446). Dies offenbart den subsidiären Charakter des BSIG gegenüber Spezialgesetzen (s. Rz. 250 ff.).

266

aa) Einhaltung der Vorgaben Auf Grundlage des § 8a BSIG müssen Unternehmen Maßnahmen zur möglichst umfassenden Abwehr von IT-Sicherheitsrisiken treffen. Die zu treffenden Maßnahmen müssen dabei sowohl präventive Ziele verfolgen als auch Maßnahmen zur Detektion von Angriffen und Behebung von Störungen enthalten. Vergleichbar mit dem Datenschutzrecht verfolgt das BSIG einen risikobasierten Sicherheitsansatz (Einzelheiten zum risikobasierten Ansatz unter Rz. 196 ff.). Unternehmen obliegt es damit, die erforderlichen Schutzmaßnahmen aufgrund ihrer konkreten Situation zu bestimmen. Ausgehend von den Schutzzielen des § 8a BSIG muss eine möglichst sichere Systemarchitektur zum Schutz der KRITIS-Anlagen geschaffen werden.2 Begrenzt wird diese Pflicht durch das Erfordernis der Angemessenheit der Maßnahmen, welches in § 8a Abs. 1 Satz 3 BSIG konkretisiert wird: Der erforderliche Umsetzungsaufwand darf

1 Heckmann, MMR 2006, 280, 281 f. m.w.N.; Eckhardt in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 269. 2 TeleTrusT, Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes 2020, S. 8, 15 ff., abrufbar unter: https://www.teletrust.de/fileadmin/docs/fachgruppen/agstand-der-technik/2020-01_TeleTrusT_Handreichung_Stand_der_Technik_in_der_IT-Sicher heit_DEU.pdf, zuletzt aufgerufen am 29.10.2021.

115

2021-11-22, 12:02, HB groß

267

F. Rz. 267 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

nicht außer Verhältnis zu den Folgen etwaiger IT-Ausfälle stehen.1 Dabei können allein finanzielle Gründe regelmäßig nicht zu einer Einschränkung des Sicherheitsniveaus herangezogen werden, da das angemessene Schutzniveau nur unter Berücksichtigung der Versorgung der Bevölkerung mit der kritischen Dienstleistung erfolgen kann.2 Das Ziel einer lückenlosen Versorgung ist mit dem erforderlichen Umsetzungsaufwand abzuwägen. 268

Beispiele für IT-Sicherheitsmaßnahmen3: – Multi-Faktor-Authentifizierung – Verschlüsselung von Daten während des Transports und „at rest“ – Einsatz sicherer Boot-Prozesse – Sichere Software-Administration einschließlich Patch-Management – Sichere Benutzer-Administration mit aktiver Sperrmöglichkeit durch den Administrator – Umsetzung von Logging-, Monitoring-, Reporting- und Response-Management-Systemen – Viren- und Malwareschutz – Back-up-Systeme

bb) Einhaltung des „Stands der Technik“ 269

Bei der Schaffung eines angemessenen Sicherheitsstandards werden KRITIS-Betreiber über § 8a Abs. 1 Satz 2 BSIG zur Einhaltung des „Stands der Technik“ verpflichtet. Das bedeutet, dass sich der Sicherheitsstandard der getroffenen Maßnahmen dynamisch an sich verändernde technische Möglichkeiten und Risiken anpassen muss. Für Unternehmen wird damit eine fortwährende Aktualisierung ihrer Sicherheitsmaßnahmen erforderlich. Konkrete Hilfestellungen dazu, wann der Stand der Technik erreicht ist, liefert das BSIG nicht. Eine Orientierung bietet zumindest eine entsprechende Begriffsbestimmung durch das Bundesjustizministerium, nach der es sich um den Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen handelt, die nach herrschender Auffassung führender Fachleute zur Herstellung von IT-Sicherheit geeignet sind und sich in der Praxis oder zumindest im Unternehmen bereits mit Erfolg bewährt haben.4 Dies entspricht auch dem Verständnis des BSI, welches zudem auf existierende nationale oder internationale Standards und

1 BSI, FAQ zu § 8a-d BSI allgemein, abrufbar unter: https://www.bsi.bund.de/DE/Themen/KRI TIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zu-Par-8aBSI-allgemein/faq-zu-par-8a-bsi-allgemein_node.html, zuletzt aufgerufen am 29.10.2021; vgl auch Schulte in Ritter, Kommentar zum IT-Sicherheitsgesetz 2.0 (im Erscheinen), § 8a BSIG Rz. 464. 2 BSI, FAQ zu § 8a-d BSI allgemein, abrufbar unter: https://www.bsi.bund.de/DE/Themen/KRI TIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zu-Par-8aBSI-allgemein/faq-zu-par-8a-bsi-allgemein_node.html, zuletzt aufgerufen am 29.10.2021. 3 TeleTrusT, Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes Version 2020, S. 15 ff., abrufbar unter: https://www.teletrust.de/fileadmin/docs/fachgruppen/ ag-stand-der-technik/2020-01_TeleTrusT_Handreichung_Stand_der_Technik_in_der_IT-Si cherheit_DEU.pdf, zuletzt aufgerufen am 29.10.2021. 4 Bundesministerium für Justiz und Verbraucherschutz, Handbuch der Rechtsförmlichkeit vom 22.9.2008, Teil B 4.5 Rz. 256, abrufbar unter: http://hdr.bmj.de/page_b.4.html, zuletzt aufgerufen am 27.8.2021.

116

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 272 F.

Normen wie bspw. DIN, ISO, DKE oder ISO/IEC verweist.1 Es müssen also branchenübliche „Spitzenprodukte“ zum Einsatz kommen, soweit dies angemessen ist.2 cc) Branchenspezifische Standards Abhängig vom jeweils betroffenen KRITIS-Sektor können die erforderlichen IT-Sicherheitsmaßnahmen von KRITIS-Betreibern erheblich variieren. Um die praktische Umsetzung der IT-Sicherheitspflichten zu erleichtern, ermöglicht § 8a Abs. 2 BSIG die Erarbeitung branchenspezifischer Sicherheitsstandards durch KRITIS-Betreiber und ihre jeweiligen Branchenverbände, deren Eignung zur Umsetzung der Vorgaben des § 8a BSIG auf Antrag vom BSI festgestellt wird. Mit branchenspezifischen Sicherheitsstandards (B3S) hat das BSI mittlerweile die Eignung von Sicherheitsstandards für verschiedene KRITIS-Sektoren wie Wasser/Abwasser, Ernährungsindustrie, Lebensmittelhandel, Pharmaindustrie festgestellt.3 Auch wenn Unternehmen zur Umsetzung sie betreffender branchenspezifischer Sicherheitsstandards nicht verpflichtet sind, sollte diese ernsthaft in Betracht gezogen werden. Diese bieten Rechtssicherheit dahingehend, was vom BSI als sichere Systemarchitektur angesehen wird, insbesondere auch hinsichtlich des „Stands der Technik“.

270

Praxishinweis: Branchenstandards schaffen Rechtssicherheit, sollten von Unternehmen aber keineswegs „blind“ übernommen werden. Die darin getroffenen Empfehlungen sollten vielmehr kritisch hinsichtlich ihrer Umsetzbarkeit und Nützlichkeit im Unternehmen überprüft werden. Dabei bieten Branchenstandards den Vorteil, dass sie aufgrund ihrer Schaffung für einen konkreten KRITIS-Bereich zumindest konkretere Vorgaben als § 8a BSIG enthalten.

271

dd) Angriffserkennungssysteme Durch das IT-SiG 2.0 wurde die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung mit Wirkung ab dem 1.5.2023 eingeführt, § 8a Abs. 1a BSIG. Systeme zur Angriffserkennung sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und techni1 BSI, „Stand der Technik“ umsetzen, abrufbar unter: https://www.bsi.bund.de/DE/Themen/ KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRI TIS/Stand-der-Technik-umsetzen/stand-der-technik-umsetzen_node.html, zuletzt aufgerufen am 29.10.2021. 2 Gehrmann/Klett, K&R 2017, 372, 375 f.; konkrete Hinweise hinsichtlich verschiedener Sicherheitskomponenten liefert TeleTrusT, Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes 2020, S. 15 ff., abrufbar unter: https://www.teletrust.de/filead min/docs/fachgruppen/ag-stand-der-technik/2020-01_TeleTrusT_Handreichung_Stand_ der_Technik_in_der_IT-Sicherheit_DEU.pdf, zuletzt aufgerufen am 29.10.2021. 3 BSI, Übersicht der Branchenspezifischen Sicherheitsstandards (B3S), abrufbar unter: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infra strukturen/Allgemeine-Infos-zu-KRITIS/Stand-der-Technik-umsetzen/Uebersicht-der-B3S/ uebersicht-der-b3s_node.html, zuletzt aufgerufen am 29.10.2021.

117

2021-11-22, 12:02, HB groß

272

F. Rz. 272 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

schen Mustern, die auf Angriffe hindeuten, § 2 Abs. 9b BSIG. Die Pflicht zum Einsatz solcher Systeme ist Teil der zu ergreifenden organisatorischen und technischen Schutzvorkehrungen von KRITIS-Betreibern. Auch mit Blick auf das Angriffserkennungssystem sind der Stand der Technik und die Verhältnismäßigkeit zu wahren.1 Die Auswahl des Angriffserkennungssystems hängt dabei wesentlich von den technischen und organisatorischen Gegebenheiten des KRITIS-Betreibers ab.2 Bereits vor der gesetzlichen Verpflichtung zum Einsatz von Angriffserkennungssystemen werden solche Systeme in Teilen von den Betreibern genutzt. 273

Das BSI stellt zur diesbezüglichen Unterstützung der Betreiber eine Malware Information Sharing Plattform (MISP) bereit. Auf der MISP können Informationen, die sich zum Generieren von Erkennungsmustern von Cyber-Angriffen verwenden lassen, ausgetauscht und dadurch die Systeme zur Angriffserkennung aktuell gehalten werden.3 ee) Nachweis der Einhaltung

274

Die Einhaltung des in § 8a BSIG vorgeschriebenen IT-Sicherheitsstandards müssen Unternehmen gem. § 8a Abs. 3 BSIG alle zwei Jahre nachweisen.4 Dadurch soll die gelungene Implementierung im Unternehmen gewährleistet und die flächendeckende Anhebung des IT-Sicherheitsstandards sichergestellt werden. Der zweijährige Prüfungsrhythmus ermöglicht dabei auch die Prüfung der Einhaltung des „Stands der Technik“. Ein entsprechender Nachweis lässt sich durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbringen. Die Ergebnisse der Prüfung sind dem BSI zu übermitteln. Das Nachweisdokument muss dabei auch etwaig aufgedeckte Sicherheitsmängel auflisten, damit das BSI eine Nachbesserung anordnen kann, vgl. § 8a Abs. 3 Satz 3 BSIG.5

275

Für den Nachweis über die Einhaltung des IT-Sicherheitsstandards kann – was den Regelfall darstellen dürfte6 – eine externe Stelle zur Prüfung beauftragt werden, welche die Eignung zur Erbringung des Nachweises gewährleisten muss. Die prüfende Stelle kann ihre Eignung zur Prüfung auf verschiedene Weise, wie eine Akkreditierung bei der DAkkS zur ISO/IEC 27001-Zertifizierung, nachweisen.7 Auch eine Prü-

1 Schulte in Ritter, Kommentar zum IT-Sicherheitsgesetz 2.0 (im Erscheinen), § 8a BSIG Rz. 475. 2 Schulte in Ritter, Kommentar zum IT-Sicherheitsgesetz 2.0 (im Erscheinen), § 8a BSIG Rz. 474. 3 Deutscher Bundestag, Drucksache 19/26106, S. 79. 4 Ausführlich zu den Prüfgrundlagen nach § 8a BSIG: Woitke, DuD 2021, 584. 5 S. auch BSI, Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG vom 21.8.2020, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/Orientie rungshilfe_8a_3_v11.pdf, zuletzt aufgerufen am 29.10.2021. 6 Mangels, DuD 2021, 579, 582. 7 Beucher/Fromageau/Ehlen in Kipker, Cybersecurity, Kapitel 12 Rz. 80; BSI, Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG vom 21.8.2020, S. 13 ff.; Stradomsky, DuD 2021, 589, 589 f.

118

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 279 F.

fung durch die interne Revision kommt jedoch in Betracht.1 Damit die prüfende Stelle ordnungsgemäß tätig werden kann, benötigt sie neben konkreten Unterlagen, in denen das Unternehmen seine Sicherheitsbemühungen dokumentiert hat, auch die Möglichkeit einer Vor-Ort-Prüfung mit Inaugenscheinnahme der Technik sowie die Möglichkeit zu Gesprächen mit Mitarbeitern des Unternehmens.2 Gem. § 8a Abs. 3 BSIG ermöglichen auch Zertifizierungen den Nachweis der Einhaltung angemessener IT-Sicherheitsstandards. Grundsätzlich kommen dabei branchenspezifische Sicherheitsstandards,aber auch der ISO/IEC 27001-Standard in Betracht. Bezüglich Letzterem ist allerdings Vorsicht geboten. Bei einer reinen ISO/ IEC 27001-Zertifizierung ist nicht von vornherein klar, dass sie geeignet ist, Kritische Infrastrukturen gemäß den Anforderungen aus § 8a Abs. 1 BSIG zu schützen, so dass es für einen erfolgreichen Nachweis zusätzlich erforderlich ist, nachzuweisen, dass der Prüfungsgegenstand und die Maßnahmen für die Zertifizierung die jeweilige Dienstleistung ausreichend schützen.3 Eine reine ISO/IEC 27001-Zertifizierung wird den Nachweis nach § 8a BSIG nicht ersetzen, da sie die speziellen Anforderungen an kritische Dienstleistungen nicht hinreichend berücksichtigt.4

276

c) Meldepflichten gegenüber dem BSI KRITIS-Betreiber sind auf der Grundlage von § 8b Abs. 3 BSIG dazu verpflichtet, sich beim BSI zu registrieren und eine jederzeit erreichbare Kontaktstelle einzurichten. Die Einhaltung der Registrierungspflicht wird durch das BSI überwacht. Das BSI kann zur Wahrnehmung seiner Aufgabe schwellenwertrelevante Kennzahlen von Betreibern abfragen, § 8b Abs. 3a BSIG. Jedoch kann die korrespondierende Auskunftspflicht von möglichen KRITIS-Betreibern entfallen, wenn im Einzelfall Geheimschutzinteressen oder überwiegende Sicherheitsinteressen der Herausgabe entgegenstehen. Sollte gegen die Registrierungspflicht verstoßen werden, so kann das BSI die Registrierung selbst vornehmen und die zuständige Aufsichtsbehörde des Bundes darüber informieren, § 8b Abs. 3 Satz 2, 3 BSIG.5 Zudem ist ein Verstoß gegen die Registrierungspflicht bußgeldbewehrt gem. § 14 Abs. 2 Nr. 5 BSIG.

277

Die Registrierungspflicht und die Einrichtung einer Kontaktstelle dienen der Kommunikation zwischen BSI und KRITIS-Betreibern. Insbesondere bei der Meldung von Störungen kann eine schnelle Kommunikation geboten sein: Gem. § 8b Abs. 4 BSIG sind KRITIS-Betreiber dazu verpflichtet, Störungen ihrer IT-Systeme dem BSI zu melden.

278

Entsprechende Meldungen bilden die Grundlage für ein Tätigwerden des BSI und damit für bundes- und ggf. europaweit abgestimmte Reaktionen auf IT-Sicherheitsbedrohungen.6

279

1 2 3 4 5 6

Stradomsky, DuD 2021, 589. BSI, Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG vom 21.8.2020, S. 10, 25. BSI, Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG vom 21.8.2020, S. 20. Woitke, DuD 2021, 584, 585. Stroscher, ZD-Aktuell 2021, 05098. Deutscher Bundestag, Drucksache 18/4096, S. 27.

119

2021-11-22, 12:02, HB groß

F. Rz. 280 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

aa) Meldepflichtige Störungen 280

Nicht jede Störung der unternehmenseigenen IT löst eine Meldepflicht gegenüber dem BSI aus. Die Störung muss entweder: – zum Ausfall oder zur erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen KRITIS geführt haben (§ 8b Abs. 4 Nr. 1 BSIG); oder – erheblich sein und zu einem Ausfall oder zur erheblichen Beeinträchtigung der KRITIS-Funktionsfähigkeit führen können (§ 8b Abs. 4 Nr. 2 BSIG).

281

Was unter den Störungsbegriff fällt, wird gesetzlich nicht klargestellt.1 Er ist jedoch funktional zu verstehen: Eine Störung liegt vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken.2 Dabei kommt es nicht zwangsläufig auf eine physikalische Beeinträchtigung der IT an. Ausreichend ist es vielmehr, wenn die eingesetzte Technik in der Interaktion mit ihrer Systemumwelt ihre Funktion nicht fehlerfrei ausüben kann.3 Beispiele sind etwa Sicherheitslücken, Schadprogramme, erfolgte/versuchte/erfolgreich abgewehrte Angriffe auf die IT-Sicherheit sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (z.B. nach Software-Updates oder einem Ausfall der Serverkühlung).4

282

Die Meldepflicht des Unternehmens unterliegt einer Erheblichkeitsschwelle hinsichtlich der eingetretenen oder möglichen Folgen der Störung. Diese wird insbesondere überschritten, wenn sich die Störung nicht bereits automatisiert oder mit wenig Aufwand mithilfe der nach § 8a BSIG ergriffenen IT-Sicherheitsmaßnahmen abwehren lässt.5 Für eine entsprechende Meldepflicht ist stets auch deren Auswirkung auf den KRITIS-Betrieb erforderlich. Sind tatsächliche Auswirkungen nicht bereits eingetreten, muss das Unternehmen eine Prognose hinsichtlich der möglichen Folgen der Störung anstellen. Es trägt dementsprechend das Risiko entsprechender Einschätzungsfehler (s. sogleich Rz. 299 f. zu etwaig anwendbaren Bußgeldern). Eine Hilfestellung zur Bewertung des Vorfalls bietet der Zweck der Meldepflicht: Sie soll eine möglichst umfassende und frühzeitige Warnung möglicherweise ebenfalls betroffener KRITIS-Betreiber gewährleisten.6 Unternehmen sollten die Schwere etwai-

1 BSI, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz, abrufbar unter: https://www.bsi.bund.de/DE/Themen/KRITISund-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zur-Melde pflicht/faq-zur-meldepflicht_node.html, zuletzt aufgerufen am 29.10.2021. 2 Thalhofer/Żdanowiecki in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 19 Rz. 268; Deutscher Bundestag, Drucksache 18/4096, S. 27. 3 Schneider, Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, S. 446. 4 Deutscher Bundestag, Drucksache 19/26106, S. 82; Deutscher Bundestag, Drucksache 18/ 4096, S. 27 f. 5 Winter, CR 2020, 576, 578; Deutscher Bundestag, Drucksache 19/26106, S. 82; Beucher/Fromageau/Ehlen in Kipker, Cybersecurity, Kapitel 12 Rz. 87. 6 von dem Bussche/Schelinski in Leupold/Wiebe/Glossner, Münchener Anwaltshandbuch ITRecht, Teil 7.1 Rz. 32; Deutscher Bundestag, Drucksache 18/4096, S. 28.

120

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 286 F.

ger Störungen unter diesem Gesichtspunkt messen und sich im Zweifel für eine Meldung entscheiden. Beispiele gewöhnlicher Störungen, die keine Meldepflicht auslösen1: – täglich auftretender Spam; – übliche Schadsoftware, die standardmäßig vom Virenscanner abgefangen wird; – technische Defekte im üblichen Rahmen (z.B. Festplattenfehler, Hardwareausfall).

283

Unternehmen können sich zur Bewertung von Störungen an einer „je-desto“-Formel orientieren: je größer die Wahrscheinlichkeit, dass die Störung zu tatsächlichen Funktionsbeeinträchtigungen führt und je größer die potentiellen Schäden fürs Gemeinwesen, desto eher wird eine Meldung an das BSI erforderlich.2 Auch der zur Risikobewältigung erforderliche Ressourcenaufwand spielt eine Rolle, etwa in Form eines erhöhten Koordinierungsaufwands, der Erforderlichkeit des Hinzuziehens externen Know-hows oder der Einberufung eines Krisenstabs.3

284

Beispiele von Störungen, die eine Meldepflicht auslösen4: – Vorfälle, die durch neuartige, bisher nicht vom BSI veröffentlichte IT-Sicherheitslücken ermöglicht wurden; – Systemausfälle durch unbekannte Schadprogramme; – erfolgreiches Überwinden einer Sicherungsmaßnahme; – außergewöhnliche Denial-of-Service-Angriffe, die sich nicht ohne weiteres mit den unternehmenseigenen IT-Sicherheitsvorkehrungen abwehren lassen; – erfolgte, versuchte oder erfolgreich abgewehrte gezielte IT-Angriffe; – außergewöhnliche und unerwartete technische Defekte mit IT-Bezug.

285

bb) Meldefrist Die Meldung erheblicher Störungen muss unverzüglich und damit ohne schuldhaftes Zögern erfolgen.5 Ähnlich wie im Datenschutzrecht dürfte Folgendes gelten: Je erheblicher die Störung, desto schneller sollte eine entsprechende Meldung erfolgen (s. auch Rz. 221 ff.). Nur ein schnellstmöglicher Informationsfluss an das BSI kann die Grundlage für ein funktionierendes Frühwarnsystem im KRITIS-Bereich bilden. Unternehmen können daher vor der Meldung von Störungen keine umfassende Bewertung des Vorfalls und seiner Umstände vornehmen. Aus diesem Grund sollten Unternehmen ein gestuftes Meldeverhalten verfolgen:6 1 Voskamp in Kipker, Cybersecurity, Kapitel 5 Rz. 50; von dem Bussche/Schelinski in Leupold/Wiebe/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 7.1 Rz. 33. 2 Schneider, Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, S. 449. 3 Deutscher Bundestag, Drucksache 18/4096, S. 28. 4 Deutscher Bundestag, Drucksache 19/26106, S. 82; Deutscher Bundestag, Drucksache 18/ 4096, S. 28. 5 BSI, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz, abrufbar unter: https://www.bsi.bund.de/DE/Themen/KRITISund-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zur-Melde pflicht/faq-zur-meldepflicht_node.html, zuletzt aufgerufen am 29.10.2021. 6 Deutscher Bundestag, Drucksache 18/4096, S. 28.

121

2021-11-22, 12:02, HB groß

286

F. Rz. 286 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

(1) In einem ersten Schritt meldet das Unternehmen schnellstmöglich die ihm ohne großen Rechercheaufwand zur Verfügung stehenden Informationen über die Störung (gegenüber dem BSI als Erstmeldung zu kennzeichnen).1 (2) In einem zweiten Schritt ergänzt das Unternehmen die initiale Meldung im weiteren Verlauf der Vorfallsbearbeitung um weitere, neu hinzukommende Informationen. 287

Für die Erstmeldung gilt grundsätzlich: Schnelligkeit vor Vollständigkeit.2 cc) Inhalt und Form der Meldung

288

Erfolgt die Meldung einer Störung an das BSI, so muss diese gem. § 8b Abs. 4 Satz 2 BSIG bestimmte Mindestangaben enthalten zu – der Störung, – möglichen grenzübergreifenden Auswirkungen, – den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, betroffenen Informationstechnik, Art der betroffenen Einrichtung oder Anlage, – der erbrachten kritischen Dienstleistung und – den Auswirkungen der Störung auf diese Dienstleistung.

289

Der inhaltliche Umfang dieser Mindestangaben wird gesetzlich nicht vorgegeben. Im Hinblick auf den Zweck der Meldepflicht zur Ermöglichung einer Warnung anderer KRITIS-Betreiber sollten alle Informationen an das BSI weitergeleitet werden, die zur Entdeckung und Vermeidung des Vorfalls bei anderen Betroffenen beitragen können und zur Verbesserung des Bilds über die Sicherheitslage förderlich sind.3 Grundsätzlich schreibt das BSIG für die Meldung keine bestimmte Form vor, jedoch ist es Unternehmen anzuraten, zur Meldung das vom BSI zur Verfügung gestellte Melde- und Informationsportal zwecks Vollständigkeit der gesetzlich erforderlichen Angaben und der Vereinfachung der Kommunikation zu verwenden.4

1 BSI, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz, abrufbar unter: https://www.bsi.bund.de/DE/Themen/KRITISund-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zur-Melde pflicht/faq-zur-meldepflicht_node.html, zuletzt aufgerufen am 29.10.2021. 2 Winter, CR 2020, 576, 582; BSI, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz abrufbar unter: https://www.bsi. bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRI TIS-FAQ/FAQ-zur-Meldepflicht/faq-zur-meldepflicht_node.html, zuletzt aufgerufen am 29.10.2021. 3 Sowa, PinG 2019, 213, 214; Schneider, Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, S. 452. 4 Melde- und Informationsportal abrufbar unter: https://mip.bsi.bund.de/, zuletzt aufgerufen am 29.10.2021; Sowa, PinG 2019, 213, 214.

122

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 293 F.

Aus § 8b Abs. 4 Satz 3 BSIG ergibt sich, dass Störungsmeldungen in bestimmten Fällen auch ohne Namensnennung abgegeben werden können. Das Gesetz trägt hier mit einer differenzierenden Lösung dem Umstand Rechnung, dass Unternehmen im Falle eines Bekanntwerdens von IT-Sicherheitsfällen erheblicher wirtschaftlicher Schaden droht (s. Rz. 27 ff.).1 Dabei gilt Folgendes:2

290

– Hat die Störung nicht zu tatsächlichen Funktionsausfällen oder -beeinträchtigungen geführt, wird eine namentliche Nennung des Betreibers nicht erforderlich und eine Meldung ohne Namensnennung ist möglich. Die Meldung soll hier lediglich die Beratung und Warnung anderer KRITIS-Betreiber ermöglichen. – Hat die Störung zu konkreten Ausfällen oder Beeinträchtigungen geführt, muss das Unternehmen den eigenen Namen angeben. Denn im konkreten Schadensfall muss regelmäßig eine schnelle Krisenreaktion erfolgen, insbesondere um ähnliche Vorfälle bei anderen Betreibern noch abwenden zu können und diesbezüglich erforderliche Informationen zwischen BSI und meldendem Unternehmen auszutauschen. Zu beachten ist, dass es auf den Grad der Störung für die Namensangabe nicht ankommt.3 Meldungen ohne Namensnennung werden vom BSI über eingerichtete Kommunikationsschnittstellen abgewickelt (Single Points of Contact, kurz: SPOCs). Diese ermöglichen einen Austausch zwischen BSI und meldendem Unternehmen, indem sie Rückfragen hin und her vermitteln, ohne dass der Austausch von Klarnamen dafür erforderlich wird.4

291

Handelt es sich um eine erhebliche Störung, so ist das BSI im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde dazu befugt, die zur Bewältigung der Störung notwendigen Informationen vom Betreiber der Kritischen Infrastruktur herauszuverlangen, § 8b Abs. 4a BSIG. Die notwendigen Informationen können auch personenbezogene Daten umfassen. Dabei kann es sich zum Beispiel um IP-Adressen handeln, die benötigt werden, um eine Störung zu lokalisieren oder auch um E-Mails, die ein Schadprogramm enthalten und deren Auswertung durch das BSI zur Bewertung der Störung erforderlich ist.5

292

d) Einsatz kritischer Komponenten Neben den zuvor genannten IT-Sicherheitspflichten müssen Betreiber Kritischer Infrastrukturen den geplanten Einsatz einer sog. kritischen Komponente gegenüber dem Bundesinnenministerium anzeigen, § 9b Abs. 1 BSIG. Kritische Komponenten sind gem. § 2 Abs. 13 BSIG IT-Produkte,

1 Deutscher Bundestag, Drucksache 18/4096, S. 28. 2 Deutscher Bundestag, Drucksache 18/4096, S. 28. 3 Winter, CR 2020, 576, 580; Schneider, Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, S. 453 m.w.N. 4 Sowa, PinG 2019, 213, 215; Deutscher Bundestag, Drucksache 18/4096, S. 28. 5 Deutscher Bundestag, Drucksache 19/26106, S. 80 f.

123

2021-11-22, 12:02, HB groß

293

F. Rz. 293 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

– die in Kritischen Infrastrukturen eingesetzt werden, – bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können und – die aufgrund eines Gesetzes unter Verweis auf § 2 Abs. 13 BSIG als kritische Komponente bestimmt werden oder eine aufgrund dieses Gesetzes als kritisch bestimmte Funktion realisieren. 294

Beispiel zur Festlegung kritischer Komponenten: So werden bspw. durch die Bundesnetzagentur im Einvernehmen mit dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in einem „Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten“ bestimmt, welche Funktionen kritische Funktionen im Sinne von § 2 Abs. 13 Satz 1 Nr. 3 lit. b BSIG sind, die von kritischen Komponenten im Sinne von § 2 Abs. 13 des BSI-Gesetzes realisiert werden, § 167 Abs. 1 Satz 1 Nr. 2 TKG. Komponenten, welche die in dem Katalog aufgeführten Funktionen realisieren, sind kritische Komponenten i.S.d. § 2 Abs. 13 BSIG und müssen vor ihrem Einsatz angezeigt werden.1

295

Gem. § 9b Abs. 3 Satz 2 BSIG muss der Anzeige über den geplanten Einsatz der kritischen Komponente eine Garantieerklärung des Herstellers beigefügt werden, sobald das Bundesinnenministerium die inhaltlichen Mindestanforderungen an die Garantieerklärung durch eine Allgemeinverfügung festgelegt hat. Die Garantieerklärung ist eine Erklärung des Herstellers über seine Vertrauenswürdigkeit, § 9b Abs. 3 Satz 1 BSIG. Zum Nachweis der Vertrauenswürdigkeit des Herstellers muss die Erklärung Angaben darüber enthalten, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus, auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.

296

Die Abgabe einer Garantieerklärung sowie die hinreichende Mitwirkung des Herstellers sind Anhaltspunkte für dessen Vertrauenswürdigkeit. § 9b Abs. 5 BSIG sieht jedoch einen Regelkatalog mit Fällen vor, in denen eine Vertrauenswürdigkeit des Herstellers nicht vorliegen soll, bspw. bei Verstößen gegen die Verpflichtungen aus der Garantieerklärung, mangelnder Unterstützung bei Sicherheits- und Penetrationsanalysen am Produkt und in der Produktionsumgebung oder bei Mängeln an der kritischen Komponente, die ein erhöhtes Gefährdungspotential aufweisen. Bei mangelnder Vertrauenswürdigkeit kann der Einsatz der einzelnen kritischen Komponente bzw. bei schwerwiegenden Fällen mangelnder Vertrauenswürdigkeit aller kritischer Komponenten des Herstellers (§ 9b Abs. 7 BSIG) untersagt werden.

297

Die Untersagung des Einsatzes kann durch das Bundesinnenministerium innerhalb von zwei Monaten nach Anzeige durch den Betreiber der kritischen Infrastruktur er1 Thienemann, CB 2021, 225, 228; Deutscher Bundestag, Drucksache 19/26106, S. 57 f.

124

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 299 F.

folgen, wobei diese Frist bei besonderen Schwierigkeiten der Prüfung um weitere zwei Monate verlängert werden kann, § 9b Abs. 2 BSIG. Sollte eine Untersagung innerhalb der Frist nicht erfolgen, so gilt der Einsatz der kritischen Komponente als gestattet, vgl. § 9b Abs. 2 Satz 3 BSIG.1 Befindet sich die kritische Komponente bereits im Einsatz, so kann durch Anordnung des Bundesinnenministeriums unter Beteiligung des Auswärtigen Amts und der jeweils in § 10 Abs. 1 BSIG betroffenen Ressorts der weitere Einsatz untersagt werden. Dies setzt voraus, dass der weitere Einsatz der kritischen Komponente die öffentliche Ordnung und Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Eine solche Gefahr kann insbesondere bei mangelnder Vertrauenswürdigkeit des Herstellers bestehen.2

298

e) Bußgelder Die vorbeschriebenen IT-Sicherheitspflichten der KRITIS-Betreiber sind überwiegend bußgeldbewährt, was sich aus den nachfolgenden Bußgeldtatbeständen ergibt: – § 14 Abs. 1 BSIG: KRITIS-Betreiber erbringt den Nachweis über die Erfüllung angemessener organisatorischer und technischer Vorkehrungen nicht richtig oder unvollständig, Bußgeld von bis zu 10 Mio. Euro.3 – § 14 Abs. 2 Nr. 1 lit. a BSIG: Der Betreiber handelt vollziehbaren Anordnungen des BSI zur Beseitigung von Sicherheitsmängeln zuwider, Bußgeld von bis zu 20 Mio. Euro.4 – § 14 Abs. 2 Nr. 2 BSIG: Der Betreiber trifft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig angemessene organisatorische und technische Vorkehrungen, Bußgeld von bis zu 10 Mio. Euro.5 – § 14 Abs. 2 Nr. 3 BSIG: KRITIS-Betreiber erbringt den Nachweis über die Erfüllung angemessener organisatorischer und technischer Vorkehrungen nicht oder nicht rechtzeitig, Bußgeld von bis zu 10 Mio. Euro.6

1 Deutscher Bundestag, Drucksache 19/28844, S. 43. 2 Thienemann, CB 2021, 225, 229. 3 Gem. § 14 Abs. 5 Satz 1 BSIG beträgt das Bußgeld eigentlich 1 Mio. Euro; durch den Verweis auf § 30 Abs. 2 Satz 3 OWiG verzehnfacht sich das Bußgeld jedoch bei Bußen gegen juristische Personen, vgl. Deutscher Bundestag, Drucksache 19/26106, S. 95. 4 Gem. § 14 Abs. 5 Satz 1 BSIG beträgt das Bußgeld eigentlich 2 Mio. Euro; durch den Verweis auf § 30 Abs. 2 Satz 3 OWiG verzehnfacht sich das Bußgeld jedoch bei Bußen gegen juristische Personen, vgl. Deutscher Bundestag, Drucksache 19/26106, S. 95. 5 Gem. § 14 Abs. 5 Satz 1 BSIG beträgt das Bußgeld eigentlich 1 Mio. Euro; durch den Verweis auf § 30 Abs. 2 Satz 3 OWiG verzehnfacht sich das Bußgeld jedoch bei Bußen gegen juristische Personen, vgl. Deutscher Bundestag, Drucksache 19/26106, S. 95. 6 Gem. § 14 Abs. 5 Satz 1 BSIG beträgt das Bußgeld eigentlich 1 Mio. Euro; durch den Verweis auf § 30 Abs. 2 Satz 3 OWiG verzehnfacht sich das Bußgeld jedoch bei Bußen gegen juristische Personen, vgl. Deutscher Bundestag, Drucksache 19/26106, S. 95.

125

2021-11-22, 12:02, HB groß

299

F. Rz. 299 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

– § 14 Abs. 2 Nr. 4 BSIG: Entgegen § 8a Abs. 4 Satz 2 (Überprüfung der Einhaltung der organisatorischen und technischen Vorkehrungen) oder § 8b Abs. 3a (Prüfung der Registrierungspflicht) werden die erforderlichen Unterlagen nicht oder nicht rechtzeitig vorgelegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt, Bußgeld von bis zu 100.000 Euro. – § 14 Abs. 2 Nr. 5 BSIG: Der Betreiber nimmt eine Registrierung oder Benennung einer Kontaktstelle nicht oder nicht rechtzeitig vor, Bußgeld von bis zu 500.000 Euro. – § 14 Abs. 2 Nr. 6 BSIG: Der Betreiber stellt nicht sicher, dass die Kontaktstelle erreichbar ist, Bußgeld von bis zu 100.000 Euro. – § 14 Abs. 2 Nr. 7 BSIG: Der Betreiber meldet eine meldepflichtige Störung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, Bußgeld von bis zu 500.000 Euro. – § 14 Abs. 3 BSIG: Der KRITIS-Betreiber begeht eine Handlung nach § 14 Abs. 1 BSIG aus Fahrlässigkeit, Bußgeld von bis zu 100.000 Euro. 300

Die Zuständigkeit zur Durchführung des ordnungswidrigkeitsrechtlichen Bußgeldverfahrens liegt beim BSI, § 14 Abs. 6 BSIG. f) Zivilrechtliche Haftung

301

Daneben droht KRITIS-Betreibern bei der Verletzung ihrer IT-Sicherheitspflichten aus dem BSIG möglicherweise eine Inanspruchnahme durch Endnutzer oder andere KRITIS-Betreiber (zu den Grundlagen der zivilrechtlichen Haftung s. Rz. 538 ff.). Besonders Verträge über die Versorgung von Endnutzern können als Haftungsgrundlage dienen (s. Rz. 544 ff.).

302

Im Hinblick auf deliktische Ansprüche ist dagegen eine stärkere Differenzierung erforderlich. Kommt es durch die Verletzung der IT-Sicherheitspflichten zur Verletzung geschützter Rechtsgüter, kann der KRITIS-Betreiber sowohl von betroffenen Endnutzern als auch anderen KRITIS-Betreibern ggf. gem. § 823 Abs. 1 BGB in Anspruch genommen werden (s. Rz. 573 ff.). Die KRITIS-Vorschriften stellen in Bezug auf Endnutzer keine drittschützenden Normen dar (s. Rz. 583 ff.), so dass eine Inanspruchnahme auf der Grundlage von § 823 Abs. 2 BGB i.V.m. §§ 8a, 8b BSIG ausscheidet.1 Denn diese Regelungen dienen vorrangig dem Funktionieren des Gemeinwesens, so dass Endnutzer nur mittelbar geschützt werden.

303

Kommt es wegen der Verletzung von Meldepflichten bei anderen KRITIS-Betreibern zu Schäden, wird vereinzelt das Vorliegen eines Schutzgesetzes im Hinblick auf § 8b BSIG vertreten, da eine frühzeitige Meldung von Sicherheitsvorfällen gerade andere

1 Spindler, CR 2016, 297, 306; Roos, MMR 2015, 636, 641; von dem Bussche/Schelinski in Leupold/Wiebe/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 7.1 Rz. 35 ff.

126

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 306 F.

KRITIS-Betreiber vor entsprechenden Risiken schützen soll.1 Einem solchen Verständnis wird aber durch Art. 14 Abs. 3 Satz 3 NIS-Richtlinie eine klare Absage erteilt, so dass eine Inanspruchnahme durch andere KRITIS-Betreiber auf der Grundlage von § 823 Abs. 2 BGB i.V.m. § 8b BSIG wohl ausscheidet.2 Auch der primär gemeinwohlschützende Zweck des § 8a BSIG spricht eher gegen dessen Charakter als Schutzgesetz.3 & Das Wesentliche in Kürze:

304

Ob ein Unternehmen als KRITIS-Betreiber den IT-Sicherheitspflichten des BSIG unterfällt, lässt sich in drei Schritten überprüfen: anhand der Angehörigkeit zu einem bestimmten Sektor, dem Betrieb bestimmter Anlagen und der Versorgung von regelmäßig mindestens 500.000 Personen (§ 2 Abs. 10 BSIG, BSI-KritisV). Kleinstunternehmen sind vom Anwendungsbereich des BSIG ausgenommen. KRITIS-Betreiber müssen u.a. folgende bußgeldbewährte IT-Sicherheitspflichten erfüllen: – Registrierung als Betreiber Kritischer Infrastruktur und Einrichtung einer Kontaktstelle zur Kommunikation mit dem BSI (§ 8b Abs. 3 BSIG); – Einsatz angemessener technischer und organisatorischer Sicherheitsvorkehrungen zum Schutz der KRITIS-Anlagen, die dem „Stand der Technik“ entsprechen; dazu gehört auch der Einsatz von Angriffserkennungssystemen (§ 8a Abs. 1, 1a, 2 BSIG); – Anzeige des geplanten Einsatzes von kritischen Komponenten (§ 9b Abs. 1 BSIG); – Nachweis der Einhaltung entsprechender IT-Sicherheitsvorkehrungen gegenüber dem BSI im Zwei-Jahres-Rhythmus (§ 8a Abs. 3 BSIG); – unverzügliche Meldung erheblicher Störungen der IT-Systeme an das BSI (§ 8b Abs. 4 BSIG).

2. Pflichten von Unternehmen im besonderen öffentlichen Interesse Eine wesentliche Änderung durch das IT-Sicherheitsgesetz 2.0 erfolgte mit der Erweiterung des Adressatenkreises des BSIG auf sog. Unternehmen im besonderen öffentlichen Interesse. Diese sind trotz ihrer Bedeutung für die Sicherheitsinteressen des Staates, für die Wirtschaft und die Gesellschaft im Vergleich zu Betreibern von Kritischen Infrastrukturen einem abgeschwächten Pflichtenkatalog unterworfen.4

305

a) Adressaten Gem. § 2 Abs. 14 BSIG sind Unternehmen im besonderen öffentlichen Interesse solche Unternehmen, die nicht Betreiber Kritischer Infrastrukturen sind und – Güter nach § 60 Abs. 1 Nr. 1 und 3 der Außenwirtschaftsverordnung herstellen oder entwickeln (Nr. 1),

1 Roos, MMR 2015, 636, 641. 2 von dem Bussche/Schelinski in Leupold/Wiebe/Glossner, Münchener Anwaltshandbuch ITRecht, Teil 7.1 Rz. 35 ff.; Spindler, CR 2016, 297, 306. 3 Spindler, CR 2016, 297, 306; a.A. Roos, MMR 2015, 636, 641. 4 Deutscher Bundestag, Drucksache 19/28844, S. 58.

127

2021-11-22, 12:02, HB groß

306

F. Rz. 306 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

– nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind (Nr. 2), oder – Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung sind oder nach § 1 Abs. 2 der Störfall-Verordnung diesen gleichgestellt sind (Nr. 3). 307

Zu den Unternehmen nach Nr. 1 und 3 gehören u.a. Rüstungshersteller, Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen sowie Unternehmen aus dem Bereich der Chemie und Unternehmen, die explosive Stoffe herstellen.1

308

Zur Bestimmung von Unternehmen i.S.v. § 2 Abs. 14 Satz 1 Nr. 2 BSIG wird gem. § 10 Abs. 5 BSIG das Bundesinnenministerium ermächtigt, durch eine Rechtsverordnung abstrakt-generelle Kriterien festlegen, durch die eine Bestimmung der Verpflichteten möglich ist. Die Berechnung der wirtschaftlichen Kennzahlen zur Bestimmung der volkswirtschaftlichen Bedeutung der Unternehmen und auch die erfassten Unternehmen sollen sich dabei an dem Gutachten der Monopolkommission nach § 44 Abs. 1 GWB (sog. Hauptgutachten) orientieren.2

309

Zu beachten ist, dass vom Anwendungsbereich Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG nicht umfasst sind, § 8d Abs. 1a BSIG. Dabei handelt es sich um Unternehmen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz 10 Mio. Euro nicht übersteigt b) IT-Sicherheitsstandard

310

Unternehmen im besonderen öffentlichen Interesse werden durch das BSIG nicht zur Einhaltung eines bestimmten Sicherheitsstandards verpflichtet. Das im Vergleich zu KRITIS-Betreibern abgeschwächte Pflichtenprogramm sieht in § 8f Abs. 1 BSIG die Pflicht zur Vorlage einer Selbsterklärung über die IT-Sicherheit bei Unternehmen im besonderen öffentlichen Interesse i.S.v. § 2 Abs. 14 Satz 1 Nr. 1 und 2 BSIG vor. Aus der Selbsterklärung soll hervorgehen, welche Maßnahmen zur Gewährleistung angemessener IT-Sicherheit ergriffen wurden und vorgesehen sind. Nachweise über die IT-Sicherheit können durch Zertifizierungen, Audits oder Prüfungen nach nationalen oder internationalen Standards, bspw. dem BSI-Grundschutz oder der ISO/IEC 27001, oder auch nach anderen branchenspezifischen Normen oder Standards erfolgen. Solche Nachweise seien aus technischer Sicht besonders geeignet, die Einhaltung des IT-Sicherheitsstandards darzulegen.3

1 Thienemann, CB 2021, 225, 226. 2 Deutscher Bundestag, Drucksache 19/28844, S. 58. 3 Deutscher Bundestag, Drucksache 19/28844, S. 81.

128

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 314 F.

Unzureichende technische und organisatorische IT-Sicherheitsmaßnahmen bei Unternehmen im besonderen öffentlichen Interesse stellen keine Pflichtverletzung nach dem BSIG dar. Sollte die Selbsterklärung Defizite bei der IT-Sicherheit aufzeigen, so kann das BSI Hinweise und Empfehlungen zu angemessenen organisatorischen und technischen Vorkehrungen zur Einhaltung des Stands der Technik geben, § 8f Abs. 3 BSIG. Eine Pflicht zur Umsetzung der Hinweise für Unternehmen im besonderen öffentlichen Interesse besteht nach dem BSIG jedoch nicht. Es ist dennoch zu empfehlen, dass Hinweise zur Verbesserung der IT-Sicherheit umgesetzt werden. So kann die Einhaltung von angemessenen IT-Sicherheitsmaßnahmen aufgrund anderer rechtlicher Pflichten sowie aus wirtschaftlichen Gesichtspunkten angezeigt sein. Insbesondere wird die (Nicht-)Umsetzung Relevanz im Rahmen zivilrechtlicher Haftungsprozesse haben, bei denen Hinweisen des BSI mit Blick auf das Verschulden des Betreibers ein indizieller Charakter zukommen dürfte.1

311

Die Selbsterklärung ist spätestens bis zum ersten Werktag nach der erstmaligen oder erneuten Geltung als Unternehmen im besonderen öffentlichen Interesse nach § 2 Abs. 14 Satz 1 Nr. 1 oder 2 BSIG vorzulegen. Für Unternehmen nach § 2 Abs. 14 Satz 1 Nr. 1 BSIG gilt die Pflicht ab dem 1.5.2023 und für Unternehmen nach Nr. 2 frühestens zwei Jahre nach Inkrafttreten der (noch zu erstellenden) Rechtsverordnung i.S.v. § 10 Abs. 5 BSIG, § 8f Abs. 4 BSIG. Zudem ist die Selbsterklärung dem BSI mindestens alle zwei Jahre in aktualisierter Form vorzulegen, § 8f Abs. 1 BSIG. Soweit das BSI Formulare für die Selbsterklärung gem. § 8f Abs. 2 BSIG eingeführt hat, sind diese zu benutzen.

312

c) Registrierung gegenüber dem BSI Unternehmen im besonderen öffentlichen Interesse i.S.d. § 2 Abs. 14 Satz 1 Nr. 1 und 2 BSIG müssen sich mit der Vorlage der ersten Selbsterklärung beim BSI registrieren und eine zu den üblichen Geschäftszeiten erreichbare Stelle benennen, § 8f Abs. 5 Satz 1 BSIG. Es ist damit zu rechnen, dass das BSI für die Registrierung ein Formular auf seiner Website zur Verfügung stellen wird. Die Erreichbarkeit setzt voraus, dass das Unternehmen werktags zwischen 8 Uhr und 17 Uhr Informationen wie Sicherheitswarnungen entgegennehmen und auswerten kann.2 Das BSI übermittelt insbesondere bekannte Sicherheitslücken oder versuchte Angriffe auf Informationstechnik an diese benannte Stelle.3

313

Unternehmen im besonderen öffentlichen Interesse i.S.d. § 2 Abs. 14 Satz 1 Nr. 3 BSIG sind nicht zur Registrierung und Benennung einer solchen Stelle verpflichtet, jedoch können sie dies freiwillig tun, § 8f Abs. 6 BSIG. Dementsprechend ist lediglich die nicht oder nicht rechtzeitig erfolgte Registrierung bzw. Benennung einer Stelle für Unternehmen im besonderen öffentlichen Interesse i.S.v. § 2 Abs. 14 Nr. 1 und 2 BSIG bußgeldbewehrt, § 14 Abs. 2 Nr. 5 BSIG.

314

1 Schulte in Ritter, Kommentar zum IT-Sicherheitsgesetz 2.0 (im Erscheinen), § 8f BSIG Rz. 556. 2 Deutscher Bundestag, Drucksache 19/26106, S. 92. 3 Thienemann, CB 2021, 225, 227.

129

2021-11-22, 12:02, HB groß

F. Rz. 315 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

d) Meldepflichtige Störungen 315

Auch Unternehmen im besonderen öffentlichen Interesse unterliegen bei Störungen ihrer IT-Systeme Meldepflichten gegenüber dem BSI. Durch die Meldung an das Bundesamt können Erkenntnisse gewonnen werden, wie solche Störungen erkannt, behoben und vermieden werden können und andere Verpflichtete umfassend und frühzeitig gewarnt werden.1

316

Nicht jede Störung der unternehmenseigenen IT löst jedoch eine Meldepflicht gegenüber dem BSI aus. Die Störung der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse muss bei Unternehmen im besonderen öffentlichen Interesse i.S.d. § 2 Abs. 14 Satz 1 Nr. 1 und 2 BSIG, grundsätzlich vergleichbar zu KRITIS-Betreibern, (s. Rz. 265): – zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung2 geführt haben oder erheblich sein und zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung führen können, § 8f Abs. 7 BSIG, bzw. bei Unternehmen i.S.d. Nr. 3: – zu einem Störfall nach der Störfall-Verordnung geführt haben oder erheblich sein und zu einem solchen Störfall führen können, § 8f Abs. 8 BSIG.

317

Was unter den Störungsbegriff fällt, wird gesetzlich in Bezug auf die Störfall-Verordnung klargestellt. Dazu zählen insbesondere Ereignisse, die zu ernsten Gefahren führen, welche das Leben von Menschen bedrohen oder bei denen schwerwiegende Gesundheitsbeeinträchtigungen von Menschen zu befürchten sind oder bei denen die Gesundheit einer großen Zahl von Menschen beeinträchtigt werden kann, § 2 Nr. 7, 8 Störfall-Verordnung.3 Der Begriff der Störung i.S.d. § 8f Abs. 7 BSIG ist nicht legaldefiniert, jedoch ist der Begriff, ebenso wie im Rahmen von § 8b BSIG (s. Rz. 277), entsprechend der höchstrichterlichen Rechtsprechung zu § 100 Abs. 1 TKG a.F. funktional zu verstehen. Eine Störung liegt daher vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken. Dazu zählen insbesondere Fälle von Sicherheitslücken, Schadprogrammen und erfolgten, versuchten oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informationstechnik sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (s. Rz. 281).4 Wann eine Störung oder Beeinträchtigung als erheblich anzusehen ist, richtet sich nach den Umständen des Einzelfalls und nach dem konkret betroffenen Unternehmen. Neben wirtschaftlichen und zeitlichen Aspekten kann auch der Umstand eine

1 Deutscher Bundestag, Drucksache 19/26106, S. 82 f. 2 Zum Begriff der Wertschöpfung und den damit verbundenen Unklarheiten vgl. Schulte in Ritter, Kommentar zum IT-Sicherheitsgesetz 2.0 (im Erscheinen), § 8f BSIG Rz. 569 f. 3 Vgl. Deutscher Bundestag, Drucksache 19/26106, S. 82 f. 4 Deutscher Bundestag, Drucksache 19/26106, S. 82 f.

130

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 321 F.

Rolle spielen, ob es sich um einen großangelegten Cyber-Angriff handelt, von dem noch weitere Unternehmen (zeitnah) betroffen sein können.1 aa) Meldefrist Die Meldung erheblicher Störungen muss unverzüglich und damit ohne schuldhaftes Zögern erfolgen. Die Ausführungen zur Meldefrist bei KRITIS-Betreibern gelten für Unternehmen im besonderen öffentlichen Interesse entsprechend (s. Rz. 286 f.).

318

bb) Inhalt und Form der Meldung Erfolgt die Meldung einer Störung an das BSI, so muss diese gem. § 8f Abs. 7 Satz 2, Abs. 8 Satz 2 BSIG bestimmte Mindestangaben zu

319

– der Störung, – den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, – der betroffenen Informationstechnik und – der Art der betroffenen Einrichtung oder Anlage enthalten. Für die Meldung kann das vom BSI zur Verfügung gestellte Formular verwendet werden.2 Die Ausführungen zum Inhalt und der Form der Meldung bei KRITIS-Betreibern gelten für Unternehmen im besonderen öffentlichen Interesse grundsätzlich entsprechend (s. Rz. 288 ff.). Eine Parallelvorschrift zu § 8b Abs. 4 Satz 3 BSIG, der in bestimmten Fällen eine Abgabe der Störungsmeldungen ohne Namensnennung vorsieht, besteht für Unternehmen im besonderen öffentlichen Interesse aber nicht.

320

e) Bußgelder Die vorbeschriebenen IT-Sicherheitspflichten der Unternehmen im besonderen öffentlichen Interesse sind gem. § 14 BSIG in folgenden Fällen mit bis zu 500.000 Euro bußgeldbewährt (zu Festsetzung und Höhe von Bußgeldern s. Rz. 299 f.): – § 14 Abs. 2 Nr. 5 BSIG: Das Unternehmen nimmt eine Registrierung oder Benennung einer Kontaktstelle nicht oder nicht rechtzeitig vor, Bußgeld von bis zu 500.000 Euro.

1 Schulte in Ritter, Kommentar zum IT-Sicherheitsgesetz 2.0 (im Erscheinen), § 8a BSIG Rz. 572 ff. 2 BSI, Meldung gemäß § 8f BSIG für Unternehmen im besonderen öffentlichen Interesse, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Regulierte_Unter nehmen/UBI/Meldeformular_UBI.pdf?__blob=publicationFile&v=3; zuletzt abgerufen am 14.10.2021.

131

2021-11-22, 12:02, HB groß

321

F. Rz. 321 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

– § 14 Abs. 2 Nr. 7 BSIG: Das Unternehmen meldet eine meldepflichtige Störung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, Bußgeld von bis zu 500.000 Euro. – § 14 Abs. 2 Nr. 9 BSIG: Das Unternehmen legt eine Selbsterklärung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vor, Bußgeld von bis zu 500.000 Euro. 322

& Das Wesentliche in Kürze: Ein Unternehmen kann aufgrund verschiedener Kriterien als Unternehmen im besonderen öffentlichen Interesse qualifiziert werden. Davon ausgenommen sind Unternehmen, die Betreiber von Kritischer Infrastruktur sind sowie Kleinstunternehmen und kleine Unternehmen. Unternehmen im besonderen öffentlichen Interesse i.S.v. § 2 Abs. 14 Satz 1 Nr. 1 und 2 BSIG müssen folgende bußgeldbewährte IT-Sicherheitspflichten erfüllen: – Registrierung als Unternehmen im besonderen öffentlichen Interesse und Einrichtung einer Kontaktstelle zur Kommunikation mit dem BSI (§ 8f Abs. 5 BSIG); – Vorlage einer Selbsterklärung über die IT-Sicherheit gegenüber dem BSI (§ 8a Abs. 1 BSIG); – unverzügliche Meldung bestimmter Störungen der IT-Systeme an das BSI (§ 8f Abs. 7 BSIG). Unternehmen im besonderen öffentlichen Interesse i.S.v. § 2 Abs. 14 Satz 1 Nr. 3 BSIG sind dazu verpflichtet, unverzüglich Störungen der IT-Systeme an das BSI zu melden (§ 8f Abs. 8 BSIG).

3. Pflichten der Anbieter digitaler Dienste 323

Anbieter digitaler Dienste gehören neben den KRITIS-Betreibern und Unternehmen im besonderen öffentlichen Interesse zu den primären Adressaten des BSIG. Durch das IT-Sicherheitsgesetz 2.0 erfolgten für Anbieter digitaler Dienste punktuelle Änderungen. So wurde u.a. der Bußgeldrahmen verschärft und eine Anordnungsbefugnis des BSI eingeführt. a) Adressaten

324

Die Aufnahme sog. „Anbieter digitaler Dienste“ in den Kreis der IT-Sicherheitsverpflichteten beruht auf der Erwägung, dass diese zwar keine wesentlichen Versorgungsdienstleistungen erbringen, diese jedoch erst ermöglichen. Kommt es bei entsprechenden Unternehmen zu Systemausfällen, droht ein Domino-Effekt in Form von Ausfällen bei KRITIS-Betreibern und anderen Unternehmen, was schwerwiegende Auswirkungen auf Wirtschaft und Gesellschaft haben kann.1 Die Identifikation der von den Pflichten nach dem BSIG betroffenen Unternehmen erfordert im Gegensatz zu den anderen nach dem BSIG Verpflichteten keine umfassende Prüfung (s. Rz. 255 ff.). 1 Europäische Kommission, Mitteilung COM(2017) 476 final vom 13.9.2017, Annex III, 4.4.

132

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 327 F.

So sind etwa quantitative Kriterien zur Bestimmung einer Gemeinwohlfunktion nicht vorhanden. Ähnlich wie im Falle von KRITIS-Betreibern und Unternehmen im besonderen öffentlichen Interesse unterfallen allerdings Kleinst- und kleine Unternehmen gem. § 8d Abs. 4 BSIG nicht den IT-Sicherheitspflichten für Anbieter digitaler Dienste. Dabei handelt es sich um Unternehmen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz 10 Mio. Euro nicht übersteigt.

325

Praxishinweis für kleine und Kleinstunternehmen1: Auch wenn kleine und Kleinstunternehmen nicht dem Anwendungsbereich der Pflichten für Anbieter digitaler Dienste unterfallen, ist deren mittelbare Verpflichtung zur Einhaltung entsprechender IT-Sicherheitsstandards denkbar. Unterfallen Vertragspartner solcher Unternehmen dem Anwendungsbereich des BSIG, werden diese regelmäßig das Unternehmen zum Schutz der eigenen IT-Infrastruktur zur Aufrechterhaltung entsprechender Sicherheitsmaßnahmen verpflichten. Der nach BSIG erforderliche IT-Sicherheitsstandard wird dann gewissermaßen an die kleinen und Kleinstunternehmen vertraglich weitergereicht. Die Compliance mit den Vorgaben des BSIG dürfte daher einen nicht zu unterschätzenden Wettbewerbsvorteil bieten.

326

Nach § 2 Abs. 11, 12 BSIG unterfallen dem Anwendungsbereich drei Kategorien von Anbietern digitaler Dienste:

327

(1) Anbieter von Online-Marktplätzen: Dabei handelt es sich um Unternehmen, die es Verbrauchern und/oder Unternehmern ermöglichen, Online-Kauf- oder Dienstleistungsverträge entweder auf der Website des Online-Marktplatzes oder auf der Website eines Unternehmers, der vom Online-Marktplatz bereitgestellte Rechendienste verwendet, abzuschließen. Der Online-Marktplatz bildet den Ort für den Abschluss von Verträgen und bietet anderen Unternehmen die grundlegende Infrastruktur für den Handel im Internet.2 Tätigkeiten dieser OnlineMarktplätze umfassen bspw. die Verarbeitung von Transaktionen, die Zusammenstellungen von Informationen über Käufer, Zulieferer und Produkte, die Bereitstellung von Produkten, Transaktionswissen und die Zusammenführung von Käufern und Verkäufern.3 Auch App-Stores sind Anbieter eines Online-Marktplatzes.4 Nicht erfasst sind dagegen Unternehmen, die Dienste Dritter vermitteln, indem sie Nutzer zum Vertragsabschluss auf eine andere Website umleiten, z.B. Preisvergleichsdienste.5 (2) Online-Suchmaschinen: Diese ermöglichen es Nutzern, Suchen grundsätzlich auf allen Webseiten (ggf. in einer bestimmten Sprache) anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen. Die Online-Suchmaschine zeigt daraufhin Links 1 Lurz/Scheben/Dolle, BB 2015, 2755, 2755 ff. 2 ErwGr. 15 NIS-Richtlinie; Europäische Kommission, Mitteilung COM(2017) 476 final vom 13.9.2017, Annex III, 4.4.1. 3 Europäische Kommission, Mitteilung COM(2017) 476 final vom 13.9.2017, Annex III, 4.4.1. 4 ErwGr. 15 NIS-Richtlinie. 5 Beucher/Ehlen in Kipker, Cybersecurity, Kapitel 12 Rz. 131; Europäische Kommission, Mitteilung COM(2017) 476 final vom 13.9.2017, Annex III, 4.4.1.

133

2021-11-22, 12:02, HB groß

F. Rz. 327 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

an, über die der Abfrage entsprechende Inhalte abgerufen werden können. Auf die Suche innerhalb einer Website beschränkte Suchfunktionen oder Preisvergleichswebsites sind nicht erfasst.1 (3) Cloud-Computing-Dienste: Entsprechende Unternehmen ermöglichen Nutzern den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen. Dies umfasst eine breite Palette von Tätigkeiten, die auf unterschiedliche Weise erbracht werden können, etwa in Form der Bereitstellung von Netzen, Servern oder sonstiger Infrastruktur, Speicher, Anwendungen und Diensten.2 Die Ressourcen werden den Nutzern vom Anbieter dabei flexibel auf Nachfrage bereitgestellt und freigegeben, damit die verfügbaren Ressourcen je nach Arbeitsaufkommen rasch auf- bzw. abgebaut werden können.3 Drei Haupttypen von Cloud-Computing-Diensten lassen sich unterscheiden: Infrastructure as a Service (z.B. Speicherplatz), Platform as a Service und Software as a Service.4 328

Erfasst werden nur solche Anbieter digitaler Dienste, die „in der Regel entgeltlich“ tätig werden.5 Aus dem Gesetzeswortlaut wird nicht deutlich, auf welche Art und Weise entsprechende Anbieter ihre Dienste monetarisieren müssen, um den Pflichten des BSIG zu unterfallen, also ob die Dienste Nutzern gegen Entgelt angeboten werden müssen oder nicht. Besonders Online-Suchmaschinen verlangen von ihren Nutzern regelmäßig kein Entgelt, sondern monetarisieren ihre Dienste über den Verkauf von Werbeflächen an andere Unternehmen.6 Im Interesse der Erreichung eines möglichst umfassenden IT-Sicherheitsstandards und im Hinblick auf das Begriffsverständnis des deutschen Gesetzgebers zur „Entgeltlichkeit“ nach dem TTDSG (s. Rz. 371 f.) dürfte es ausreichen, wenn die Dienste nur in irgendeiner Weise monetarisiert werden.7

329

Während es den meisten betroffenen Unternehmen relativ geringe Schwierigkeiten bereiten sollte, festzustellen, ob sie unter eine der drei Kategorien von Anbietern digitaler Dienste fallen, stellt sich die Bestimmung des anwendbaren Rechts komplexer dar. Unternehmen, die digitale Dienste erbringen, sind regelmäßig grenzübergreifend tätig, so dass nicht nur deutsches, sondern auch das Recht anderer EU-Mitgliedstaaten zur Umsetzung der NIS-Richtlinie potentiell zur Anwendung gelangen kann.

330

Nach Art. 18 NIS-Richtlinie und der entsprechenden Bestimmung in § 8d BSIG ist der Anwendungsbereich des BSIG in zwei Fällen eröffnet:

1 Winter, CR 2020, 576, 577; Europäische Kommission, Mitteilung COM(2017) 476 final vom 13.9.2017, Annex III, 4.4.1. 2 ErwGr. 17 NIS-Richtlinie. 3 ErwGr. 17 NIS-Richtlinie. 4 Nähere Einzelheiten s. Europäische Kommission, Mitteilung COM(2017) 476 final vom 13.9.2017, Annex III, 4.4.1. 5 Vgl. § 2 Abs. 11 BSIG sowie Art. 4 Nr. 5 NIS-Richtlinie i.V.m. Art. 1 Abs. 1 lit. b RL 2015/ 1535/EU. 6 Dazu etwa EuGH, Urt. v. 13.5.2014 – Rs. C-131/12 – Google Spain, GRUR 2014, 895, 895 ff. = CR 2014, 460. 7 Vgl. auch Deutscher Bundestag, Drucksache 19/26108, S. 237.

134

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 332 F.

– für Anbieter digitaler Dienste, die ihren Hauptsitz in Deutschland haben; und – für nicht in der EU niedergelassene Unternehmen, die ihre Dienste im europäischen Binnenmarkt anbieten und zu diesem Zweck auf Grundlage des in Deutschland und vielen anderen Mitgliedstaaten nur unzureichend umgesetzten Art. 18 NIS-Richtlinie1 einen Vertreter in der EU benennen mussten, der in Deutschland niedergelassen ist.2 b) IT-Sicherheitsstandard Gem. § 8c Abs. 1 BSIG haben Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste in der EU nutzen, zu bewältigen. Der risikobasierte Sicherheitsansatz des BSIG gilt auch für Anbieter digitaler Dienste. So obliegt es auch diesen, anhand ihrer konkreten Situation die zur Risikoabwehr geeigneten und mit deren zur Verfügung stehenden Ressourcen auf verhältnismäßige Weise umsetzbaren Maßnahmen zu bestimmen. Die getroffenen Maßnahmen müssen dabei den Auswirkungen von Sicherheitsvorfällen innerhalb der EU vorbeugen und deren Auswirkungen so gering wie möglich halten, § 8c Abs. 1 Satz 2 BSIG. Aufgrund der Anwendbarkeit des BSIG auch auf außerhalb der EU niedergelassene Unternehmen wird deutlich, dass Sicherheitsvorfälle nicht zwingend in der EU stattfinden, sondern lediglich Auswirkungen auf die in Deutschland erbrachten digitalen Dienste haben müssen. In jedem Fall sollen die Maßnahmen zur Risikobewältigung angemessen sein und den Stand der Technik berücksichtigen (s. Rz. 269), § 8c Abs. 2 BSIG. Wie für KRITISBetreiber wird damit auch für Anbieter digitaler Dienste eine kontinuierliche Aufrechterhaltung und Anpassung des Sicherheitsstandards erforderlich.

331

Das Gesetz gibt in § 8c Abs. 2 BSIG verschiedene Aspekte vor, die zur Bestimmung eines rechtskonformen IT-Sicherheitsstandards zu berücksichtigen sind, wobei eine Konkretisierung dieser Vorgaben durch einen Durchführungsrechtsakt der Europäischen Kommission erfolgt ist:3

332

– Sicherheit der Systeme und Anlagen: physische und umgebungsbezogene Sicherheit; Versorgungssicherheit (Verfügbarkeit und ggf. Nachverfolgbarkeit von kritischen Betriebsstoffen), Zugriffskontrollen, umfassendes Systemmanagement; – Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen: Erkennungsprozesse und -abläufe, die ein rechtzeitiges und angemessenes Entdecken von ungewöhnlichen Vorfällen gewährleisten; interne Meldeprozesse für Sicherheitsvorfälle und System-Schwachstellen, Maßnahmen zur Beweissicherung, Bewertungsprozesse und Know-how-Management;

1 Vgl. Ritter, ICLR 2020, 13, 14 f. 2 Vgl. Art. 18 NIS-Richtlinie, ErwGr. 65 NIS-Richtlinie; Beucher/Ehlen in Kipker, Cybersecurity, Kapitel 12 Rz. 137. 3 Vgl. Art. 16 Abs. 8 NIS-Richtlinie; Art. 2 Durchführungsverordnung (EU) 2018/151 der Kommission vom 30.1.2018, ABl. L 26/48.

135

2021-11-22, 12:02, HB groß

F. Rz. 332 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

– Betriebskontinuitätsmanagement: Entwicklung von Notfallplänen und DisasterRecovery-Funktionen; – Überwachung, Überprüfung und Erprobung: regelmäßige Kontrollen und Messungen zur Überprüfung des gewünschten System-Ablaufs, Inspektion und Überprüfung implementierter Standards oder Guidelines, Prozesse zur Fehleranalyse; – Einhaltung internationaler Normen. 333

Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste keinen angemessenen IT-Sicherheitsstandard bietet, kann das BSI von diesem gem. § 8c Abs. 4 BSIG1 Informationen und Nachweise anfordern, um die IT-Sicherheit im Unternehmen zu bewerten. Dass für ein Tätigwerden des BSI nur „Anhaltspunkte“ und keine konkreten Nachweise über IT-Sicherheitsdefizite erforderlich sind, deutet darauf hin, dass das BSI bereits frühzeitig in Verdachtsfällen einschreiten kann.2 Sollte sich der Verdacht eines mangelhaften IT-Sicherheitsstandards bestätigen, so kann das BSI die Beseitigung der festgestellten Defizite verlangen, § 8c Abs. 4 Nr. 2 BSIG. c) Meldepflichten

334

Anbieter digitaler Dienste sind gem. § 8c Abs. 3 BSIG zur Meldung von Sicherheitsvorfällen verpflichtet. Danach ist dem BSI jeder Sicherheitsvorfall unverzüglich zu melden, der erhebliche Auswirkungen auf die Bereitstellung eines innerhalb der EU erbrachten digitalen Dienstes hat. Hier offenbart sich ein weniger strenger Maßstab für meldepflichtige Vorfälle im Vergleich zu KRITIS-Betreibern: Diese müssen auch solche Vorfälle melden, die erst potentiell Auswirkungen auf ihre Dienste haben können (s. Rz. 277 ff.). Dadurch wird Anbietern digitaler Dienste die Einschätzung des Ausmaßes ihrer Meldepflicht erleichtert: So müssen sie nicht bewerten, ob ein Zwischenfall künftig Auswirkungen haben kann, sondern nur, wie gravierend bereits vorhandene Auswirkungen für die Funktionalität des Dienstes sind.

335

Die Erheblichkeit einer Störung ist gem. § 8c Abs. 3 Satz 2 BSIG in Verbindung mit von der Europäischen Kommission erlassenen Durchführungsrechtsakten anhand der folgenden Parameter zu bestimmen:3 – Zahl der vom Sicherheitsvorfall betroffenen Nutzer (ausgehend von Vertrags- oder Verbindungsdaten); – Dauer des Vorfalls im Hinblick auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit des Diensts (s. Rz. 265 ff.);

1 Handelt es sich bei dem betroffenen Unternehmen um ein nicht in der EU niedergelassenes Unternehmen im Anwendungsbereich des BSIG, so bestehen die entsprechenden Befugnisse des BSI nur, wenn das Unternehmen in Deutschland Netz- und Informationssysteme betreibt, die es zur Bereitstellung der digitalen Dienste innerhalb der EU nutzt, § 8d Abs. 4 Satz 3 BSIG. 2 Kipker, MMR-Aktuell 2017, 389121. 3 Vgl. Art. 16 Abs. 8 NIS-Richtlinie; Art. 3 Durchführungsverordnung (EU) 2018/151 der Kommission vom 30.1.2018, ABl. L 26/48.

136

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 340 F.

– von der Störung betroffenes geographisches Gebiet; – Ausmaß der Unterbrechung der Bereitstellung des Diensts im Hinblick auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit; – Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten (ausgehend von der Analyse der Verträge mit Kunden, der Anzahl betroffener Nutzer, etwaiger materieller und immaterieller Schäden und Rechtsgutverletzungen). Besonders in einem der folgenden Fälle sollte von einer Erheblichkeit der Störung ausgegangen werden:1

336

– eine Ausfallzeit von mehr als 5 Mio. Nutzerstunden, – Auswirkungen auf mehr als 100.000 Nutzer in der EU, – eine Gefährdung der öffentlichen Gesundheit, oder – ein Schadensvolumen für Nutzer von mehr als 1 Mio. Euro. Nach § 8c Abs. 3 Satz 3 BSIG entfällt die Meldepflicht, sofern das betroffene Unternehmen keinen Zugang zu Informationen für die zur Einschätzung der Erheblichkeit einer Störung erforderlichen Parameter hat.

337

Hinsichtlich Form und Inhalt der Meldung verweist § 8c Abs. 3 Satz 4 auf § 8b Abs. 4 BSIG. Damit gelten die Ausführungen zu KRITIS-Betreibern entsprechend (s. Rz. 288 ff.). Die Meldung muss jedenfalls die Informationen enthalten, die es dem BSI ermöglichen, das Ausmaß etwaiger grenzübergreifender Auswirkungen des Sicherheitsvorfalls festzustellen.2

338

Eine Pflicht zur Benennung einer Kontaktstelle gegenüber dem BSI besteht nicht.

339

d) Bußgelder Die vorbeschriebenen IT-Sicherheitspflichten der Anbieter digitaler Dienste sind gem. § 14 BSIG in folgenden Fällen mit bis zu 20 Mio. Euro bußgeldbewährt (zu Festsetzung und Höhe von Bußgeldern s. Rz. 299 f.): – § 14 Abs. 2 Nr. 1 lit. a BSIG, soweit der Anbieter digitaler Dienste auch als Telemedienanbieter anzusehen ist (s. Rz. 363): Der Anbieter handelt einer vollziehbaren Anordnung nach § 7d zuwider, Bußgeld von bis zu 20 Mio. Euro.3 – § 14 Abs. 2 Nr. 1 lit. c BSIG: Der Anbieter digitaler Dienste übermittelt entgegen einer vollziehbaren Anordnung die erforderlichen Informationen zur Beurteilung

1 Art. 4 Abs. 1 Durchführungsverordnung (EU) 2018/151 der Kommission vom 30.1.2018, ABl. L 26/48. 2 Vgl. Art. 16 Abs. 3 Satz 2 NIS-Richtlinie. 3 Gem. § 14 Abs. 5 Satz 1 BSIG beträgt das Bußgeld eigentlich 2 Mio. Euro; durch den Verweis auf § 30 Abs. 2 Satz 3 OWiG verzehnfacht sich das Bußgeld jedoch bei Bußen gegen juristische Personen, vgl. Deutscher Bundestag, Drucksache 19/26106, S. 95.

137

2021-11-22, 12:02, HB groß

340

F. Rz. 340 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

der Sicherheit der Netz-und Informationssysteme nicht oder beseitigt die festgestellten Sicherheitsmängel nicht, Bußgeld von bis zu 500.000 Euro. – § 14 Abs. 2 Nr. 7 BSIG: Der Anbieter meldet eine meldepflichtige Störung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, Bußgeld von bis zu 500.000 Euro. – § 14 Abs. 2 Nr. 8 BSIG: Der Anbieter trifft eine geeignete und verhältnismäßige technische und organisatorische Maßnahme nicht, Bußgeld von bis zu 500.000 Euro. – § 14 Abs. 2 Nr. 11 BSIG: Der Anbieter verwendet unbefugt das IT-Sicherheitskennzeichen (s. dazu sogleich Rz. 348 ff.), Bußgeld von bis zu 500.000 Euro. 341

342

Während KRITIS-Betreiber im Hinblick auf ihren IT-Sicherheitsstandard auch für eine qualitativ oder zeitlich unzureichende Umsetzung haften, sieht § 14 Abs. 2 Nr. 8 BSIG dies nur vor, wenn geeignete und verhältnismäßige technische und organisatorische Maßnahmen gar nicht getroffen werden. Während KRITIS-Betreiber unmittelbar dem Funktionieren des Gemeinwesens dienen, ist dies bei digitalen Diensten nur mittelbar der Fall. Die drohenden Auswirkungen durch IT-Ausfälle bei Anbietern digitaler Dienste sind damit weniger schwerwiegend als bei KRITIS-Anbietern, so dass sie weniger strengen Anforderungen unterworfen sind. Dennoch empfiehlt sich für Anbieter digitaler Dienste eine möglichst vollständige und frühzeitige Umsetzung ihrer IT-Sicherheitspflichten, auch um sich vor möglichen zivilrechtlichen Haftungsfolgen zu schützen (s. Rz. 301 ff.). & Das Wesentliche in Kürze: Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Cloud-Computing-Diensten unterfallen IT-Sicherheitspflichten auf Grundlage des BSIG. Die quantitative Höhe der von den Unternehmen erbrachten Versorgungsleistungen ist dabei grundsätzlich unerheblich, wobei kleine und Kleinstunternehmen vom Kreis der Verpflichteten ausgenommen sind. Anbieter digitaler Dienste müssen folgende bußgeldbewährte IT-Sicherheitspflichten erfüllen: – Einsatz angemessener technischer und organisatorischer Sicherheitsvorkehrungen zum Schutz der Systeme unter Einhaltung des „Stands der Technik“ (§ 8c Abs. 1 BSIG); – Zurverfügungstellung von Informationen über die Maßnahmen an das BSI bei entsprechender Anforderung (§ 8c Abs. 4 BSIG); – Beseitigung etwaiger Sicherheitsdefizite auf Anordnung des BSI (§ 8c Abs. 4 BSIG); – unverzügliche Meldung erheblicher Störungen mit Auswirkungen auf die erbrachten Dienste an das BSI (§ 8c Abs. 3 BSIG).

4. Auswirkungen des BSI-Gesetzes auf Hersteller von IT-Produkten 343

Wie bereits angesprochen (s. Rz. 250 ff.), betreffen die über das IT-SiG 2.0 verstärkten Befugnisse des BSI auch die Hersteller von IT-Produkten und -Systemen. Verschiedene Handlungsbefugnisse des BSI führen dazu, dass Hersteller künftig verstärkt auf präventive IT-Sicherheitslösungen in ihren Produkten achten werden. In 138

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 346 F.

Teilen ergeben sich für Hersteller von IT-Produkten auch direkte Verpflichtungen aus dem BSIG. Die unmittelbare Verpflichtung von Herstellern zur IT-Sicherheit ihrer Produkte ergibt sich allerdings auch weiterhin vorrangig aus den Verträgen mit ihren Kunden sowie ihren Verkehrssicherungspflichten (s. Rz. 96 ff., 578 ff.). a) Hersteller kritischer Komponenten Der Einsatz von kritischen Komponenten ist mit verschiedenen Pflichten für KRITIS-Betreiber verbunden (s. Rz. 293). Jedoch wird der Einsatz der kritischen Komponente auch an Informations- und Mitwirkungspflichten des Herstellers geknüpft, § 9b BSIG. Dadurch wirkt sich die Regelung auch auf den Hersteller der kritischen Komponente aus: Die Untersagung des Einsatzes der kritischen Komponenten ist an die Vertrauenswürdigkeit des Herstellers gekoppelt, sodass die Untersagung einen erheblichen Reputationsverlust des Herstellers bewirken kann. Aus diesem Grund hat der Hersteller ein besonderes Eigeninteresse am Nachweis seiner Vertrauenswürdigkeit. Zudem kann die unterlassene Mitwirkung ggf. vertragliche Haftungsansprüche des Käufers begründen.

344

Zu den Pflichten des Herstellers gehört, dass er eine Garantieerklärung abgibt, § 9b Abs. 3 BSIG. Der Umfang der Erklärung sowie dessen Mindestanforderungen werden durch eine Allgemeinverfügung des Bundesinnenministeriums festgelegt, § 9b Abs. 3 Satz 4 BSIG.1 Der Hersteller muss jedoch in jedem Fall Angaben dazu machen, wie er sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus, auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können, § 9b Abs. 3 Satz 3 BSIG. Zu den weiteren Mitwirkungserfordernissen gehört z.B. die Unterstützung bei der Sicherheitsüberprüfung der Komponente (s. Rz. 293 ff.). Auch muss der Hersteller Schwachstellen von IT-Produkten, die als kritische Komponenten eingesetzt werden, unverzüglich beseitigen und den Betreibern der Kritischen Infrastruktur melden, da sonst Zweifel an der Vertrauenswürdigkeit des Herstellers aufkommen können, § 9b Abs. 5 BSIG, woraus die Untersagung des Einsatzes der kritischen Komponente folgen kann.

345

b) Mitwirkungspflichten der Hersteller bei Störungen der IT-Sicherheit Gem. § 8b Abs. 6 BSIG kann das BSI – soweit erforderlich – von Herstellern von ITProdukten und -Systemen eine Mitwirkung an der Beseitigung oder Vermeidung von Störungen der IT-Sicherheit verlangen. Der Anwendungsbereich dieser Mitwirkungspflicht wird allerdings dadurch eingeschränkt, dass sie nur bei Störungen im KRITIS-Bereich2 und bei Unternehmen im besonderen öffentlichen Interesse zur Anwendung gelangt.

1 Die Allgemeinverfügung wird im Einvernehmen mit den in § 10 Abs. 1 BSIG aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt festgelegt. 2 Gehrmann/Voigt, CR 2017, 93, 98 m.w.N.

139

2021-11-22, 12:02, HB groß

346

F. Rz. 347 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes 347

Beispiel zur Reichweite der Mitwirkungspflicht von Herstellern1: Softwarehersteller S entwickelt Programme zur Erkennung von Schadsoftware. Bei einem Cyber-Angriff auf einen KRITIS-Betreiber wird neue Schadsoftware eingesetzt, die das von S angebotene Programm nicht erkennt. Die Software verursacht einen Ausfall der Funktionsfähigkeit der vom betroffenen Unternehmen betriebenen KRITIS. Wozu kann S verpflichtet werden? § 8b Abs. 6 BSIG soll es dem BSI ermöglichen, Softwarehersteller zur Aktualisierung ihrer Software-Produkte über Patches zu verpflichten. Eine umfassende Pflicht zu präventiven Aktualisierungen, die nur über das Kriterium der Zumutbarkeit für die Hersteller begrenzt wird, kann aus dieser Vorschrift jedoch nicht abgeleitet werden. S war damit nach § 8b Abs. 6 BSIG nicht zum Zurverfügungstellen umfassender Software-Updates verpflichtet. § 8b Abs. 6 BSIG kann S nur zur Mitwirkung an der Beseitigung bzw. Vermeidung konkret bekannter Störungen bei KRITIS-Betreibern verpflichten. Eine solche Störung ist durch die unbekannte Schadsoftware bei dem betroffenen KRITIS-Unternehmen aufgetreten. Aus diesem Grund kann das BSI den Hersteller S zur Aktualisierung seiner Software durch ein Update verpflichten.

c) IT-Sicherheitskennzeichen 348

Durch die Einführung von freiwilligen IT-Sicherheitskennzeichen für vom BSI festgelegte Produktkategorien kann das BSI die Anwender und Verbraucher von Produkten im Bereich der Sicherheit der Informationstechnik warnen und beraten, § 9c Abs. 1 Satz 1 BSIG.2 Das freiwillige IT-Sicherheitskennzeichen besteht aus einer Herstellererklärung über die Erfüllung bestimmter IT-Sicherheitsanforderungen und Informationen des BSI über sicherheitsrelevante IT-Eigenschaften des Produktes, § 9c Abs. 2 BSIG. Die zu erfüllenden IT-Sicherheitsanforderungen können vom BSI festgelegt werden. Zudem besteht die Möglichkeit, dass das BSI feststellt, dass bestimmte IT-Sicherheitsvorgaben geeignet sind, ausreichende IT-Sicherheitsanforderungen für die Produktkategorie abzubilden.3 Die IT-Sicherheitsvorgaben sollen internationale und europäische Normen und Standards berücksichtigen und zur Anwendung bringen, jedoch werden nur Aspekte der IT-Sicherheit betrachtet, so dass beispielsweise das Datenschutzrecht vom IT-Sicherheitskennzeichen i.S.d. § 9c BSIG nicht erfasst wird.4

349

Die Freigabe der Nutzung des IT-Sicherheitskennzeichens für ein Produkt eines Herstellers oder Diensteanbieters erfolgt nur auf Antrag. Der Antrag muss mit Unterlagen eingereicht werden, welche die Herstellererklärung über die Erfüllung der IT-Sicherheitsvorgaben belegen, § 9c Abs. 4 Satz 3 BSIG. Die eingereichten Unterlagen werden im Rahmen der anschließenden Plausibilitätsprüfung herangezogen, um die Einhaltung der IT-Sicherheitsvorgaben zu prüfen, § 9c Abs. 4 Satz 4 BSIG. Sollte die Prüfung ergeben, dass die IT-Sicherheitsvorgaben erfüllt werden, so kann der Antragsteller für das Produkt das IT-Sicherheitskennzeichen verwenden.

1 Deutscher Bundestag, Drucksache 18/5121, S. 16; Hornung, NJW 2015, 3334, 3337; Gehrmann/Voigt, CR 2017, 93, 97 f. 2 Deutscher Bundestag, Drucksache 19/26106, S. 86. 3 Skierka in Hornung/Schallbruch, IT-Sicherheitsrecht, § 8 Rz. 99 ff. 4 Deutscher Bundestag, Drucksache 19/26106, S. 87.

140

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 353 F.

Der maßgebliche Zeitraum für die Nutzungsdauer des IT-Sicherheitskennzeichens kann je nach Produktkategorie unterschiedlich lang sein, da auch die gewöhnlichen Lebenszyklen der Produkte verschiedener Kategorien unterschiedlich ausfallen. Deshalb wird die Dauer der Nutzung des Kennzeichens im Gesetz nicht festgelegt, sondern in Abhängigkeit von den relevanten IT-Sicherheitsanforderungen bestimmt.1 Zudem besteht für das BSI die Möglichkeit, eine erteilte Freigabe zu widerrufen und die weitere Nutzung zu untersagen, wenn bei einer Prüfung Abweichungen von der abgegebenen Herstellererklärung bzw. Sicherheitslücken festgestellt werden, § 9c Abs. 8 Satz 2 Nr. 2 BSIG. Dem Hersteller oder Diensteanbieter wird grundsätzlich vor Widerruf des IT-Sicherheitskennzeichens Gelegenheit gegeben, die festgestellten Abweichungen oder Sicherheitslücken innerhalb eines angemessenen Zeitraumes zu beseitigen, § 9c Abs. 9 Satz 1 BSIG.

350

Neben einer nationalen IT-Sicherheitszertifizierung kann durch das BSI auch eine europäische Cybersicherheitszertifizierung durchgeführt werden. Das BSI ist als nationale Behörde i.S.v. § 9a Abs. 1 BSIG, Art. 58 Abs. 1 Cybersecurity Act2 für die europäische Cybersicherheitszertifizierung zuständig. Mit dem Cybersecurity Act wurde ein unionsweiter Rechtsrahmen für die Cybersicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen geschaffen.3

351

Ein bestimmter Zertifizierungsstandard oder ein Zertifizierungsverfahren wird durch die Verordnung nicht etabliert, jedoch wird ein Mechanismus eingeführt, mit dem einheitliche europäische Schemata zur Cyberzertifizierung geschaffen werden.4 So hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) im Mai 2021 der Europäischen Kommission, im Anschluss an ein öffentliches Konsultationsverfahren5, ein erstes mögliches Schema für die Cybersicherheitszertifizierung zur Verfügung gestellt.6 Auf Grundlage des ausgearbeiteten Schemas der ENISA kann die Europäische Kommission Durchführungsakte erlassen, in denen das europäische Schema für die Cybersicherheitszertifizierung festgelegt wird, Art. 49 Abs. 7 Satz 1 Cybersecurity Act.

352

Dieser unionsweite Rechtsrahmen führt gem. Art. 57 Abs. 1 Cybersecurity Act zur Unwirksamkeit nationaler Cybersicherheitszertifizierungsverfahren, soweit sie sich auf Produkte, Dienstleistungen oder Prozesse beziehen, die unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen. Nach Erlass entsprechender Durchfüh-

353

1 Deutscher Bundestag, Drucksache 19/26106, S. 87. 2 Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17.4.2019, ABl. L 151/15. 3 Martini in Paal/Pauly, DS-GVO BDSG, Art. 32 Rz. 17a. 4 Deusch/Eggendorfer in Taeger/Pohle, Computerrechts-Handbuch, Teil 50.1 Rz. 345. 5 ENISA, Public Consultation on the draft Candidate EUCC Scheme vom 26.5.2021, abrufbar unter: https://www.enisa.europa.eu/publications/enisa-report-public_consultation-on-thedraft-candidate-eucc-scheme, zuletzt aufgerufen am 29.10.2021. 6 ENISA, Cybersecurity certification, Version 1.1.1 vom 25.5.2021, abrufbar unter: https:// www.enisa.europa.eu/publications/cybersecurity-certification-eucc-candidate-schemev1-1.1, zuletzt aufgerufen am 29.10.2021.

141

2021-11-22, 12:02, HB groß

F. Rz. 353 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

rungsakte durch die Europäische Kommission wird also festzustellen sein, in welchem Umfang das nationale IT-Sicherheitskennzeichen weiter Anwendung finden wird. d) Warnungen und Empfehlungen des BSI an die Öffentlichkeit 354

Gem. § 7 Abs. 2 Satz 1 BSIG ist das BSI berechtigt, zur Erfüllung seiner Aufgaben Warnungen oder Empfehlungen an Hersteller, Vertreiber und Anwender von IT-Produkten und -Systemen auszusprechen. Zu diesem Zweck kann das BSI die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts vor Sicherheitslücken in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen. Es kann über Sicherheitsmaßnahmen sowie über sicherheitsrelevante IT-Eigenschaften von Produkten informieren und den Einsatz bestimmter informationstechnischer Produkte und Dienste empfehlen. Damit wird auch den flächendeckend steigenden Sicherheitsbedrohungen für weit verbreitete Produkte aus dem Consumer-Segment Rechnung getragen, z.B. IoT-Devices wie Router und SmartTV.1

355

Das BSI nimmt die Rolle eines Frühwarnsystems für die Öffentlichkeit wahr: Die von ihm gewonnenen Erkenntnisse im Bereich der IT-Sicherheit werden zum Schutz der betroffenen Kreise genutzt.2 Zum Erkenntnisgewinn über die nationale IT-Sicherheitslage nutzt das BSI maßgeblich die Meldungen betroffener Unternehmen, etwa über Sicherheitslücken in den Produkten eines bestimmten Herstellers.

356

Das Warnrecht des BSI umfasst auch das Recht zur Nennung konkreter Produkt- oder Unternehmensbezeichnungen.3 Herstellern von IT-Produkten und -Systemen droht damit im Falle von Sicherheitslücken über die Warnung betroffener Nutzerkreise ihrer Produkte durch das BSI ein erheblicher Reputationsverlust. Die eigenen IT-Sicherheitsdefizite können damit erhebliche wirtschaftliche Folgen für die betroffenen Hersteller nach sich ziehen (s. Rz. 27 ff.). Aus diesem Grund ist eine möglichst umfassende IT-Sicherheit der eigenen Produkte und Systeme unerlässlich. So besteht positiv gar die Möglichkeit, bei einer effektiven IT-Sicherheitsgestaltung von Software vom BSI empfohlen zu werden, was sich verkaufssteigernd auswirken kann.4 e) Untersuchungsrechte des BSI

357

Das BSI kann gem. § 7a BSIG auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene IT-Produkte und -Systeme auf ihre IT-Sicherheit hin untersuchen. Dieses Untersuchungsrecht wird jedoch dadurch eingeschränkt, dass es nur im Rahmen der Aufgaben des BSI besteht, also wenn eine Untersuchung etwa zur Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes, für

1 2 3 4

Kipker/Scholz, MMR 2019, 431. Leisterer/Schneider, K&R 2015, 681, 683 m.w.N.; Lurz/Scheben/Dolle, BB 2015, 2755, 2758. Leisterer/Schneider, K&R 2015, 681, 683. Terhaag, IT-Sicherheitsgesetz – Auswirkungen, Entwicklung und Materialien für die Praxis, S. 37.

142

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten nach dem BSI-Gesetz | Rz. 360 F.

den Schutz von Verbrauchern oder zur Warnung der Öffentlichkeit erforderlich ist, § 7a Abs. 1 BSIG. Um die Interessen betroffener Hersteller zu schützen, sind die Erkenntnisse, die das BSI bei Untersuchungen gewinnt, bei ihrer Verwendung einer strengen Zweckbindung unterworfen, § 7a Abs. 4 BSIG. So dürfen sie nur zur Erfüllung der Aufgaben des BSI genutzt werden. Zudem besteht eine weitere Einschränkung dieser Untersuchungsbefugnis darin, dass sie kein Untersuchungsrecht bei den Herstellern vor Ort begründet.1 Zur Durchführung von Untersuchungen kommt es auf den Willen der Hersteller allerdings nicht an, da sie auch ohne deren Einverständnis stattfinden können.2

358

Wenngleich nur von sehr mittelbarer Relevanz für die Hersteller von IT-Produkten sei kurz auf die Möglichkeiten des BSI zur Detektion von Sicherheitslücken und Sicherheitsrisiken bei Einrichtungen des Bundes, KRITIS-Betreibern, Unternehmen von besonderem öffentlichen Interesse und Anbietern digitaler Dienste hingewiesen: Eine entsprechende Befugnis des BSI besteht, wenn Tatsachen die Annahme rechtfertigen, dass die informationstechnischen Systeme ungeschützt sind, also wenn in diesen öffentlich bekannte Sicherheitslücken bestehen oder wenn aufgrund sonstiger offensichtlich unzureichender Sicherheitsvorkehrungen unbefugt von Dritten auf die Systeme zugegriffen werden kann, § 7b Abs. 2 BSIG. Die Ermittlung von Sicherheitslücken und Sicherheitsrisiken kann durch Maßnahmen an den Schnittstellen öffentlich erreichbarer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen erfolgen. Des Weiteren können Verfahren eingesetzt werden, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um Informationen über den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten, § 7b Abs. 1, 4 BSIG.3

359

f) Bußgelder Die vorbeschriebenen IT-Sicherheitspflichten der Hersteller sind gem. § 14 BSIG u.a. in folgenden Fällen mit bis zu 20 Mio. Euro4 bußgeldbewährt (zu Festsetzung und Höhe von Bußgeldern s. Rz. 299 f.): – § 14 Abs. 2 Nr. 1 lit. a BSIG: Der Hersteller wirkt entgegen einer vollziehbaren Anordnung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems nicht mit, Bußgeld von bis zu 20 Mio. Euro. – § 14 Abs. 2 Nr. 1 lit. c BSIG: Der Hersteller wirkt entgegen einer vollziehbaren Anordnung nicht an der Beseitigung oder Vermeidung einer Störung mit, Bußgeld von bis zu 500.000 Euro. 1 2 3 4

Gehrmann/Voigt, CR 2017, 93, 97 m.w.N.; Leisterer/Schneider, K&R 2015, 681, 684. Gehrmann/Voigt, CR 2017, 93, 97 m.w.N. Bäcker/Golla in Hornung/Schallbruch, IT-Sicherheitsrecht, § 18 Rz. 44. Gem. § 14 Abs. 5 Satz 1 BSIG beträgt das maximale Bußgeld eigentlich 2 Mio. Euro; durch den Verweis auf § 30 Abs. 2 Satz 3 OWiG verzehnfacht sich das Bußgeld jedoch bei Bußen gegen juristische Personen, vgl. Deutscher Bundestag, Drucksache 19/26106, S. 95.

143

2021-11-22, 12:02, HB groß

360

F. Rz. 360 | Branchenspezifische Regelungen: Vorgaben des BSI-Gesetzes

– § 14 Abs. 2 Nr. 11 BSIG: Der Hersteller verwendet unbefugt das IT-Sicherheitskennzeichen, Bußgeld von bis zu 500.000 Euro. – § 14 Abs. 4 BSIG: Der Hersteller verstößt gegen Informationspflichten aus Art. 55 Abs. 1 oder Art. 56 Abs. 8 Satz 1 Cybersecurity Act (s. Rz. 351), Bußgeld von bis zu 500.000 Euro.

144

2021-11-22, 12:02, HB groß

G. Sonstige branchenspezifische Vorschriften zur IT-Sicherheit I. Vorbemerkung Neben dem BSIG bestehen weitere branchen- und sektorspezifische IT-Sicherheitspflichten. Diese Regelungen gehen den sich aus dem BSIG ergebenden IT-Sicherheitspflichten grundsätzlich als leges speciales vor. So existieren Regelungen u.a. im TTDSG, im TKG, im EnWG, im AtG und im SGB V. Daneben treffen auch Finanzund Versicherungsdienstleister branchenspezifische IT-Sicherheitsvorgaben.

361

II. IT-Sicherheitspflichten von Telemedienanbietern Wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste wurden im Jahr 2015 auf Grundlage des IT-Sicherheitsgesetzes Pflichten für Telemediendiensteanbieter zum Ergreifen technischer und organisatorischer Maßnahmen zum Schutz vor unerlaubten Zugriffen auf personenbezogene Daten sowie zum Schutz vor Störungen ins TMG aufgenommen.1 Die Umsetzung der NIS-Richtlinie in das deutsche Recht führte zwar nicht zu Änderungen des TMG, erlegte aber verschiedenen Telemediendiensteanbietern über § 8c BSIG weitreichende IT-Sicherheitspflichten auf (s. Rz. 323 ff.). Die unzureichende Abstimmung dieser Vorschriften führt dabei zu Schwierigkeiten bei der Bestimmung des einzuhaltenden IT-Sicherheitsstandards (s. auch Rz. 377 ff.). Mit Wirkung zum 1.12.2021 wurden die Vorschriften zu den IT-Sicherheitspflichten von Telemedienanbietern in angepasster Form vom TMG in das TTDSG übertragen. Mit dem TTDSG soll eine geschlossene gesetzliche Regelung zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation und bei Telemedien geschaffen werden, die von den übrigen Bestimmungen des novellierten TMG und des novellierten TKG getrennt ist.2

362

1. Adressaten Das TTDSG regelt die von Anbietern von Telemedien zu beachtenden technischen und organisatorischen Vorkehrungen, § 1 Abs. 1 Nr. 5 TTDSG. Anbieter von Telemedien ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt, § 2 Abs. 2 Nr. 1 TTDSG. Das Vorliegen dieser Voraussetzung ist funktional zu bestimmen: Anbieter ist, wer über den Inhalt und das Bereithalten des Dienstes bestimmen kann, unabhängig davon, wie das Unternehmen die Erbringung des Dienstes realisiert oder wessen Inhalte, Produkte

1 Deutscher Bundestag, Drucksache 18/4096, S. 34. 2 Piltz, CR 2021, 555, 556.

145

2021-11-22, 12:02, HB groß

363

G. Rz. 363 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

oder Werbung im Telemedium angezeigt werden.1 Das TTDSG erfasst neben Unternehmen, die die Dienstleistungen direkt erbringen, auch solche, die an dieser Erbringung mitwirken. Zu den „Mitwirkenden“ zählen neben den Arbeitnehmern des Anbieters als interne Erfüllungsgehilfen auch externe Erfüllungsgehilfen wie Subunternehmer und deren Angestellte.2 364

Unter dem Begriff der „Telemedien“ sind dabei grundsätzlich alle elektronischen Informations- und Kommunikationsdienste zu verstehen, die sich nicht in der Übertragung von Signalen über Telekommunikationsnetze erschöpfen (letztere werden in Bezug auf die IT-Sicherheitspflichten überwiegend durch das TKG reguliert, s. Rz. 384 ff.).3 Es handelt sich demnach um einen Oberbegriff für multimediale Angebote vielfältiger Art.4 Bereits in diesem Zusammenhang kommt es zur Überschneidung mit dem Begriff der „Anbieter digitaler Dienste“ i.S.d. BSIG. Diese sind eine Teilmenge der Telemediendiensteanbieter.

365

Beispiele für Telemedien5: – Websites; – Online-Suchmaschinen; – Online-Shops; – Online-Auktionshäuser; – Werbe-Mails, – Chatrooms; – soziale Netzwerke; – Angebot von Verkehrs-, Wetter-, Umwelt- oder Börsendaten; – Newsgroups; – elektronische Presse; …

2. IT-Sicherheitsstandard 366

Das TTDSG verpflichtet gem. § 19 Abs. 1, 4 TTDSG Anbieter von Telemedien zur Einhaltung eines bestimmten IT-Sicherheitsstandards. Das TTDSG statuiert selbst keine Meldepflichten für Telemediendiensteanbieter im Falle von IT-Sicherheitsvorfällen. Soweit anwendbar, kommen damit die Meldepflichten des BSIG zur subsidiären Anwendung (s. Rz. 277 ff., 334 ff.).

367

§ 19 Abs. 1 TTDSG enthält die zuvor in § 13 Abs. 4 TMG enthaltenen Bestimmungen zur Nutzung von Telemedien.6 Danach haben Anbieter von Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass Nutzer von Tele-

1 Vgl. Gehrmann/Voigt, CR 2017, 93, 94; Müller-Broich in Müller-Broich, Nomos-Kommentar TMG, § 2 Rz. 1 m.w.N. 2 Kiparski, CR 2021, 482, 484. 3 Martini in Gersdorf/Paal, BeckOK-InfoMedienR, 33. Edition, 1.8.2021, § 2 TMG Rz. 6. 4 Martini in Gersdorf/Paal, BeckOK-InfoMedienR, 33. Edition, 1.8.2021, § 1 TMG Rz. 8 m.w.N. 5 Deutscher Bundestag, Drucksache 16/3078, S. 13 f.; Müller-Broich in Müller-Broich, Nomos-Kommentar TMG, § 1 Rz. 6 m.w.N. 6 Deutscher Bundestag, Drucksache 19/27441, S. 37; Piltz, CR 2021, 555, 559.

146

2021-11-22, 12:02, HB groß

II. IT-Sicherheitspflichten von Telemedienanbietern | Rz. 371 G.

medien die Nutzung des Dienstes jederzeit beenden können und Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können. Die Verpflichtung, eine sofortige Beendigung zu ermöglichen, dient dem Schutz des Nutzers vor einer aufgezwungenen Fortführung einer Nutzung, bei der personenbezogene Daten erhoben werden.1 Anbieter von Telemedien haben sicherzustellen, dass Nutzer die Nutzung unabhängig von dem verwendeten Telekommunikationsdienst beenden können. Dabei ist nicht ausreichend, Nutzern nur durch Unterbrechung der Telekommunikation eine Beendigung zu ermöglichen. Meist wird die Beendigungsmöglichkeit softwarebasiert umgesetzt, indem der Nutzer z.B. ein Auswahlfeld zur Beendigung der Nutzung anklicken kann.2

368

Die Beendigung ist jederzeit zu ermöglichen, d.h. auch dann, wenn eine Transaktion (z.B. ein Download oder ein laufender Dialog) schon begonnen hat.3

369

Zur Wahrung der Vertraulichkeit sind Nutzer außerdem davor zu schützen, dass Dritte unbefugt Kenntnis davon erlangen, welche Nutzungen durch den Nutzer vorgenommen werden. Die Vertraulichkeit ist während des gesamten Nutzungsvorgangs zu gewährleisten und erfasst neben den Inhaltsdaten auch die Nutzungs-, Abrechnungs- und Bestandsdaten.4 Bei personalisierten Telemedien darf nur dem berechtigten Nutzer Zugriff gewährt werden, so dass hier in der Regel eine Nutzerauthentifizierung mittels Passwort oder PIN erforderlich ist.5 Bei der Übertragung der Daten kann es erforderlich sein, Verschlüsselungssoftware einzusetzen. Darüber hinaus kann auch die Bereitstellung von sicheren Servern eine geeignete Maßnahme darstellen.6

370

§ 19 Abs. 4 TTDSG begründet darüber hinaus weitergehende IT-sicherheitsrechtliche Pflichten, die jedoch nur auf geschäftsmäßig angebotene Telemedien Anwendung finden. Die Erbringung der Telemediendienste muss danach nachhaltig, also aufgrund einer planmäßigen und dauerhaften Tätigkeit erfolgen.7 Bei einem entgeltlichen Dienst liegt dies regelmäßig vor, so z.B. bei werbefinanzierten Websites.8 Das nichtkommerzielle Angebot von Telemedien durch Private und Idealvereine soll demgegen-

371

1 Vgl. Müller-Broich in Müller-Broich, Nomos-Kommentar TMG, § 13 Rz. 7. 2 Vgl. Jandt/Schaar/Schulz, Beck’scher Kommentar zum Recht der Telemediendienste, § 13 Rn. 99. 3 Vgl. Jandt/Schaar/Schulz, Beck’scher Kommentar zum Recht der Telemediendienste, § 13 Rn. 100. 4 Vgl. Jandt/Schaar/Schulz, Beck’scher Kommentar zum Recht der Telemediendienste, § 13 Rn. 108. 5 Vgl. Müller-Broich in Müller-Broich, Nomos-Kommentar TMG, § 13 Rz. 7; vgl. Jandt/ Schaar/Schulz, Beck’scher Kommentar zum Recht der Telemediendienste, § 13 Rn. 108. 6 Vgl. Müller-Broich in Müller-Broich, Nomos-Kommentar TMG, § 13 Rz. 7. 7 Hinsichtlich der Geschäftsmäßigkeit s. Deutscher Bundestag, Drucksache 19/27441, S. 37; Voigt in von dem Bussche/Voigt, Konzerndatenschutz, Teil 5 Kapitel 3, Rz. 46; Gehrmann/ Voigt, CR 2017, 93, 94 m.w.N. 8 Vgl. Deutscher Bundestag, Drucksache 18/4096, S. 34.

147

2021-11-22, 12:02, HB groß

G. Rz. 371 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

über grundsätzlich nicht von dieser IT-Sicherheitspflicht erfasst sein.1 Da an die Annahme der Geschäftsmäßigkeit jedoch geringe Anforderungen gestellt werden, dürfte gleichwohl auch bei Privaten und Idealvereinen die Geschäftsmäßigkeit häufig zu bejahen sein.2 Letztlich unterfallen demnach lediglich private, unregelmäßige Gelegenheitsdienste nicht dem Pflichtenprogramm des § 19 Abs. 4 TTDSG.3 Damit betrifft er nahezu jeden Telemediendiensteanbieter.4 372

Beispiel zur Auslegung des Merkmals der Geschäftsmäßigkeit: Ein Idealverein betreibt eine Website, mit der er Informationen rund um das Vereinsleben verbreitet. Um die Kosten für die Aufrechterhaltung der Website zu minimieren, werden auf der Website gegen Entgelt Werbebanner Dritter platziert. Grundsätzlich unterfallen Idealvereine nicht der IT-Sicherheitspflicht des § 19 Abs. 4 TTDSG. Allerdings betreibt der Verein hier eine werbefinanzierte Website und generiert auf diese Weise dauerhaft Einnahmen. Weil es sich um einen entgeltlichen Dienst handelt, gelangt § 19 Abs. 4 TTDSG zur Anwendung.

a) Pflichtenumfang 373

Geschäftsmäßige Telemediendiensteanbieter sind gem. § 19 Abs. 4 TTDSG dazu verpflichtet, soweit es technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen: (1) dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist; und (2) dass die Telemedienangebote gegen Störungen gesichert sind, auch, soweit diese Störungen durch äußere Angriffe bedingt sind.

374

Ein wesentliches Ziel der gesetzlichen Pflicht zum Ergreifen von IT-Sicherheitsvorkehrungen ist es, Nutzer der Telemediendienste vor unbemerkten Drive-by-Downloads von Schadsoftware beim Aufrufen entsprechend präparierter Websites zu schützen.5 Dies lässt sich bereits weitgehend durch eine regelmäßige Aktualisierung der für das Telemedienangebot verwendeten Software erreichen.6 Entsprechende Vorkehrungen können insbesondere auch in der Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens sowie – bei personalisierten Telemedien – eines sicheren Verfahrens zur Authentifizierung der Nutzer bestehen.7 Die IT-Sicherheitsvorkehrungen müssen den Stand der Technik berücksichtigen, § 19 Abs. 4 Satz 2 TTDSG.

1 Vgl. Deutscher Bundestag, Drucksache 18/4096, S. 34; vgl. Schmitz in Spindler/Schmitz, TMG, § 13 Rz. 82. 2 Vgl. Gehrmann/Voigt, CR 2017, 93, 94 m.w.N. 3 Vgl. Gehrmann/Voigt, CR 2017, 93, 94 m.w.N. 4 Vgl. Gehrmann/Voigt, CR 2017, 93, 93. 5 Vgl. Deutscher Bundestag, Drucksache 18/4096, S. 34. 6 Vgl. Deutscher Bundestag, Drucksache 18/4096, S. 34. 7 Vgl. Deutscher Bundestag, Drucksache 18/4096, S. 34 f.

148

2021-11-22, 12:02, HB groß

II. IT-Sicherheitspflichten von Telemedienanbietern | Rz. 376 G.

Die Maßnahmen müssen praxistauglich sein und den angestrebten Schutz bestmöglich verwirklichen (s. auch Rz. 265 ff.).1 Durch das Kriterium der Zumutbarkeit wird sichergestellt, dass das Unternehmen nur solche Vorkehrungen treffen muss, die in einem angemessenen Verhältnis zum angestrebten IT-Sicherheitsziel stehen.2 Der Umfang der IT-Sicherheitspflichten ist damit einzelfallabhängig.3 Aus Verhältnismäßigkeitsgründen folgt, dass Telemediendiensteanbieter durch die Sicherungspflichten nicht übermäßig belastet werden dürfen.4 Um den im Einzelfall zumutbaren Umfang der Sicherheitsvorkehrungen zu bestimmen, können folgende Kriterien herangezogen werden:5

375

– Maßnahmenkosten; – Effektivität der Maßnahmen; – Auswirkungen der Maßnahmen auf den angebotenen Dienst, insbesondere auch im Hinblick auf Gefahren bei Unterlassen der Maßnahme; – Wettbewerbssituation, etwa im Hinblick auf die Umsetzung der IT-Sicherheitspflicht durch Mitbewerber; – Folgen der Sicherheitssteigerungen für die Umsatz- und Gewinnspanne sowie sonstige Vorteile; – Möglichkeit der Nutzer zum Selbstschutz; – Alternative Maßnahmen zur Verhinderung von Gefahren. Beispiel für den Pflichtenumfang nach § 19 Abs. 4 TTDSG6: Ein mittelständisches Unternehmen stellt Produkte her und erstellt eine neue Website mit Online-Shop. Kunden können die Produkte dort direkt erwerben und in einem Kundenprofil ihre personenbezogenen Daten zur Abwicklung von Bestellungen hinterlegen. Die Website fällt in den Anwendungsbereich des § 19 Abs. 4 TTDSG. Auf der Grundlage von § 19 Abs. 4 TTDSG muss das Unternehmen mit technischen und organisatorischen Vorkehrungen sicherstellen, dass die Website gegen Störungen gesichert ist. Dafür sind u.a. folgende Maßnahmen empfehlenswert: – Maßnahmen, um die Sicherheit der Kundendaten zu gewährleisten: Dabei kann sich an den Vorgaben des Art. 32 DSGVO orientiert werden (s. Rz. 196 ff.); – Einsatz von Sicherheitssoftware zur Verhinderung von Cyber-Angriffen, Malware etc. (z.B. Firewalls, Virenscanner); – Trennung etwaiger Verbindungen des Online-Shops von Datenbanken (verschiedene Server), um Risiken durch Cyber-Angriffe zu minimieren; – Nutzerauthentifizierung für die Kundenprofile: Zum Schutz der Daten müssen die Profile gegen unberechtigten Zugriff gesichert werden, z.B. durch Benutzernamen und Passwörter, 1 Vgl. Djeffal, MMR 2015, 716, 718. 2 Vgl. Schmitz in Spindler/Schmitz, TMG, § 13 Rz. 97 ff.; Deutscher Bundestag, Drucksache 18/4096, S. 34. 3 Vgl. Deutscher Bundestag, Drucksache 18/4096, S. 34 f. 4 Vgl. Djeffal, MMR 2015, 716, 718. 5 Vgl. Djeffal, MMR 2015, 716, 718 m.w.N. 6 Vgl. Djeffal, MMR 2015, 716, 720 f.

149

2021-11-22, 12:02, HB groß

376

G. Rz. 376 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit die bestimmten Mindestkriterien entsprechen müssen (ggf. Zwei-Faktor-Authentifizierung); – Daten- und Transportverschlüsselung: Account- und Zahlungsdaten sind beim Transport zu verschlüsseln, z.B. über TLS-Protokolle (Transport Layer Security); – Einführung eines Notfallkonzepts im Unternehmen (s. Rz. 683 ff.).

b) Abgrenzung zum BSI-Gesetz 377

Wie bereits einleitend erwähnt, wird es sich bei zahlreichen Anbietern von Telemedien zugleich um „Anbieter digitaler Dienste“ i.S.d. BSIG handeln, so dass diese neben den Vorgaben des TTDSG grundsätzlich auch die IT-Sicherheitsvorgaben des § 8c BSIG einhalten müssen. Damit stellt sich die Frage, welchen IT-Sicherheitsstandard betroffene Unternehmen einhalten müssen und insbesondere, ob sowohl § 19 TTDSG als auch § 8c BSIG parallel Anwendung finden.

378

Grundsätzlich treten die Regelungen des BSIG gegenüber bereichsspezifischem ITSicherheitsrecht zurück (s. Rz. 250 ff.), so dass § 19 Abs. 1, 4 TTDSG Vorrang vor § 8c BSIG haben könnte. § 8c BSIG dient allerdings der Umsetzung der europäischen NIS-Richtlinie, bei der es sich im Vergleich zu den nationalen Regelungen des TTDSG um höherrangiges Recht handelt. Bezüglich Anbietern digitaler Dienste sieht die NIS-Richtlinie eine Vollharmonisierung vor. Nach Art. 16 Abs. 10 NIS-Richtlinie können EU-Mitgliedstaaten den Anbietern digitaler Dienste keine Sicherheits- oder Meldepflichten auferlegen, die über die NIS-Richtlinie hinausgehen. Daraus ergibt sich für betroffene Unternehmen Folgendes: – Sind Telemedienanbieter zugleich Anbieter digitaler Dienste, unterfallen sie wegen des Anwendungsvorrangs des Europarechts ausschließlich den Regelungen des BSIG. § 19 Abs. 1, 4 TTDSG gelangt nicht zur Anwendung. – Alle anderen Telemedienanbieter unterfallen den Regelungen des TTDSG.

379

Kleine Anbieter digitaler Dienste können dennoch in den Anwendungsbereich des § 19 Abs. 1, 4 TTDSG fallen. Die NIS-Richtlinie privilegiert Anbieter digitaler Dienste, bei denen es sich um kleine und Kleinstunternehmen handelt, indem diese nicht den dort vorgesehenen IT-Sicherheitspflichten unterfallen, Art. 16 Abs. 11 NIS-Richtlinie. Damit wollte der europäische Gesetzgeber entsprechende Unternehmen vor der kosten- und ressourcenintensiven Umsetzung rechtskonformer IT-Sicherheitspflichten befreien. Allerdings werden die EU-Mitgliedstaaten nicht daran gehindert, für entsprechende kleine und Kleinstunternehmen anderweitige IT-Sicherheitspflichten vorzusehen.1 Damit dürften diese Kleinunternehmen den IT-Sicherheitspflichten nach § 19 Abs. 1, 4 TTDSG unterfallen. 3. Verletzungsfolgen

380

Stellt der Anbieter von Telemedien vorsätzlich oder fahrlässig nicht sicher, dass der Nutzer einen in § 19 Abs. 1 TTDSG genannten Dienst beenden oder in Anspruch

1 ErwGr. 58 NIS-Richtlinie.

150

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten im Telekommunikationsbereich | Rz. 383 G.

nehmen kann, so handelt er ordnungswidrig und kann mit einem Bußgeld von bis zu 10.000 Euro belegt werden, § 28 Abs. 1 Nr. 10, Abs. 2 TTDSG. Für sonstige Verletzungen der IT-Sicherheitspflichten aus § 19 Abs. 1, 4 TTDSG drohen Unternehmen keine Bußgelder nach dem TTDSG. Daneben besteht das Risiko einer zivilrechtlichen Haftung bei Inanspruchnahme durch Nutzer. Neben einer vertraglichen Haftung der Telemediendienste auf Grundlage der mit den Nutzern geschlossenen Verträgen, kommt auch eine deliktische Haftung nach § 823 Abs. 2 BGB in Betracht. Es dürfte sich bei § 19 Abs. 1, 4 TTDSG nämlich – wie für IT-Sicherheitspflichten nach dem BSIG, TMG und TKG angenommen1 – auch um Schutzgesetze i.S.d. § 823 Abs. 2 BGB (s. Rz. 583 ff.) handeln. & Das Wesentliche in Kürze:

381

382

Unternehmen, die elektronische Informations- und Kommunikationsdienste, die sich nicht in der Übertragung von Signalen über Kommunikationsnetze erschöpfen, erbringen, an der Erbringung mitwirken oder den Zugang zu ihnen vermitteln, unterfallen regelmäßig IT-Sicherheitspflichten aus dem TTDSG. Sie müssen gem. § 19 Abs. 1, 4 TTDSG insbesondere technische und organisatorische Vorkehrungen treffen, um ihre Dienste gegen Störungen und unerlaubten Zugriff durch Dritte zu schützen. Bei Verletzung der Pflichten aus § 19 Abs. 1 TTDSG drohen Geldbußen von bis zu 10.000 Euro, § 28 Abs. 1 Nr. 10, Abs. 2 TTDSG.

III. IT-Sicherheitspflichten im Telekommunikationsbereich Die Telekommunikation wandelte sich in den vergangenen mehr als 100 Jahren von einem staatlichen Sektor zu einem regulierten privatwirtschaftlichen Markt.2 Um leistungsfähige Telekommunikationsinfrastrukturen im Bundesgebiet zu fördern und flächendeckend angemessene und ausreichende Telekommunikationsdienste zu gewährleisten, verpflichtet das TKG in diesem Sektor tätige Unternehmen u.a. zur Einhaltung bestimmter Sicherheitsstandards, vgl. § 1 TKG. Gesetzlich wurden die entsprechenden Vorschriften dabei über die IT-Sicherheitsgesetze, das NIS-UmsetzungsG und das Telekommunikationsmodernisierungsgesetz mit dem BSIG harmonisiert, welches auf Unternehmen aus dem Sektor Informationstechnik und Telekommunikation subsidiär Anwendung findet. Mit Wirkung zum 1.12.2021 wurde das TKG umfassend novelliert und mit Blick auf die Weiterentwicklung der für Kommunikationszwecke genutzten Dienste den technischen Entwicklungen angepasst, u.a. durch Erweiterung des Anwendungsbereichs auf sog. nummernunabhängige interpersonelle Telekommunikationsdienste wie z.B. Messengerdienste.

1 Vgl. Spindler, CR 2016, 297, 306 f.; vgl. Djeffal, MMR 2015, 716, 719; vgl. Roos, MMR 2015, 636, 643. 2 S. die historische Darstellung bei Cornils in Geppert/Schütz, Beck’scher TKG-Kommentar, Einleitung Rz. 1 ff.

151

2021-11-22, 12:02, HB groß

383

G. Rz. 384 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

1. Adressaten 384

Das TKG findet gem. § 1 Abs. 2 TKG auf alle Unternehmen oder Personen Anwendung, die im Geltungsbereich des TKG Telekommunikationsnetze oder -anlagen betreiben oder Telekommunikationsdienste erbringen.

385

Unter Telekommunikationsnetzen ist gem. § 3 Nr. 65 TKG die Gesamtheit von Übertragungssystemen zu verstehen,1 d.h. Vermittlungs- und Übertragungseinrichtungen, die die Telekommunikation durch Übertragung von Signalen ermöglichen.

386

Den Telekommunikationsanlagen unterfallen Einrichtungen, die Signale oder Daten, die als Nachrichten identifizierbar sind, senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können, § 3 Nr. 60 TKG.

387

Telekommunikationsdienste sind gem. § 3 Nr. 61 TKG Dienste, die über Telekommunikationsnetze und in der Regel gegen Entgelt erbracht werden. Folgende Dienste werden hiervon umfasst: Internetzugangsdienste, interpersonelle Telekommunikationsdienste und Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen. Internetzugangsdienste werden in § 3 Nr. 23 TKG, interpersonelle Telekommunikationsdienste in § 3 Nr. 24 TKG näher definiert.

388

Die mit der Novellierung des TKG einhergehende Änderung der Definition der Telekommunikationsdienste ist ihrer Weiterentwicklung und der hierfür genutzten technischen Mittel in den vergangenen Jahren geschuldet. Endnutzer bedienen sich zu Kommunikationszwecken neben herkömmlicher Dienste verstärkt gleichwertiger Online-Dienste, wie Internettelefonie, Messengerdienste und webgestützte E-Mail-Dienste. Da sich die Funktionalität dabei aus Sicht des Endnutzers als gleichwertig darstellt, folgt auch die Definition verstärkt einem funktionalen Ansatz und – anders als bisher – weniger einer technischen Ausrichtung.2 Damit unterfallen nunmehr auch sog. Over-the-Top-Dienste (OTT-Dienste) wie WhatsApp, Facebook Messenger usw. den Telekommunikationsdiensten.3

389

Ausgenommen von der Begriffsbestimmung sind Dienste, die Inhalte über Telekommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben. Dementsprechend fallen bspw. Rundfunkinhalte und Finanzdienste nicht in den Anwendungsbereich.4

390

Weiterhin ist erforderlich, dass die Dienste in der Regel gegen Entgelt erbracht werden. Entgeltlichkeit erfasst neben einer Geldzahlung auch Fälle, in denen die Dienste gegen Offenlegung personenbezogener oder sonstiger Daten zur Verfügung gestellt wer1 Die Begriffsbestimmung des zuvor in § 3 Nr. 27 TKG a.F. definierten „Telekommunikationsnetzes“ wurde in Umsetzung von Art. 2 Nr. 1 Richtlinie (EU) 2018/1972 klarstellend ergänzt und blieb im Übrigen unverändert. 2 Deutscher Bundestag, Drucksache 19/26108, S. 236; vgl. ErwGr. 15 Richtlinie (EU) 2018/ 1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018, ABl. L 321/36. 3 Kiparski, CR 2021, 482, 486. 4 Deutscher Bundestag, Drucksache 19/26108, S. 236; ErwGr. 7 Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018, ABl. L 321/36.

152

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten im Telekommunikationsbereich | Rz. 393 G.

den. Danach ist das Kriterium auch dann erfüllt, wenn der Anbieter eines Dienstes personenbezogene oder sonstige Daten anfordert und der Endnutzer diese Daten dem Anbieter wissentlich auf direkte oder indirekte Weise zur Verfügung stellt. Das Gleiche gilt in Fällen, in denen der Endnutzer Zugang zu Informationen – einschließlich personenbezogener Daten wie z.B. die IP-Adresse oder sonstige automatisch generierte Informationen wie durch Cookies gesammelte und übermittelte Informationen – gewährt, ohne dass er diese aktiv bereitstellt.1 Zuletzt liegt Entgeltlichkeit auch vor, wenn der Diensteanbieter durch Dritte und nicht durch den Diensteempfänger bezahlt wird, z.B. in Fällen, in denen der Endnutzer als Bedingung für den Zugang zu dem Dienst Werbung ausgesetzt ist.2 2. IT-Sicherheitsstandard Wie bereits dargestellt (s. Rz. 362) beabsichtigte der Gesetzgeber mit dem TTDSG eine geschlossene gesetzliche Regelung zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation und bei Telemedien zu schaffen.3 Dazu wurden die Regelungen zum Fernmeldegeheimnis und Datenschutz aus dem TKG a.F. und dem TMG herausgelöst und in das TTDSG überführt.4 Gleichwohl finden sich für Erbringer von Telekommunikationsdiensten in § 165 Abs. 1 Satz 1 TKG die auf den Schutz des Fernmeldegeheimnisses und den Datenschutz gerichteten IT-Sicherheitspflichten.

391

§ 165 Abs. 1 Satz 1 TKG statuiert allgemeine IT-Sicherheitspflichten, die sich an jeden richten, der Telekommunikationsdienste erbringt oder daran mitwirkt. Danach haben die Verpflichteten angemessene technische Vorkehrungen und sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses und gegen die Verletzung des Schutzes personenbezogener Daten zu treffen. Neben dem Anbieter des Dienstes werden auch an der Diensteerbringung Mitwirkende von der Vorschrift erfasst. Hierzu zählen ausweislich der Gesetzesbegründung bspw. Mitarbeiter und Erfüllungsgehilfen.5

392

Gem. § 165 Abs. 2 TKG haben Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste angemessene technische und organisatorische Vorkehrungen und sonstige Maßnahmen zum Schutz der Telekommunikations- und Datenverarbeitungssysteme zu treffen. Dienste und Netze sind öffentlich bzw. öffentlich zugänglich, wenn sie einem unbestimmten Personenkreis zur Verfügung stehen, § 3 Nr. 42, 44 TKG. Die Vorkehrungen müssen gem. § 165 Abs. 2 TKG der Verhinderung von Störungen, die zu erheblichen Beeinträchtigungen der Netze und Dienste führen können, sowie der Beherrschung von Sicherheitsrisiken dienen. Mit Hilfe dieser IT-Sicherheitspflichten soll der hohen Bedeutung der Verfügbarkeit der Dienste und Netze sowie dem gesteigerten techni-

393

1 2 3 4 5

Deutscher Bundestag, Drucksache 19/26108, S. 237. Deutscher Bundestag, Drucksache 19/26108, S. 237. Deutscher Bundestag, Drucksache 19/27441, S. 2; Piltz, CR 2021, 555, 556. Müller-Peltzer/Selz, PinG 2021, 150, 153. Deutscher Bundestag, Drucksache 19/26108, S. 359. Die Vorschrift soll demgegenüber nicht die Hersteller von Netzkomponenten oder von Endgeräten erfassen.

153

2021-11-22, 12:02, HB groß

G. Rz. 393 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

schen Niveau von Cyber-Angriffen Rechnung getragen werden.1 Dabei wird von den Verpflichteten kein umfassender Schutz verlangt. Vielmehr muss erheblichen Beeinträchtigungen vorgebeugt werden. Hierunter fallen solche, bei denen wichtige Funktionen in den Telekommunikationsanlagen nicht mehr oder nur noch fehlerhaft funktionieren würden und die Kommunikation wenigstens in Teilen des Netzes nur noch eingeschränkt möglich wäre.2 394

§ 167 TKG weist der Bundesnetzagentur (BNetzA) die Aufgabe zu, einen Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten zu erstellen. Dieser Sicherheitskatalog bildet die Grundlage für die von den verpflichteten Unternehmen gem. § 166 Abs. 1 Nr. 3 TKG zu erstellenden Sicherheitskonzepte (s. dazu sogleich Rz. 402 sowie Rz. 618 ff.) und zu treffenden technischen Vorkehrungen und Schutzmaßnahmen.3 Bei der Schaffung des Sicherheitskonzepts muss dementsprechend folgenden Bedrohungen Rechnung getragen werden:4 – mittelbare und unmittelbare Einwirkungen auf die Verfügbarkeit der Dienste und Netze, z.B. Stromausfälle, Fehler in der Organisation; – äußere Eingriffe durch Dritte, z.B. Schäden durch Vandalismus, Softwaremanipulation, Hacker; – interne Einflussnahme, z.B. auch fahrlässige Eingriffe durch Mitarbeiter; – erhebliche Zwischenfälle durch Elementarschäden (z.B. Blitzschlag, Feuer, Sturm).

395

Bei den erforderlichen Maßnahmen ist gem. § 165 Abs. 1 Satz 2 bzw. § 165 Abs. 2 Satz 3 TKG für das Schutzniveau der Stand der Technik zu berücksichtigen. Damit muss sich der Sicherheitsstandard dynamisch an sich verändernde technische Möglichkeiten und Risiken anpassen (s. auch Rz. 269). Bei Bestimmung des Pflichtenumfangs ist eine Verhältnismäßigkeitsprüfung vorzunehmen, in deren Rahmen die Unternehmenssituation zu berücksichtigen ist. Bei der Angemessenheit der Maßnahmen können auch Rentabilitäts- und Wirtschaftlichkeitserwägungen eine Rolle

1 Vgl. Roos, MMR 2015, 636, 642; Deutscher Bundestag, Drucksache 18/4096, S. 35 jeweils zur Vorgängervorschrift des § 109 TKG a.F. 2 Vgl. Eckhardt in Geppert/Schütz, Beck’scher TKG-Kommentar, § 109 Rz. 42 m.w.N. 3 Zum auf Grundlage des § 109 Abs. 6 TKG a.F. erlassenen Katalog vgl. BNetzA, Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 TKG, Version 2.0 vom 29.4.2020, abrufbar unter: https://www.bundesnetzagentur.de/Shared Docs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbie terpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/KatalogSicherheitsan forderungen.pdf, zuletzt aufgerufen am 29.10.2021. 4 Vgl. Eckhardt in Geppert/Schütz, Beck’scher TKG-Kommentar, § 109 Rz. 42 m.w.N.; Deutscher Bundestag, Drucksache 18/4096, S. 35.

154

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten im Telekommunikationsbereich | Rz. 399 G.

spielen.1 Gleichermaßen sind auch die Interessen der Allgemeinheit an der Verfügbarkeit der Netze und Dienste zu berücksichtigen.2 Gem. § 165 Abs. 3 Satz 1 TKG kann auch der Einsatz von Angriffserkennungssystemen eine angemessene Maßnahme sein. Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste mit erhöhtem Gefährdungspotential sind verpflichtet, Angriffserkennungssysteme i.S.v. § 2 Abs. 9b BSIG einzusetzen (s. Rz. 272), § 165 Abs. 3 Satz 2 TKG. Wann ein erhöhtes Gefährdungspotential besteht, wird weder im Gesetz noch in der Gesetzesbegründung näher definiert, so dass die Regelung zu Rechtsunsicherheit führt. Einzelheiten kann die Bundesnetzagentur gem. § 165 Abs. 3 Satz 5 TKG im Katalog von Sicherheitsanforderungen (s. hierzu auch Rz. 393) festlegen. Die Vorgaben des § 165 Abs. 3 TKG zu Angriffserkennungssystemen sind spätestens ab dem 1.12.2022 zu erfüllen, § 230 Abs. 12 TKG.

396

§ 165 Abs. 4 TKG normiert für Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial zudem die Pflicht, vor dem erstmaligen Einsatz „Kritischer Komponenten“ i.S.v. § 2 Abs. 13 BSIG diese von einer anerkannten Zertifizierungsstelle überprüfen und zertifizieren zu lassen.

397

Zur Überprüfung der Umsetzung der genannten Anforderungen kann die BNetzA gem. § 165 Abs. 9 TKG anordnen, dass sich Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste einer Überprüfung durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde unterziehen, in der festgestellt wird, ob die vorgenannten IT-Sicherheitsanforderungen erfüllt sind. Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial haben sich alle zwei Jahre einer solchen Überprüfung zu unterziehen.

398

§ 12 Abs. 1 TTDSG enthält eine Datenverarbeitungsbefugnis für Telekommunikationsdienste und -netze (s. Rz. 384 ff.) im Interesse wirksamer Störungsvermeidung. Aufgrund des Bezugs zum Datenschutz wurde die zuvor in § 100 TKG a.F. enthaltene Regelung in das TTDSG überführt. § 12 Abs. 1 TTDSG ermöglicht es – soweit erforderlich – die Bestands- und Verkehrsdaten der Nutzer sowie die Steuerdaten der Datenübertragungsprotokolle zu verarbeiten, um Störungen zu erkennen und zu beseitigen, die zu einer Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikationsund Datenverarbeitungssysteme der Nutzer führen können. Diese Datenverarbeitungsbefugnis umfasst dabei auch das Erkennen potentieller Einschränkungen der Verfügbarkeit der Systeme.3 Die Verarbeitungsbefugnis umfasst etwa Prüfungen des Netzwerkverkehrs, die Verwendung von Fallen für Schadprogramme im Netz (sog. Honeypots) oder das Blockieren der Versendung von Schadprogrammen (sog. Spam-

399

1 Vgl. Schommertz/Gerhardus in Scheurle/Mayen, TKG, § 109 Rz. 9; Eckhardt in Geppert/ Schütz, Beck’scher TKG-Kommentar, § 109 Rz. 46 m.w.N. 2 Vgl. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 86 m.w.N. 3 BGH, Urt. v. 3.7.2014 – III ZR 391/13, NJW 2014, 2500, 2500 ff. = CR 2015, 444.

155

2021-11-22, 12:02, HB groß

G. Rz. 399 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

traps).1 Die vom Unternehmen in diesem Zusammenhang verwendeten Daten sind unverzüglich zu löschen, sobald sie für das Erkennen oder die Beseitigung der Störung nicht mehr erforderlich sind, § 12 Abs. 2 TTDSG. 3. Sicherheitsbeauftragter und Sicherheitskonzept 400

Gem. § 166 Abs. 1 Nr. 1 TKG werden Unternehmen, die öffentliche Telekommunikationsnetze betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen zur Benennung eines sog. Telekommunikationssicherheitsbeauftragten verpflichtet. Das Gesetz trifft dabei allerdings keinerlei Aussagen zur Stellung, zu den erforderlichen Qualifikationen oder zu den Aufgaben eines solchen Beauftragten. Ähnlich wie beim IT-Sicherheitsbeauftragten sollte die Auswahl des Beauftragten allerdings auf Grundlage seiner fachlichen Eignung und beruflichen Qualifikationen erfolgen.2 Die Zuweisung von Aufgaben und unternehmensinternen Weisungsbefugnissen erfolgt durch das Unternehmen. Dabei ist eine Orientierung an den möglichen Aufgaben und Befugnissen eines betrieblichen IT-Sicherheitsbeauftragten denkbar (s. Rz. 639 f.).

401

Darüber hinaus haben betroffene Unternehmen gem. § 166 Abs. 1 Nr. 2 TKG einen in der Europäischen Union ansässigen Ansprechpartner zu benennen.

402

Zur Umsetzung eines angemessenen IT-Sicherheitsstandards haben die Verpflichteten (s. Rz. 384) gem. § 166 Abs. 1 Nr. 3 TKG ein Sicherheitskonzept zu erstellen, aus dem hervorgeht, welches Netz betrieben bzw. welche Dienste erbracht werden, von welchen Gefährdungen auszugehen ist und welche Schutzmaßnahmen getroffen oder geplant sind. Der von der Bundesnetzagentur veröffentlichte Katalog von Sicherheitsanforderungen (s. Rz. 394) bildet die Grundlage für die von den verpflichteten Unternehmen zu erstellenden Sicherheitskonzepte.3 Mit Hilfe des Sicherheitskonzepts soll sich das Unternehmen die sicherheitsrelevante Bedeutung seiner einzelnen IT-Systemkomponenten vergegenwärtigen und entsprechende Schutzmaßnahmen erarbeiten.4 In der Praxis bietet sich ein schrittweises Vorgehen an:5 (1) Beschreibung des betriebenen öffentlichen Telekommunikationsnetzes (a) bzw. der erbrachten öffentlich zugänglichen Telekommunikationsdienste (b)

1 Deutscher Bundestag, Drucksache 18/4096, S. 35. 2 Vgl. Schommertz in Scheurle/Mayen, TKG, § 109 Rz. 12 m.w.N. 3 Zum auf Grundlage des § 109 Abs. 6 TKG a.F. erlassenen Katalog vgl. BNetzA, Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 TKG, Version 2.0 vom 29.4.2020. 4 BNetzA, Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikationsund Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 TKG, Version 2.0 vom 29.4.2020, S. 8 ff. 5 BNetzA, Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikationsund Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 TKG, Version 2.0 vom 29.4.2020, S. 34 ff.

156

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten im Telekommunikationsbereich | Rz. 403 G.

(a) Das Unternehmen erstellt einen Netzstrukturplan, der alle Komponenten seines Netzes und deren interne sowie externe Verbindungen beinhaltet. (b) Alle öffentlichen Telekommunikationsdienste, die vom Unternehmen erbracht werden, sind inhaltlich zu beschreiben. Dabei ist auch auf den jeweiligen Teilnehmerkreis abstrakt einzugehen. (2) Abstrakte Gefährdungsanalyse: Das Unternehmen nimmt eine Schutzbedarfs-, Bedrohungs- und Risikoanalyse vor, die den bereits festgestellten deskriptiven Befund bestimmten Gefährdungslagen (Kritikalitäten) zuordnet. Entscheidend für die Bestimmung einer Kritikalität ist die öffentliche Bedeutung des zu schützenden Telekommunikationsnetzes oder -dienstes. Je nach Teilnehmerzahl und Relevanz für das Gemeinwohl sind öffentliche Telekommunikationsnetze und -dienste sodann den folgenden Kritikalitätsstufen zuzuordnen: Standardkritikalität, gehobene Kritikalität und erhöhte Kritikalität. (3) Konkrete Gefährdungsanalyse: Im Anschluss sind die im Einzelfall tatsächlich betriebenen Komponenten zu ermitteln und je nach Gefährdung zu bewerten. (4) Gesamtprognose: Durch Zusammenwirken der abstrakten und konkreten Gefährdungslagen wird eine Gefährdungsanalyse des Gesamtsystems vorgenommen. Dabei sind auch etwaige Dunkelfelder im Rahmen eines Restrisikos miteinzubeziehen. (5) Festlegung und Beschreibung der technischen Vorkehrungen oder sonstigen Schutzmaßnahmen: Im Anschluss an die Gefährdungsanalyse hat das pflichtige Unternehmen geeignete, erforderliche und angemessene Schutzmaßnahmen auszuwählen und diese zu implementieren. Die Maßnahmen sind immer nach konkretem Einzelfall zu treffen und müssen den Stand der Technik, die Interessenlage und die jeweilige Kritikalitätsstufe berücksichtigen. (6) Sicherheitskonzept erstellen: Daraufhin erstellt das Unternehmen das Sicherheitskonzept als zusammenhängendes Dokument. (7) Sicherheitsbeauftragten benennen: Das Unternehmen benennt einen fachlich geeigneten Sicherheitsbeauftragten, der zugleich der Bundesnetzagentur als Ansprechpartner dient. (8) Vorlage des Sicherheitskonzepts und der Umsetzungserklärung: Mit dem Sicherheitskonzept ist eine Erklärung vorzulegen, dass die jeweiligen Schutzmaßnahmen umgesetzt sind oder unverzüglich umgesetzt werden. (9) Sicherheitskonzept an Veränderungen anpassen: Um einem kontinuierlichen Verbesserungsprozess zu genügen, ist das Sicherheitskonzept regelmäßig auf Schwachstellen zu überprüfen und an aktuelle Entwicklungen anzupassen. Betreibt das Unternehmen ein öffentliches Telekommunikationsnetz, hat es der Bundesnetzagentur unverzüglich nach der Aufnahme des Netzbetriebs das Sicherheitskonzept vorzulegen, § 166 Abs. 2 Satz 1 TKG. Erbringt das Unternehmen öffentlich zugängliche Telekommunikationsdienste, so besteht zwar keine generelle Pflicht zur Vorlage, aber diese kann von der Bundesnetzagentur angeordnet werden, 157

2021-11-22, 12:02, HB groß

403

G. Rz. 403 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

§ 166 Abs. 2 Satz 2 TKG. Dem Sicherheitskonzept ist eine Erklärung beizufügen, dass die im Sicherheitskonzept aufgezeigten Vorkehrungen umgesetzt wurden oder unverzüglich umgesetzt werden, § 166 Abs. 3 TKG. Auch Änderungen des Sicherheitskonzepts sind der Bundesnetzagentur von betroffenen Unternehmen vorzulegen, § 166 Abs. 4 Satz 2 TKG. Wurde der Bundesnetzagentur ein Sicherheitskonzept vorgelegt, so findet mindestens alle zwei Jahre eine Überprüfung der Umsetzung des Sicherheitskonzepts durch die Bundesnetzagentur statt, § 166 Abs. 5 TKG. Stellt die Bundesnetzagentur Mängel im Sicherheitskonzept oder in dessen Umsetzung fest, kann sie deren unverzügliche Beseitigung anordnen, § 166 Abs. 4 Satz 1 TKG. 4. Meldepflichten 404

a) Meldepflichten zu Sicherheitsvorfällen nach § 168 Abs. 1 TKG Gem. § 168 Abs. 1 Satz 1 TKG haben Unternehmen, die öffentliche Telekommunikationsnetze betreiben oder -dienste erbringen, der Bundesnetzagentur und dem BSI unverzüglich (s. zur Meldefrist Rz. 286 f.) Sicherheitsvorfälle mit beträchtlichen Auswirkungen auf den Betrieb der Netze oder die Erbringung der Dienste mitzuteilen. Die Einzelheiten der Mitteilung und des Verfahrens werden durch die Bundesnetzagentur festgelegt, § 168 Abs. 4 Satz 1 TKG. aa) Meldepflichtige Ereignisse

405

Sicherheitsvorfälle sind gem. § 3 Nr. 53 TKG Ereignisse mit nachteiliger Wirkung auf die Sicherheit von Telekommunikationsnetzen oder -diensten. Damit sind auch alle negativen, vom Anbieter nicht gewollten Auswirkungen auf die IT-Systeme, Komponenten und Prozesse potentiell meldepflichtige Ereignisse. Zu denken ist dabei etwa an Denial-of-Service-Attacken oder den Missbrauch einzelner Server oder Anschlüsse, etwa zum Errichten und Betreiben eines Botnetzes.1 Damit entsprechende Vorfälle eine Meldepflicht auslösen, müssen sie zumindest das Potential zur Auslösung „beträchtlicher“ Sicherheitsverletzungen bergen. Gem. § 168 Abs. 2 TKG ist der konkrete Gefährdungsgrad insbesondere anhand folgender Kriterien zu bestimmen: – Zahl der von dem Sicherheitsvorfall betroffenen Nutzer; – Dauer des Sicherheitsvorfalls; – geographische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets; – Ausmaß der Beeinträchtigung des Telekommunikationsnetzes oder -dienstes; – Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.

406

Neben den nicht abschließend aufgezählten Kriterien wird ergänzend bzw. konkretisierend auf die zur Vorgängerregelung von § 168 Abs. 1 TKG durch die Bundesnetz-

1 OLG Köln, Urt. v. 14.12.2015 – 12 U 16/13, ZD 2016, 175, 176 = CR 2016, 369; Deutscher Bundestag, Drucksache 18/4096, S. 36.

158

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten im Telekommunikationsbereich | Rz. 409 G.

agentur erlassene Mitteilung1 zurückgegriffen werden können. Danach hat beim Vorliegen eines der nachfolgenden Fälle eine Meldung zu erfolgen: – Betroffene Teilnehmerstunden: Eine beträchtliche Sicherheitsverletzung kann sich aus dem Produkt der Anzahl der betroffenen Teilnehmer und der Dauer der Leistungsminderung in Stunden ergeben. Maßgeblich ist dafür, in welchem Zeitintervall vom Eintritt bis zur Behebung der Störung die Integrität, Vertraulichkeit, Authentizität oder Verfügbarkeit des Telekommunikations-Anschlusses (Festnetz/ Mobil) für den Nutzer nicht gegeben ist. Überschreitet das Produkt der Multiplikation von Teilnehmerstunden und Betroffenen dabei den Grenzwert von einer Million, ist von einer beträchtlichen Sicherheitsverletzung auszugehen. – Auswirkungen auf die internationale Zusammenschaltung: Ist der Zugang zu Telekommunikationsnetzen, die die Kommunikation im oder zwischen Unternehmen gewährleistet oder die Inanspruchnahme von Telekommunikationsdiensten anderer Unternehmen ermöglicht, gestört, kann von einer beträchtlichen Sicherheitsverletzung ausgegangen werden. Dies bezieht sich jedoch lediglich auf Zusammenschaltungspunkte mit internationaler Zielrichtung. – Auswirkungen auf den Notruf: Verletzungen im Bereich der Hard- und/oder Software, die zur Notruflenkung benötigt werden oder zum Anschluss einer Notrufabfragestelle, sind stets beträchtlich. Dies umfasst jedoch nicht Störungen bzgl. der Funktionalität der zur Kommunikation genutzten Endgeräte. Das Unternehmen sollte auch zusätzliche Kriterien zur Beurteilung von Sicherheitsvorfällen heranziehen, etwa die Auswirkungen auf sensible Versorgungs- und Dienstsegmente.

407

bb) Inhalt und Form der Meldung Gem. § 168 Abs. 3 TKG hat die Mitteilung die folgenden Angaben zu enthalten:

408

– Angaben zu dem Sicherheitsvorfall; – Angaben zu den Kriterien, die nach § 168 Abs. 2 TKG das Ausmaß der Auswirkungen bestimmen (s. Rz. 405); – Angaben zu den betroffenen Systemen; sowie – Angaben zu der vermuteten oder tatsächlichen Ursache. Das Meldeverfahren nach § 168 TKG folgt weitestgehend demjenigen nach dem BSIG (s. Rz. 277 ff.). So sollten auch Telekommunikationsdienstleister eine Meldung in

1 BNetzA, Mitteilung nach § 109 Abs. 5 TKG – Umsetzungskonzept Version 4.0 vom 1.3.2013, S. 9, abrufbar unter: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachge biete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicher heit/mitteilungeinersicherheitsverletzung/Umsetzungskonzept_%C2%A7_109_(5)_TKG_Mit teilung_Sicherheitsverletzung.pdf, zuletzt aufgerufen am 29.10.2021.

159

2021-11-22, 12:02, HB groß

409

G. Rz. 409 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

mehreren Schritten vornehmen. Zunächst sollte eine unverzügliche Kurzmitteilung per E-Mail oder Fax an die Bundesnetzagentur und das BSI erfolgen. 410

Die vollständige Meldung des Vorfalls erfolgt dann zu einem späteren Zeitpunkt in Textform. Soweit verfügbar sollten Formblätter der zuständigen Behörden genutzt werden, um die erforderlichen Informationen bereitzustellen.1 Zudem kann die Bundesnetzagentur einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen auf Seiten des Unternehmens verlangen, § 168 Abs. 4 Satz 2 TKG. cc) Benachrichtigung der Öffentlichkeit

411

Gelangt die Bundesnetzagentur im Rahmen einer erhaltenen Meldung zu dem Schluss, dass die Bekanntgabe einer Sicherheitsverletzung im öffentlichen Interesse liegt, so kann sie die Öffentlichkeit über den Vorfall unterrichten oder das meldende Unternehmen zu einer entsprechenden Unterrichtung der Öffentlichkeit auffordern, § 168 Abs. 5 Satz 2 TKG. Bezüglich etwaiger Benachrichtigungen der Öffentlichkeit hat die Bundesnetzagentur das Gebot der Verhältnismäßigkeit zu berücksichtigen. Ausgehend davon dürfte eine entsprechende Veröffentlichung nur bei besonders gravierenden Sicherheitsverletzungen mit potentiellen Auswirkungen auf die Verfügbarkeit und Integrität der Telekommunikations-Dienstleistungen insgesamt in Betracht kommen.2

412

Eine Informationspflicht von Betreibern öffentlicher Telekommunikationsnetze und Erbringern öffentlich zugänglicher Telekommunikationsdienste gegenüber den potentiell betroffenen Nutzern ergibt sich aus § 168 Abs. 6 TKG, soweit eine besondere und erhebliche Gefahr besteht. Die potentiell betroffenen Nutzer müssen über alle möglichen Schutz- und Abhilfemaßnahmen informiert werden. b) Datenschutzrechtliche Meldepflichten gem. § 169 TKG

413

Wie bereits dargestellt (s. Rz. 169 ff.), sieht auch das TKG bereichsspezifisches Datenschutzrecht mit IT-Sicherheitsbezug vor. Da § 169 TKG als maßgebliche Vorschrift IT-Sicherheitszielen sowie der Umsetzung der ePrivacy-Richtlinie dient, ist die Norm auch neben der DSGVO anwendbar.3 Die daraus resultierenden IT-Sicherheitspflichten treffen Unternehmen, die öffentliche Telekommunikationsnetze betreiben oder -dienste erbringen und dienen dem Schutz personenbezogener Daten 1 Mitteilungsformular zu § 109 Abs. 5 TKG a.F. vom 26.3.2013, abrufbar unter: https://www. bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unter nehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/mitteilungeinersicher heitsverletzung/Mitteilungsformular_%C2%A7_109_(5)_TKG.pdf, zuletzt aufgerufen am 29.10.2021. 2 Schneider, Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, S. 539 m.w.N. 3 Die Vorschrift dient der Umsetzung von Art. 4 Abs. 3 ePrivacy-Richtlinie. Vgl. auch Schneider, Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, S. 291 f.

160

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten im Telekommunikationsbereich | Rz. 416 G.

(s. Rz. 177). Zu diesem Zweck treffen Anbieter von Telekommunikationsdienstleistungen im Falle von Datenschutzverletzungen bestimmte Benachrichtigungs- und Dokumentationspflichten, die sich grundsätzlich mit den Regelungen des allgemeinen Datenschutzrechts vergleichen lassen (s. Rz. 213 ff.). So gibt die Bundesnetzagentur vor, dass ein meldepflichtiger Vorfall innerhalb von 24 Stunden nach Feststellung der Datenschutzverletzung gemeldet werden muss.1 aa) Benachrichtigungspflichten bei Datenschutzverletzungen § 169 Abs. 1 TKG regelt eine abgestufte Informationspflicht im Falle von Datenschutzverletzungen, die den Regelungen des allgemeinen Datenschutzrechts folgt (s. Rz. 221 ff.):

414

– Zunächst besteht eine Pflicht zur unverzüglichen Information nur gegenüber den Behörden (BNetzA und BfDI). – Soweit anzunehmen ist, dass durch die Verletzung des Schutzes personenbezogener Daten Endnutzer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, sind zusätzlich die betroffenen Personen unverzüglich zu benachrichtigen. Dies ist dann der Fall, wenn in der Verletzung der personenbezogenen Daten eine Beeinträchtigung der Privatsphäre liegt.2 Zu einer solchen Benachrichtigung kann der Anbieter des Telekommunikationsdienstes von den Behörden verpflichtet werden. Die Benachrichtigungspflichten entfallen, wenn das Unternehmen über sein Sicherheitskonzept (s. Rz. 402 f.) nachgewiesen hat, dass die von der Verletzung betroffenen Daten durch geeignete technische Vorkehrungen gesichert wurden, § 169 Abs. 1 Satz 3 TKG. Das diesbezügliche Einschätzungsrisiko trägt das Unternehmen, so dass aufgrund des bestehenden Haftungsrisikos zumindest gegenüber den Behörden ein niederschwelliges Benachrichtigungsverhalten verfolgt werden sollte.

415

bb) Dokumentationspflichten bei Datenschutzverletzungen Zusätzlich zu den Benachrichtigungspflichten sind Datenschutzverletzungen gem. § 169 Abs. 3 TKG in einem Verzeichnis zu dokumentieren. Diese Dokumentationspflicht sichert die Meldepflicht ab, indem sie die Aufsichtsbehörden in die Lage versetzen soll, die erstatteten Meldungen mit den tatsächlich eingetretenen Datenpannen abzugleichen.3 Dokumentiert werden müssen die Umstände der Verletzungen, deren Auswirkungen sowie die ergriffenen Abhilfemaßnahmen, § 169 Abs. 3 TKG.

1 BNetzA, Leitlinien zur Melde- bzw. Benachrichtigungspflicht nach § 109a TKG, S. 1 f., abrufbar unter: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Te lekommunikation/Unternehmen_Institutionen/Anbieterpflichten/Datenschutz/Leitlinien. pdf, zuletzt aufgerufen am 29.10.2021. 2 Bundesrat, Drucksache 129/11, S. 147. 3 Vgl. Eckhardt in Spindler/Schuster, Recht der elektronischen Medien, § 109a TKG Rz. 16.

161

2021-11-22, 12:02, HB groß

416

G. Rz. 417 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

c) Informationspflicht bei von Nutzern ausgehenden Beeinträchtigungen 417

Werden Anbietern des Telekommunikationsdienstes Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so haben sie die Nutzer, soweit ihnen diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen, § 169 Abs. 4 TKG. Diese Information soll Nutzer in die Lage versetzen, selbst Maßnahmen gegen die auf ihren Systemen vorhandene Schadsoftware zu ergreifen.1 Soweit es für die Anbieter technisch möglich und zumutbar ist, sind Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen sie diese Störungen erkennen und beseitigen können, § 169 Abs. 4 Satz 2 TKG.2 Die Verpflichtung, den Nutzer zu benachrichtigen, kann auch entstehen, wenn das BSI den Anbieter des Telekommunikationsdienstes über konkrete erhebliche Gefahren informiert, die von Datenverarbeitungssystemen der Nutzer ausgehen oder diese betreffen, § 169 Abs. 5 Satz 1 TKG. Anders als bei Störungen nach § 169 Abs. 4 TKG handelt es sich bei Gefahren nach § 169 Abs. 5 TKG aus Sicht des Anbieters nicht zwingend um ein negatives Abweichen vom Betriebszustand des Anbieters. Zu diesen Gefahren zählen insbesondere der Betrieb von sog. Botnetzen, die in besonderem Maß auch eine Gefahr für Netze des Bundes und Kritische Infrastrukturen darstellen.3

418

Beispiel für eine vom Nutzer ausgehende Beeinträchtigung4: Das System eines Nutzers wurde mit Malware infiziert und wird als Teil eines Botnetzes zur Ausführung von Distributed Denial of Service (DDoS)-Attacken missbraucht.

419

Nicht erforderlich ist eine individuelle Untersuchung der Technik oder eine individuelle Beratung der Nutzer durch den Anbieter, um geeignete Maßnahmen vorzuschlagen.5 Vielmehr sollte auf praxisübliche und einfach bedienbare Sicherheitswerkzeuge hingewiesen werden.6 5. Verletzungsfolgen

420

Bei Verstößen gegen das TKG droht Unternehmen neben Bußgeldern auch eine Inanspruchnahme auf Schadensersatz oder Unterlassung auf Grundlage des TKG sowie allgemeiner zivilrechtlicher Haftungsgrundlagen. a) Bußgelder

421

Die vorbeschriebenen IT-Sicherheitspflichten sind auf Grundlage der Bußgeldvorschrift des § 228 TKG als Ordnungswidrigkeiten u.a. wie folgt bußgeldbewährt: – § 228 Abs. 2 Nr. 3 lit. c TKG: Das Unternehmen handelt einer vollziehbaren Anordnung zuwider, durch welche es zur Vorlage des Sicherheitskonzepts entspre1 Vgl. Gerhardus in Scheurle/Mayen, TKG, § 109a Rz. 14 f.; Deutscher Bundestag, Drucksache 18/4096, S. 36. 2 Vgl. Roos, MMR 2015, 636, 642. 3 Deutscher Bundestag, Drucksache 19/26108, S. 363. 4 Deutscher Bundestag, Drucksache 19/26108, S. 363. 5 Deutscher Bundestag, Drucksache 19/26108, S. 363. 6 Deutscher Bundestag, Drucksache 19/26108, S. 363.

162

2021-11-22, 12:02, HB groß

III. IT-Sicherheitspflichten im Telekommunikationsbereich | Rz. 423 G.

chend § 166 Abs. 2 Satz 2 TKG oder zur Beseitigung von Sicherheitsmängeln i.S.d. § 166 Abs. 4 Satz 1 TKG verpflichtet wird. Es droht eine Geldbuße von bis zu 100.000 Euro, § 228 Abs. 7 Nr. 4 TKG. – § 228 Abs. 2 Nr. 38 TKG: Das Unternehmen legt entgegen § 166 Abs. 2 Satz 1 oder Abs. 4 Satz 2 TKG ein Sicherheitskonzept nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vor. Es droht eine Geldbuße von bis zu 300.000 Euro, § 228 Abs. 7 Nr. 3 TKG. – § 228 Abs. 2 Nr. 39 TKG: Das Unternehmen macht entgegen § 168 Abs.1 Satz 1 TKG eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig. Es droht eine Geldbuße von bis zu 300.000 Euro, § 228 Abs. 7 Nr. 3 TKG. – § 228 Abs. 2 Nr. 40 TKG: Das Unternehmen nimmt entgegen § 169 Abs. 1 Satz 1 oder 2 oder Abs. 5 Satz 1 TKG eine Benachrichtigung über eine Datenschutzverletzung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vor. Es droht eine Geldbuße von bis zu 100.000 Euro, § 228 Abs. 7 Nr. 4 TKG. – § 228 Abs. 2 Nr. 41 TKG: Das Unternehmen führt entgegen § 169 Abs. 3 Satz 1 TKG das dort genannte Verzeichnis über Datenschutzverletzungen nicht, nicht richtig oder nicht vollständig. Es droht eine Geldbuße von bis zu 10.000 Euro, § 228 Abs. 7 Nr. 6 TKG. Die zuständige Bußgeldbehörde ist die Bundesnetzagentur, § 228 Abs. 9 TKG. Die Ordnungswidrigkeit kann grundsätzlich vorsätzlich oder fahrlässig begangen werden. Das TKG selbst unterscheidet hinsichtlich der Bußgeldbeträge nicht zwischen vorsätzlichen und fahrlässigen Verletzungen der IT-Sicherheitspflichten. Aus § 17 Abs. 2 OWiG ergibt sich jedoch, dass im Falle fahrlässiger Verletzungen die Geldbuße jeweils maximal die Hälfte des zulässigen Höchstbetrags erreichen darf.1 Die Bundesnetzagentur kann darüber hinaus gem. § 208 TKG die Abschöpfung des wirtschaftlichen Vorteils anordnen und dem Unternehmen die Zahlung eines entsprechenden Geldbetrages auferlegen, sofern der wirtschaftliche Vorteil nicht durch Schadensersatzleistungen oder durch die Verhängung von Bußgeldern oder die Anordnung der Einziehung von Taterträgen ausgeglichen ist.2

422

b) Schadensersatz und Unterlassung Neben Bußgeldern treffen Anbieter von öffentlich zugänglichen Telekommunikationsdiensten bei IT-Sicherheitsdefiziten zusätzlich zivilrechtliche Haftungsrisiken. Gem. § 69 TKG sind Anbieter, die gegen die Bestimmungen des TKG und damit auch die IT-Sicherheitspflichten aus dem TKG verstoßen, den betroffenen Endnutzern und Wettbewerbern, die durch den Verstoß beeinträchtigt wurden, zur Beseitigung und zur Unterlassung verpflichtet.3 Fällt dem Anbieter darüber hinaus Vorsatz oder Fahrlässigkeit zur Last, ist er den Betroffenen auch zum Ersatz des Schadens ver1 Graf in Graf, BeckOK-StPO, 40. Ed. 1.7.2021, § 149 TKG Rz. 35 f. 2 Graf in Graf, BeckOK-StPO, 40. Ed. 1.7.2021, § 149 TKG Rz. 37. 3 Deutscher Bundestag, Drucksache 19/26108, S. 298; Sodtalbers in Spindler/Schuster, Recht der elektronischen Medien, § 44 Rz. 4 ff.

163

2021-11-22, 12:02, HB groß

423

G. Rz. 423 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

pflichtet, der ihnen aus einem IT-Sicherheitsverstoß entstanden ist. Inhalt und Umfang des Schadensersatzanspruches richten sich dabei nach den allgemeinen Grundsätzen der §§ 249 ff. BGB (s. Rz. 554). Damit sind zu Schaden gekommene Endnutzer oder Wettbewerber so zu stellen, wie sie ohne das schädigende Ereignis stehen würden.1 Die Vorschrift dient lediglich der Klarstellung zivilrechtlicher Haftungspflichten und ist nicht abschließend, so dass auch allgemeine Haftungsnormen als Anspruchsgrundlage dienen können.2 Besonders eine Inanspruchnahme auf Schadensersatz durch Kunden kommt regelmäßig in Betracht. Die Grundlage dafür bildet neben Verträgen mit Kunden (s. Rz. 544 ff.) auch das Deliktsrecht. So handelt es sich etwa bei § 165 TKG um ein Schutzgesetz i.S.d. § 823 Abs. 2 BGB (s. Rz. 583 ff.). 424

Im Hinblick auf Vermögensschäden oder die Zahlung einer Entschädigung gegenüber Endnutzern sieht § 70 TKG eine Haftungsbegrenzung zugunsten der Telekommunikationsdienstleister vor. So ist die Ersatzpflicht je Endnutzer auf maximal 12.500 Euro begrenzt und bei mehreren betroffenen Endnutzern insgesamt auf eine Summe von höchstens 30 Mio. Euro. Die Gesamthaftungsgrenze soll Unternehmen vor den ansonsten kaum abschätzbaren wirtschaftlichen Folgen von IT-Sicherheitsvorfällen schützen.3 Die Haftungsbegrenzung findet in Fällen vorsätzlichen und grob fahrlässigen Verhaltens keine Anwendung, § 70 Satz 4 TKG.4 Die Haftungsbegrenzung findet ebenfalls keine Anwendung auf Personenschäden oder auf Folgeschäden aus Sach- und Personenschäden.5

425

§ 70 Satz 5 TKG ermöglicht zusätzlich die einzelvertragliche Vereinbarung von weitergehenden Haftungsbeschränkungen gegenüber Endnutzern, die keine Verbraucher sind. Diese Regelungsmöglichkeit spielt daher nur im B2B-Bereich eine Rolle. So sind in der Praxis vielfach Gestaltungen anzutreffen, bei denen sich die Haftungshöchstgrenze für alle fahrlässig verursachten Schäden innerhalb eines Vertragsjahres an der jährlichen Auftragssumme und für einzelne Schadensfälle an einem Bruchteil davon orientiert, sowie Vereinbarungen von Haftungsausschlüssen oder -höchstgrenzen für bestimmte Schadensarten oder -positionen.6

426

& Das Wesentliche in Kürze: Das TKG findet gem. § 1 Abs. 2 TKG grundsätzlich Anwendung auf Unternehmen oder Personen, die Telekommunikationsnetze oder -anlagen betreiben oder Telekommunikationsdienste erbringen, sowie auf die weiteren nach dem TKG Berechtigten und Verpflichteten.

1 Vgl. Ditscheid/Rudloff in Geppert/Schütz, Beck’scher TKG-Kommentar, § 44 Rz. 47. 2 Vgl. Schadow in Scheurle/Mayen, TKG, § 44 Rz. 1; Sodtalbers in Spindler/Schuster, Recht der elektronischen Medien, § 44 TKG Rz. 1. 3 Vgl. Ditscheid/Rudloff in Geppert/Schütz, Beck’scher TKG-Kommentar, § 44a Rz. 9; Nacimiento/Bornhofen, K&R 2003, 440, 444. 4 Vgl. Spindler, CR 2016, 297, 307 m.w.N. 5 Vgl. Deutscher Bundestag, Drucksache 15/5213, S. 21; Deutscher Bundestag, Drucksache 16/2581, S. 24; Ditscheid/Rudloff in Geppert/Schütz, Beck’scher TKG-Kommentar, § 44a Rz. 8. 6 Vgl. Giebel/Malten, MMR 2014, 302, 306 m.w.N.

164

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten von Energieversorgern | Rz. 429 G. Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste müssen insbesondere folgende IT-Sicherheitspflichten erfüllen: – Ergreifen angemessener organisatorischer und technischer Vorkehrungen, § 165 Abs. 1, 2 TKG: – Benennung eines IT-Sicherheitsbeauftragten und Vorlage eines IT-Sicherheitskonzepts, § 166 TKG; – Mitteilung meldepflichtiger Sicherheitsvorfälle gegenüber Bundesnetzagentur und dem BSI, § 168 TKG; – Unverzügliche Benachrichtigung der Bundesnetzagentur und des Bundesbeauftragten für den Datenschutz und Informationsfreiheit über Verletzungen des Schutzes personenbezogener Daten, § 169 Abs. 1 TKG; – Unverzügliche Benachrichtigung des Nutzers bei von seinen Datenverarbeitungssystemen ausgehenden Störungen, § 169 Abs. 4 TKG; – Führung eines Verzeichnisses über Verletzungen des Schutzes personenbezogener Daten, § 169 Abs. 3 TKG.

IV. IT-Sicherheitspflichten von Energieversorgern Auch das EnWG trifft Regelungen zur IT-Sicherheit der Betreiber von Energieversorgungsnetzen und -anlagen. Dies lässt sich auf die Bedeutsamkeit der Energieversorgung für die Gesellschaft und die wichtige Rolle der IT für die Gewährleistung der Versorgung zurückführen. Vor Augen führen lässt sich dies etwa durch einen Hackerangriff auf ein Kraftwerk in der Ukraine, der dafür sorgte, dass im Dezember 2015 700.000 ukrainische Haushalte für Stunden nicht mit Elektrizität versorgt waren.1

427

1. Adressaten Den IT-Sicherheitspflichten aus dem EnWG unterliegen Betreiber von Energieversorgungsnetzen i.S.d. § 3 Nr. 4 und 16 EnWG sowie Betreiber von Energieanlagen i.S.d. § 3 Nr. 15 EnWG. Bei Ersteren handelt es sich um Unternehmen, die Gas-, Elektrizitäts-, Wasserstoff- oder Übertragungsnetze betreiben (vgl. § 3 Nr. 2, 7, 10 und 10b EnWG). Letztere sind Unternehmen, die Anlagen zur Erzeugung, Speicherung, Fortleitung oder Abgabe von Energie betreiben. Beide unterfallen als KRITISBetreiber grundsätzlich auch den Pflichten des BSIG (s. Rz. 253 ff.), die jedoch angesichts der bereichsspezifischen Regelungen des EnWG zurücktreten.

428

2. IT-Sicherheitsstandard Unternehmen, die Gas-, Elektrizitäts-, Wasserstoff- oder Übertragungsnetze betreiben, sowie Betreiber von Energieanlagen müssen gem. § 11 Abs. 1a bzw. 1b EnWG angemessene Schutzvorkehrungen aufrechterhalten. Dadurch soll ein ange1 Frankfurter Allgemeine Zeitung, Die Hackerdämmerung, abrufbar unter: http://www.faz. net/aktuell/wissen/physik-mehr/ukrainischer-stromausfall-war-ein-hacker-angriff-140 05472.html, zuletzt aufgerufen am 29.10.2021

165

2021-11-22, 12:02, HB groß

429

G. Rz. 429 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

messener Schutz der Anlagen erreicht werden, die für einen sicheren Netzbetrieb notwendig sind. Gesetzlich wird dabei zwischen den Pflichten der Betreiber von Energieversorgungsnetzen und von Energieanlagen differenziert. So legt die Bundesnetzagentur zusammen mit dem BSI Sicherheitsstandards für die jeweils betroffenen Unternehmen fest, § 11 Abs. 1a Satz 2, Abs. 1b Satz 2 EnWG. Daraus ergeben sich nicht zu unterschätzende praktische Vorteile: Während die Bestimmung eines angemessenen Schutzniveaus etwa auf Grundlage von BSIG und TTDSG aufgrund der erforderlichen Einzelfallprüfung praktische Schwierigkeiten bereiten kann (s. etwa Rz. 265 ff.), konkretisiert der jeweilige Katalog der Sicherheitsanforderungen, welche IT-Sicherheitsmaßnahmen zu ergreifen sind. a) Betreiber von Energieversorgungsnetzen 430

Gem. § 11 Abs. 1a EnWG umfasst der Betrieb von sicheren Energieversorgungsnetzen insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Ein angemessener Schutz liegt vor, wenn der Katalog der Sicherheitsanforderungen von Bundesnetzagentur und BSI eingehalten und dies vom Betreiber dokumentiert worden ist, § 11 Abs. 1a Satz 4 EnWG.1 Der Sicherheitskatalog für Betreiber von Energieversorgungsnetzen wurde bereits 2015 herausgeben und konkretisiert die Mindest-IT-Sicherheitsstandards.2 Die Kernforderungen dieses Sicherheitskatalogs 1a (2015) sind:3 – der sichere Betrieb der Telekommunikations- und EDV-Systeme zur Netzsteuerung; – die Einführung eines Informationssicherheits-Managementsystems gem. ISO/IEC 27001 (s. Rz. 643 ff.): Während die Einführung eines solchen Systems für Unternehmen anderer Sektoren aufgrund ihrer IT-Compliance-Pflichten im Einzelfall erforderlich werden kann, bildet es für die Betreiber von Energieversorgungsnetzen stets eine Notwendigkeit; – die entsprechende Zertifizierung des Unternehmens nach ISO/IEC 27001; – die Anwendung eines kontinuierlichen Verbesserungsprozesses; – die Erstellung eines Netzstrukturplans mit allen IT-Komponenten; und – die Benennung eines IT-Sicherheitsbeauftragten, der u.a. der Bundesnetzagentur Informationen zu den unternehmensinternen IT-Sicherheitsmaßnahmen liefern kann.

1 Guckelberger in Hornung/Schallbruch, IT-Sicherheitsrecht, § 23 Rz. 9. 2 König in Säcker, Berliner Kommentar zum Energierecht, Band 1 Kapitel 2 § 11 Rz. 90; BNetzA, IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG vom 12.8.2015, abrufbar unter: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unter nehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskatalog_082015.pdf, zuletzt aufgerufen am 29.10.2021. 3 BNetzA, IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG vom 12.8.2015, S. 3.

166

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten von Energieversorgern | Rz. 434 G.

Den Sicherheitsanforderungen müssen alle zentralen und dezentralen Anwendungen, Systeme und Komponenten entsprechen, die für einen sicheren Netzbetrieb notwendig sind.1 Dies umfasst alle Telekommunikations- und EDV-Systeme des Unternehmens, die direkt Teil der Netzsteuerung sind, und solche Systeme im Netz, deren Ausfall darüber hinaus die Sicherheit des Netzbetriebs gefährden könnte (z.B. Messeinrichtungen an Trafostationen).2

431

Die Einführung des Informationssicherheits-Managementsystems gewährleistet einen ganzheitlichen IT-Sicherheitsansatz im Unternehmen. Einzelmaßnahmen, wie der Einsatz von Virenprogrammen und Firewalls, könnten die Sicherheit der Energieversorgungsnetze nicht ausreichend gewährleisten.3 Der maßgebliche Standard ISO/ IEC 27001 sieht für eine umfassende Sicherheitslösung nicht nur allgemeine Sicherheitsvorgaben vor, sondern über die Norm ISO/IEC TR 27019 auch konkrete Vorgaben für den Energieversorgungssektor.4

432

Praxishinweis zu den IT-Sicherheitsvorgaben beim Outsourcing: Auch wenn ein Netzbetreiber die Anwendungen, Systeme und Komponenten, die den Sicherheitsanforderungen des Sicherheitskatalogs 1a (2015) entsprechen müssen, im Wege des Outsourcings auslagert, entbindet ihn dies nicht von seinen Pflichten nach § 11 Abs. 1a, 1d und 1e EnWG (s. zu Abs. 1d und 1e unten Rz. 437). Vielmehr muss der Netzbetreiber dann im Wege vertraglicher Vereinbarungen sicherstellen, dass der beauftragte Dienstleister die Sicherheitsanforderungen des Katalogs der Bundesnetzagentur einhält.

433

b) Betreiber von Energieanlagen Gem. § 11 Abs. 1b EnWG trifft auch Betreiber von Energieanlagen, sofern diese KRITIS-Betreiber i.S.d. BSIG sind (s. Rz. 255 ff.), eine dem § 11 Abs. 1a EnWG entsprechende IT-Sicherheitspflicht. Hintergrund der Regelung ist, dass eine umfassende Absicherung der Energieversorgung nur über eine Abstimmung der Sicherheitsstandards für Netzbetreiber und die betroffenen Energieanlagen gewährleistet werden kann, da diese technisch eng miteinander verbunden sind.5 Betroffene Unternehmen müssen einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind, § 11 Abs. 1b Satz 1 EnWG. Der entsprechende Nachweis erfolgt wie bei den Betreibern von Energieversorgungsnetzen über die Einhaltung eines von der Bundesnetzagentur im Benehmen mit dem BSI veröffentlichten IT-Sicherheitskatalogs.6

1 BNetzA, IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG vom 12.8.2015, S. 6. 2 Beucher/Fromageau/Ehlen in Kipker, Cybersecurity, Kapitel 12 Rz. 115; BNetzA, IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG vom 12.8.2015, S. 6. 3 BNetzA, IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG vom 12.8.2015, S. 8. 4 Guckelberger in Hornung/Schallbruch, IT-Sicherheitsrecht, § 23 Rz. 16 ff.; BNetzA, IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG vom 12.8.2015, S. 10. 5 Deutscher Bundestag, Drucksache 18/4096, S. 33. 6 König in Säcker, Berliner Kommentar zum Energierecht, Band 1 Kapitel 2 § 11 Rz. 99; BNetzA, IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG aus Dezember 2018, abrufbar unter: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Ener

167

2021-11-22, 12:02, HB groß

434

G. Rz. 435 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit 435

Die Anforderungen des IT-Sicherheitskatalogs 1b (2018) ähneln den Anforderungen des IT-Sicherheitskatalogs 1a (2015), der für Betreiber von Energieversorgungsnetzen erlassen wurde. In beiden werden die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit verfolgt.1 Darüber hinaus werden im IT-Sicherheitskatalog 1b (2018) besondere Schutzziele je nach Anlagenkategorie formuliert. Insbesondere sind Energieanlagen jederzeit so zu betreiben, dass von ihnen keine Gefährdung für den sicheren Netzbetrieb ausgeht. Auch werden besondere Anforderungen für die nach § 11 Abs. 1b EnWG miterfassten Erzeugungs- und Speicheranlagen einerseits sowie Gasförderanlagen und Gasspeicher andererseits aufgestellt.2

436

Um die genannten Schutzziele zu erreichen, müssen Betreiber von Energieanlagen die folgenden Sicherheitsanforderungen erfüllen:3 – Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach Maßgabe der ISO/IEC 27001 und unter Berücksichtigung der ISO/IEC 27002 und ISO/IEC 27019 (Sicherheitskategorien und Maßnahmen). – Die IT-Systeme müssen jederzeit ordnungsgemäß betrieben werden. – Es muss ein Prozess zur Risikoeinschätzung der Informationssicherheit festgelegt werden. – Aufgrund der Risikoeinschätzung sind entsprechende Maßnahmen zu ergreifen (Risikobehandlung). – Benennung eines Ansprechpartners für IT-Sicherheit. – Zertifizierung der Konformität des ISMS mit den Anforderungen des IT-Sicherheitskatalogs 1b (2018). c) Systeme zur Angriffserkennung

437

Zusätzlich zu den vorgenannten IT-Sicherheitspflichten sind KRITIS-Betreiber aus dem Sektor Energie dazu verpflichtet, bis spätestens 1.5.2023 in angemessener Weise Systeme zur Angriffserkennung einzusetzen, § 11 Abs. 1d EnWG. Die Pflicht wurde analog zu § 8a Abs. 1a BSIG eingeführt und ist inhaltlich identisch (s. hierzu Rz. 272). Zudem sind die Betreiber verpflichtet, die Erfüllung der Anforderungen nach § 11 Abs. 1d EnWG gegenüber dem BSI nachzuweisen, § 11 Abs. 1e EnWG. Die Pflicht deckt sich weitestgehend mit § 8a Abs. 3 BSIG (s. hierzu Rz. 276).4

1 2 3 4

gie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskata log_2018.pdf, zuletzt aufgerufen am 29.10.2021. Guckelberger in Hornung/Schallbruch, IT-Sicherheitsrecht, § 23 Rz. 22 ff.; BNetzA, IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG aus Dezember 2018, S. 5. König in Säcker, Berliner Kommentar zum Energierecht, Band 1 Kapitel 2 § 11 Rz. 94 ff.; BNetzA, IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG aus Dezember 2018, S. 6 ff. BNetzA, IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG aus Dezember 2018, S. 12 ff. Keppeler in Ritter, Kommentar zum IT-Sicherheitsgesetz 2.0 (im Erscheinen), § 11 EnWG Rz. 805.

168

2021-11-22, 12:02, HB groß

IV. IT-Sicherheitspflichten von Energieversorgern | Rz. 442 G.

3. Meldepflichten § 11 Abs. 1c EnWG schafft für KRITIS-Betreiber aus dem Sektor Energie eine spezialgesetzliche Meldepflicht, die die allgemeine Meldepflicht nach § 8b Abs. 4 BSIG verdrängt, aber mit dieser weitestgehend wortgleich ist. Aus diesem Grund kann auf die Ausführungen zur Meldepflicht nach dem BSIG verwiesen werden (s. Rz. 277 ff.). Zur Kommunikation mit dem BSI muss von den betroffenen Unternehmen eine jederzeit erreichbare Kontaktstelle eingerichtet werden, vgl. § 11 Abs. 1c Satz 1 a.E. EnWG.

438

Praxishinweis zur Benennung einer Kontaktstelle1: Das BSI empfiehlt als Kontaktstelle ein Funktionspostfach, um eine Erreichbarkeit von 24 Stunden an sieben Tagen pro Woche sicherzustellen.

439

Nach § 11 Abs. 1c EnWG sind dem BSI unverzüglich erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse zu melden, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben. Inhalt und Anforderungen an die Meldung entsprechen grundsätzlich denen aus der allgemeinen Meldepflicht nach § 8b Abs. 4 BSIG.2 So ermöglicht § 11 Abs. 1c Satz 3 EnWG auch für Energieunternehmen die Möglichkeit einer pseudonymen Meldung (s. Rz. 288 ff.).

440

4. Verletzungsfolgen Bis zur Verabschiedung des NIS-UmsetzungsG sah das EnWG keine Sanktionsregelungen für Verstöße gegen die vorbeschriebenen IT-Sicherheitspflichten vor. Diese normative Lücke wurde mit Art. 3 NIS-UmsetzungsG geschlossen. So sind gem. § 95 Abs. 1 Nr. 2a, 2b i.V.m. Abs. 2 Satz 1 a.E. EnWG folgende Verstöße mit bis zu 100.000 Euro bußgeldbewährt:

441

– Ein Unternehmen hält den Katalog von Sicherheitsanforderungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ein (s. Rz. 429 ff.); – ein Unternehmen nimmt eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vor (s. Rz. 438 f.). & Das Wesentliche in Kürze:

442

Unternehmen, die Gas-, Elektrizitäts-, Wasserstoff-, Übertragungsnetze oder Energieanlagen betreiben, unterfallen IT-Sicherheitspflichten auf Grundlage des EnWG. Diese Unternehmen müssen insbesondere folgende gem. § 95 EnWG mit bis zu 100.000 Euro bußgeldbewährte IT-Sicherheitspflichten erfüllen:

1 Vgl. BSI, Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz (IT-SiG), abrufbar unter: https://mip.bsi.bund.de/registermain, zuletzt abgerufen am 14.10.2021. 2 Guckelberger in Hornung/Schallbruch, IT-Sicherheitsrecht, § 23 Rz. 29; vgl. auch Deutscher Bundestag, Drucksache 18/4096, S. 33.

169

2021-11-22, 12:02, HB groß

G. Rz. 442 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit – Einhaltung von IT-Sicherheitsanforderungen im Einklang mit einem von Bundesnetzagentur und BSI herausgegebenen Katalog: für Betreiber von Energieversorgungsnetzen (§ 11 Abs. 1a EnWG) und für Betreiber von Energieanlagen (§ 11 Abs. 1b EnWG); – unverzügliche Meldung erheblicher Störungen durch KRITIS-Betreiber aus dem Sektor Energie an das BSI (§ 11 Abs. 1c EnWG). Zur Kommunikation mit dem BSI haben betroffene Unternehmen gem. § 11 Abs. 1c Satz 1 EnWG eine jederzeit erreichbare Kontaktstelle einzurichten.

V. IT-Sicherheitspflichten im Atomenergiebereich 443

Die friedliche Nutzung von Kernenergie zu Versorgungszwecken birgt naturgemäß ein hohes Gefahrenpotential. So können systembedingte Reaktorausfälle zu gravierenden Folgen für Mensch und Umwelt führen. Zum Schutz der Bevölkerung treffen die Betreiber kerntechnischer Anlagen daher verstärkte IT-Sicherheitspflichten. Diese bereichsspezifischen Regelungen sind dabei nicht nur gegenüber dem BSIG, sondern gem. § 11 Abs. 1b Satz 3 EnWG auch gegenüber dem EnWG vorrangig. 1. Adressaten

444

Dem Anwendungsbereich des Atomgesetzes (AtG) unterfallen Unternehmen, die auf folgende Art und Weise tätig sind: – als Genehmigungsinhaber zur Aufbewahrung von Kernbrennstoffen (§ 6 AtG); – als Errichter, Betreiber oder Inhaber ortsfester Anlagen zur Erzeugung, Bearbeitung, Verarbeitung oder Spaltung von Kernbrennstoffen oder zur Aufarbeitung bestrahlter Kernbrennstoffe (§ 7 AtG); – Unternehmen, die Kernbrennstoffe außerhalb der ortsfesten Anlagen i.S.d. § 7 AtG bearbeiten, verarbeiten oder anders verwenden (§ 9 AtG).

445

Nicht dem Anwendungsbereich des AtG unterfallen Transportunternehmen, die radioaktive Stoffe befördern.1 2. IT-Sicherheitsstandard

446

Es gehört zur Kernaufgabe der vom Anwendungsbereich des AtG erfassten Unternehmen, das Leben, die Gesundheit und Sachgüter vor den Gefahren der Kernenergie und der schädlichen Wirkung ionisierter Strahlen zu schützen, § 1 Nr. 2 AtG. Ausgehend davon, dass entsprechende Unternehmen ihre Tätigkeiten IT-gebunden ausüben, erscheint es auf den ersten Blick umso bemerkenswerter, dass im AtG Vorgaben zu einem einheitlichen IT-Sicherheitsstandard fehlen. Dies lässt sich jedoch systematisch mit dem verpflichtenden Genehmigungsverfahren nach dem AtG erklären.2 1 Terhaag, IT-Sicherheitsgesetz, S. 66. 2 Wimmer/Mechler in Gabel/Heinrich/Kiefner, Rechtshandbuch Cyber-Security, Kapitel 5 Rz. 34.

170

2021-11-22, 12:02, HB groß

V. IT-Sicherheitspflichten im Atomenergiebereich | Rz. 448 G.

So kommt ein Tätigwerden im Anwendungsbereich des AtG nur in Betracht, wenn das Unternehmen erfolgreich ein Genehmigungsverfahren durchläuft. Voraussetzung für eine Genehmigung sind u.a. angemessene IT-Sicherheitsvorkehrungen nach dem Stand von Wissenschaft und Technik (vgl. § 6 Abs. 2 Nr. 2, § 7 Abs. 2 Nr. 3 und § 9 Abs. 2 Nr. 3 AtG).1 Darüber hinaus sind die Betreiber durch die Sicherheitsanforderungen an Kernkraftwerke (KKWSichAnf) bereits verpflichtet, ein Sicherheitskonzept zu erstellen, in welchem technische und organisatorische Sicherheitsvorkehrungen festgelegt werden.2 Somit wird bereits im Vorfeld des Tätigwerdens betroffener Unternehmen sichergestellt, dass diese ab Inbetriebnahme der entsprechenden Anlagen oder Aufnahme entsprechender Tätigkeiten ausreichende Sicherheitsstandards im Hinblick auf ihre IT-Infrastruktur gewährleisten. 3. Meldepflichten Neben den für eine Genehmigung nach dem AtG erforderlichen IT-Sicherheitsmaßnahmen werden Unternehmen durch das IT-SiG gem. § 44b AtG zur Meldung sicherheitsrelevanter Vorfälle verpflichtet. Danach sind Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einer Gefährdung oder Störung der nuklearen Sicherheit der betroffenen kerntechnischen Anlage oder Tätigkeit führen können oder bereits geführt haben, unverzüglich an das BSI zu melden. Die bereichsspezifische Regelung ist inhaltlich nah an § 8b Abs. 4 BSIG angelehnt, so dass weitestgehend auf die diesbezüglichen Ausführungen verwiesen werden kann (s. Rz. 277 ff.), weist jedoch einen wesentlichen Unterschied auf: Meldepflichtige Ereignisse sind nicht nur „erhebliche Störungen“, sondern bereits jegliche „Beeinträchtigungen“. Dabei handelt es sich grundsätzlich um alle negativen, vom Unternehmen nicht gewollten Auswirkungen auf die IT-Systeme, Komponenten und Prozesse.3 Damit ist der Anwendungsbereich der Meldepflicht im Vergleich zum BSIG erheblich erweitert. Dies lässt sich mit dem hohen Gefahrenpotential beim Einsatz von und Umgang mit Kernenergie erklären.4 Voraussetzung der Meldepflicht ist jedoch, dass die Beeinträchtigung zumindest potentiell zu einer Gefährdung der nuklearen Sicherheit führen kann.

447

4. Verletzungsfolgen Das AtG sieht keine Sanktionen bei Verstößen gegen die Meldepflicht vor. Unter Berücksichtigung des hohen Gefahrpotentials beim Umgang mit Kernenergie und der Pflicht der EU-Mitgliedstaaten aus Art. 21 NIS-Richtlinie, wirksame, angemessene und abschreckende Sanktionen für Verstöße zu schaffen, ist die Europarechtskonformität dieser Regelungslücke zweifelhaft.5 Eine sachliche Rechtfertigung für die Un1 Gehrmann/Voigt, CR 2017, 93, 96. 2 Gehrmann/Voigt, CR 2017, 93, 96. 3 Mann in Hennenhöfer/Mann/Pelzer/Sellner, Atomgesetz/PÜ, § 44b AtG Rz. 3; Schneider, Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, S. 497. 4 Roos, MMR 2015, 636, 643. 5 Gehrmann/Voigt, CR 2017, 93, 96.

171

2021-11-22, 12:02, HB groß

448

G. Rz. 448 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

gleichbehandlung gegenüber den anderen Adressaten des IT-SiG ist jedenfalls nicht ersichtlich. Allerdings steht der analogen Anwendung von Bußgeldvorschriften etwa aus dem BSIG das strafrechtliche Analogieverbot entgegen. Somit müssen atomrechtliche Genehmigungsinhaber nach derzeitiger Rechtslage keine Bußgelder bei Verstößen gegen die Meldepflicht fürchten.1 449

& Das Wesentliche in Kürze: Unternehmen, die Kernbrennstoffe aufbewahren oder innerhalb oder außerhalb ortsfester Anlagen verwenden, unterliegen IT-Sicherheitspflichten auf Grundlage des AtG. Voraussetzung für die erforderliche Genehmigung zum Umgang mit Kernbrennstoffen ist der Nachweis angemessener IT-Sicherheitsvorkehrungen nach dem Stand von Wissenschaft und Technik (§ 6 Abs. 2 Nr. 2, § 7 Abs. 2 Nr. 3, § 9 Abs. 2 Nr. 3 AtG). Zudem besteht eine Pflicht zur unverzüglichen Meldung von Beeinträchtigungen der IT, die zu einer Gefährdung oder Störung der nuklearen Sicherheit der betroffenen kerntechnischen Anlage oder Tätigkeit führen können oder geführt haben, an das BSI (§ 44b AtG). Das AtG sieht keine Sanktionen für Verstöße gegen die Meldepflicht vor.

VI. IT-Sicherheitspflichten im Gesundheitswesen 450

Die Funktionsfähigkeit des Gesundheitswesens hängt, wie so viele Teile unserer Gesellschaft, in starkem Maße von der Verfügbarkeit von IT-Systemen ab.2 Dieses Abhängigkeitsverhältnis wurde durch die Einführung der elektronischen Gesundheitskarte (eGK), der elektronischen Patientenakte (ePA) und der elektronischen Arbeitsunfähigkeitsbescheinigungen (eAU) noch verstärkt. Um die Funktionsfähigkeit des Gesundheitswesens umfassend zu gewährleisten, wurden die Infrastrukturen rund um die Gesundheitskarte und einige weitere Dienstleistungen bereits mit dem NISUmsetzungsG spezifischen IT-Sicherheitsvorgaben nach dem SGB V unterworfen.3 Sie unterfallen demnach nicht den subsidiären KRITIS-Regelungen des BSIG zum Sektor Gesundheit.

451

Um der rasanten technischen Entwicklung und dem aufgrund der SARS-CoV-2-Pandemie gestiegenen Bedarf einer Digitalisierung des Gesundheitswesens gerecht zu werden,4 wurde der Ausbau des elektronischen Gesundheitswesens durch gesetzliche Maßnahmen, wie dem Digitale-Versorgung-Gesetz (DVG), dem PatientendatenSchutz-Gesetz (PDSG) sowie dem Digitale-Versorgung-und-Pflege-Modernisierungs-

1 Mann in Hennenhöfer/Mann/Pelzer/Sellner, Atomgesetz/PÜ, § 44b AtG Rz. 11; Roos, MMR 2015, 636, 644; Terhaag, IT-Sicherheitsgesetz – Auswirkungen, Entwicklung und Materialien für die Praxis, S. 67. 2 Köhler, GesR 2017, 145, 145. 3 Köhler, GesR 2017, 145, 147 f. 4 Heckmann in Heckmann/Paschke, jurisPK-Internetrecht, Kapitel 5 Rz. 147.

172

2021-11-22, 12:02, HB groß

VI. IT-Sicherheitspflichten im Gesundheitswesen | Rz. 455 G.

Gesetz (DVPMG) weiter vorangetrieben.1 Hierdurch wurden u.a. IT-Sicherheitspflichten für Krankenhäuser unterhalb der Schwelle der BSI-KritisV, für Arzt- und Psychotherapeutenpraxen sowie für digitale Gesundheitsanwendungen (DiGAs) und digitale Pflegeanwendungen (DiPAs) im SGB V bzw. SGB XI eingeführt. Neben gesetzlichen IT-Sicherheitsverpflichtungen im SGB V und dem BSIG bezweckt auch das Krankenhauszukunftsgesetz (KHZG), in dessen Rahmen der Bund drei Milliarden Euro für eine modernere und bessere investive Ausstattung der Krankenhäuser zur Verfügung gestellt hat, eine Beschleunigung des Ausbaus der digitalen Infrastruktur und die Erhöhung des Informationssicherheitsstandards in Krankenhäusern. Nach dem KHZG sind u.a. Maßnahmen zur Verbesserung der IT-Sicherheit von Krankenhäusern förderungsfähig, § 11 Abs. 1 Nr. 4 lit. a KHSFV.2 Darüber hinaus sind 15 % der von Krankenhäusern beantragten Fördermittel zur Verbesserung der Informationssicherheit einzusetzen, § 14a Abs. 3 KHSFV.

452

1. IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung Der mit dem Digitale-Versorgung-Gesetz eingeführte § 75b SGB V statuiert eine ITSicherheitspflicht für alle Arzt- und Psychotherapeutenpraxen. Auf Grundlage des § 75b Abs. 1 SGB V hat die Kassenärztliche Bundesvereinigung (KBV) – u.a. im Einvernehmen mit dem BSI sowie im Benehmen mit dem BfDI – eine IT-Sicherheitsrichtlinie erlassen, in der konkrete Vorgaben an Praxen zur Gewährleistung der ITSicherheit aufgelistet werden, die bis Juli 2022 schrittweise umzusetzen sind.3 Die Richtlinie ist unabhängig von der Zugehörigkeit zu einer kassen(zahn)ärztlichen Vereinigung für alle an der vertrags(zahn)ärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich, § 75b Abs. 4 Satz 1 SGB V.4

453

Die Richtlinie unterscheidet zwischen kleinen, mittleren und großen Praxen sowie Einrichtungen mit medizinischen Großgeräten wie CT und MRT und erlegt Praxen je nach Größe und Ausstattung die Pflicht auf, bestimmte IT-Sicherheitsvorkehrungen zu treffen. Um Praxen auf den Umstieg auf die elektronische Patientenakte (ePA) und elektronische Arbeitsunfähigkeitsbescheinigungen (eAU) vorzubereiten, waren zahlreiche Anforderungen bereits im April 2021 umzusetzen.

454

Gem. § 75b Abs. 4 Satz 2 SGB V ist die Richtlinie nicht anzuwenden auf die vertragsärztliche und vertragszahnärztliche Versorgung im Krankenhaus, soweit dort bereits

455

1 BMG, Glossar E-Health-Gesetz, abrufbar unter: https://www.bundesgesundheitsministe rium.de/service/begriffe-von-a-z/e/e-health-gesetz.html, zuletzt aufgerufen am 29.10.2021. 2 Stollmann/Halbe, MedR 2021, 785, 785. 3 Kassenärztliche Bundesvereinigung, Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit, Stand 16.12.2020, abrufbar unter: https://www.kbv. de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistung_IT-Sicherheit.pdf, zuletzt aufgerufen am 29.10.2021. 4 Wendtland in BeckOK-SozR, 61. Ed. 1.6.2021, § 75b SGB V Rz. 6; Hesral in jurisPK-SGB V, § 75b Rz. 13.

173

2021-11-22, 12:02, HB groß

G. Rz. 455 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

angemessene Vorkehrungen (z.B. nach § 8a Abs. 1 BSIG oder durch Umsetzung entsprechender branchenspezifischer Sicherheitsstandards) getroffen werden. 2. IT-Sicherheitspflichten für Krankenhäuser 456

Mit dem durch das Patientendaten-Schutz-Gesetz eingeführten § 75c SGB V werden auch kleinere Krankenhäuser, die nicht schon den Pflichten des BSIG unterliegen, verpflichtet, einen angemessenen Standard in der IT-Sicherheit zu gewährleisten. Krankenhäuser, die nach § 8a BSIG als Betreiber Kritischer Infrastrukturen gelten (s. Rz. 255 ff.), insbesondere, weil sie den Schwellenwert von 30.000 vollstationären Fällen im Jahr erreichen (vgl. § 2 Abs. 10 BSIG i.V.m. § 6 und Anhang 5 Teil 3 BSIKritisV) und damit bereits die IT-Sicherheitspflichten nach dem BSIG einzuhalten haben, werden durch § 75c Abs. 3 SGB V vom Anwendungsbereich ausgenommen.

457

§ 75c Abs. 1 SGB V definiert die Kriterien für den einzuhaltenden IT-Sicherheitsstandard. Danach sind Krankenhäuser ab dem 1.1.2022 verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

458

Gem. § 75c Abs. 1 Satz 1 SGB V sind nur angemessene Vorkehrungen zu treffen. Nach § 75c Abs. 1 Satz 2 SGB V sind Vorkehrungen dann angemessen, wenn der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Krankenhäuser können demnach ein abgestuftes System von Vorkehrungen vorsehen. So sind bspw. an Vorkehrungen zur Vermeidung eines vollständigen Funktionsausfalles strengere Anforderungen zu stellen als an solche, die dem Schutz personenbezogener Daten, die nicht durch Art. 9 DSGVO besonders geschützt sind, dienen.1

459

Nach § 75c Abs. 1 Satz 3 SGB V sind die informationstechnischen Systeme spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

460

§ 75c Abs. 2 SGB V ermöglicht die Erfüllung der Verpflichtung durch Anwendung eines qualifizierten branchenspezifischen Sicherheitsstandards, dessen Eignung vom BSI nach § 8a Abs. 2 BSIG festgestellt wurde. Dazu zählen derzeit die branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus der Deutschen Krankenhausgesellschaft vom 18.12.2018.2 Da branchenspezifische Sicherheitsstandards stets in der jeweils gültigen Fassung angewendet werden müssen, kann 1 Wendtland in BeckOK-SozR, 61. Ed. 1.6.2021, § 75c SGB V Rz. 5. 2 Deutsche Krankenhausgesellschaft, Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus, abrufbar unter: https://www.dkgev.de/fileadmin/de fault/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT-Sicherheit_und_techni scher_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2018_12_18_532_ITSiG_Kri tis_B3S_Einreichung_BSI.pdf, zuletzt aufgerufen am 29.10.2021.

174

2021-11-22, 12:02, HB groß

VI. IT-Sicherheitspflichten im Gesundheitswesen | Rz. 462 G.

bei wesentlichen Änderungen des Standards eine Anpassung auch über den in § 75c Abs. 1 Satz 3 SGB V geforderten Zweijahresrhythmus hinaus notwendig sein.1 3. IT-Sicherheitspflichten in der Telematikinfrastruktur a) Adressaten Die §§ 306 ff. SGB V treffen Regelungen zur Telematikinfrastruktur. Die §§ 329 ff. SGB V statuieren dabei zentrale IT-Sicherheitspflichten. Danach unterliegen folgende Adressaten dem Anwendungsbereich der IT-Sicherheitspflichten:

461

– Gesellschaft für Telematik (gematik GmbH): Sie hat u.a. die Aufgabe zur Schaffung einer Telematikinfrastruktur. Dies umfasst die Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts. Überdies ist die Gesellschaft für die Zulassung entsprechender Komponenten und Dienste zuständig. So soll sichergestellt werden, dass diese nicht nur funktionsfähig, interoperabel und sicher sind, sondern auch die datenschutzrechtlichen Vorgaben erfüllen. – Anbieter von Komponenten oder Diensten der Telematikinfrastruktur: Dabei handelt es sich um Unternehmen, die von der Gesellschaft für Telematik für den Betrieb von Komponenten und Systemen der Telematikinfrastruktur zugelassen wurden. – Betreiber von Diensten, die die Telematikinfrastruktur für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwenden (§ 327 Abs. 1 SGB V): Dabei handelt es sich um Unternehmen, die die Telematikinfrastruktur für ihre eigenen Gesundheitsdienste nutzen – etwa für Verfahren zum Austausch von Daten zwischen Terminservicestellen.2 b) IT-Sicherheitsstandard Um die Sicherheit der Telematikinfrastruktur zu gewährleisten, müssen Unternehmen, die diese Infrastruktur nutzen oder betreiben, bestimmte technische und organisatorische IT-Sicherheitsvorgaben erfüllen. Zur Gewährleistung dieser Vorgaben nimmt die Gesellschaft für Telematik eine Schlüsselposition ein. Sie entwickelt und trifft organisatorische und technische Maßnahmen, die zur Schaffung und Aufrechterhaltung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich sind, § 311 Abs. 1 SGB V. Die Durchsetzung dieser Vorgaben erfolgt im Rahmen eines Zulassungsverfahrens: Unternehmen, die Dienste der Telematikinfrastruktur betreiben möchten oder diese für eigene Dienste nutzen möchten, bedürfen einer Zulassung durch die Gesellschaft für Telematik, § 311 Abs. 1 Nr. 4, § 325 SGB V. Im Rahmen dieses Verfahrens müssen Unternehmen einen Nachweis der Sicherheit ihrer Komponenten und Systeme anhand der Vorgaben des BSI erbringen, § 325 Abs. 3 SGB V.3 Für weitere Anwendungen ohne die Nutzung der elek-

1 Wendtland in BeckOK-SozR, 61. Ed. 1.6.2021, § 75c SGB V Rz. 7. 2 Deutscher Bundestag, Drucksache 19/18793, S. 107. 3 Gehrmann/Voigt, CR 2017, 93, 97.

175

2021-11-22, 12:02, HB groß

462

G. Rz. 462 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

tronischen Gesundheitskarte gilt nach § 327 Abs. 1, Abs. 2, Abs. 3 Satz 1 SGB V im Rahmen des Bestätigungsverfahrens Entsprechendes. 463

Gehen Gefahren für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur von Komponenten und Diensten aus, ist die Gesellschaft für Telematik gem. § 329 Abs. 1 SGB V verpflichtet, unverzüglich die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahren zu treffen.

464

Darüber hinaus kann die Gesellschaft für Telematik gem. § 329 Abs. 3 Satz 1 SGB V zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden. Zudem ermöglicht es § 329 Abs. 3 Satz 2 SGB V der Gesellschaft für Telematik, Anbietern, die eine Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Abs. 6 sowie § 325 SGB V oder eine Bestätigung nach § 327 SGB V besitzen, zur Beseitigung oder Vermeidung von Störungen verbindliche Anweisungen zu erteilen. c) Meldepflichten

465

Unternehmen, die die Telematikinfrastruktur betreiben oder nutzen, treffen nach § 329 Abs. 2 SGB V Meldepflichten. Danach haben sie erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Dienste unverzüglich an die Gesellschaft für Telematik zu melden, welche gem. § 329 Abs. 4 SGB V die ihr gemeldeten Störungen dem BSI zu melden hat. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Dienste oder der Telematikinfrastruktur führen können oder bereits geführt haben, § 329 Abs. 2 Satz 2 SGB V. Inhalt und Umfang der Meldepflicht entsprechen damit im Wesentlichen den Voraussetzungen des § 8b Abs. 4 BSIG, so dass auf die diesbezüglichen Ausführungen verwiesen werden kann (s. Rz. 277 ff.). d) Verletzungsfolgen

466

Verstöße gegen die vorbeschriebenen IT-Sicherheitspflichten sind nach § 397 SGB V mit bis zu 300.000 Euro bußgeldbewährt. Die Zuständigkeit für das ordnungswidrigkeitsrechtliche Verfahren liegt beim BSI, § 397 Abs. 4 SGB V. So handelt ordnungswidrig, wer: – Ohne Zulassung oder Bestätigung die Telematikinfrastruktur nutzt (§ 397 Abs. 2a Nr. 1 SGB V); – seiner Pflicht zur Meldung von Störungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachkommt (§ 397 Abs. 2a Nr. 2 SGB V); – vorsätzlich oder fahrlässig einer vollziehbaren Anordnung der Gesellschaft für Telematik zur Beseitigung oder Vermeidung von Störungen bzw. Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zuwiderhandelt (§ 397 Abs. 2a Nr. 3 SGB V). 176

2021-11-22, 12:02, HB groß

VI. IT-Sicherheitspflichten im Gesundheitswesen | Rz. 470 G.

4. IT-Sicherheitspflichten für Hersteller digitaler Gesundheits- und Pflegeanwendungen a) Hersteller digitaler Gesundheitsanwendungen Durch das DVPMG wurden die Datensicherheitspflichten für DiGAs überarbeitet. Nach § 139e Abs. 2 Satz 1 Nr. 2 SGB V muss eine DiGA die Datensicherheit nach dem Stand der Technik gewährleisten, um in ein vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geführtes Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen nach § 33a SGB V aufgenommen zu werden. Die Aufnahme in das Verzeichnis ist erforderlich, damit die digitale Anwendung von Ärzten und Psychotherapeuten verordnet werden kann und die Kosten durch die Krankenkasse erstattet werden.

467

Details zum Aufnahmeverfahren regelt eine ergänzende Rechtsverordnung des Bundesministeriums für Gesundheit (BMG), die Digitale Gesundheitsanwendungen-Verordnung (DiGAV)1. Bisher definierte die DiGAV abschließend die von digitalen Gesundheitsanwendungen zu erfüllenden Anforderungen an die Datensicherheit. Der Nachweis der Erfüllung der Anforderungen erfolgte durch eine Selbsterklärung des Herstellers. Neben den Vorgaben der DiGAV hat das BSI die technische Richtlinie TR-031612 erarbeitet und darin Sicherheitsanforderungen an DiGAs definiert. Die Erfüllung der Anforderungen der technischen Richtlinie war dabei jedoch keine Voraussetzung für die Aufnahme einer digitalen Gesundheitsanwendung, da maßgeblich hierfür ausschließlich die Vorgaben der DiGAV waren.3 Mit dem DVPMG soll das Nebeneinander dieser unterschiedlichen Regelungen durch einheitliche Anforderungen an die Datensicherheit beseitigt werden.

468

Bis zum 31.12.2021 werden die Datensicherheitsanforderungen daher durch das BSI und das Bundesinstitut für Arzneimittel und Medizinprodukte gemeinsam und im Einvernehmen mit dem BfDI festgelegt und sollen in der Regel im Jahresrhythmus aktualisiert werden, § 139e Abs. 10 Satz 1 SGB V. Bei Auftreten unbekannter Bedrohungs- und Angriffsszenarien kann auch eine kurzfristige Aktualisierung erfolgen.4

469

Spätestens ab dem 1.6.2022 hat das BSI ein Verfahren zur Prüfung der Einhaltung der Anforderungen an die Datensicherheit nach § 139e Abs. 10 Satz 1 SGB V und einer Bestätigung der Einhaltung durch ein entsprechendes Zertifikat anzubieten und durchzuführen, § 139e Abs. 10 Satz 2 SGB V. Der Nachweis über ein entsprechendes Zertifikat ist ab dem 1.1.2023 verpflichtend, § 139e Abs. 10 Satz 3 SGB V.

470

1 Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung (Digitale-Gesundheitsanwendungen-Verordnung – DiGAV) vom 8.4.2020, BGBl. I S. 768. 2 BSI, Sicherheitsanforderungen an digitale Gesundheitsanwendungen, Technische Richtlinie BSI TR-03161, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ Publikationen/TechnischeRichtlinien/TR03161/BSI-TR-03161.pdf, zuletzt aufgerufen am 29.10.2021. 3 Deutscher Bundestag, Drucksache 19/27652, S. 108 f. 4 Deutscher Bundestag, Drucksache 19/27652, S. 109.

177

2021-11-22, 12:02, HB groß

G. Rz. 471 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit 471

Die Festlegungen nach § 139e Abs. 10 Satz 1 SGB V können dabei Grundlage des Zertifizierungsverfahrens sein und sollen die Selbsterklärung nach der DiGAV ersetzen. Bis entsprechende Nachweise in Form von Zertifikaten vorliegen, kann das Bundesinstitut für Arzneimittel und Medizinprodukte nach den Regelungen der DiGAV auch die Vorlage von Prüfberichten zu Penetrationstests oder Sicherheitsgutachten unabhängiger Dritter verlangen, die die Sicherheit der digitalen Gesundheitsanwendungen einschließlich aller Backend-Komponenten und Dienste umfassen.1 b) Hersteller digitaler Pflegeanwendungen

472

Mit dem DVPMG wurde auch für DiPAs i.S.d. § 40a Abs. 1 SGB XI ein neues Verfahren zur Aufnahme in ein entsprechendes Verzeichnis beim Bundesinstitut für Arzneimittel und Medizinprodukte geschaffen, § 78a Abs. 3 SGB XI. Die Aufnahme in das Verzeichnis ist konstitutiv für die Erstattungsfähigkeit von DiPAs. Gem. § 78a Abs. 4 Satz 3 Nr. 2 SGB XI hat der Hersteller einer DiPA im Rahmen des Antrags auf Aufnahme in das Verzeichnis Nachweise darüber beizufügen, dass die digitale Pflegeanwendung die Anforderungen an den Datenschutz erfüllt und die Datensicherheit nach dem Stand der Technik gewährleistet ist.

473

Das BMG wird nach § 78a Abs. 6 SGB XI ermächtigt, im Benehmen mit dem BMAS durch Rechtsverordnung die Anforderungen an die Sicherheit einschließlich der Anforderungen an Datenschutz und Datensicherheit näher zu regeln.

474

Nach § 78a Abs. 7 SGB XI legt das BSI legt im Einvernehmen mit dem Bundesinstitut für Arzneimittel und Medizinprodukte und im Benehmen mit dem BfDI eine in der Regel jährlich zu aktualisierende Liste mit von DiPAs zu gewährleistenden Anforderungen an die Datensicherheit fest. Bezüglich des Nachweises der Einhaltung der Anforderungen an die Datensicherheit durch ein entsprechendes Zertifikat gilt § 139e Abs. 10 Satz 2 und 3 SGB V entsprechend.2

475

& Das Wesentliche in Kürze: – Nach § 75b SGB V unterliegen Arzt- und Psychotherapeutenpraxen IT-Sicherheitsanforderungen, die von der Kassenärztliche Bundesvereinigung (KBV) in einer Richtlinie festzulegen sind. – Nach § 75c SGB V treffen auch Krankenhäuser außerhalb des Anwendungsbereichs der BSI-KritisV dem KRITIS-Standard vergleichbare Sicherheitsanforderungen. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen, § 75c Abs. 1 Satz 3 SGB V. – Die Gesellschaft für Telematik und die Betreiber und Nutzer der Telematikinfrastruktur unterliegen IT-Sicherheitspflichten nach dem SGB V. Unternehmen werden nur zum Betrieb oder zur Nutzung der Telematikinfrastruktur zugelassen, wenn sie gegenüber der Gesellschaft für Telematik die Sicherheit ihrer Komponenten und Systeme nach den Vorgaben des BSI nachweisen (§ 311 Abs. 1 Nr. 4, § 325 SGB V). Zugelassene Unternehmen müssen folgende gem. § 397 SGB V mit bis zu 300.000 Euro bußgeldbewährten IT-Sicherheitspflichten erfüllen: 1 Deutscher Bundestag, Drucksache 19/27652, S. 109. 2 Deutscher Bundestag, Drucksache 19/27652, S. 117.

178

2021-11-22, 12:02, HB groß

VII. IT-Sicherheit im Versicherungsbereich | Rz. 477 G. – unverzügliche Meldung erheblicher Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Dienste an die Gesellschaft für Telematik (§ 397 Abs. 2a Nr. 2 SGB V); – Befolgung verbindlicher Anweisungen der Gesellschaft für Telematik zur Behebung festgestellter IT-Sicherheitsmängel (§ 397 Abs. 2a Nr. 3 SGB V). – Digitale Gesundheitsanwendungen (DiGAs) und digitale Pflegeanwendungen (DiPAs) müssen nach § 139e Abs. 2 Satz 1 Nr. 1 SGB V bzw. § 78a Abs. 4 Satz 3 Nr. 2 SGB XI Nachweise über die Gewährleistung der Datensicherheit nach dem Stand der Technik erbringen, um in ein vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geführtes Verzeichnis erstattungsfähiger digitaler Gesundheits- bzw. Pflegeanwendungen aufgenommen zu werden.

VII. IT-Sicherheit im Versicherungsbereich Versicherungsunternehmen wirken als stabilisierendes Element der Sozialordnung und erfüllen wesentliche Aufgaben im Bereich der Altersversorgung und Gesundheitsvorsorge.1 Ihre Funktions- und Leistungsfähigkeit ist damit wirtschaftlich wie gesellschaftlich unverzichtbar. Große Versicherungsunternehmen unterfallen aufgrund dieser Gemeinwohlfunktionen ab einer bestimmten Größe – je nach Versicherungsleistung mit mehr als 500.000 oder 2.000.000 Leistungsfällen pro Jahr – als Betreiber Kritischer Infrastrukturen dem Anwendungsbereich des BSIG und unterliegen damit den dort vorgesehenen IT-Sicherheitspflichten, vgl. § 2 Abs. 10 BSIG i.V.m. Anhang 6 Teil 3 BSI-KritisV (s. Rz. 255 ff.). Dabei wird jedoch teilweise übersehen, dass – auch ganz unabhängig von der Anwendbarkeit des BSIG – Versicherungsunternehmen durch das Gesetz über die Beaufsichtigung der Versicherungsunternehmen (VAG) ohnehin zur Einhaltung bestimmter IT-Sicherheitsstandards verpflichtet sind.2

476

1. Adressaten Vom Anwendungsbereich des VAG erfasste Versicherungsunternehmen sind gem. § 7 Nr. 33 VAG jedwede Erst- oder Rückversicherungsunternehmen, die den Betrieb von Versicherungsgeschäften zum Gegenstand haben und nicht Träger der Sozialversicherung sind. Versicherer übernehmen gegen Entgelt für den Fall eines ungewissen Ereignisses bestimmte Leistungen (Garantieversprechen), wobei das übernommene Risiko auf eine Vielzahl durch die gleiche Gefahr bedrohter Personen verteilt wird.3 Zu denken ist dabei etwa an Unternehmen, die Lebens-, Unfall-, private Kranken- oder Rentenversicherungen anbieten.

1 Laars/Both in Laars/Both, VAG, Einleitung Rz. 1. 2 Dazu auch Gehrmann/Voigt, CR 2017, 93, 98. 3 BVerwG, Urt. v. 19.5.1987 – 1 A 88/83, Rz. 16 = BVerwGE 77, 253; Laars/Both in Laars/ Both, VAG, § 1 Rz. 2.

179

2021-11-22, 12:02, HB groß

477

G. Rz. 478 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

2. IT-Sicherheitspflichten 478

Das VAG führt zu einer weitreichenden Regulierung der internen Organisation von Versicherungsunternehmen.1 Während Unternehmen im Allgemeinen gesellschaftsrechtlich nicht zwingend zur Einführung eines allgemeinen Risikomanagementsystems verpflichtet werden (s. Rz. 32 ff.), sieht § 26 VAG für Versicherungsunternehmen eine solche Pflicht ausdrücklich vor.2 Die gesetzlichen Vorgaben an ein solches Risikomanagementsystem sind dabei relativ konkret ausgestaltet.

479

Gem. § 26 Abs. 1 Satz 1 VAG sind Versicherungsunternehmen dazu verpflichtet, ein in die Organisationsstruktur und Entscheidungsprozesse des Unternehmens gut integriertes Risikomanagementsystem zu etablieren. Was unter einem „gut integrierten“ System zu verstehen ist, lässt sich dem VAG nicht entnehmen. Da es sich hierbei um eine Konkretisierung unternehmerischer Pflichten handelt und deren Umsetzung letztlich im Ermessen der Geschäftsleitung liegt (s. Rz. 62 ff.), trifft die Entscheidung über eine angemessene Ausgestaltung des Risikomanagementsystems letztlich die Geschäftsleitung. So muss das System der Geschäftsleitung auch strukturell eine Kontrolle über dessen Funktionsfähigkeit durch angemessene Mechanismen zur internen Berichterstattung ermöglichen, § 26 Abs. 1 Satz 1 VAG. Bei der Ausgestaltung des Risikomanagementsystems hat die Geschäftsleitung sowohl die Unternehmensgröße als auch die Komplexität des verfolgten Geschäftsmodells und der damit zusammenhängenden Risiken zu berücksichtigen.3 Entsprechende Kontrollmechanismen müssen unternehmensintern einen verlässlichen, zeitnahen und vollständigen Informationsfluss ermöglichen.4

480

Das Risikomanagementsystem muss Strategien, Prozesse und interne Meldeverfahren umfassen, die erforderlich sind, um tatsächliche und potentielle Gefahren zu identifizieren, zu bewerten, zu überwachen, zu steuern, sowie aussagekräftig über diese Risiken berichten zu können, § 26 Abs. 1 Satz 2 VAG.5 Dies umfasst auch durch die unternehmensinterne IT bedingte Risiken, etwa in Form von Cyber-Angriffen. Das Risikomanagementsystem eines Versicherungsunternehmens muss deshalb in der Lage sein, mögliche Angriffsszenarien im Vorfeld zu erkennen und konkrete Angriffe wirksam zu bekämpfen. Dies kann nur über eine regelmäßige Aktualisierung des Risikomanagementsystems unter Berücksichtigung des Stands der Technik gewährleistet werden.6

481

Zur Konkretisierung hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf Basis des VAG das Rundschreiben 10/2018 zu den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) veröffentlicht, in welchem Art und Umfang der

1 Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 49 Rz. 41. 2 Hierzu auch Gehringer/Wettstein/Weidtmann in Bürkle, Compliance in Versicherungsunternehmen, § 9 Rz. 28 ff. 3 Laars/Both in Laars/Both, VAG, § 26 Rz. 1. 4 Deutscher Bundestag, Drucksache 18/2956, S. 241. 5 Gehrmann/Voigt, CR 2017, 93, 98. 6 Gehrmann/Voigt, CR 2017, 93, 98.

180

2021-11-22, 12:02, HB groß

VII. IT-Sicherheit im Versicherungsbereich | Rz. 483 G.

Ausgestaltung des Risikomanagements konkretisiert werden.1 Das Rundschreiben enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im VAG, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Im Rundschreiben werden u.a. Anforderungen an die IT-Strategie und die IT-Governance definiert.2 So haben Versicherungsunternehmen z.B. nach Rz. 28 des VAIT die Funktion des Informationssicherheitsbeauftragten einzurichten.3 Diese überwachende Funktion umfasst die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Unternehmens und gegenüber Dritten.4 Darüber hinaus sind zur Gewährleistung eines wirksamen Risikomanagementsystems regelmäßige Aktualisierungen unter Berücksichtigung des Stands der Technik durchzuführen.5 Das Rundschreiben findet Anwendung auf alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterliegen. Neben der Ausgestaltung der IT adressieren die VAIT auch die Ausgliederung von IT-Dienstleistungen. Die Anforderungen im Rundschreiben sind nicht abschließend, so dass die Adressaten des VAG verpflichtet bleiben, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse gängige Standards wie den IT-Grundschutz des BSI oder den internationalen Sicherheitsstandard ISO/IEC 2700X zu berücksichtigen bzw. umzusetzen.6

482

3. Verletzungsfolgen Die Kontrolle der Einhaltung der Vorgaben des VAG obliegt grundsätzlich der BaFin, § 320 Abs. 1 VAG. Diese hat umfassende Aufsichtsbefugnisse (§§ 298 ff. VAG) und kontrolliert auch das Vorhandensein eines den Vorgaben des § 26 VAG entsprechenden Risikomanagementsystems im Unternehmen. Zu diesem Zweck müssen Versicherungsunternehmen auf Verlangen der Aufsichtsbehörde einen allgemeinen Sa-

1 BaFin, Versicherungsaufsichtliche Anforderungen an die IT (VAIT), Rundschreiben 10/ 2018 (VA) in der Fassung vom 20.3.2019, abrufbar unter: https://www.bafin.de/SharedDocs/ Downloads/DE/Rundschreiben/dl_rs_1810_vait_va.pdf, zuletzt aufgerufen am 29.10.2021. Die VAIT sollen überarbeitet werden: Im August 2021 startete ein entsprechender Konsultationsprozess der BaFin, https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/ Meldung/2021/meldung_2021_08_17_Kon_17_2021_VAIT.html, zuletzt aufgerufen am 29.10.2021. 2 Hanenberg in Hopt/Binder/Böcking, Handbuch Corporate Governance von Banken und Versicherungen, § 17 Rz. 27. 3 BaFin, Versicherungsaufsichtliche Anforderungen an die IT (VAIT), Rundschreiben 10/ 2018 (VA) in der Fassung vom 20.3.2019, S. 13, abrufbar unter: https://www.bafin.de/Sha redDocs/Downloads/DE/Rundschreiben/dl_rs_1810_vait_va.pdf, zuletzt aufgerufen am 29.10.2021. 4 S. zu der bereits überobligatorischen Einrichtung durch Versicherungsunternehmen im Vorfeld des VAIT Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance § 49 Rz. 47. 5 Gehrmann/Voigt, CR 2017, 93, 98. 6 BaFin, Versicherungsaufsichtliche Anforderungen an die IT (VAIT), Rundschreiben 10/ 2018 (VA) in der Fassung vom 20.3.2019 S. 13, abrufbar unter: https://www.bafin.de/Sha redDocs/Downloads/DE/Rundschreiben/dl_rs_1810_vait_va.pdf, zuletzt aufgerufen am 29.10.2021.

181

2021-11-22, 12:02, HB groß

483

G. Rz. 483 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

nierungsplan1 aufstellen, in dem Gefährdungsszenarien des Unternehmens und passende Gegenmaßnahmen beschrieben werden sollen, § 26 Abs. 1 Satz 4 und 5 VAG. Dieser ist der BaFin ggf. auf Grundlage ihres Informationsrechts nach § 43 VAG zu übermitteln. Entspricht das Risikomanagementsystem nicht den gesetzlichen Vorgaben, kann die BaFin Maßnahmen zur Anpassung des Systems anordnen. 484

& Das Wesentliche in Kürze: (Rück-)Versicherungsunternehmen, die den Betrieb von Versicherungsgeschäften zum Gegenstand haben und nicht Träger der Sozialversicherung sind, unterfallen IT-Sicherheitspflichten auf Grundlage des VAG: – Pflicht zur Einführung eines Risikomanagementsystems (§ 26 VAG); – auf Verlangen der BaFin Vorlage eines Sanierungsplans, der Gefährdungsszenarien und entsprechende Gegenmaßnahmen beschreibt (§§ 26, 43 VAG). Bei organisatorischen Defiziten kann die BaFin die Anpassung des Systems anordnen.

VIII. IT-Sicherheit im Finanz- und Bankwesen 485

Im Banken- und Finanzsektor werden Geschäfte und Dienstleistungen fast ausschließlich IT-gebunden abgewickelt, wodurch Fehler und Systemausfälle schnell zu hohen Schadenssummen und schwerwiegenden Folgen für die Unternehmen und ihre Kunden führen können.2 Aus diesem Grund treffen entsprechende Unternehmen intensivierte IT-Sicherheitspflichten, insbesondere hinsichtlich der Einrichtung eines Risikomanagementsystems. 1. IT-Sicherheitspflichten im Bankensektor a) Allgemeine IT-Sicherheitspflichten

486

Eine allgemeine Pflicht zur Herstellung und Aufrechterhaltung von IT-Sicherheit ergibt sich aus § 25a Abs. 1 Satz 3 Nr. 5 KWG.3 Diese obliegt Kreditinstituten, also Unternehmen, die Bankgeschäfte gewerbsmäßig oder in einem Umfang betreiben, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, sowie Finanzdienstleistungsinstituten, also Unternehmen, die Finanzdienstleistungen für andere gewerbsmäßig oder in einem Umfang erbringen, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, § 1 Abs. 1 Satz 1, Abs. 1a Satz 1 KWG. Entsprechende Unternehmen sind zur Gewährleistung eines wirksamen Risikoma-

1 Zu unterscheiden ist dieser Plan von den Sanierungsplänen des § 134 Abs. 2 VAG, Laars/ Both in Laars/Both, VAG, § 26 Rz. 2. 2 Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären vom 2.4.2008, S. 181, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikatio nen/Studien/ITSicherheitUndRecht/Gutachten_pdf.pdf?__blob=publicationFile&v=2, zuletzt aufgerufen am 29.10.2021. 3 Dazu auch Gehrmann/Voigt, CR 2017, 93, 99.

182

2021-11-22, 12:02, HB groß

VIII. IT-Sicherheit im Finanz- und Bankwesen | Rz. 488 G.

nagements verpflichtet, welches u.a. ein angemessenes Notfallkonzept für IT-Systeme vorsehen muss. Überdies müssen entsprechende Unternehmen über eine angemessene technisch-organisatorische Ausstattung verfügen. Der Umfang dieser ITSicherheitspflichten wird durch die BaFin in den Rundschreiben 10/2021 „Mindestanforderungen an das Risikomanagement“ (MaRisk)1 und „Bankenaufsichtliche Anforderungen an die IT“ (BAIT) in der Fassung vom 16.8.20212 konkretisiert. Die Rundschreiben legen die zu erfüllenden Anforderungen an die IT-Strategie, die ITGovernance und zum Informationsrisiko- und -sicherheitsmanagement fest.3 Diesen Rundschreiben können Unternehmen im Bankensektor die Anforderungen an die unternehmenseigene technisch-organisatorische Ausstattung entnehmen.4 Umfang und Qualität der Ausstattung sind anhand der betriebsinternen Erfordernisse, Geschäftsaktivitäten sowie der Risikosituation zu bestimmen.5 Die Ausstattung ist damit von der konkreten Unternehmenssituation abhängig, muss aber in jedem Fall die Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit der Daten sicherstellen.6 Bei der Ausgestaltung der unternehmenseigenen IT sind branchenübliche Standards zu berücksichtigen, etwa der IT-Grundschutz des BSI oder die ISO/IEC 27001Norm (s. Rz. 688 ff.).7 Überdies sind angemessene Risikosteuerungs- und -controllingprozesse verpflichtend und die IT-Sicherheitspflichten für „große und komplexe Institute“ werden durch die MaRisk verstärkt.8

487

Hinsichtlich des vorgeschriebenen internen IT-Notfallkonzepts sind neben Geschäftsfortführungs- und Wiederanlaufplänen auch regelmäßige Tests zur Überprüfung der Wirksamkeit dieser Maßnahmen durchzuführen.9 Das Notfallkonzept muss

488

1 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, abrufbar unter: https://www.bafin.de/Shared Docs/Veroeffentlichungen/DE/Rundschreiben/2021/rs_1021_MaRisk_BA.html?nn=9450904, zuletzt aufgerufen am 29.10.2021. 2 BaFin, Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16.8.2021, abrufbar unter: https://www.bafin.de/SharedDocs/Down loads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=11, zuletzt aufgerufen am 29.10.2021. 3 Beucher/Fromageau/Ehlen in Kipker, Cybersecurity, Kapitel 12 Rz. 78, 125. 4 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 7.2. 5 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 7.2 Rz. 1. 6 Lensdorf in Schuster/Grützmacher, IT-Recht, Teil 2 § 25a KWG Rz. 47. 7 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 7.2 Rz. 2; Braun in Boos/Fischer/Schulte-Mattler KWG, CRR-VO, § 25a KWG Rz. 623. 8 Bensinger in Schulz, Compliance Management im Unternehmen, Kapitel 13 Rz. 66; Gehrmann/Voigt, CR 2017, 93, 99 m.w.N. 9 Bensinger in Schulz, Compliance Management im Unternehmen, Kapitel 13 Rz. 68; BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/2021 (BA) in der Fassung vom 16.8.2021, AT 7.3 Rz. 1 f.

183

2021-11-22, 12:02, HB groß

G. Rz. 488 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

im Notfall innerhalb eines angemessenen Zeitraums die Rückkehr des Unternehmens zum Normalbetrieb ermöglichen.1 489

Durch die Neuerungen in den BAIT wird ein stärkerer Fokus auf die Informationssicherheit gelegt. Bankinstitute haben u.a. eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit einzuführen, diese regelmäßig zu überprüfen und ggf. anzupassen.2 Ferner ist ein kontinuierliches Schulungsprogramm zur Informationssicherheit aufzustellen, das die Bank einer regelmäßigen Überprüfung und Anpassung zu unterziehen hat.3

490

Im Rahmen des Informationsrisikomanagements müssen sich Institute über aktuelle interne und externe Bedrohungen informieren und die Ergebnisse in die Risikoanalyse miteinbeziehen.4 Des Weiteren haben Bankinstitute nunmehr auch operative Informationssicherheit zu leisten. Die BAIT formuliert Anforderungen, wie die Vorgaben dieses Informationssicherheitsmanagements umzusetzen sind: Banken sollen dem Stand der Technik entsprechende, operative Sicherheitsmaßnahmen implementieren und ein Portfolio erstellen, das Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definiert.5 Außerdem soll die Sicherheit des gesamten IT-Systems mithilfe von Schwachstellenscans oder Penetrationstests regelmäßig überprüft werden.6 Aufbauend auf das in den MaRisk vorgesehene Notfallmanagement sollen Bankinstitute für zeitkritische Prozesse Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne einrichten und diese in einem IT-Notfallmanagementsystem bündeln.7 Die Wirksamkeit der IT-Notfallpläne ist durch mindestens jährliche IT-Notfalltests zu überprüfen.8 b) Auslagerung von IT-Prozessen

491

Nach den novellierten MaRisk haben Bankinstitute zudem weitergehende Anforderungen zu erfüllen, wenn sie ihre IT-Sicherheit etwa an Hosting- oder Cloud-Anbie-

1 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 7.3 Rz. 1 f. 2 BaFin, Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 4.8. 3 BaFin, Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 4.9. 4 BaFin, Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 3.7 ff. 5 BaFin, Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 5.2 ff. 6 BaFin, Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 5.6. 7 BaFin, Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 10.1 ff. 8 BaFin, Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 10.4.

184

2021-11-22, 12:02, HB groß

VIII. IT-Sicherheit im Finanz- und Bankwesen | Rz. 493 G.

ter auslagern.1 Eine durchzuführende Risikoanalyse bei Auslagerungsprozessen soll nicht nur die Feststellung beinhalten, ob es sich um eine wesentliche oder nicht wesentliche Auslagerung handelt, sondern sie hat herauszustellen, welche konkreten einzelnen Risiken mit einer Auslagerung verbunden sind.2 Zusätzlich haben Bankinstitute einen eigenen Auslagerungsbeauftragten zu benennen. Der Auslagerungsbeauftragte bzw. das zentrale Auslagerungsmanagement haben mindestens jährlich einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Zudem ist anlassbezogen zu berichten.3 Die MaRisk verpflichten Banken zudem, ein den Anforderungen der EBA Guidelines on outsourcing agreements (2019) der Europäischen Bankenaufsichtsbehörde4 entsprechendes Auslagerungsregister zu führen, das alle Auslagerungsvereinbarungen enthält, einschließlich der Vereinbarungen innerhalb eines Finanzverbundes.5 Für einzelne Vereinbarungen stellen die MaRisk konkretere Anforderungen an Auslagerungsverträge: Neben den bereits erforderlichen Informations- und Prüfungsrechten des Bankinstituts hat der Vertrag den Standort der Dienstleistung, die Dienstleistungsgüte sowie Anforderungen an Notfallkonzepte zu enthalten. Ferner muss aus dem Auslagerungsvertrag hervorgehen, ob das Auslagerungsunternehmen für bestimmte Risiken einen Versicherungsnachweis hat.6

492

c) Verletzungsfolgen Die Einhaltung der vorgenannten IT-Sicherheitspflichten wird von der BaFin kontrolliert. In einem abgestuften Vorgehen wird sie zuerst über schriftliche Stellungnahmen und informelle Maßnahmen die näheren Umstände eines potentiellen ITSicherheitsverstoßes ermitteln. Stellt sie Defizite fest, kann sie gem. § 25a Abs. 2 Satz 2 KWG Anordnungen treffen, die geeignet und erforderlich sind, um die IT-Sicherheitsvorgaben des KWG zu erfüllen. So kann die BaFin etwa Maßnahmen zur Reduzierung von Risiken anordnen, die sich aus der Nutzung bestimmter IT-Systeme oder einem IT-Outsourcing an Dritte ergeben. Wer gegen eine vollziehbare Anordnung nach § 25a Abs. 2 Satz 2 KWG vorsätzlich oder fahrlässig verstößt, handelt ordnungswidrig. Bei schwerwiegenden Verstößen sind überdies Zwangsmaßnahmen denkbar, 1 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 9. 2 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 9 Rz. 2. 3 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 9 Rz. 12 f. 4 EBA, Final Report on EBA Guidelines on outsourcing arrangements EBA/GL/2019/02 in der Fassung vom 25.2.2019, abrufbar unter: https://www.eba.europa.eu/sites/default/docu ments/files/documents/10180/2551996/38c80601-f5d7-4855-8ba3-702423665479/EBA%20 revised%20Guidelines%20on%20outsourcing%20arrangements.pdf, zuletzt aufgerufen am 29.10.2021. 5 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 9 Rz. 14. 6 BaFin, Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 10/ 2021 (BA) in der Fassung vom 16.8.2021, AT 9 Rz. 7.

185

2021-11-22, 12:02, HB groß

493

G. Rz. 493 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

wobei als ultima ratio die Aufhebung der bankaufsichtlichen Erlaubnis nach § 33 Abs. 1 Satz 1 Nr. 7 KWG möglich ist.1 2. IT-Sicherheitspflichten im Online-Zahlungsverkehr 494

Banken müssen überdies für den Online-Zahlungsverkehr verstärkte IT-Sicherheitsvorkehrungen vorhalten. Maßgeblich sind dabei die Regelungen des ZAG und der Zahlungsdienste-Richtlinie II (PSD II).2 Nach den Vorgaben der PSD II, die im ZAG umgesetzt wurden, erfolgt die erforderliche Zulassung zum Online-Zahlungsverkehr nur bei Nachweis eines angemessenen IT-Sicherheitsstandards, wofür u.a. geeignete Vorkehrungen und Mechanismen zur Meldung von Sicherheitsvorfällen, für den Zugang zu sensiblen Zahlungsdaten und für die Geschäftsfortführung im Krisenfall erforderlich sind, §§ 27, 54 ZAG.3 Neben den IT-sicherheitsrechtlichen Zulassungserfordernissen bestehen auch fortwährende IT-Sicherheitspflichten. Bei der Kundenauthentifizierung im Online-Zahlungsverkehr müssen Unternehmen mindestens eine Zwei-Faktor-Authentifizierung vorsehen, § 55 ZAG.4 Gem. §§ 53, 54 ZAG sind auch die Ergreifung angemessener Risikominderungsmaßnahmen und Kontrollmechanismen sowie die Meldung schwerwiegender Betriebs- oder Sicherheitsvorfälle erforderlich. 3. IT-Sicherheitspflichten für Zahlungs- und E-Geld-Institute

495

Das 2021 erschienene Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT) der BaFin konkretisiert die IT-Sicherheitsanforderungen des ZAG (insbesondere §§ 26, 27 Abs. 1 und 53 Abs. 1 ZAG) für Zahlungs- und E-Geld-Institute i.S.d. § 1 Abs. 1 Nr. 1 und 2 ZAG, ersetzt damit die bisherige analoge Anwendung von Regelungen der MaRisk und BAIT auf Zahlungsdiensteanbieter und normiert die aufsichtlichen Anforderungen an ein Informationsrisiko- und Informationssicherheitsmanagement.5 Auch Zahlungsinstitute haben nun unmittelbar anzuwendende Vorschriften zum Informationsrisiko- und Informationssicherheitsmanagement sowie zur operativen Informationssicherheit und zum Notfallmanagement umzusetzen.6 Die Anforderungen zu Auslagerungen

1 Braun in Boos/Fischer/Schulte-Mattler, KWG, CRR-VO, § 25a KWG Rz. 737 ff. 2 Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25.11.2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/ 110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, ABl. L 337/35. 3 Kahlert, DSRITB 2016, 579, 584 m.w.N. 4 Bensinger in Schulz, Compliance Management im Unternehmen, Kapitel 13 Rz. 74; Kahlert, DSRITB 2016, 579, 584 f. 5 BaFin, Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT), Rundschreiben 11/ 2021 (BA) in der Fassung vom 16.8.2021, abrufbar unter: https://www.bafin.de/Shared Docs/Downloads/DE/Rundschreiben/dl_rs_1121_BA_ZAIT.pdf?__blob=publicationFile &v=4, zuletzt aufgerufen am 29.10.2021. 6 BaFin, Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT), Rundschreiben 11/ 2021 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 3 ff.

186

2021-11-22, 12:02, HB groß

VIII. IT-Sicherheit im Finanz- und Bankwesen | Rz. 498 G.

und sonstigem Fremdbezug von IT-Dienstleistungen entsprechen weitgehend denen der MaRisk.1 4. IT-Sicherheitspflichten für Identifizierungsdienstleistungen Zusätzlich haben im Rahmen von Bankkonteneröffnungen und Kreditkartenbeantragungen im Internet oder für Registrierungen bei Online-Brokern auch solche Diensteanbieter Vorschriften zur IT-Sicherheit einzuhalten, welche mithilfe des elektronischen Identitätsnachweises nach § 21b PAuswG Identifizierungsdienstleistungen für Dritte erbringen. Nach § 21b Abs. 2 Satz 1 PAuswG ist die Berechtigung für Identifizierungsdiensteanbieter nur zu erteilen, wenn diese durch technisch-organisatorische Maßnahmen die Einhaltung der in § 19a PAuswG enthaltenen Vorgaben gewährleisten und die weiteren Anforderungen an Datenschutz und Datensicherheit nach § 34 Satz 1 Nr. 7 PAuswG erfüllen.

496

Auf Grundlage des § 29 Abs. 2 Satz 1 PAuswV hat das BSI die technische Richtlinie „TR-03128“ für die eID-Funktion veröffentlicht, die vorsieht, dass Diensteanbieter für die Nutzung des elektronischen Identitätsnachweises bestimmte Anforderungen an die Informationssicherheit erfüllen müssen. Hiernach muss der Identifizierungsanbieter insbesondere ein Sicherheitskonzept für den eID-Server-Betrieb erstellen, welches Bestandteil eines zertifizierten Informationssicherheitsmanagementsystems nach ISO/IEC 27001 sein muss. Dies gilt auch für ausgelagerte eID-Server-Betriebe.2 Die technische Richtlinie BSI TR-03130 eID-Server konkretisiert ferner, dass sowohl die physische als auch die operative Sicherheit der Server jederzeit gewährleistet werden müssen.3 Die IT-Sicherheit der eID-Server ist regelmäßig auf ihre Integrität zu überprüfen und die Ergebnisse sind in geeigneter Weise zu dokumentieren.4

497

5. IT-Sicherheitspflichten von Wertpapierdienstleistungsunternehmen Neben den vorbeschriebenen technisch-organisatorischen Pflichten des § 25a Abs. 1 KWG unterliegen Wertpapierdienstleistungsunternehmen zusätzlichen IT-Sicherheitspflichten. Die Grundlage dafür bildet § 80 WpHG, welcher durch ein Rund-

1 BaFin, Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT), Rundschreiben 11/ 2021 (BA) in der Fassung vom 16.8.2021, Kap. II, Ziff. 9. 2 BSI, Technische Richtlinie TR-03128, Diensteanbieter für die eID-Funktion, Teil 2: Organisatorische und technische Sicherheitsanforderungen, in der Fassung vom 25.10.2017, S. 6, Ziff. 2.1.1. ff., abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Pub likationen/TechnischeRichtlinien/TR03128/BSI_TR-03128_Teil2.pdf, zuletzt aufgerufen am 29.10.2021. 3 BSI, Technical Guideline TR-03130 eID-Server, Part 2: Security Framework for eID-Server operations, in der Fassung vom 25.10.2017, S. 12 f., Ziff. 4.5 f., abrufbar unter: https:// www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/ TR03130/TR-03130_TR-eID-Server_Part2.pdf, zuletzt aufgerufen am 29.10.2021. 4 BSI, Technical Guideline TR-03130 eID-Server, Part 2: Security Framework for eID-Server operations, in der Fassung vom 25.10.2017, S. 14, Ziff. 4.6 R.15.

187

2021-11-22, 12:02, HB groß

498

G. Rz. 498 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit

schreiben der BaFin konkretisiert wird.1 Den dort aufgezählten Pflichten unterliegen demnach solche Kredit- und Finanzdienstleistungsunternehmen, die Wertpapierdienstleistungen erbringen, etwa in Form eines Handels mit Aktien.2 Entsprechende Unternehmen sind gem. § 80 Abs. 1 Satz 2 Nr. 4 WpHG dazu verpflichtet, über solide Sicherheitsmechanismen zu verfügen, die die Sicherheit und Authentifizierung der Informationsübermittlungswege gewährleisten, das Risiko der Datenverfälschung und des unberechtigten Zugriffs minimieren und verhindern, dass Informationen bekannt werden, so dass die Vertraulichkeit der Daten jederzeit gewährleistet ist. Die zu ergreifenden Maßnahmen umfassen auch eine angemessene Ausgestaltung der IT-Systeme, die etwa gewährleistet, dass die personenbezogenen Daten der Kunden vor missbräuchlichen Zugriffen Dritter hinreichend geschützt sind.3 Ein Verstoß gegen diese Organisationspflichten ist nach dem WpHG zwar weder straf- noch bußgeldbewährt, allerdings werden entsprechende Verstöße regelmäßig zu aufsichtsbehördlichen Maßnahmen auf Grundlage des KWG führen.4 6. Besondere Pflichten von Börsenträgern 499

500

Während Börsen früher regelmäßig in öffentlich-rechtlicher Trägerschaft standen, werden diese heute von Aktiengesellschaften als Beliehene betrieben. Börsenträger müssen gem. § 5 Abs. 4 Nr. 2, 3 BörsG angemessene Vorkehrungen und Systeme zur Ermittlung, zum Umgang und zur Begrenzung wesentlicher Risiken des Börsenbetriebs schaffen und die technische Funktionsfähigkeit der Börsenhandels- und Abwicklungssysteme sicherstellen, insbesondere durch wirksame Notfallmaßnahmen bei Systemausfällen. Den Maßstab für den Umfang dieser Risikomanagement- und Organisationspflichten setzen die MaRisk der BaFin (s. Rz. 486 ff.).5 & Das Wesentliche in Kürze: Unternehmen im Banken- und Finanzsektor unterliegen verschiedenen IT-Sicherheitspflichten, die sich teilweise auf verschiedene Finanzdienstleistungsbereiche beziehen. Die allgemeine Pflicht zur Herstellung und Aufrechterhaltung von IT-Sicherheit ergibt sich aus § 25a Abs. 1 Satz 3 Nr. 5 KWG, wonach folgende Maßnahmen erforderlich sind, deren Umfang in Rundschreiben der BaFin konkretisiert werden: – Gewährleistung eines wirksamen Risikomanagements; – Einführung eines angemessenen Notfallkonzepts für IT-Systeme; – Vorhandensein einer angemessenen technisch-organisatorischen Ausstattung. Werden IT-Prozesse ausgelagert, ist ein Auslagerungsbeauftragter zu benennen und ein Auslagerungsregister zu führen.

1 BaFin, Mindestanforderungen an die Compliance-Funktion und weitere Verhaltens-, Organisations- und Transparenzpflichten (MaComp) Rundschreiben 05/2018 (WA) in der Fassung vom 12.3.2021, abrufbar unter: https://www.bafin.de/SharedDocs/Downloads/DE/ Rundschreiben/dl_rs_0518_MaComp_pdf.html, zuletzt aufgerufen am 29.10.2021. 2 S. die Begriffsbestimmungen in § 2 WpHG. 3 Fett in Schwark/Zimmer, Kapitalmarktrechts-Kommentar, § 80 WpHG Rz. 115. 4 Fett in Schwark/Zimmer, Kapitalmarktrechts-Kommentar, § 80 WpHG Rz. 17. 5 Kumpan in Baumbach/Hopt, Handelsgesetzbuch, § 5 BörsG Rz. 4.

188

2021-11-22, 12:02, HB groß

IX. IT-Sicherheitspflichten nach dem Geldwäschegesetz | Rz. 503 G. Die Einhaltung der IT-Sicherheitspflichten wird von der BaFin in einem abgestuften Vorgehen kontrolliert: informelle Maßnahmen – verbindliche Anordnungen (Verstoß nach § 25a Abs. 2 Satz 2 KWG bußgeldbewährt) – Zwangsmaßnahmen. Hinzu kommen tätigkeitsbezogene IT-Sicherheitspflichten, u.a.: – im Onlinezahlungsverkehr: Nachweis angemessener IT-Sicherheitsvorkehrungen im Rahmen des Zulassungsverfahrens und fortwährende Pflichten, wie Zwei-Faktor-Authentifizierung von Kunden, angemessene Risikominderungsmaßnahmen und Kontrollmechanismen, Meldung schwerwiegender Betriebs- oder Sicherheitsvorfälle (§§ 27, 53 ff. ZAG); – zur Erbringung von Wertpapierdienstleistungen: angemessene technische und organisatorische Ausstattung der IT-Systeme und Informationsübermittlungswege zur Verhinderung von Datenverfälschungen und unberechtigten Zugriffen auf Daten (§ 80 WpHG); – Berechtigungen für Identifizierungsdiensteanbieter, die für Dritte mithilfe des elektronischen Identitätsnachweises Leistungen erbringen sind nur zu erteilen, wenn Anforderungen an IT-Sicherheit, Datenschutz und Datensicherheit nach § 19a, § 34 Satz 1 Nr. 7 PAuswG erfüllt sind. Privatrechtliche Börsenträger müssen angemessene Vorkehrungen und Systeme zum Risikomanagement schaffen (§ 5 Abs. 4 BörsG).

IX. IT-Sicherheitspflichten nach dem Geldwäschegesetz Das Geldwäschegesetz (GwG) sieht für die nach § 2 Abs. 1 GwG Verpflichteten Sicherheitspflichten zur Verhinderung von Geldwäsche und Terrorismusfinanzierung vor, aus denen sich jedenfalls in Bezug auf Unternehmensgruppen auch Anforderungen an die IT-Sicherheit der eingesetzten Systeme ergeben.

501

Die Verpflichteten werden in § 2 GwG abschließend aufgezählt. Hierunter fallen neben Adressaten aus dem Finanzbereich, wie z.B. Kreditinstituten, Finanzdienstleistungsinstituten, Zahlungsdienstleistungsinstituten, E-Geld-Agenten und Finanzunternehmen, auch solche aus dem Nichtfinanzbereich, wie z.B. Versicherungsvermittler, Wirtschaftsprüfer, Steuerberater, Immobilienmakler, Veranstalter und Vermittler von Glücksspielen sowie bestimmte Güterhändler, d.h. Personen, die gewerblich mit Gütern handeln (Groß- und Einzelhandel).

502

Verpflichtete müssen nach § 4 GwG über ein wirksames Risikomanagement verfügen. Dieses schließt gem. § 4 Abs. 2 GwG eine Risikoanalyse nach § 5 GwG und interne Sicherungsmaßnahmen nach § 6 GwG ein. In einem ersten Schritt haben danach Verpflichtete gem. § 5 GwG eine Risikoanalyse zur Ermittlung der Geldwäscherisiken durchzuführen. Davon ausgehend sind gem. § 6 GwG operative interne Sicherungsmaßnahmen zum Schutz vor Geldwäsche und der Terrorismusfinanzierung zu schaffen. Zu implementieren sind angemessene geschäfts- und kundenbezogene Maßnahmen in Form von Grundsätzen, Verfahren und Kontrollen, die die Risiken steuern und mindern, § 6 Abs. 1 Satz 1 GwG.

503

189

2021-11-22, 12:02, HB groß

G. Rz. 504 | Sonstige branchenspezifische Vorschriften zur IT-Sicherheit 504

§ 6 Abs. 2 GwG enthält einen Katalog an Regelbeispielen, der u.a. für den Einsatz neuer Technologien die Pflicht beinhaltet, geeignete Maßnahmen zu schaffen, die den Missbrauch der Technologie zur Begehung von Geldwäsche und von Terrorismusfinanzierung sowie für Zwecke der Begünstigung der Anonymität von Geschäftsbeziehungen oder von Transaktionen verhindern (Nr. 4). Des Weiteren sind Mitarbeiter in Bezug auf Datenschutzbestimmungen zu unterrichten (Nr. 6). Damit sollen bei der Entscheidung zur Einführung neuer Produkte oder Technologien eine ergänzende Risikoanalyse durchgeführt und erforderlichenfalls spezifische Maßnahmen ergriffen werden.1 Bei der Risikobewertung spielt stets eine Rolle, ob die Neuentwicklung Anonymität begünstigt, denn dann liegt gem. Anlage 2 Nr. 2 lit. e GwG ein potentiell höheres Risiko vor, das es dann angemessen zu berücksichtigen gilt.2 Besondere Relevanz hat die Pflicht bspw. im Bereich neuer Bezahlmethoden.3

505

Ein wirksames Risikomanagement sollte es ermöglichen, in wenigen Schritten und innerhalb kurzer Zeit eine Transaktion als auffällig zu identifizieren, die Risiken zu analysieren und Prozesse zur Verhinderung von Terrorismusfinanzierung und Geldwäsche einzuleiten.4 Vor diesem Hintergrund sollten wirksame IT-gestützte Sicherheitssysteme eingesetzt werden, die eine zeitnahe und zuverlässige Detektion von Verdachtsfällen und eine Reaktion hierauf ermöglichen.5

506

Da Geldwäscher häufig Intelligenzstraftäter sind, die einmal geschaffene Sicherheitssysteme auch zu umgehen wissen, werden angemessene geschäfts- und kundenbezogene Sicherungssysteme auf dem Stand der Technik erwartet, die fortlaufend zu warten und zu aktualisieren sind.6

507

In Unternehmensgruppen7 trifft das Mutterunternehmen für alle gruppenangehörigen Unternehmen, Zweigstellen und -niederlassungen, die geldwäscherechtlichen Pflichten unterliegen, die Pflicht gem. § 9 Abs. 1 GwG, eine gruppenweite Risikoanalyse durchzuführen und nach § 9 Abs. 2 GwG gruppenweit einheitliche interne Sicherungsmaßnahmen, Verfahren für den Informationsaustausch innerhalb der Gruppe sowie Vorkehrungen zum Schutz von personenbezogenen Daten zu schaffen. Diese Vorschrift präzisiert damit die IT-Sicherheitspflichten im Konzern (s. Rz. 80 ff.).

1 2 3 4 5 6 7

Kaetzler in Zentes/Glaab, GwG, § 6 GwG, Rz. 59, 61. Müller in BeckOK-GwG, 7. Edition, 1.9.2021, § 6 GwG, Rz. 61. Müller in BeckOK-GwG, 7. Edition, 1.9.2021, § 6 GwG, Rz. 61. Herzog in Herzog, GwG, § 4 GwG Rz. 4. Herzog in Herzog, GwG, § 4 GwG Rz. 4. Herzog in Herzog, GwG,§ 4 GwG Rz. 4. Zum Begriff der „Gruppe“ s. § 1 Abs. 16 GWG.

190

2021-11-22, 12:02, HB groß

H. Allgemeine Haftung für IT-Sicherheit I. Vorbemerkung Gelingt es Unternehmen nicht, unter Einhaltung ihrer IT-Sicherheitspflichten Sicherheitsvorfälle zu vermeiden, oder verletzen Unternehmen gar ihre IT-Sicherheitspflichten, kann es zur haftungsrechtlichen Inanspruchnahme kommen. Dabei können Haftungsansprüche auf ganz unterschiedliche Art und Weise entstehen, wobei regelmäßig Gesetzes- oder Vertragsverstöße deren Grundlage bilden. Das Haftungssystem löst dabei Ansprüche auf verschiedenen Ebenen aus: im Innenverhältnis des Unternehmens sowie im Außenverhältnis. Letzteres führt nicht nur zu Ansprüchen Dritter gegen das Unternehmen, sondern Unternehmen werden teilweise auch selbst zu Anspruchsberechtigten. Ebenfalls zu beachten sind Verletzungsfolgen der IT-Sicherheitspflichten im Bereich des Ordnungswidrigkeiten- und Strafrechts. Während in diesem Teil des Handbuchs die drohende Haftung aus allgemeinen, nicht IT-sicherheitsspezifischen Gesetzen behandelt wird, wurden andere Verletzungsfolgen bereichs- oder sektorspezifischer IT-Sicherheitsvorschriften bereits jeweils in den entsprechenden Teilen des Handbuchs dargestellt (s. z.B. ab Rz. 164 ff.).

508

II. Haftungsverhältnisse im Unternehmen Im Innenverhältnis des Unternehmens basiert die Haftung der Gesellschaftsorgane für mangelnde IT- und Informationssicherheit vorrangig auf der gesellschaftsrechtlichen Pflichten- und Risikoverteilung. Da die Umsetzung von IT-Sicherheit Aufgabe der Geschäftsleitung ist (s. Rz. 32 ff.), kann die Verletzung entsprechender Organpflichten ihre Haftung gegenüber der Gesellschaft auslösen. Auch Ansprüche der Aktionäre bzw. Gesellschafter gegenüber der Geschäftsführung kommen teilweise in Betracht. Eine Inanspruchnahme anderer Organe oder Mitarbeiter des Unternehmens ist nur von untergeordneter Relevanz. Die nachfolgenden Ausführungen beschränken sich auf die Organe der AG und GmbH, da es sich bei diesen Kapitalgesellschaften um die Gesellschaftsformen mit der höchsten Praxisrelevanz handelt.

509

1. Haftung der Geschäftsleitung gegenüber der Gesellschaft Da die Geschäftsleitung die Verantwortung zur Umsetzung der unternehmerischen IT-Sicherheitspflichten innehat, trägt sie diesbezüglich auch im Innenverhältnis des Unternehmens das wesentliche Haftungsrisiko. Besonders der Vorstand einer AG unterliegt strengen Haftungsregelungen. Eine Entlastung der Geschäftsleitung wird in der Praxis über den Abschluss sog. D&O-Versicherungen erreicht. Auch die Zuweisung von Ressortverantwortlichkeiten innerhalb der Geschäftsleitung kann für einzelne Mitglieder zur Haftungsbeschränkung führen.

191

2021-11-22, 12:02, HB groß

510

H. Rz. 510 | Allgemeine Haftung für IT-Sicherheit

a) Grundlagen der Vorstands-Haftung in der AG § 93 AktG – Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder (2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. […]

511

Der Vorstand haftet auf Grundlage von § 93 Abs. 2 AktG bei der Umsetzung seiner Organisations- und Leitungspflichten für die Einhaltung der Grundsätze der ordnungsgemäßen Geschäftsführung. Die Geltendmachung diesbezüglicher unternehmenseigener Ansprüche obliegt dem Aufsichtsrat.1 Wie bereits dargestellt, hat die Geschäftsleitung bei der Umsetzung von IT-Sicherheit im Unternehmen die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (s. Rz. 57 ff.), wobei der Geschäftsleitung ein nicht unerheblicher Ermessensspielraum bei der konkreten Umsetzung ihrer Compliance-Pflichten zukommt (s. Rz. 62 ff.). Auch wenn der Handlungsspielraum der Geschäftsleitung damit zunächst relativ weit ist, droht ihr im Falle einer Verletzung ihrer Compliance-Pflichten (s. Rz. 32 ff.) eine strenge Haftung.2 Zwar setzt eine Inanspruchnahme des Vorstands dessen Verschulden bei der Verletzung seiner Pflichten voraus, allerdings kommt diesem Erfordernis praktisch kaum nennenswerte Bedeutung zu.3 Dies ist dem Umstand geschuldet, dass den Vorstand ein eingeschränkter Handlungsmaßstab trifft: Er muss für die objektiven Kenntnisse und Fähigkeiten eines „ordentlichen“ Vorstands einstehen und kann sich nicht durch persönliche Unfähigkeit oder fachliche Unkenntnis entlasten.4 Als schuldhaft sind sowohl vorsätzliche als auch fahrlässige Verletzungen dieses Handlungsmaßstabs anzusehen.5 Somit haftet der Vorstand nicht nur, wenn ihm sein pflicht- und rechtswidriges Verhalten bewusst ist, sondern auch, wenn er lediglich die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters außer Acht gelassen hat.6

512

Beispiel für einen schuldhaften IT-Compliance-Verstoß des Vorstands7: Wegen einer Serverüberlastung bricht das IT-System des Unternehmens zusammen und die IT-gestützte Warenproduktion des Unternehmens kommt zum Erliegen. Der Vorstand hat im Rahmen seiner IT-Compliance-Organisation keinen Notfallvorsorge-Plan (z.B. redundantes System, Wiederanlaufplan) vorgesehen. Das Wiederanlaufen des Systems verzögert sich deshalb. In diesem Beispiel hat der Vorstand die Sorgfalt einer ordnungsgemäßen Geschäftsleitung verletzt, da er im Rahmen der Umsetzung seiner IT-Compliance-Pflichten keinen Notfallvorsor1 S. zu den normativen Grundlagen Spindler in MüKo-AktG, § 93 Rz. 215. 2 S. zu den teils erheblichen Schadensersatzforderungen gegen den Vorstand nur LG München I, Urt. v. 10.12.2013 – 5 HK O 1387/10, NZG 2014, 345, 345 ff. = AG 2014, 332. 3 Fleischer BeckOGK-AktG, 1.6.2021, § 93 Rz. 240; Spindler in MüKo-AktG, § 93 Rz. 198 jeweils m.w.N. 4 Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 240 m.w.N.; Koch in Hüffer/Koch, AktG, § 93 Rz. 43. 5 Spindler in MüKo-AktG, § 93 Rz. 197 m.w.N. 6 Spindler in MüKo-AktG, § 93 Rz. 197. 7 Angelehnt an Grützner/Jakob, Compliance von A-Z, Stichwort: IT-Compliance.

192

2021-11-22, 12:02, HB groß

II. Haftungsverhältnisse im Unternehmen | Rz. 516 H. ge-Plan eingeführt hat, obwohl dieser ein Kernbestandteil des internen Risikomanagements ist (s. hierzu ausführlich Rz. 683 ff.). Die Verletzung dieses Handlungsmaßstabs führt zur Haftung des Vorstands für dadurch entstandene Schäden. Beispiel für einen schuldhaften IT-Compliance-Verstoß des Vorstands1: Ein Unternehmen beauftragt wegen einer System-Fehlermeldung mit ungeklärter Ursache einen Computer-Reparaturdienst mit der Ursachenforschung. Bei den Reparaturarbeiten stürzt der Unternehmensserver ab und es kommt zum Verlust zahlreicher Geschäftsdaten. Die Datensicherungsmaßnahmen des Unternehmens sehen noch nicht einmal eine monatliche Komplettsicherung der Datenbestände vor, so dass diese teilweise unwiederbringlich verloren sind.

513

Die Einrichtung einer zuverlässigen, zeitnahen und umfassenden Datensicherungsroutine stellt eine unternehmerische Pflicht dar. Deren Umsetzung obliegt dem Vorstand. In diesem Beispiel hat der Vorstand nicht einmal Maßnahmen zur monatlichen Komplettsicherung der Daten ergriffen. Dies hätte ein ordentlicher Vorstand jedoch getan, so dass eine schuldhafte Pflichtverletzung vorliegt. Diese führt zur Haftung des Vorstands für dadurch entstandene Schäden.

Für die Entstehung eines Anspruchs zugunsten der Gesellschaft ist es erforderlich, dass die Pflichtverletzung durch den Vorstand zu einem Schaden geführt hat, so dass ein Ursachenzusammenhang zwischen Pflichtverletzung und Schaden erforderlich ist.2 In diesem Fall ist vom Vorstand der Zustand herzustellen, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre, einschließlich des Ersatzes des entgangenen Gewinns.3

514

Beispiele für einen auf einem IT-Compliance-Verstoß beruhenden Schaden: – Ein Unternehmen wird von Kunden auf Schadensersatz in Anspruch genommen, weil es aufgrund eines Ausfalls der IT-Infrastruktur zu Verzögerungen vertraglicher Leistungen durch das Unternehmen gekommen ist. Ursache des IT-Ausfalls war ein Cyber-Angriff, der ermöglicht wurde, weil der Vorstand keine ausreichenden IT-Sicherheitsvorkehrungen getroffen hat. Aus diesem Grund kann das Unternehmen im Innenverhältnis den Schaden gegenüber dem Vorstand geltend machen. – Eine solche Konstellation ist auch denkbar, wenn Kunden geschädigt werden, weil deren Daten vom Unternehmen unsachgemäß aufbewahrt wurden. Die Unternehmensleitung ist für die ordnungsgemäße Umsetzung diesbezüglicher Rechtspflichten verantwortlich (s. Rz. 56 ff.).

515

Im Bereich der IT-Sicherheit sind Verletzungen entsprechender Rechtspflichten häufig bußgeldbewährt, bspw. im Datenschutzrecht (s. Rz. 232 ff.). Daher sollte Beachtung finden, dass die Gesellschaft auch ein ihr auferlegtes Bußgeld vom Vorstand zurückfordern kann, sofern dieses auf dessen schuldhafter Pflichtverletzung beruht.4 Dabei ist jedoch zu beachten, dass die Möglichkeit der Gesellschaft zum Regress beim

516

1 Angelehnt an OLG Hamm, Urt. v. 1.12.2003 – 13 U 133/03, MMR 2004, 487, 487 f. = CR 2004, 654. 2 Einzelheiten bei Spindler in MüKo-AktG, § 93 Rz. 196 f.; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 260 ff. 3 Spindler in MüKo-AktG, § 93 Rz. 192 m.w.N.; vgl. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 131 für das nachfolgende Beispiel. 4 Spindler in MüKo-AktG, § 93 Rz. 194; Koch in Hüffer/Koch, AktG, § 93 Rz. 48.

193

2021-11-22, 12:02, HB groß

H. Rz. 516 | Allgemeine Haftung für IT-Sicherheit

Vorstand davon abhängt, wen das Bußgeld zweckmäßig treffen soll.1 Handelt es sich um eine Sanktion, die gerade die Gesellschaft zulasten ihres Vermögens treffen soll, so widerspricht deren Entlastung durch die Inanspruchnahme des Vorstands diesem Zweck.2 Den wesentlichen Anwendungsfall der Bußgeldrückforderung bildet insbesondere § 30 OWiG (s. Rz. 612 f.).3 Im Übrigen muss die Regressmöglichkeit im konkreten Fall anhand des Zwecks der Geldbuße bestimmt werden. So sieht etwa Art. 83 DSGVO für Verstöße gegen das Datenschutzrecht ausschließlich Geldbußen gegen das Unternehmen vor,4 so dass systematisch einem Zurechnungsmodell vergleichbar mit § 30 OWiG eine gesetzgeberische Absage erteilt wurde und das Unternehmen für jede rechtswidrige Handlung von Personen – Organe oder nicht – haften soll, die berechtigt sind, für es zu handeln.5 Ein Regress des Unternehmens gegen den Vorstand für Bußgelder wegen Datenschutzverstößen, die auf dessen Leitungsund Organisationsverschulden zurückgeführt werden können, dürfte damit wohl ausscheiden.6 517

Für Pflichtverletzungen haften alle Vorstandsmitglieder, die ihre Pflichten schuldhaft verletzt haben, als Gesamtschuldner, so dass jedes Vorstandsmitglied gegenüber dem Unternehmen unabhängig vom eigenen Verursachungs- oder Verschuldensgrad für den gesamten Schaden haftet.7 Im Innenverhältnis untereinander haften die Vorstandsmitglieder jedoch ggf. abgestuft nach dem Grad ihres jeweiligen Verursachungsund Verschuldensbeitrags.8 Um eine Ersatzpflicht zu begründen, muss die Pflichtverletzung und das Verschulden jedes einzelnen Vorstandsmitglieds gesondert festgestellt werden.9 Daher bietet die Zuweisung von Ressortverantwortlichkeiten zwischen den Vorstandsmitgliedern eine Möglichkeit der Haftungsbeschränkung (dazu sogleich unter Rz. 524 ff.).

518

Weder ein Ausschluss noch die Milderung der Vorstandshaftung sind durch Satzung oder durch Anstellungsvertrag möglich.10 Eine Haftungsmilderung basierend auf anderen dogmatischen Grundlagen wird überwiegend abgelehnt.11 Auch ein Anspruchsverzicht kommt nur unter sehr eingeschränkten Voraussetzungen gem. § 93 Abs. 4 Satz 3, 4 AktG in Betracht, so dass diesem in der Praxis untergeordnete Relevanz zukommt. Das Gesetz billigt dem Vorstand immerhin die Möglichkeit zu, die 1 2 3 4 5 6 7 8 9 10 11

Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 56. Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 56. Mertens/Cahn in KölnKomm-AktG, Band 2/I, § 93 Rz. 56. Anders hingegen wohl die Bußgeldregelung in § 43 BDSG, vgl. Brodowski/Nowak in BeckOK-Datenschutzrecht, 37. Edition, 1.8.2021, § 43 BDSG Rz. 8 ff. Holländer in BeckOK-Datenschutzrecht, 37. Edition, 1.8.2021, Art. 83 DSGVO Rz. 11; Bergt in Kühling/Buchner, DSGVO, Art. 83 Rz. 20. Anders jedoch Grieger, WM 2021, 8, 10; Wybitul, ZD 2016, 253, 254; ähnlich Bergt in Kühling/Buchner, DSGVO, Art. 83 Rz. 24. Spindler in MüKo-AktG, § 93 Rz. 163. Spindler in MüKo-AktG, § 93 Rz. 163. Spindler in MüKo-AktG, § 93 Rz. 163. Ganz h.M., s. nur Koch in Hüffer/Koch, AktG, § 93 Rz. 2 mit zahlreichen Nachweisen. S. die Nachweise bei Wilhelmi, NZG 2017, 681, 681 ff., der eine Haftungsbeschränkung jedoch befürwortet.

194

2021-11-22, 12:02, HB groß

II. Haftungsverhältnisse im Unternehmen | Rz. 521 H.

Hauptversammlung über eine geplante Maßnahme entscheiden zu lassen, § 93 Abs. 4 Satz 1 AktG.1 Folgt er deren gesetzmäßigem Beschluss, so haftet er der Gesellschaft nicht. b) Grundlagen der Geschäftsführer-Haftung in der GmbH § 43 GmbHG – Haftung der Geschäftsführer […] (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.

Die Haftung der GmbH-Geschäftsführer nach § 43 Abs. 2 GmbHG entspricht im Wesentlichen der Haftung des Vorstands der AG, wobei die Geltendmachung diesbezüglicher Ansprüche eines Gesellschafterbeschlusses gem. § 46 Nr. 8 GmbHG bedarf. Ob und ggf. unter welchen Voraussetzungen einzelne Gesellschafter zur Anspruchsverfolgung berechtigt sind, wird sehr unterschiedlich beurteilt.2

519

Der wesentliche Unterschied gegenüber der Haftung zum Vorstand der AG liegt in der Möglichkeit zur Vereinbarung einer Haftungsmilderung. In der Satzung oder im Anstellungsvertrag kann im Vorfeld der Anspruchsentstehung die Haftung der Geschäftsführungsmitglieder begrenzt werden, indem z.B. ein anderer Verschuldensmaßstab oder eine verkürzte Verjährungsfrist vereinbart werden.3 In der Praxis wird vielfach eine Reduzierung des Verschuldensmaßstabs auf grobe Fahrlässigkeit und/ oder Vorsatz vorgenommen.4 Anders als § 93 AktG kennt das GmbHG keine gesetzlichen Einschränkungen für den Verzicht auf oder den Vergleich über Schadensansprüche der Gesellschaft gegen ihre Geschäftsführer.5 Daher sind sowohl Verzicht als auch Vergleich grundsätzlich zulässig.6 Die Entscheidung darüber obliegt gem. § 46 Nr. 8 GmbHG den Gesellschaftern.

520

c) Praxislösung: D&O-Versicherung Auch wenn das Gesetz einen Haftungsausschluss zugunsten der Geschäftsleitung nicht zulässt und auch Haftungsbeschränkungen nicht oder nur sehr eingeschränkt in Betracht kommen, besteht ein Interesse nach einer für sie günstigen Haftungsregelung. In der Praxis hat sich als Lösung der Abschluss einer sog. D&O-Versicherung (kurz

1 S. auch Grunewald, Gesellschaftsrecht, 2.C., Rz. 55. 2 Fleischer in MüKo-GmbHG, § 43 Rz. 320, 324; Beurskens in Baumbach/Hueck, GmbHG, § 43 Rz. 74 jeweils m.w.N. 3 BGH, Urt. v. 16.9.2002 – II ZR 107/01, NJW 2002, 3777, 3778 = GmbHR 2002, 1197; OLG Stuttgart, Urt. v. 26.5.2003 – 5 U 160/02, GmbHR 2003, 835, 837; ausführliche Darstellung der Rechtsentwicklung bei Fleischer in MüKo-GmbHG, § 43 Rz. 298 ff. sowie Ziemons/ Pöschke in BeckOK-GmbHG, 49. Edition, 1.8.2021, § 43 Rz. 299.1 ff. 4 Vgl. hierzu Fleischer in MüKo-GmbHG, § 43 Rz. 312; zu den Schwierigkeiten in der Praxis vgl. Freund, NZG 2021, 579, 581. 5 Fleischer in MüKo-GmbHG, § 43 Rz. 281. 6 Fleischer in MüKo-GmbHG, § 43 Rz. 281 m.w.N.

195

2021-11-22, 12:02, HB groß

521

H. Rz. 521 | Allgemeine Haftung für IT-Sicherheit

für: Directors–and-Officers-Versicherung) bewährt. Dabei handelt es sich um eine gesellschaftsfinanzierte Haftpflichtversicherung, die sich zu einem versicherungsrechtlichen Standardprodukt entwickelt hat.1 Diese ist bei Aktiengesellschaften nahezu flächendeckend anzutreffen und spielt auch in der GmbH eine zunehmend wichtige Rolle.2 Sie ermöglicht den versicherungsrechtlichen Schutz der Geschäftsleitungsmitglieder vor Haftungsrisiken im Innen- wie Außenverhältnis des Unternehmens.3 Auch wenn die Versicherung von der Gesellschaft getragen wird, ist die Geschäftsleitung grundsätzlich für deren Abschluss zuständig.4 522

Dieser faktische Haftungsausschluss scheint auf den ersten Blick mit dem Grundgedanken der Verantwortlichkeit der Geschäftsleitung für eine sorgfältige Geschäftsführung unvereinbar. Im Aktienrecht wird eine Prävention gegen Pflichtverletzungen des Vorstands aufgrund seiner Haftungsfreistellung jedoch gesetzlich über § 93 Abs. 2 Satz 3 AktG erreicht. Dieser verpflichtet die Gesellschaft dazu, beim Abschluss der D&O-Versicherung einen Selbstbehalt zulasten der Vorstandsmitglieder vorzusehen. Der Selbstbehalt dient der Abschreckung der Vorstandsmitglieder und damit der Verhinderung von Pflichtverletzungen.5 Eine Übertragung der Pflicht zur Vereinbarung eines Selbstbehalts auf die GmbH kommt allerdings nicht in Betracht.6 d) Haftungsbeschränkung durch Zuweisung von Verantwortlichkeiten

523

Eine weitere praktische Möglichkeit zur Einschränkung des Haftungsrisikos für die Geschäftsleitung bietet die Zuweisung von Ressortverantwortlichkeiten (s. Rz. 37 ff.) oder die vertikale Delegation von Verantwortlichkeiten. aa) Horizontale Delegation: Ressortverantwortlichkeiten

524

Bei der Zuweisung von Ressortverantwortlichkeiten innerhalb des Vorstands wird eine Haftungsbeschränkung über die Modifikation des Pflichtenkreises der einzelnen Mitglieder der Geschäftsleitung erreicht. Die Geschäfte und Aufgaben werden durch die Satzung, die Geschäftsordnung oder im Anstellungsvertrag auf die einzelnen Geschäftsleitungsmitglieder verteilt.7 Auf diese Weise wird organisatorisch eine Abgrenzung nach bestimmten Geschäftsbereichen erreicht, so dass bspw. die IT-Sicherheit einen einzelnen Geschäftsbereich darstellt.8 Mittels der Ressortverteilung trägt jedes Geschäftsleitungsmitglied dann zunächst die volle Verantwortung für das

1 2 3 4 5 6 7 8

Fleischer in MüKo-GmbHG, § 43 Rz. 374 m.w.N. Fleischer in MüKo-GmbHG, § 43 Rz. 374 m.w.N. Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 279. Zu den Einzelheiten Spindler in MüKo-AktG, § 93 Rz. 248; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 281. Deutscher Bundestag, Drucksache 16/13433, S. 11; Koch in Hüffer/Koch, AktG, § 93 Rz. 58. Spindler in MüKo-AktG, § 93 Rz. 220 m.w.N. Spindler in MüKo-AktG, § 93 Rz. 169. Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 75.

196

2021-11-22, 12:02, HB groß

II. Haftungsverhältnisse im Unternehmen | Rz. 528 H.

ihm zugewiesene Aufgabengebiet, so dass es für die nicht für IT-Sicherheit zuständigen Geschäftsleitungsmitglieder haftungsrechtlich zu einer Entlastung kommt.1 Die Entlastung beruht auf dem Umstand, dass sich Inhalt und Ausmaß der Sorgfaltspflicht für die nicht zuständigen Mitglieder der Geschäftsleitung wandeln: sie müssen den Ressortverantwortlichen für IT-Sicherheit bei dessen Pflichtenerfüllung überwachen (s. Rz. 37 ff.).2 Der Umfang dieser Überwachungspflicht ist einzelfallabhängig. Kommt es zu einem IT-Compliance-Verstoß, können die nicht für IT-Sicherheit verantwortlichen Mitglieder der Geschäftsleitung nachweisen, dass sie sich z.B. über Reportings über die Tätigkeit des IT-Ressortverantwortlichen in ausreichender Weise kundig gemacht haben, so dass ihrerseits keine Pflichtverletzung vorliegt und sie nicht haften.3

525

Praxistipp zur Verteilung von Ressortverantwortlichkeiten: Wesentlich für die Haftungsbeschränkungen der Geschäftsleitungsmitglieder durch die Verteilung von Ressortverantwortlichkeiten ist, dass die Aufgabenbereiche eindeutig, klar und überschneidungsfrei festgelegt sind. Überdies sollte die gegenseitige Überwachung der Ressorttätigkeiten zu Beweiszwecken im Haftungsfall ausreichend dokumentiert werden.

526

Aus diesem Grund ist sowohl eine schriftliche Fixierung der Geschäftsverteilungsabsprache als auch die schriftliche Dokumentation der Überwachungsbemühungen ratsam.

Es sollte Beachtung finden, dass sich die Überwachungspflicht der nicht-zuständigen Geschäftsleitungsmitglieder während Krisensituationen, wie bei einem IT-Sicherheitsvorfall, intensiviert.4 Dies ist auch der Fall, sofern Anhaltspunkte bestehen, dass der IT-Ressortverantwortliche die ihm zugewiesenen Aufgaben nicht ordnungsgemäß wahrnimmt, weil dadurch eine Pflicht der übrigen Geschäftsleiter zum Einschreiten entsteht.5

527

bb) Vertikale Delegation Die bei der Geschäftsleitung liegende Pflicht zur Umsetzung von IT-Sicherheit im Unternehmen lässt sich grundsätzlich auch an andere Organisationsebenen im Unternehmen – also vertikal – delegieren. Die Geschäftsleitung delegiert dann die Umsetzung der IT-Sicherheitspflichten an Mitarbeiter und Dritte (Auftragnehmer, insbesondere externe IT-Sicherheitsbeauftragte) durch Vertrag oder im Rahmen vertraglicher Weisungen.6

1 Spindler in MüKo-AktG, § 93 Rz. 169 m.w.N. 2 Spindler in MüKo-AktG, § 93 Rz. 170 m.w.N. 3 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 75; s. ebenda Rz. 76, sowie Spindler in MüKo-AktG, § 93 Rz. 171 für den nachfolgenden Praxistipp. 4 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 76. 5 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 76. 6 Roth/Schneider, ITRB 2005, 19, 20.

197

2021-11-22, 12:02, HB groß

528

H. Rz. 529 | Allgemeine Haftung für IT-Sicherheit 529

Beispiel für eine vertikale Delegation1: Ein Unternehmen muss aufgrund von Änderungen im IT-Sicherheitsrecht eine Softwareanpassung vornehmen. Die Geschäftsleitung führt die Anpassung der Software mangels vorhandener Expertise nicht selbst aus, sondern verlagert diese auf eine untere Hierarchieebene. Die Verantwortlichkeit liegt bei dem für dieses Projekt eingesetzten Projektleiter, der die Umsetzung der rechtlichen Anforderungen eigenständig organisiert und überwacht.

530

Die IT-Sicherheitspflichten der Geschäftsleitung wandeln sich hier: Sie ist einerseits zur sorgfältigen Auswahl und andererseits zur Aufsicht über den ihr unterstellten Verantwortlichen verpflichtet.2 Möchte sich die Geschäftsleitung im Falle einer Pflichtverletzung durch den Verantwortlichen entlasten, muss sie den Nachweis einer sorgfältigen Auswahl, Instruktion und Überwachung erbringen, nicht jedoch den über die Erfüllung der IT-Sicherheitspflicht selbst.3 Die Handlungsverantwortung trifft den entsprechenden externen Auftragnehmer oder Mitarbeiter. Um eine effektive Entlastung für die Geschäftsleitung auf diese Weise erreichen zu können, sind deren Pflichten insbesondere beim Abschluss von Verträgen mit externen Dienstleistern weitreichend.4 Die Geschäftsleitung muss die IT-Sicherheitspflicht an sachgerecht ausgewählte, kompetente und der Aufgabe gemäß angemessen ausgebildete Personen delegieren.5 Auch eine laufende Kontrolle des externen Beauftragten ist erforderlich; dies umfasst nicht nur fortwährende Überprüfungen, sondern zugleich stichprobenartige Kontrollen und im Bedarfsfall das Ergreifen weiterer Aufsichtsmaßnahmen.6 All diese Bemühungen sind durch die Geschäftsleitung zu dokumentieren, um im Haftungsfall nachweisen zu können, dass eine effektive Verlagerung der Verantwortlichkeiten tatsächlich stattgefunden hat.7 Ausgehend von diesem Organisations- und Umsetzungsaufwand sollte die Geschäftsleitung die praktische Möglichkeit zur Haftungserleichterung über die vertikale Delegation von Verantwortlichkeiten kritisch überprüfen. e) Exkurs: Haftung des Aufsichtsrats der AG

531

In der AG besteht die Besonderheit, dass die Tätigkeit des Vorstands der Kontrolle durch den Aufsichtsrat unterliegt, so dass dieser nachgelagert die Verantwortlichkeit für die Erreichung und Einhaltung von IT-Sicherheit trägt (s. Rz. 32 ff.). Gem. § 116 Satz 1 AktG haftet der Aufsichtsrat nach den Grundsätzen der Vorstandshaftung (s. Rz. 511 ff.) gegenüber der Gesellschaft für Schäden, die durch eine schuldhafte Verletzung seiner Pflichten eintreten. Die Geltendmachung der Ansprüche obliegt dem Vorstand.8 In Bezug auf die IT-Compliance des Unternehmens ist besonders das Haftungsrisiko für eine mangelnde Kontrolle der Vorstandstätigkeiten von Be-

1 2 3 4 5 6 7 8

Lensdorf, CR 2007, 413, 416. Roth/Schneider, ITRB 2005, 19, 20 f. Rodewald/Unger, BB 2006, 113, 115; Lensdorf, CR 2007, 413, 416. Lensdorf, CR 2007, 413, 416. Lensdorf, CR 2007, 413, 416 m.w.N. Lensdorf, CR 2007, 413, 416 m.w.N. Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 26. Habersack in MüKo-AktG, § 116 Rz. 77.

198

2021-11-22, 12:02, HB groß

II. Haftungsverhältnisse im Unternehmen | Rz. 534 H.

deutung.1 Eine laufende Überwachung des Vorstands kann vom Aufsichtsrat nicht in dem Sinne erwartet werden, dass er einzelne Geschäftsvorfälle, Zahlungseingänge und Buchungsunterlagen prüft.2 Der Aufsichtsrat kann sich grundsätzlich auf die Informationsversorgung durch den Vorstand über den Stand der IT-Sicherheit verlassen, sofern er für eine hinreichende Berichtsorganisation gesorgt hat, aber muss bei Hinweisen auf existenzgefährdende Geschäftsführungsmaßnahmen und in Krisenzeiten seine Kontrolltätigkeiten verstärken.3 Ein Haftungsentlastung kann für den Aufsichtsrat wie beim Vorstand über den Abschluss einer D&O-Versicherung (s. Rz. 521 f.) erreicht werden, wobei die Vereinbarung eines Selbstbehalts durch die Gesellschaft zulasten des Aufsichtsrats nicht vorgesehen ist.4 Der haftungsauslösenden, unzureichenden Kontrolltätigkeit des Aufsichtsrats geht regelmäßig ein ihm entgangenes Fehlverhalten des Vorstands voraus, der deswegen seinerseits haften muss.5 Vorstands- und Aufsichtsratsmitglieder haften in diesem Fall gesamtschuldnerisch.6 Dabei können im Innenverhältnis der Gesamtschuldner die handelnden Vorstandsmitglieder zwar stärker herangezogen werden als Aufsichtsratsmitglieder, die den Schaden nur nicht verhindert haben; eine alleinige Verantwortlichkeit der Vorstandsmitglieder dürfte indes kaum in Betracht kommen.7

532

2. Haftung der Geschäftsleitung gegenüber den Aktionären bzw. Gesellschaftern Die Regelungen zur Organhaftung der Geschäftsleitung gegenüber der Gesellschaft bewirken eine Haftungskonzentration, die dafür sorgen soll, dass eine Schadensersatzleistung der Geschäftsleitung allen Aktionären/Gesellschaftern in gleicher Weise zugutekommt.8 Somit wird gesetzlich einer unmittelbaren Haftung der Geschäftsleitung gegenüber den Aktionären/Gesellschaftern grundsätzlich eine Absage erteilt.9 In begrenztem Umfang kommen allerdings Ausnahmen, insbesondere im Bereich des Deliktsrechts, in Betracht. Diese sind im Bereich der IT-Sicherheit allerdings von untergeordneter Relevanz.

533

In Betracht kommen Schadensersatzansprüche der Aktionäre/Gesellschafter gegen die Geschäftsleitung aus § 823 Abs. 2 BGB i.V.m. einem Schutzgesetz zugunsten der Aktionäre/Gesellschafter.10 Dafür ist es u.a. erforderlich, dass die Geschäftsleitung

534

1 2 3 4 5 6 7 8 9

Vgl. Koch in Hüffer/Koch, AktG, § 116 Rz. 15. Koch in Hüffer/Koch, AktG, § 116 Rz. 15. Koch in Hüffer/Koch, AktG, § 116 Rz. 15 m.w.N. Spindler in BeckOGK-AktG, 1.6.2021, § 116 Rz. 201 ff. Grunewald, Gesellschaftsrecht, 2.C., Rz. 95. Habersack in MüKo-AktG, § 116 Rz. 78. Habersack in MüKo-AktG, § 116 Rz. 78 m.w.N. Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 375 m.w.N. Spindler in MüKo-AktG, § 93 Rz. 336; auch im GmbH-Recht entspricht die Haftungskonzentration bei der Gesellschaft der ganz h.M. Fleischer in MüKo-GmbHG, § 43 Rz. 335 m.w.N. 10 Fleischer in MüKo-GmbHG, § 43 Rz. 338 m.w.N.; Beurskens in Baumbach/Hueck, GmbHG, § 43 Rz. 112.

199

2021-11-22, 12:02, HB groß

H. Rz. 534 | Allgemeine Haftung für IT-Sicherheit

eine gesetzliche Bestimmung verletzt, die zumindest auch den Schutz der Aktionäre/ Gesellschafter bezwecken soll.1 Die Schutzgesetzeigenschaft gesellschaftsrechtlicher Bestimmungen wird dabei im Einzelnen teilweise intensiv diskutiert, wobei die für die IT-Compliance-Pflicht der Geschäftsleitung maßgeblichen § 93 Abs. 2 AktG und § 43 Abs. 2 GmbHG diese Eigenschaft unbestritten nicht aufweisen.2 535

Auch ein deliktischer Schadensersatzanspruch der Aktionäre/Gesellschafter gegen die Geschäftsleitung auf Grundlage von § 823 Abs. 1 BGB ist nur schwer denkbar. Zwar ist die Geschäftsleitung grundsätzlich zum Ersatz von Schäden verpflichtet, welche durch die vorsätzliche oder fahrlässige widerrechtliche Verletzung „sonstiger“ Rechte der Aktionäre/Gesellschafter entstehen, wobei deren Mitgliedschaftsrecht eine geschützte Rechtsposition ist.3 Allerdings bereitet die Bestimmung des Schutzbereichs dieses Mitgliedschaftsrechts im Einzelnen Schwierigkeiten, da nicht jede Beeinträchtigung von Mitgliedsinteressen eine Haftung der Geschäftsleitung auslösen soll.4 So besteht Einigkeit darüber, dass die Beeinträchtigung reiner Vermögensinteressen der Aktionäre keinen deliktischen Anspruch gegenüber der Geschäftsleitung auslösen kann, da die Geltendmachung entsprechender Ansprüche ausschließlich der Gesellschaft zustehen soll (s. Rz. 509 ff.).5 Für eine Anspruchsentstehung ist es vielmehr erforderlich, dass durch einen IT-Compliance-Verstoß in die Substanz des Mitgliedschaftsrechts, welches aus verschiedenen Mitverwaltungs-, Informationsund Vermögensrechten besteht, eingegriffen wird.6 Im Bereich der IT-Sicherheit ist eine solche Konstellation – nicht zuletzt aufgrund der soeben beschriebenen Rechtsunsicherheit – schwer vorstellbar.

536

Negativbeispiel für die Haftung der Geschäftsleitung gegenüber Aktionären7: Weil die Geschäftsleitung nicht für eine ausreichende IT-Compliance gesorgt hat, kommt es in einem börsennotierten Unternehmen zu einem IT-Sicherheitsvorfall. Informationen darüber gelangen medienwirksam an die Öffentlichkeit und das Unternehmen erleidet einen erheblichen Reputationsverlust. Infolgedessen sinkt der Kurswert der Unternehmensaktien am Kapitalmarkt. Aktionär A möchte die Geschäftsleitung wegen des geminderten Werts seiner Aktien in Anspruch nehmen. Ein Anspruch aus § 823 Abs. 2 BGB i.V.m. § 93 Abs. 2 AktG wegen der Verletzung der ITCompliance-Pflichten scheidet aus, da die Vorschriften nicht den Schutz der Aktionäre, sondern der Gesellschaft bezwecken. Ein Anspruch aus § 823 Abs. 1 BGB gegen die Geschäfts-

1 Koch in Hüffer/Koch, AktG, § 93 Rz. 61. 2 Zu den näheren Einzelheiten s. etwa Koch in Hüffer/Koch, AktG, § 93 Rz. 61 sowie Beurskens in Baumbach/Hueck, GmbHG, § 43 Rz. 118. 3 BGH, Urt. v. 12.3.1990 – II ZR 179/89, BGHZ 110, 323, 334 ff. = MDR 1990, 901; Wagner in MüKo-BGB, § 823 Rz. 351 m.w.N.; Fleischer in MüKo-GmbHG, § 43 Rz. 337 m.w.N. 4 Koch in Hüffer/Koch, AktG, § 93 Rz. 64 m.w.N.; s. zur näheren Begründung auch Fleischer in MüKo-GmbHG, § 43 Rz. 337; Spindler in MüKo-AktG, § 93 Rz. 338. 5 Spindler in MüKo-AktG, § 93 Rz. 338; Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 172; OLG Stuttgart, Urt. v. 8.2.2006 – 20 U 24/04, NJOZ 2006, 1592, 1598 = AG 2006, 383 m.w.N. 6 Koch in Hüffer/Koch, AktG, § 93 Rz. 64; Wagner in MüKo-BGB, § 823 Rz. 307 m.w.N. 7 Angelehnt an Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 172; Spindler in MüKo-AktG, § 93 Rz. 338.

200

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 539 H. leitung kommt ebenfalls nicht in Betracht, da die Wertminderung der Aktien keines der von der Vorschrift geschützten Rechtsgüter verletzt: Das Vermögen des Aktionärs als solches ist kein schutzfähiges Rechtsgut und auch sein Mitgliedschaftsrecht wird durch die Wertminderung der Geschäftsanteile nicht in seinem Kernbestand angegriffen. Informations-, Mitverwaltungs- und Vermögensrechte als Aktionär bestehen trotz der Wertminderung grundsätzlich fort. A stehen daher keine direkten Schadensersatzansprüche gegen die Geschäftsleitung zu. & Das Wesentliche in Kürze:

537

Im Unternehmen erfolgt eine Haftungskonzentration: Die Verantwortlichkeit der Geschäftsleitung zur Erreichung von IT-Sicherheit führt im Verletzungsfall zu deren Haftung: – gegenüber der Gesellschaft (vgl. § 93 Abs. 2 AktG, § 43 GmbHG) fi in der Praxis weitgehende Entlastung durch Abschluss einer D&O-Versicherung – gegenüber Aktionären/Gesellschaftern wegen Verletzung ihrer Mitgliedschaftsrechte nur in Ausnahmefällen fi in der Praxis bei IT-Sicherheitsverstößen kaum denkbar

III. Haftung des Unternehmens gegenüber Dritten Abweichend von der Haftung für IT-Sicherheitsdefizite innerhalb des Unternehmens konzentrieren sich die Ansprüche Dritter überwiegend auf das Unternehmen als solches. Damit haben Unternehmen nicht nur die unmittelbaren negativen Folgen eines IT-Sicherheitsvorfalls zu tragen (s. Rz. 12 ff.), sondern sehen sich darüber hinaus Ansprüchen von Vertragspartnern und anderen Dritten ausgesetzt.1 Das Unternehmen steht im Außenverhältnis grundsätzlich für Pflichtverletzungen der Gesellschaftsorgane, insbesondere der Geschäftsleitung, und seiner Mitarbeiter ein. Die Grundlage hierfür bilden regelmäßig vertragliche Pflichten des Unternehmens gegenüber Geschäftspartnern und Kunden (s. unter Rz. 544 ff.), sowie deliktische Ansprüche auf der Grundlage organisatorischer IT-Sicherheitsdefizite im Unternehmen (s. Rz. 572 ff.). Eine mit nicht unerheblicher Rechtsunsicherheit verbundene Abweichung von dieser Situation ergibt sich aus der zunehmend anerkannten Haftung der Geschäftsleitung für Pflichtverletzungen im Außenverhältnis (s. nachfolgend Rz. 539 ff.).

538

1. Haftung der Geschäftsleitung im Außenverhältnis Die Geschäftsleitung wird über ihre Haftung gegenüber der Gesellschaft (s. Rz. 510 ff.) zur ordnungsgemäßen Erfüllung ihrer Compliance-Pflichten verpflichtet. Über diese Haftungskonzentration wird einer Inanspruchnahme der Geschäftsleitung für etwaige IT-Compliance-Defizite durch Dritte grundsätzlich eine Absage erteilt.2 Daraus, dass die Umsetzung von IT-Sicherheit im Unternehmen Geschäftsleitungsaufgabe ist, können Dritte somit keine unmittelbaren Ansprüche ableiten. Eine Außenhaf1 Mehrbrey/Schreibauer, MMR 2016, 75, 80. 2 S. etwa BGH, Urt. v. 10.7.2012 – VI ZR 341/10, NJW 2012, 3439, 3441 = GmbHR 2012, 964; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 375 m.w.N.

201

2021-11-22, 12:02, HB groß

539

H. Rz. 539 | Allgemeine Haftung für IT-Sicherheit

tung der Geschäftsleitung kommt daher nur in begrenztem Umfang aufgrund besonderer Anspruchsgrundlagen in Betracht.1 Letztere können sich gegen den Vorstand aus Vertrags- oder Deliktsrecht ergeben. Besonders im Deliktsrecht hat der Grundsatz des Haftungsausschlusses nach außen eine erhebliche Aufweichung erfahren. a) Geringe Praxisrelevanz: Vertragsrecht 540

Eine vertragliche Haftung setzt grundsätzlich den Abschluss eines Vertrags zwischen einem Geschäftsleiter persönlich und dem anspruchsstellenden Dritten, bspw. einem Kunden oder Geschäftspartner, voraus.2 Dabei könnte es sich prinzipiell um Garantie- oder Bürgschaftsversprechen für Verbindlichkeiten der Gesellschaft handeln. Allerdings haben Mitglieder der Geschäftsleitung in der Praxis kaum Interesse daran, aufgrund einer eigenen Verpflichtung persönlich für vertragliche IT-Sicherheitspflichten (s. Rz. 96 ff.) der Gesellschaft zu haften. Auch Verträge der Gesellschaft mit Dritten können grundsätzlich eine Eigenhaftung einzelner Geschäftsleitungsmitglieder nach § 280 Abs. 1 BGB i.V.m. § 311 Abs. 3 BGB begründen (sog. Eigenhaftung Dritter nach culpa in contrahendo). Voraussetzung ist allerdings, dass ein Geschäftsleiter am in Rede stehenden Vertrag ein erhebliches unmittelbares wirtschaftliches Eigeninteresse hat oder dass er bei den Vertragsverhandlungen in besonderem Maße persönliches Vertrauen in Anspruch genommen und den Vertragsschluss dadurch erheblich beeinflusst hat.3 Besonders letztere Fallgruppe ist von praktischer Relevanz, stellt aber hohe Voraussetzungen an die Vertrauensposition der Geschäftsleitung. Das Geschäftsleitungsmitglied muss eine über normales Verhandlungsvertrauen hinausgehende, persönliche Gewähr für die Seriosität und Erfüllung des Vertrags geboten haben.4 Derart weitreichende Zusicherungen im Bereich der IT-Sicherheit sind kaum vorstellbar. b) Gesteigerte Praxisrelevanz: Deliktsrecht

541

Eine steigende Bedeutung der Geschäftsleiterhaftung im Außenverhältnis wird im Deliktsrecht deutlich. Erfüllt die Handlung eines Geschäftsleitungsmitglieds unmittelbar alle Tatbestandsmerkmale des § 823 Abs. 1 BGB – verkürzt gesagt: die schuldhafte Verletzung absolut geschützter Rechtsgüter –, haftet der Geschäftsleiter dem betroffenen Dritten auf Schadensersatz.5 Diesbezüglich hat die Außenhaftung der Geschäftsleiter durch die Rechtsprechung in der Vergangenheit eine erhebliche Ausweitung erfahren.6 So können die Verletzungen der Organisationspflichten der Ge-

1 2 3 4

Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 376 m.w.N. Kraft/Hoffmann-Becking in Münchner Hdb. d. GesellschaftsR, Band 4, § 26 Rz. 54. Schulze in Schulze, BGB, § 311 Rz. 19 m.w.N. Kraft/Hoffmann-Becking in Münchner Hdb. d. GesellschaftsR, Band 4, § 26 Rz. 55 m.w.N.; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 380 m.w.N. 5 Kraft/Hoffmann-Becking in Münchner Hdb. d. GesellschaftsR, Band 4, § 26 Rz. 56 m.w.N.; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 381. 6 S. dazu die Darstellungen bei Kraft/Hoffmann-Becking in Münchner Hdb. d. GesellschaftsR, Band 4, § 26 Rz. 57 ff.; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 382 ff.

202

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 542 H.

schäftsleitung im Bereich der IT-Compliance (s. Rz. 32 ff.) zu deren Haftung führen, wenn sich die IT-Sicherheitsdefizite im Außenverhältnis des Unternehmens gegenüber Dritten niedergeschlagen haben.1 Ein Beispiel dafür bilden Produktmängel, die auf fehlerhafter, IT-gesteuerter Produktion basieren.2 Ob Organisationsverschulden generell zur deliktischen Haftung der Geschäftsleitung führt, lässt sich der Rechtsprechung des BGH nicht eindeutig entnehmen.3 In der Vergangenheit stellte der BGH zunächst einen grundsätzlichen Zusammenhang zwischen den Organisations- und Verkehrssicherungspflichten der Gesellschaft und dem Sachgebiet der zuständigen Geschäftsleitung her.4 Zuletzt positionierte sich der BGH gegen eine grundsätzliche Außenhaftung der Geschäftsführung für die Verletzung ihrer Compliance-Pflichten.5 Auch wenn deliktische Ansprüche gegen Geschäftsleiter auf Grundlage von § 823 Abs. 1 BGB damit vermutlich an Bedeutung verlieren werden, besteht eine gewisse Rechtsunsicherheit diesbezüglich fort.6 Um auch das Risiko einer persönlichen deliktischen Eigenhaftung der Geschäftsleitung zu minimieren, ist eine gewissenhafte Umsetzung der IT-Compliance auf allen Organisationsebenen im Unternehmen erforderlich (s. auch die Praxishinweise Rz. 618 ff.).7 Eine deliktische Außenhaftung der Geschäftsleitung kann sich überdies aus § 823 Abs. 2 BGB i.V.m. einem verletzten Schutzgesetz ergeben.8 Dafür ist erforderlich, dass die von der Geschäftsleitung verletzte Vorschrift zumindest auch den Schutz Dritter bezweckt, wobei dies anerkanntermaßen weder bei § 93 AktG noch bei § 43 GmbHG der Fall ist (s. auch Rz. 533 ff.). Verpflichtet ein Schutzgesetz jedermann zu einem bestimmten Verhalten, bereitet die Anwendung von § 823 Abs. 2 BGB bei unmittelbaren Verletzungshandlungen durch Geschäftsleitungsmitglieder keine besonderen Schwierigkeiten.9 Trifft ein Gesetz die Geschäftsleitung jedoch gerade in ihrer Funktion als Gesellschaftsorgan, fällt die Begründung einer deliktischen Haftung im Hinblick auf das Prinzip der Haftungskonzentration gegenüber der Gesellschaft schwerer.10 Eine hinreichend klare Systematik zur Bestimmung von auf die Geschäfts-

1 Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 26; Lensdorf, CR 2007, 413, 415. 2 Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 26; Lensdorf, CR 2007, 413, 415. 3 Schultze-Petzold in von Rechenberg/Ludwig, Kölner Hdb. Handels- und GesellschaftsR, Kapitel 13, Rz. 804. 4 BGH, Urt. v. 5.12.1989 – VI ZR 335/88, NJW 1990, 976, 976 ff. = MDR 1990, 425; Schultze-Petzold in von Rechenberg/Ludwig, Kölner Hdb. Handels- und GesellschaftsR, Kapitel 13, Rz. 805. 5 BGH, Urt. v. 10.7.2012 – VI ZR 341/10, NJW 2012, 3439, 3442 = GmbHR 2012, 964; Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 384. 6 Kraft/Hoffmann-Becking in Münchner Hdb. d. GesellschaftsR, Band 4, 4. Aufl., § 26 Rz. 56. 7 Schultze-Petzold in von Rechenberg/Ludwig, Kölner Hdb. Handels- und GesellschaftsR, Kapitel 13, Rz. 810. 8 Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 389 m.w.N. 9 Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 389. 10 Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 389.

203

2021-11-22, 12:02, HB groß

542

H. Rz. 542 | Allgemeine Haftung für IT-Sicherheit

leitung anwendbaren Schutzgesetzen hat sich bisher nicht entwickelt.1 Besonders im Bereich des IT-Sicherheitsrechts fehlt es an Kasuistik. 543

§ 826 BGB begründet die Haftung von Geschäftsleitungsmitgliedern für eine sittenwidrige vorsätzliche Schädigung Dritter. Dabei haben sich zwei relevante Fallgruppen herausgebildet: ein Fehlverhalten der Geschäftsleitung in Unternehmenskrisen (= Insolvenzverschleppung, die zur Schädigung der Unternehmensgläubiger führt) sowie deren fehlerhafte Kapitalmarktkommunikation (= Täuschung des Kapitalmarkts durch unrichtige Mitteilungen).2 Beide Fallgruppen spielen im Bereich der IT-Sicherheit allenfalls im Falle von IT-Sicherheitsvorfällen mit gravierenden Folgen für die wirtschaftliche Lage des Unternehmens eine Rolle. 2. Vertragliche Haftung des Unternehmens

544

Wie bereits aufgezeigt (s. Rz. 538 ff.) stellt die Inanspruchnahme des Unternehmens den Regelfall dar. So basiert die Haftung häufig darauf, dass IT-Sicherheit zumeist eine unternehmensseitig geschuldete Vertragspflicht ist (s. Rz. 96 ff.). Mit der fortschreitenden Digitalisierung nimmt die Einhaltung von IT-Sicherheitsstandards nicht nur für Unternehmen, sondern auch für deren Vertragspartner eine immer wichtigere Rolle ein. Nicht nur bei der Veräußerung oder Bereitstellung von IT-Produkten, sondern auch bei der unternehmensseitigen Erbringung von Leistungen mit starkem ITBezug stellt IT-Sicherheit regelmäßig eine Leistungspflicht dar. Auch Verträge, die auf den ersten Blick keinen Bezug zur IT-Sicherheit aufweisen, verpflichten das Unternehmen zum Schutz der Rechte und Rechtsgüter seiner Vertragspartner regelmäßig zur Aufrechterhaltung von IT-Sicherheit. Da die eigene IT-Sicherheit für Unternehmen damit auch beim Abschluss von Verträgen eine große Rolle spielt, besteht diesbezüglich ein entsprechend hohes Haftungsrisiko. Gleichlaufend ergibt sich ein entsprechendes Interesse des Unternehmens daran, einen möglichst umfassenden Haftungsausschluss für vertraglich geschuldete IT-Sicherheit zu erreichen. a) Grundlagen der vertraglichen Haftung § 280 BGB – Schadensersatz wegen Pflichtverletzung (1) Verletzt der Schuldner eine Pflicht aus dem Schuldverhältnis, so kann der Gläubiger Ersatz des hierdurch entstehenden Schadens verlangen. Dies gilt nicht, wenn der Schuldner die Pflichtverletzung nicht zu vertreten hat. […]

545

Kommt es zu IT-Sicherheitsvorfällen im Unternehmen, können diese ganz verschiedenartige Auswirkungen auf die Vertragsbeziehungen zu Kunden und Geschäftspartnern haben. So können sie die Erbringung der vertraglichen Leistung am richtigen Ort, zur richtigen Zeit und in der richtigen Art und Weise ganz oder teilweise 1 Kraft/Hoffmann-Becking in Münchner Hdb. d. GesellschaftsR, Band 4, 4. Aufl., § 26 Rz. 56. 2 S. zu den Einzelheiten Fleischer in BeckOGK-AktG, 1.6.2021, § 93 Rz. 391 ff. mit zahlreichen Nachweisen; auch Kraft/Hoffmann-Becking in Münchner Hdb. d. GesellschaftsR, Band 4, § 26 Rz. 58.

204

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 547 H.

verhindern oder erschweren, wodurch dem Vertragspartner Schäden entstehen können.1 Auch bei ordnungsgemäßer Erbringung der Leistung können mit der Verletzung von IT-Sicherheits-Nebenpflichten (s. Rz. 134 ff.) Schädigungen des Vertragspartners verbunden sein. Durch entsprechende Pflichtverletzungen sehen sich Unternehmen häufig erheblichen Schadensersatzansprüchen ihrer Vertragspartner ausgesetzt. Die zentrale normative Grundlage bilden dabei die §§ 280 ff. BGB.2 Beachtung finden sollten allerdings gewährleistungsrechtliche Sonderregelungen auf Grundlage des jeweils anwendbaren Vertragstyps, etwa einem Kauf-, Miet- oder Werkvertrag.3 aa) Pflichtverletzung Um von Vertragspartnern in Anspruch genommen werden zu können, muss das Unternehmen zunächst eine Pflichtverletzung begangen haben. Erfasst werden sämtliche Formen der Pflichtverletzung, also jedes objektiv nicht dem Schuldverhältnis entsprechende Verhalten des Unternehmens.4 Da IT-Sicherheit – je nach geschlossenem Vertrag – sowohl eine Leistungs- als auch eine Nebenpflicht darstellen kann (s. Rz. 96 ff.), kommen ganz verschiedenartige Umstände, Ereignisse oder Handlungen als Pflichtverletzung in Betracht.5

546

Beispiele für die Verletzung von Leistungspflichten mit IT-Sicherheitsbezug: – Die vom Unternehmen angebotene Virensoftware ist trotz beworbener Kompatibilität mit dem Betriebssystem des Kunden-Computers nicht kompatibel. Dadurch kann beim Kunden der über die Installation der Virensoftware erreichbare IT-Sicherheitsstandard nicht hergestellt werden. Die Leistungserbringung durch das Unternehmen ist dadurch grundsätzlich objektiv unmöglich, so dass unternehmensseitig eine Pflichtverletzung vorliegt. – Durch unzureichende IT-Sicherheitsvorkehrungen in Form einer Notfallplanung kommt es infolge eines Cyber-Angriffs im Unternehmen zu einem längerfristigen Produktionsausfall. Das Unternehmen kann dadurch seinen Kunden die Produkte nicht zum vereinbarten Liefertermin zur Verfügung stellen. Diese Verzögerung der Leistung stellt eine Pflichtverletzung des Unternehmens dar. – Ein als Softwarelieferant tätiges Unternehmen liefert an Kunden ein virenverseuchtes Software-Produkt aus. Die Software ist damit mangelhaft (s. Rz. 107 ff.), so dass das Unternehmen die vertragliche Leistung nicht in der geschuldeten Art und Weise erbracht hat. – Ein Unternehmen bietet als Leistung die Wartung und Pflege von Software an. Bei einem Kunden machen die Mitarbeiter des Unternehmens bei der Durchführung notwendiger Wartungsarbeiten einen Fehler und es kommt zu IT-Sicherheitslücken. Das Misslingen der Wartungsleistung ist eine unternehmensseitige Pflichtverletzung, da die Wartung nicht in der geschuldeten (fehlerfreien) Art und Weise durchgeführt wurde.

547

1 Schulze in Schulze, BGB, Vorbem. zu §§ 275–292 Rz. 1. 2 Schulze in Schulze, BGB, Vorbem. zu §§ 275–292 Rz. 2. 3 S. zur Systematik etwa die Darstellung bei Ernst in MüKo-BGB, Vorbem. zu §§ 241–292 Rz. 40 ff. 4 Grüneberg in Palandt, BGB, § 280 Rz. 12; Schulze in Schulze, BGB, § 280 Rz. 8. 5 S. für die nachfolgenden Beispiele Marly, Praxishandbuch Softwarerecht, Rz. 1250, 1282; Beucher/Utzerath, MMR 2013, 362, 367; Redeker in Hoeren/Sieber/Holznagel, MultimediaRecht, Teil 12, Rz. 102; sowie Ernst in MüKo-BGB, § 280 Rz. 10.

205

2021-11-22, 12:02, HB groß

H. Rz. 548 | Allgemeine Haftung für IT-Sicherheit 548

Beispiele für die Verletzung von IT-Sicherheit als Nebenpflicht: – Aufgrund einer Schwachstelle im IT-System wird eine Bank zum Opfer eines Cyber-Angriffs. Dadurch werden Überweisungen von Kundenkonten an Dritte veranlasst, die nicht alle rückgängig gemacht werden können. Banken unterliegen zum Schutz ihrer Kunden strengen IT-Sicherheitspflichten, die sich in der Vertragsbeziehung zwischen Bank und Kunden als Nebenpflichten niederschlagen. Durch das bestehende IT-Sicherheitsdefizit hat die Bank damit eine Nebenpflicht zum Vertrag verletzt. – Ein Unternehmen bietet einen E-Mail-Dienst an. Zum Schutz der eigenen EDV-Anlage und der von den Nutzern ausgetauschten Nachrichten gehört es zur vertraglichen Nebenpflicht des Unternehmens, einen Virenscanner einzusetzen.

549

Wie die vorangestellten Beispiele zeigen, ist das Spektrum möglicher IT-Sicherheitsdefizite, durch die das Unternehmen zugleich eine vertragliche Pflichtverletzung verwirklicht, sehr weit und äußerst vielfältig. Kann das Unternehmen ein angemessenes IT-Sicherheitsniveau nicht herstellen und aufrechterhalten, besteht eine große Wahrscheinlichkeit, dass zugleich Pflichten aus Verträgen mit Dritten – wie Kunden oder Geschäftspartnern – verletzt werden. Damit besteht ein ernstzunehmendes vertragliches Haftungsrisiko. bb) Vertretenmüssen und Beweislast

550

Das signifikante Haftungsrisiko wird überdies dadurch erhöht, dass Unternehmen zur eigenen Entlastung den Nachweis erbringen müssen, dass sie die Verletzung von ITSicherheitspflichten nicht zu vertreten haben.1 Diese Beweislastverteilung ergibt sich aus §§ 280 Abs. 1 Satz 2, 276 Abs. 1 Satz 1 BGB. § 280 BGB – Schadensersatz wegen Pflichtverletzung (1) […] Dies gilt nicht, wenn der Schuldner die Pflichtverletzung nicht zu vertreten hat. […] § 276 BGB – Verantwortlichkeit des Schuldners (1) Der Schuldner hat Vorsatz und Fahrlässigkeit zu vertreten, wenn eine strengere oder mildere Haftung weder bestimmt noch aus dem sonstigen Inhalt des Schuldverhältnisses, insbesondere aus der Übernahme einer Garantie oder eines Beschaffungsrisikos, zu entnehmen ist. […]

551

Grundsätzlich haften Unternehmen für die Verletzung vertraglicher IT-Sicherheitspflichten nur, sofern sie diese Verletzung auch vertreten müssen. Zur Begründung einer Haftung gilt danach das Verschuldensprinzip: Unternehmen können auf Schadensersatz in Anspruch genommen werden, sofern sich die Verletzung vertraglicher IT-Sicherheitspflichten auf vorsätzliches oder fahrlässiges Verhalten des Unternehmens zurückführen lässt.2 Vorsatz ist das Wissen und Wollen des pflichtwidrigen Erfolgs,3 wobei derart bereitwillig durch das Unternehmen herbeigeführte IT-Sicher-

1 Grüneberg in Palandt, BGB, § 280 Rz. 34; Schulze in Schulze, BGB, § 280 Rz. 13. 2 Grüneberg in Palandt, BGB, § 276 Rz. 3; Lorenz in BeckOK-BGB, 59. Edition, 1.8.2021, § 276 Rz. 1 m.w.N. 3 Etwa Grüneberg in Palandt, BGB, § 276 Rz. 10 m.w.N.

206

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 552 H.

heitsverstöße einen absoluten Ausnahmefall darstellen und daher von untergeordneter Praxisrelevanz sind. Bedeutsamer ist die Unternehmenshaftung für Fahrlässigkeit, also wenn in Bezug auf die IT-Sicherheitspflichten die im Verkehr erforderliche Sorgfalt außer Acht gelassen wurde. Das Unternehmen muss sich dann an den Verhaltensmaßstäben für ein durchschnittliches Unternehmen seines jeweiligen Verkehrskreises in der jeweiligen Situation messen lassen.1 Der maßgebliche Verkehrskreis wird dabei von den Besonderheiten des vorliegenden Geschäfts (z.B. Risikogeneigtheit, Regelmäßigkeit des Abschlusses vergleichbarer Geschäfte, Geschäftserfahrung) sowie den daran beteiligten Personengruppen (z.B. gruppentypische Sorgfaltsmaßstäbe für Geschäftsführer, Erwartungen der Vertragspartner) beeinflusst.2 Das Unternehmen kann sich auf Grundlage dieses objektiven Maßstabs grundsätzlich nicht dadurch entlasten, die konkrete Befähigung zur Einhaltung dieser Standards nicht zu haben.3 So kann von Unternehmen bspw. allgemein erwartet werden, ein Virenschutzprogramm einzurichten und dieses regelmäßig zu aktualisieren.4 Auch Maßnahmen zur regelmäßigen Datensicherung sind vom Unternehmen zu implementieren.5 Im Falle von IT-Sicherheitsverletzungen kann das Unternehmen den widerleglich vermuteten Fahrlässigkeitsvorwurf6 entkräften, indem es nachweist, (branchenübliche) IT-Sicherheitsstandards eingehalten zu haben.7 Dafür sollte insbesondere die Einhaltung von ISO-Normen wie ISO/IEC 27001 oder des BSI-Grundschutzes (s. Rz. 688 ff.) herangezogen werden.8 Diese geben als rechtskonform anerkannte Maßnahmen zur Erreichung eines angemessenen IT-Sicherheitsstandards vor und können somit zum Entlastungsbeweis herangezogen werden. Um fahrlässige Verletzungen von IT-Sicherheitspflichten dauerhaft vermeiden zu können, ist eine ständige Aufrechterhaltung der getroffenen Maßnahmen genauso wie eine entsprechende Dokumentation der IT-Sicherheitsbemühungen unerlässlich. Auf diese Weise wird Unternehmen der Entlastungsbeweis regelmäßig gelingen, da an diesen keine zu hohen Anforderungen gestellt werden: So genügt es, wenn das Unternehmen die Schadensursache nachweist und dass es diese nicht zu vertreten hat, oder wenn das Unternehmen bei unbekannter Schadensursache die im Verkehr erforderliche Sorgfalt eingehalten hat.9

1 2 3 4 5 6 7 8 9

Lorenz in BeckOK-BGB, 59. Edition, 1.8.2021, § 276 Rz. 21. Schulze in Schulze, BGB, § 276 Rz. 14 m.w.N. Grüneberg in Palandt, BGB, § 276 Rz. 15. Beucher/Utzerath, MMR 2013, 362, 367; Koch, NJW 2004, 801, 804 m.w.N.; Libertus, MMR 2005, 507, 509 m.w.N. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 313 m.w.N. Lorenz in BeckOK-BGB, 59. Edition, 1.8.2021, § 280 Rz. 31; Grüneberg in Palandt, BGB, § 280 Rz. 34. Beucher/Utzerath, MMR 2013, 362, 367; Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 26 m.w.N. Beucher/Utzerath, MMR 2013, 362, 367; Nolte/Becker, BB Beilage 2008, Nr. 5, 23, 26 jeweils m.w.N. Grüneberg in Palandt, BGB, § 280 Rz. 16 m.w.N.

207

2021-11-22, 12:02, HB groß

552

H. Rz. 553 | Allgemeine Haftung für IT-Sicherheit

cc) Haftung für das Verhalten anderer 553

Den Auslöser für die Inanspruchnahme des Unternehmens bildet in der Regel ein ITSicherheitsverstoß, der von Gesellschaftsorganen oder Mitarbeitern ausgelöst wurde. Die Grundlage für die Haftung des Unternehmens für ein Fehlverhalten von Geschäftsleitungsmitgliedern bildet § 31 BGB, wonach das Verschulden der Geschäftsleitung als Verschulden des Unternehmens anzusehen ist. Die Grundlage für eine Inanspruchnahme des Unternehmens für das Fehlverhalten anderer Personen bildet § 278 BGB. Danach haftet das Unternehmen gegenüber seinen Vertragspartnern für alle Personen, deren Hilfe es sich bei der Erfüllung seiner Vertragspflichten bedient. So kann dem Unternehmen die Verletzung vertraglicher IT-Sicherheitspflichten durch Arbeitnehmer, durch IT-Sicherheitsbeauftragte aber ggf. auch durch in Anspruch genommene Dienstleister, die der Weisung durch das Unternehmen unterliegen, zugerechnet werden.1 dd) Schaden

554

Als Rechtsfolge der zu verschuldenden Pflichtverletzung hat das Unternehmen dem Anspruchsberechtigten grundsätzlich alle mittelbaren und unmittelbaren Nachteile zu ersetzen, die dieser infolge der Pflichtverletzung erlitten hat.2 Inhalt und Umfang des Anspruchs werden durch die §§ 249 ff. BGB vorgegeben, wobei dieser in der Praxis regelmäßig auf Schadensersatz in Geld gerichtet ist. Dabei tritt der Anspruch entweder neben den Anspruch auf Erfüllung der Vertragspflichten oder – ausgehend von der Art der Pflichtverletzung – an dessen Stelle. Ersatzfähig sind nicht nur unmittelbare Vermögensschäden, sondern etwa auch entgangener Gewinn und Betriebsausfallschäden. Wird überdies bspw. die Gesundheit oder die Freiheit des Vertragspartners verletzt, kann das Unternehmen nach § 253 Abs. 2 BGB auf Schmerzensgeld in Anspruch genommen werden. ee) Anspruchsreduzierendes Mitverschulden

555

Zu beachten ist, dass die Ersatzpflicht des Unternehmens nach § 254 BGB eingeschränkt wird, wenn der Geschädigte bei der Entstehung oder Entwicklung des Schadens mitgewirkt hat.3 Für ein solches Mitverschulden ist jedes Verhalten des Geschädigten ausreichend, welches innerhalb seines Risiko- und Verantwortungsbereichs liegt und zurechenbar zum Entstehen oder zur Vergrößerung seines Schadens beigetragen hat.4 Unternehmen treffen hier auf die Schwierigkeit, dass ihnen die grundlegende Beweislast bzgl. eines solchen Fehlverhaltens ihres Vertragspartners obliegt.5 Besonders Verbrauchern können als Vertragspartner im Bereich von Schäden durch IT-Sicherheitsdefizite nur grundlegende Sorgfaltspflichten abverlangt werden. Weit1 Mehrbrey/Schreibauer, MMR 2016, 75, 81. 2 Grüneberg in Palandt, BGB, § 280 Rz. 32; Lorenz in BeckOK-BGB, 59. Edition, 1.8.2021, § 280 Rz. 41. 3 Grüneberg in Palandt, BGB, § 254 Rz. 1; Schulze in Schulze, BGB, § 254 Rz. 1 m.w.N. 4 Schulze in Schulze, BGB, § 254 Rz. 4 m.w.N. 5 Schulze in Schulze, BGB, § 254 Rz. 13.

208

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 558 H.

aus bedeutender wird die Einschränkung der Ersatzpflicht damit, sofern Unternehmen Dritte für Schäden in Anspruch nehmen wollen und keine Reduzierung ihrer Ansprüche durch eigene IT-Sicherheitsdefizite riskieren möchten. Beispiel für das Mitverschulden des Vertragspartners1: Ein Unternehmen überträgt mittels eines E-Mail-Anhangs an einen Kunden unbemerkt ein Computervirus. Zwar nutzt das Unternehmen ein Virenprogramm, jedoch hat es die letzte Aktualisierung des Programms nicht durchgeführt. Dieses Update hätte das Erkennen des betroffenen Virus ermöglicht. Beim Kunden kommt es durch das Virus zum Ausfall des Computers und dadurch zu einem Schaden. Ein eigenes Virenschutzprogramm nutzt der Kunde nicht.

556

Da die IT-Sicherheitsvorkehrungen des Unternehmens unzureichend waren, hat es durch die Übertragung des Virus zumindest eine Nebenpflicht aus dem Vertrag mit dem Kunden verletzt. Der durch das Virus ausgelöste Schaden beim Kunden ist daher vom Unternehmen zu ersetzen. Weil der Kunde kein eigenes Virenschutzprogramm eingesetzt hat, kann diesem jedoch ein Mitverschulden angelastet werden, weshalb sich sein Schadensersatzanspruch reduziert. Angesichts der allgemeinen Bekanntheit von Risiken durch Computerviren sowie der geringen Kosten für die Einrichtung und Aktualisierung eines Virenschutzprogramms kann vom Kunden die Installation eines solchen Programms verlangt werden.

Interne IT-Sicherheitsdefizite des Unternehmens können als anspruchsreduzierendes Mitverschulden nach § 254 BGB anzusehen sein. In derartigen Fällen wird die Ersatzpflicht Dritter eingeschränkt, wenn das geschädigte Unternehmen bei der Entstehung oder Entwicklung des Schadens mitgewirkt hat.2 Da Unternehmen gesetzlichen IT-Sicherheitspflichten unterliegen, kann ihnen zumindest eine branchenübliche Sorgfalt beim Umgang mit der eigenen IT abverlangt werden (s. Rz. 550 ff.). Hat die ungenügende IT-Sicherheit im Unternehmen zurechenbar zum Entstehen oder zur Vergrößerung des eingetretenen Schadens beigetragen, muss das Unternehmen eine Kürzung seines Anspruchs gegen den oder die Dritten hinnehmen.3 Auch das Fehlverhalten Dritter, die für das Unternehmen bei der Erfüllung der eigenen ITSicherheitspflichten tätig werden, muss sich das Unternehmen über § 254 Abs. 2 Satz 2 BGB zurechnen lassen. Zu beachten ist, dass § 254 BGB als Möglichkeit zur Abwägung von Verursachungsbeiträgen im Schadensrecht grundsätzlich auf alle Schadensersatzansprüche aus Verschuldenshaftung – also bspw. sowohl vertraglicher als auch deliktischer Natur – Anwendung findet.4 So kann etwa eine mangelnde Datensicherung im Unternehmen dessen anspruchsreduzierendes Mitverschulden begründen.5

557

Beispiel für anspruchsreduzierendes Mitverschulden des Unternehmens6: Ein Unternehmen beauftragt wegen einer System-Fehlermeldung mit ungeklärter Ursache einen Computer-Reparaturdienst mit der Ursachenforschung. Dabei wird auch vereinbart, dass der Reparaturdienst vor Beginn der Arbeiten eine Datensicherung vornimmt, was dieser je-

558

1 2 3 4 5 6

Angelehnt an Koch, NJW 2004, 801, 806 f. Grüneberg in Palandt, BGB, § 254 Rz. 1; Schulze in Schulze, BGB, § 254 Rz. 1 m.w.N. Schulze in Schulze, BGB, § 254 Rz. 4 m.w.N. Schulze in Schulze, BGB, § 254 Rz. 1, 3 m.w.N. Wicker, MMR 2014, 715, 718 m.w.N. Angelehnt an OLG Hamm, Urt. v. 1.12.2003 – 13 U 133/03, MMR 2004, 487, 487 f. = CR 2004, 654.

209

2021-11-22, 12:02, HB groß

H. Rz. 558 | Allgemeine Haftung für IT-Sicherheit doch nicht tut. Bei den Reparaturarbeiten stürzt der Unternehmensserver ab und es kommt zum Verlust zahlreicher Geschäftsdaten. Die Datensicherungsmaßnahmen des Unternehmens sehen noch nicht einmal eine monatliche Komplettsicherung der Datenbestände vor, so dass diese teilweise unwiederbringlich verloren sind. Dadurch entsteht dem Unternehmen ein Schaden, den es gegenüber dem Reparaturdienst geltend machen möchte. Die fehlende Datensicherung vor Beginn der Wartungsarbeiten stellt eine Pflichtverletzung durch den Reparaturdienst dar, wodurch grundsätzlich ein vertraglicher Schadensersatzanspruch des Unternehmens besteht. Allerdings ist die Einrichtung einer zuverlässigen, zeitnahen und umfassenden Datensicherungsroutine auch eine unternehmerische Pflicht. In diesem Beispiel fand nicht einmal eine monatliche Daten-Komplettsicherung statt, was bei ordnungsgemäßer Unternehmensführung zu erwarten ist und deswegen eine unternehmensseitige Sorgfaltspflichtverletzung darstellt. Mit Hilfe der Datensicherung hätte das Unternehmen einen umfangreichen Datenverlust verhindern können. Aus diesem Grund muss das Unternehmen über § 254 BGB eine Kürzung des eigenen Anspruchs gegen den Reparaturdienst hinnehmen.

559

Trifft das Unternehmen ein Mitverschulden, ist der Umfang der Ersatzpflicht des in Anspruch genommenen Dritten im Wege einer Würdigung und Abwägung aller Umstände des Einzelfalls zu ermitteln.1 Der Schaden kann beiden Beteiligten nach Quoten oder einem von ihnen voll auferlegt werden.2 In erster Linie ist darauf abzustellen, mit welchem Grad an Wahrscheinlichkeit die einzelnen Beiträge zur Herbeiführung des Schadens geeignet waren.3 Erst in zweiter Linie ist das Maß des beiderseitigen Verschuldens abzuwägen, wobei ein höherer Schuldgrad sogar dazu führen kann, dass das mindere Verschulden des anderen Teils völlig zurücktritt.4

560

Die grundlegende Beweislast bzgl. eines anspruchsverkürzenden Verschuldens auf Seiten des Unternehmens liegt bei seinem Vertragspartner, der sich haftungsmäßig entlasten möchte.5 Allerdings muss das Unternehmen an der Sachverhaltsaufklärung mitwirken und damit die Einhaltung seiner IT-Sicherheitspflichten darlegen.6 Zur Verhinderung von Anspruchskürzungen müssen Unternehmen ihren IT-Sicherheitspflichten daher bestmöglich nachkommen und ihre Bemühungen zu Beweiszwecken entsprechend dokumentieren. b) Möglichkeiten des Haftungsausschlusses

561

Wie bereits unter Rz. 139 ff. aufgezeigt, ist eine Einschränkung vertraglicher IT-Sicherheitspflichten nur sehr schwer möglich. Ein gänzlicher Ausschluss von IT-Sicherheit als Vertragspflicht ist nicht denkbar. Im Gegensatz zur Haftung im Innenverhältnis des Unternehmens lassen sich auch die Vorteile einer Delegation von Verantwortlich-

1 Grüneberg in Palandt, BGB, § 254 Rz. 57; Schulze in Schulze, BGB, § 254 Rz. 10. 2 Schulze in Schulze, BGB, § 254 Rz. 10. 3 Schulze in Schulze, BGB, § 254 Rz. 10 m.w.N.; Grüneberg in Palandt, BGB, § 254 Rz. 58 m.w.N. 4 Grüneberg in Palandt, BGB, § 254 Rz. 59 m.w.N.; Schulze in Schulze, BGB, § 254 Rz. 10 m.w.N. 5 Schulze in Schulze, BGB, § 254 Rz. 13. 6 Grüneberg in Palandt, BGB, § 254 Rz. 72 m.w.N.

210

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 563 H.

keiten im Unternehmen nicht auf das Außenverhältnis übertragen (s. Rz. 523 ff.). Verletzt ein Geschäftsleitungsmitglied schuldhaft seine – gleich wie ausgeprägten – ITSicherheitspflichten (also auch bloße Überwachungs- und Kontrollpflichten), so handelt es sich gem. § 31 BGB zugleich um ein Verschulden des Unternehmens. Bedient sich das Unternehmen zur Erfüllung der IT-Sicherheitspflichten eigener Mitarbeiter oder externer Dienstleister, muss es sich deren Verschulden über § 278 BGB zurechnen lassen. Die Zuteilung von Ressortverantwortlichkeiten im Vorstand oder die vertikale Delegation von Verantwortlichkeiten kann damit keine Haftungserleichterung des Unternehmens gegenüber seinen Vertragspartnern bewirken. Um Haftungsrisiken reduzieren zu können, ist es für Unternehmen daher praktikabel, mit haftungsreduzierenden Vertragsvereinbarungen unmittelbar bei den anzuwendenden Sorgfaltsmaßstäben für die Erfüllung bestehender IT-Sicherheitspflichten anzusetzen. Besonders die den Verträgen des Unternehmens zugrunde liegenden Allgemeinen Geschäftsbedingungen spielen in diesem Zusammenhang eine wichtige Rolle. Um die eigene Haftungsbelastung reduzieren zu können, sollten Unternehmen auch in jedem Fall prüfen, ob sie bei der eigenen Inanspruchnahme Regress bei Dritten nehmen können, etwa bei externen Dienstleistern.

562

aa) Praxisrelevante Regelungsfelder Aufgrund der eingeschränkten Möglichkeiten zur Abbedingung von IT-Sicherheit als Vertragspflicht bietet es sich für Unternehmen zumindest an, in Verträgen für sie günstige Regelungen zur Haftungsreduktion zu vereinbaren. Besonders folgende Regelungsaspekte sollten dabei in Betracht gezogen werden, wobei das AGB-Recht die Möglichkeit zum Treffen derartiger Vereinbarungen im Falle vorformulierter Regelungen teilweise erheblich einschränkt (s. sogleich Rz. 566 ff.): – Anzuwendender Sorgfaltsmaßstab: Der zur Feststellung einer verschuldensabhängigen Haftung anzuwendende Sorgfaltsmaßstab (s. Rz. 550 ff.) kann vertraglich abgemildert werden, bspw. durch eine Begrenzung der Haftung auf grobe Fahrlässigkeit und/oder Vorsatz.1 Durch eine solche Freizeichnung wird das Entstehen des Schadensersatzanspruches ausgeschlossen bzw. der entstehende Anspruch von vornherein begrenzt.2 Zu beachten ist, dass das Unternehmen die eigene Haftung für Vorsatz nicht im Voraus vertraglich ausschließen kann, § 276 Abs. 3 BGB. Für das Unternehmen diesbezüglich günstigere Vereinbarungen kommen allerdings in Bezug auf Erfüllungsgehilfen in Betracht (s. Rz. 553): Nicht für das Handeln der Geschäftsleitung, wohl aber in Bezug auf andere Hilfspersonen (etwa Arbeitnehmer) kann die Haftung für Vorsatz im Voraus ausgeschlossen werden.3 – Art und Umfang des Schadensersatzes: Auch das System der §§ 249 ff. BGB zu Art und Umfang des Schadensersatzes unterliegt der Disposition der Vertragspar-

1 Grundmann in MüKo-BGB, § 276 Rz. 57. 2 Schulze in Schulze, BGB, § 276 Rz. 25 m.w.N. 3 Schulze in Schulze, BGB, § 276 Rz. 29.

211

2021-11-22, 12:02, HB groß

563

H. Rz. 563 | Allgemeine Haftung für IT-Sicherheit

teien.1 Unternehmen können darauf hinwirken, ein für sie möglichst günstiges Haftungsregime zu vereinbaren, bspw. durch die Ausklammerung der Ersatzfähigkeit bestimmter Schadensarten (etwa Nichtvermögensschäden, mittelbare Schäden), durch Vereinbarungen zur Art der Schadensbeseitigung oder etwa summenmäßige Haftungsgrenzen.2 Besonders die Vereinbarung einer solchen Schadenspauschale bzw. eines Maximalbetrags für zu leistenden Schadensersatz erscheint sinnvoll in Anbetracht der potentiell hohen Schäden, die durch IT-Sicherheitsverstöße ausgelöst werden können.3 – Verjährungsfristen: Um den Zeitraum für eine Inanspruchnahme nach Eintritt eines Schadensfalls zu begrenzen, sollten Unternehmen in Betracht ziehen, von den gesetzlichen Regelungen abweichende Anspruchsverjährungsfristen zu vereinbaren. Eine Verkürzung von Verjährungsfristen zugunsten des Unternehmens ist grundsätzlich zulässig.4 Lediglich für Fälle der Vorsatzhaftung schließt § 202 Abs. 1 BGB Verjährungserleichterungen aus. 564

Dem Unternehmen wird es regelmäßig nicht gelingen, mit einem Vertragspartner das für sich selbst optimale Haftungsregime zu vereinbaren. Oben beschriebene Haftungserleichterungen stoßen bei Geschäftspartnern regelmäßig auf Ablehnung oder wenigstens eingeschränkte Zustimmung. bb) Unwirksamkeit nach speziellen gesetzlichen Regelungen

565

Neben Schwierigkeiten bei der Aushandlung unternehmensfreundlicher Haftungsregelungen kommt hinzu, dass derartige Beschränkungen über andere, ggf. anzuwendende zwingende Vorschriften ausgeschlossen sind oder zumindest eingeschränkt werden.5 Von besonderer Relevanz sind dabei verbraucherschützende Regelungen, die bei Verträgen des Unternehmens mit Kunden eine wichtige Rolle spielen. So wird gegenüber Verbrauchern nach § 476 BGB für Kaufverträge sowie für Werklieferungsverträge die Abbedingung des gesetzlichen Mängelgewährleistungsrechts ausgeschlossen. Unternehmen müssen daher stets eine Gewährleistung für „sichere“ ITProdukte gegenüber ihren Kunden übernehmen. Unter dieser systematischen Vorgabe bleiben allerdings Einschränkungen in Bezug auf etwaige Schadensersatzansprüche auch gegenüber Verbrauchern möglich,6 so dass zumindest teilweise Haftungserleichterungen im Rahmen von Verbraucherverträgen für das Unternehmen in Betracht kommen.

1 Oetker in MüKo-BGB, § 249 Rz. 6; Flume in BeckOK-BGB, 59. Edition, 1.8.2021, § 249 Rz. 13. 2 Oetker in MüKo-BGB, § 249 Rz. 6 m.w.N.; Flume in BeckOK-BGB, 59. Edition, 1.8.2021, § 249 Rz. 13. 3 S. etwa zu berücksichtigenden Aspekten bei Outsourcing-Verträgen Thalhofer in AuerReinsdorff/Conrad, IT- und Datenschutzrecht, § 19 Rz. 138 f. 4 Dörner in Schulze, BGB, § 202 Rz. 2; Grothe in MüKo-BGB, § 202 Rz. 2. 5 S. dazu Schulze in Schulze, BGB, § 276 Rz. 27. 6 Marly, Praxishandbuch Softwarerecht, Rz. 1834.

212

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 567 H.

cc) Individualvertragliche Unwirksamkeit und AGB-Recht Ergibt sich eine Unwirksamkeit der Haftungserleichterungen nicht aus speziellen gesetzlichen Regelungen, müssen sich individualvertragliche Vereinbarungen im Hinblick auf ihre Wirksamkeit an §§ 138, 242 BGB messen lassen. Eine Unwirksamkeit von Haftungserleichterungen ist dann in solchen Fällen anzunehmen, in denen die vertraglich vereinbarte Rechtsausübung zu untragbaren, mit Recht und Gerechtigkeit offensichtlich unvereinbaren Ergebnissen führt (Verstoß gegen Treu und Glauben).1 Solche Regelungen bilden als Verhandlungsergebnis der Vertragsparteien in der Praxis den Ausnahmefall. Wesentlich eingeschränkter ist die Zulässigkeit der Vereinbarung oben beschriebener Haftungserleichterungen in Allgemeinen Geschäftsbedingungen, die Unternehmen üblicherweise beim Abschluss von Verträgen einsetzen. Weil das Unternehmen hinsichtlich der Vertragsbedingungen die einseitige Gestaltungsmacht in Anspruch nimmt, unterliegen diese gewissermaßen auf der Kehrseite einer strengen Inhaltskontrolle. Neben konkreten Klauselverboten in den §§ 309, 308 BGB werden die Vereinbarungen nach § 307 BGB überdies an Treu und Glauben gemessen. Für die beschriebenen Aspekte zur Vereinbarung von Haftungserleichterungen müssen gegenüber Verbrauchern gesetzliche Klauselverbote Beachtung finden. Handelt es sich bei dem Vertragspartner des Unternehmens ebenfalls um ein Unternehmen, kommen gem. § 310 Abs. 1 BGB u.a. die Klauselverbote des § 309 BGB nicht zur Anwendung. Es gilt freilich die Maßgabe, dass AGB-Klauseln, die inhaltlich nach den gesetzlichen Klauselverboten unzulässig sind, auch bei Verwendung gegenüber einem Unternehmer gem. § 307 BGB unwirksam sein können.

566

(1) Gesetzliche Klauselverbote für Verbraucherverträge Besonders die folgenden Klauselverbote sind in Bezug auf Haftungserleichterungen in AGB gegenüber Verbrauchern von gesteigerter Relevanz: – § 309 Nr. 5 BGB (Pauschalisierung von Schadensersatzansprüchen): Eine wirksame Vereinbarung von Schadenspauschalen ist nur unter den engen Voraussetzungen des § 309 Nr. 5 BGB zulässig. Sie können jedenfalls grundsätzlich wirksam sein, wenn die vereinbarten Beträge branchenüblich sind.2 – § 309 Nr. 7 BGB (Haftungsausschluss): Diesem Klauselverbot kommt im Hinblick auf vertragliche Haftungserleichterungen hohe Bedeutung zu. Danach besteht ein Verbot, sich von der Haftung bei Verletzung von Leben, Körper oder Gesundheit selbst für einfache Fahrlässigkeit freizuzeichnen.3 Auch jegliche Begrenzung dieser Haftung ist ausgeschlossen, ebenso die Freizeichnung von der Haftung des Unternehmens für gesetzliche Vertreter oder Erfüllungsgehilfen.4 Bei allen anderen Rechtsgütern kann nach § 309 Nr. 7 lit. b BGB zumindest die Haftung für Vorsatz und grobe Fahrlässigkeit des Unternehmens und seiner Hilfspersonen nicht ausgeschlossen oder begrenzt werden. 1 2 3 4

Grüneberg in Palandt, BGB, § 242 Rz. 2 m.w.N. Flume in BeckOK-BGB, 59. Edition, 1.8.2021, § 249 Rz. 15 m.w.N. S. dazu etwa Schulte-Nölke in Schulze, BGB, § 309 Rz. 24. S. dazu etwa Schulte-Nölke in Schulze, BGB, § 309 Rz. 24.

213

2021-11-22, 12:02, HB groß

567

H. Rz. 567 | Allgemeine Haftung für IT-Sicherheit

– § 309 Nr. 8 lit. b BGB (Mängel): Bei Verträgen über die Lieferung neu hergestellter Sachen und Werkleistungen ist zu beachten, dass Einschränkungen der Mängelrechte regelmäßig unzulässig sind. So schränkt § 309 Nr. 8 lit. b (ff) BGB bspw. die Erleichterung der Verjährungsfristen zugunsten des Unternehmens ein. (2) Ausstrahlungswirkung der Klauselverbote 568

Klauselverboten kommt auch außerhalb ihres Anwendungsbereichs in Verbraucherverträgen eine Ausstrahlungswirkung zu. So kommt im B2B-Bereich insbesondere dem Klauselverbot des § 309 Nr. 7 BGB über § 307 BGB Indizwirkung zu.1 So ist nach der Rechtsprechung ein Ausschluss der Haftung wegen Verletzung des Lebens, des Körpers oder der Gesundheit auch im Verhältnis zwischen Unternehmern unwirksam, wenn der Vertragspartner eine natürliche Person ist oder der Vertrag auch Schutzwirkung für seine Arbeitnehmer entfaltet.2

569

Unabhängig davon also, ob der Vertragspartner Verbraucher oder Unternehmer ist, sind alle keinem konkreten Verbot unterfallenden Klauseln, die die Haftung beschränken, an der Generalklausel des § 307 BGB zu messen.3 Nach der Rechtsprechung enthält § 307 Abs. 2 Nr. 1 BGB vor allem den Grundsatz, dass die Haftung für die Verletzung von Kardinalpflichten nicht wirksam ausgeschlossen werden kann.4 Dabei handelt es sich um wesentliche Pflichten, die für den Kunden von entscheidender Bedeutung sind, wobei es sich auch um Neben- und Schutzpflichten handeln kann.5 Diese fehlende Möglichkeit einer Einschränkung der Haftung für wesentliche IT-Sicherheits-Nebenpflichten sollten sich Unternehmen unbedingt vergegenwärtigen.6

570

Beispiele für wesentliche IT-Sicherheits-Nebenpflichten, für die eine Haftungsbeschränkung häufig nicht in Betracht kommen wird: – Unternehmen, die über elektronische Kommunikationsnetze ihren Kunden Speicherplatz zur Verfügung stellen, haben die wesentliche Nebenpflicht, ihre entsprechenden Server gegenüber unbefugten Zugriffen durch Dritte zu schützen. – Unternehmen trifft als wesentliche Nebenpflicht häufig auch die Verpflichtung zur Sicherung der Daten ihrer Kunden.

571

Gelingt es Unternehmen unter Berücksichtigung der dargestellten Aspekte, wirksame Haftungserleichterungen in ihren Verträgen mit Dritten zu vereinbaren, ist im Falle von Rechtsstreitigkeiten Folgendes zu beachten: Die Auslegung von Freizeichnungs-

1 Becker in BeckOK-BGB, 59. Edition, 1.5.2021, § 309 Nr. 7 Rz. 46 m.w.N.; Wurmnest in MüKo-BGB, § 309 Nr. 7 Rz. 33. 2 BGH, Versäumnisurt. v. 19.9.2007 – VIII ZR 141/06, NJW 2007, 3774, 3775 = MDR 2008, 16; Wurmnest in MüKo-BGB, § 309 Nr. 7 Rz. 33 m.w.N. 3 Flume in BeckOK-BGB, 59. Edition, 1.8.2021, § 249 Rz. 14 m.w.N. 4 Schulte-Nölke in Schulze, BGB, § 307 Rz. 17 m.w.N. 5 Schulte-Nölke in Schulze, BGB, § 307 Rz. 17 m.w.N. 6 S. für die folgende Beispiele Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, S. 273, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/Publikationen/Studien/ITSicherheitUndRecht/Gutachten_pdf.pdf?__blob=publica tionFile&v=2, zuletzt aufgerufen am 29.10.2021, m.w.N.

214

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 573 H.

klauseln durch die Rechtsprechung ist grundsätzlich eng und erfolgt zulasten des Unternehmens, welches seine Haftung mildern möchte.1 Dies gilt sowohl für Individualvereinbarungen als auch für AGB.2 3. Deliktische Haftung des Unternehmens Verstößt ein Unternehmen gegen seine IT-Sicherheitspflichten, kommen neben vertraglichen vor allem Ansprüche aus deliktischer Haftung in Betracht, die sowohl von Vertragspartnern des Unternehmens als auch von sonstigen Dritten, die in keiner Vertragsbeziehung zum Unternehmen stehen, geltend gemacht werden können.3 Dabei sind spezialgesetzliche Anspruchsgrundlagen wie etwa § 69 TKG (s. Rz. 423 f.) zu berücksichtigen, sofern diese auf das in Anspruch genommene Unternehmen Anwendung finden. Daneben kommt allerdings auch eine Inanspruchnahme auf Grundlage der §§ 823 ff. BGB in Betracht.

572

a) Haftung nach § 823 Abs. 1 BGB Zentrale Voraussetzung eines Anspruchs nach § 823 Abs. 1 BGB ist, dass das Unternehmen ein geschütztes Rechtsgut des Anspruchsberechtigten verletzt hat. Neben den ausdrücklich genannten Rechtsgütern Leben, Körper und Gesundheit, Freiheit und Eigentum fallen auch „sonstige Rechte“ wie das allgemeine Persönlichkeitsrecht und das Recht am eingerichteten und ausgeübten Gewerbebetrieb in den vom Deliktsrecht geschützten Bereich, wodurch sich auch im Falle von IT-Sicherheitsdefiziten ein weites Anwendungsfeld für Schadensersatzansprüche eröffnet. Das Vermögen als solches wird allerdings von § 823 Abs. 1 BGB nicht geschützt.4 Im Bereich der IT sind hinsichtlich der geschützten Rechtsgüter noch viele Fragen ungeklärt.5 So wird diskutiert, ob die Beeinträchtigung des Datenbestands einer Person als Eigentumsverletzung anzusehen ist oder lediglich die Verletzung eines sonstigen Rechts darstellt.6 Eine Schutzfähigkeit nach § 823 Abs. 1 BGB ist jedenfalls gegeben.7 Kommt es zur Beschädigung, Zerstörung oder anderen Beeinträchtigung von Datenträgern, liegt ein Eingriff in das Eigentum vor.8 Auch das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme kann als sonstiges Recht i.S.v. § 823 Abs. 1 BGB einen Schutz gegen lesende und schreibende Zugriffe begründen, allerdings wohl nur bei einer Verletzung der Vertraulichkeit.9

1 Schulze in Schulze, BGB, § 276 Rz. 26 m.w.N.; Grüneberg in Palandt, BGB, § 276 Rz. 36. 2 Grüneberg in Palandt, BGB, § 276 Rz. 36 m.w.N. 3 S. etwa zur deliktischen Haftung des Unternehmens bei gegen das Unternehmen gerichteten Cyber-Angriffen Mehrbrey/Schreibauer, MMR 2016, 75, 81. 4 Sprau in Palandt, BGB, § 823 Rz. 11 m.w.N.; Rockstroh/Kunkel, MMR 2017, 77, 79. 5 S. dazu Rockstroh/Kunkel, MMR 2017, 77, 79. 6 Sprau in Palandt, BGB, § 823 Rz. 9, 19 jeweils m.w.N.; Rockstroh/Kunkel, MMR 2017, 77, 79 m.w.N. 7 Wagner in MüKo-BGB, § 823 Rz. 245, 332 ff. 8 Wagner in MüKo-BGB, § 823 Rz. 246 m.w.N. 9 Grützmacher, CR 2016, 485, 490 m.w.N.

215

2021-11-22, 12:02, HB groß

573

H. Rz. 574 | Allgemeine Haftung für IT-Sicherheit

aa) Deliktischer Schutz des Rechts am eingerichteten und ausgeübten Gewerbebetrieb 574

Von Relevanz für deliktische Ansprüche des Unternehmens gegen Dritte ist der Schutz des Rechts am eingerichteten und ausgeübten Gewerbebetrieb über § 823 Abs. 1 BGB. Im Falle von IT-Sicherheitsdefiziten Dritter eröffnet sich über dessen Anerkennung als „sonstiges Recht“ i.S.d. § 823 Abs. 1 BGB ein weites Anwendungsfeld für unternehmenseigene Schadensersatzansprüche. Geschützt wird neben dem Bestand des Unternehmens (Betriebsräume, -grundstücke, Maschinen, Warenvorräte etc.) auch der gesamte unternehmerische Tätigkeitskreis (Geschäftsverbindungen, Kundenstamm, Außenstände, Betriebsgeheimnisse etc.).1 Das in einem Unternehmen zusammengefasste Vermögen genießt jedoch keinen generellen Schutz, sondern nur soweit ein betriebsbezogener Eingriff vorliegt, der bei Abwägung der widerstreitenden Interessen von Unternehmen und Anspruchsgegner im Einzelfall zu vermeiden war.2 Danach wird die Rechtswidrigkeit des Verhaltens nicht indiziert, sondern ist durch eine Interessenabwägung zu begründen.3

575

Der Eingriff muss zunächst gegen den Betrieb als solchen gerichtet sein und darf nicht Rechte oder Rechtsgüter betreffen, die sich ohne weiteres vom Betrieb ablösen lassen, etwa bei Verletzung eines einzelnen Geschäftsführers, Arbeitnehmers oder einer einzelnen Maschine.4 Da die Auslegung des Schutzbereichs stark einzelfallabhängig und von Kasuistik geprägt ist, lassen sich genaue Umgrenzungen trotz der vorbeschriebenen Kriterien schwer festmachen. So wurde bereits die einmalige Zusendung einer Werbe-E-Mail ohne vorherige Einwilligung des betroffenen Unternehmens als unmittelbarer Eingriff in den Gewerbebetrieb anerkannt.5 Eine weitere Einschränkung ergibt sich allerdings daraus, dass der Eingriff intentional auf das Unternehmen gerichtet sein muss.6

576

Negativbeispiel für die Betriebsbezogenheit von Eingriffen7: Bei Reparaturarbeiten durch Mitarbeiter eines Energieversorgungsunternehmens kommt es zur fahrlässigen Beschädigung eines Stromkabels, über welches das Versorgungsunternehmen einzelne Kunden mit Strom beliefert (zu den Anforderungen an die Verfügbarkeit kritischer Infrastrukturen, worunter auch die Energieversorgung fällt, s. Rz. 254 ff.). Unter diesen Kunden ist auch das Unternehmen A. Bei A kommt es auf Grundlage des Stromausfalls zum Produktionsstillstand und dadurch zu einem Schaden. A möchte diesen gegenüber dem Energieversorgungsunternehmen im Rahmen eines Anspruchs nach § 823 Abs. 1 BGB geltend machen. Ein Anspruch nach § 823 Abs. 1 BGB erfordert eine Verletzung geschützter Rechtsgüter. Der Produktionsstillstand hat das Eigentum von A nicht verletzt und reine Erwerbsaussichten wer-

1 2 3 4 5

Staudinger in Schulze, BGB, § 823 Rz. 120. Wagner in MüKo-BGB, § 823 Rz. 368. Wagner in MüKo-BGB, § 823 Rz. 370 m.w.N. Staudinger in Schulze, BGB, § 823 Rz. 122 m.w.N. BGH, Beschl. v. 20.5.2009 – I ZR 218/07, NJW 2009, 2958, 2959 = CR 2009, 733; dazu auch Staudinger in Schulze, BGB, § 823 Rz. 122 m.w.N. 6 Staudinger in Schulze, BGB, § 823 Rz. 122 m.w.N. 7 S. BGH, Urt. v. 9.12.1958 – VI ZR 199/57, GRUR 1959, 282, 282 ff. = MDR 1959, 291.

216

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 578 H. den über § 823 Abs. 1 BGB nicht geschützt. In Betracht kommt allenfalls die Verletzung von As Recht am eingerichteten und ausgeübten Gewerbebetrieb. Die Verletzungshandlung müsste sich dafür allerdings unmittelbar gegen A gerichtet haben. Die bloß fahrlässige Verletzungshandlung im Rahmen der Reparaturarbeiten richtet sich nicht erkennbar gegen den Betrieb des A, weshalb ein Anspruch ausscheidet.

Wie soeben dargelegt, besitzt das Recht am eingerichteten und ausgeübten Gewerbebetrieb zwar einen weiten Schutzbereich, allerdings unterliegt dieser erheblichen Einschränkungen im Hinblick auf die Eingriffsqualität sowie die erforderliche Interessenabwägung. Der praktische Anwendungsbereich von deliktischen Ansprüchen auf dieser Grundlage wird noch weiter dadurch begrenzt, dass diese einen Auffangtatbestand zum effektiven Unternehmensschutz darstellt, welche gegenüber speziellen Schutzvorschriften zugunsten eines Betriebs zurücktritt.1 Dies ist etwa der Fall bei Schädigungshandlungen in Wettbewerbsabsicht, deren deliktsrechtliche Konsequenzen im UWG grundsätzlich abschließend geregelt sind (s. Rz. 162).2 Kommt es durch IT-Sicherheitsdefizite Dritter zu Schäden im Betrieb, sollten Unternehmen daher prüfen, ob ggf. die Verletzung anderer von § 823 Abs. 1 BGB geschützter Rechtsgüter – die grundsätzlich nicht subsidiär sind – vorliegt oder gar andere Anspruchsgrundlagen einschlägig sind.

577

bb) Verkehrssicherungspflichten Um ein Unternehmen für Rechtsgutsverletzungen in Anspruch nehmen zu können, muss ihm eine Handlung oder ein pflichtwidriges Unterlassen angelastet werden können, durch welches ein geschütztes Rechtsgut verletzt worden ist. Im Bereich der IT-Sicherheit entstehen für Unternehmen Verkehrssicherungspflichten, deren unzureichende Erfüllung die Grundlage für deliktische Ansprüche bildet. Der Haftung für Verkehrssicherungspflichten liegt die Erwägung zugrunde, dass jeder, der eine Gefahrenlage schafft, grundsätzlich verpflichtet ist, die notwendigen und zumutbaren Vorkehrungen zu treffen, um eine Schädigung anderer möglichst zu verhindern.3 Unternehmerische Verkehrssicherungspflichten können etwa durch gefährliches Verhalten oder durch die Kontrolle über eine gefährliche Sache entstehen.4 Da eine Verkehrssicherung gegen jegliche abstrakte Gefahr unmöglich ist, wird eine Gefahrenquelle erst haftungsbegründend, sobald es aus der zu verantwortenden Situation nach sachkundiger Einschätzung des Unternehmens naheliegt, dass Rechtsgüter anderer verletzt werden können.5 Für das Unternehmen erwächst daraus die Pflicht, nach dem objektiven Maßstab eines gewissenhaften Angehörigen des betroffenen Verkehrskreises geeignete Maßnahmen zu ergreifen (s. zur ähnlichen Bestimmung des Verkehrskreises im Rahmen des Sorgfaltsmaßstabs für die vertragliche Haftung

1 2 3 4 5

Sprau in Palandt, BGB, § 823 Rz. 137 m.w.N. Wagner in MüKo-BGB, § 823 Rz. 372 m.w.N. Etwa Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 102 m.w.N. Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 102. Sprau in Palandt, BGB, § 823 Rz. 46 m.w.N.; Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 102.

217

2021-11-22, 12:02, HB groß

578

H. Rz. 578 | Allgemeine Haftung für IT-Sicherheit

Rz. 550 ff.).1 Unzureichende IT-Sicherheit im Unternehmen kann regelmäßig eine Schädigung anderer herbeiführen, und die entsprechenden Rechtspflichten des Unternehmens bezwecken häufig auch den Schutz Dritter vor Gefahren durch Unternehmensaktivitäten. Das Unternehmen trifft damit eine Verkehrssicherungspflicht, andere mit geeigneten Maßnahmen vor aus dem Einsatz von IT-Systemen erwachsenden Gefahren zu schützen.2 Dies umfasst auch eine entsprechende unternehmensinterne IT-Sicherheitsorganisation. Für Defizite haftet das Unternehmen auf Grundlage des Organisationsverschuldens, welchem regelmäßig eine unzureichende Erfüllung der Pflichten der Geschäftsleitung zugrunde liegt (s. Rz. 32 ff.). Letztere muss sich das Unternehmen über § 31 BGB als eigenes Verschulden zurechnen lassen.3 So ist es haftungsbegründender Ausfluss der Leitungs- und Organisationsaufgaben der Geschäftsleitung, im Unternehmen für eine „ordentliche Betriebsführung“ zu sorgen, so dass die Unternehmensmitarbeiter sorgfältig auszuwählen, bzgl. den IT-Sicherheitspflichten zu instruieren und die Einhaltung dieser Vorgaben zu überwachen sind.4 579

Beispiel für den Umfang der unternehmerischen Verkehrssicherungspflicht5: Ein vom Unternehmen eingesetztes IT-System wird zur haftungsbegründenden Gefahrenquelle für Dritte, wenn die technischen Funktionen des Rechners zum Weiterverbreiten von Schadprogrammen oder zum Starten von Angriffen auf Systeme Dritter eingesetzt werden können, etwa um im Wege von Denial-of-Service-Attacken die Systeme Dritter zum Absturz zu bringen oder in diesen Systemen sensible personenbezogene Daten zu löschen oder deren Vertraulichkeit durch das Ausspähen von Daten zu verletzen. Das Unternehmen muss im Wege geeigneter IT-Sicherheitsbemühungen solche Gefahren für Dritte durch das eigene ITSystem verhindern. Insofern tritt es eine IT-Sicherheits-Verkehrssicherungspflicht.

cc) Insbesondere: Verkehrssicherungspflichten bzgl. fehlerhafter IT-Produkte 580

Ein besonderes Augenmerk sollten Unternehmen auf etwaige ihnen obliegende Produktbeobachtungspflichten legen, welche in erster Linie Produkt-Hersteller treffen.6 Ob und inwieweit Zwischenhändler von Produktbeobachtungspflichten getroffen werden, ist nicht abschließend geklärt.7 Die Produktbeobachtungspflichten bilden einen Unterfall der Kategorie der Verkehrssicherungspflichten und werden damit grundsätzlich relevant, sofern ein Unternehmen IT-Produkte auf den Markt bringt. Dabei kann es sich um Erzeugnisse aller Art handeln, also sowohl Soft- und Hardware als auch einzelne Komponenten.8 Unter den Voraussetzungen des § 823 Abs. 1 BGB droht eine verschuldensabhängige Produzentenhaftung, wenn das Unternehmen ein fehlerhaftes Produkt in den Verkehr bringt und hierdurch schuldhaft ein Recht oder Rechtsgut Dritter verletzt.9 Für die Verletzung einer Produktbeobach1 2 3 4 5 6 7 8 9

Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 102. Koch, CR 2009, 485, 486. Sprau in Palandt, BGB, § 823 Rz. 50; Roth/Schneider, ITRB 2005, 19, 20. Wagner in MüKo-BGB, § 823 Rz. 108 f. m.w.N. S. Koch, CR 2009, 485, 486 m.w.N. Hoeren in Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, IT-Verträge, Rz. 86. Hoeren in Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, IT-Verträge, Rz. 86. Staudinger in Schulze, BGB, § 823 Rz. 170. Staudinger in Schulze, BGB, § 823 Rz. 168.

218

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 581 H.

tungspflicht kommt es entscheidend darauf an, ob das Produkt diejenige Sicherheit bietet, die die im entsprechenden Bereich herrschende Verkehrsauffassung für erforderlich hält, wobei die berechtigten Sicherheitserwartungen des gefährdeten Benutzerkreises ebenso wie der aktuelle Stand von Wissenschaft und Technik zum Zeitpunkt des Inverkehrbringens des Produkts eine entscheidende Rolle spielen.1 Branchenstandards und Vorgaben aus technischen Regelwerken (s. Rz. 688 ff.) bieten für Hersteller bzgl. des Umfangs ihrer Produktbeobachtungspflichten wichtige Hinweise.2 Es lassen sich dabei vier Fehlerkategorien von Produkten unterscheiden: Konstruktions-, Fabrikations- und Instruktionsfehler sowie Produktbeobachtungsfehler nach Inverkehrbringen auf den Markt.3 Hersteller von IT-Produkten müssen davon ausgehend insbesondere folgende Haftungsrisiken beachten: Schon bei der Konstruktion dürfen Produkte konzeptionell nicht unter dem gebotenen Sicherheitsstandard bleiben.4 Zudem müssen Hersteller ihre Produkte über deren gesamte Lebensdauer hinweg beobachten und Dritte vor Gefahren warnen, die von Schwachstellen oder sich entwickelnden Defekten im Produkt ausgehen.5 Die Produktbeobachtungspflicht dauert grundsätzlich so lange an, wie das Produkt noch in relevantem Ausmaß genutzt wird.6 Mit zunehmender Veraltung des Produkts schwächt sich diese Beobachtungs- und Warnpflicht allerdings regelmäßig ab.7 Bei erheblichen Sicherheitsrisiken und einer weiterhin weit verbreiteten Nutzung kann aber auch hier anderes gelten.8 Beispiel zum Ausmaß der Warnpflicht: Ein Unternehmen stellt Software her und vertreibt diese auch. Bei der Programmierung werden bekannte Sicherheitsrisiken ebenso wie aktuelle Sicherheitsstandards berücksichtigt. Nachdem das Unternehmen die Software auf den Markt gebracht hat, muss es dennoch fortwährend unter Sammlung und Auswertung zugänglicher Literatur und Erkenntnisse mögliche Defekte seiner Software beobachten, insbesondere was unvermeidbare Bugs betrifft. Das Unternehmen erhält von Nutzern mehrfach ernstzunehmende Beschwerden über mögliche Sicherheitslücken der Software. Die Produktbeobachtungspflicht des Unternehmens verpflichtet dieses dazu, sich nun nicht mehr auf eine passive Beobachtung der Software zu beschränken, sondern aktiv zur Gefahrenabwehr tätig zu werden. Das Unternehmen muss nun Warnhinweise herausgeben, die dazu geeignet sind, betroffene Verkehrskreise anzusprechen und auf die von der Software ausgehende Gefahr aufmerksam zu machen. Dabei ist auch die Verbreitung der Software auf dem Markt zu berücksichtigen. Bei weit verbreiteten Produkten muss das Unternehmen zahlreiche Kanäle gleichzeitig zur Verbreitung von Warnhinweisen nutzen, wobei eine Warnung allein auf der UnternehmensWebsite nicht ausreicht.

1 Rockstroh/Kunkel, MMR 2017, 77, 80 m.w.N. 2 Rockstroh/Kunkel, MMR 2017, 77, 80 f. m.w.N.; zu beachten aber auch Staudinger in Schulze, BGB, § 823 Rz. 173 zur Gefahr einer Orientierung an veralteten Standards. 3 Staudinger in Schulze, BGB, § 823 Rz. 172; Rockstroh/Kunkel, MMR 2017, 77, 80 f. m.w.N. 4 Rockstroh/Kunkel, MMR 2017, 77, 80 m.w.N. 5 Rockstroh/Kunkel, MMR 2017, 77, 80 f. m.w.N. 6 Raue, NJW 2017, 1841, 1844 m.w.N. 7 Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, S. 273; s. auch ebenda S. 59 f. m.w.N. für das nachfolgende Beispiel. 8 Raue, NJW 2017, 1841, 1844.

219

2021-11-22, 12:02, HB groß

581

H. Rz. 582 | Allgemeine Haftung für IT-Sicherheit

dd) Weitere Anspruchsvoraussetzungen 582

Hat eine Pflichtverletzung des Unternehmens eine Rechtsgutverletzung i.S.d. § 823 Abs. 1 BGB herbeigeführt, so entsprechen die weiteren Anspruchsvoraussetzungen, wie Kausalität und Art und Umfang des Schadensersatzes, weitestgehend denjenigen der vertraglichen Haftung (s. Rz. 544 ff.). Unternehmen droht auf Grundlage ihrer weitreichenden Verkehrssicherungspflichten für eigene IT-Sicherheitsstandards damit das erhebliche Risiko einer deliktischen Haftung. Beachtung sollte dabei auch finden, dass im Rahmen von Verträgen nicht nur die vertragliche, sondern auch die deliktische Haftung für fahrlässiges Verhalten bis zur zulässigen Grenze ausgeschlossen werden kann (s. Rz. 561 f.).1 Bei der Formulierung solcher Haftungsausschlüsse sollten Unternehmen aufgrund deren enger Auslegung zulasten des Unternehmens besonders sorgfältig vorgehen und klare Regelungen treffen.2 b) Haftung nach § 823 Abs. 2 BGB wegen der Verletzung eines Schutzgesetzes

583

Die Haftung aus § 823 Abs. 2 BGB ergänzt erheblich den Kreis der über § 823 Abs. 1 BGB geschützten Rechtsgüter, indem eine Vielzahl von Vorschriften aller Rechtsgebiete – auch aus dem Bereich des IT-Sicherheitsrechts – in das Deliktsrecht aufgenommen und der schuldhafte Verstoß gegen sie mit einer Schadensersatzpflicht sanktioniert wird.3 Dadurch kommt es zu einer erheblichen Vorverlagerung der deliktischen Haftung: Sanktioniert wird – je nach Schutzgesetz – nicht erst eine tatsächliche Rechtsgutsverletzung, sondern bereits der Verstoß gegen ein gesetzliches Gebot, ein bestimmtes gefährliches Verhalten zu unterlassen.4 Die Voraussetzung für einen tatsächlichen Anspruch bildet allerdings auch hier der Eintritt eines Schadens infolge des Gesetzesverstoßes.5 Das Verschulden des Unternehmens muss sich für einen Anspruch nach § 823 Abs. 2 BGB lediglich auf die Verletzung des Schutzgesetzes, nicht jedoch auf dessen schädigende Wirkung beziehen.6 Die Ausdehnung der Haftung durch diese Anspruchsvoraussetzungen wird praktisch verdeutlicht, wenn ein Schutzgesetz bei Verstößen wegen fahrlässigen Verhaltens – ohne Eintritt einer Rechtsgutsverletzung – Schadensersatzansprüche ermöglicht.7 In solchen Fällen muss das Unternehmen Dritten reine Vermögensschäden ersetzen.8 Um einer übermäßigen Ausweitung der Haftung entgegenzuwirken, werden an die Schutzgesetzeigenschaft einzelner Vorschriften daher relativ strenge Voraussetzungen gestellt.9

1 2 3 4 5 6 7 8

Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 90 m.w.N. Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 90 m.w.N. Wagner in MüKo-BGB, § 823 Rz. 532 m.w.N . Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 266 m.w.N. Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 266 m.w.N. Sprau in Palandt, BGB, § 823 Rz. 61. Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 267 m.w.N. Förster/de la Durantaye in Borges/Hilber, BeckOK IT-Recht, 3. Edition, 1.9.2020, § 823 Rz. 62. 9 Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 267 m.w.N.

220

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 586 H.

Ein „Schutzgesetz“ ist jede Rechtsnorm, die zumindest auch den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts schützen soll.1 Für einen derartigen Individualschutz ist nicht die Wirkung der Vorschrift entscheidend, sondern deren Inhalt und Zweck nach dem Willen des Gesetzgebers.2 Im Schaden des Dritten muss sich zudem das Risiko verwirklichen, vor dem die Rechtsnorm schützen will.3 Rechtspflichten im Bereich der IT-Sicherheit dienen regelmäßig nicht nur dem Schutz des Unternehmens vor inneren und äußeren Bedrohungen, sondern sollen auch Dritte schützen, die vom Einsatz der IT im Unternehmen betroffen sind, etwa als Kunden oder Geschäftspartner des jeweiligen Unternehmens. Beim Verstoß des Unternehmens gegen eine Vorschrift aus dem Bereich der IT-Sicherheit besteht daher stets die Möglichkeit, dass diese zugleich dem Schutz von Individualinteressen dient und daher Schadensersatzansprüche der Betroffenen nach § 823 Abs. 2 BGB i.V.m. dem Schutzgesetz auslöst. Im Bereich des Rechts der IT-Sicherheit fehlt es derzeit jedoch weitgehend an einschlägiger Rechtsprechung, so dass hinsichtlich der deliktischen Inanspruchnahme für die Verletzung von IT-Sicherheitsrecht ein nicht unerhebliches Maß an Rechtsunsicherheit herrscht.4

584

Beispiele für (wohl) als „Schutzgesetz“ anerkannte Vorschriften aus dem Bereich des ITSicherheitsrechts: – der wohl überwiegende Teil der Vorschriften des allg. Datenschutzrechts, insbesondere Art. 32 ff. DSGVO (s. Rz. 164 ff.); – Sicherheitsvorkehrungen, § 19 TTDSG (s. Rz. 366 ff.); – Datenveränderung, § 303a StGB; – Untreue, § 266 StGB (s. Rz. 608 ff.); – Straftaten der Verletzung von Betriebs- und Geschäftsgeheimnissen, § 23 GeschGehG (s. Rz. 144 ff.).

585

Wie bereits gezeigt (s. Rz. 573 ff.), gehört die Haftung des Unternehmens für Schäden, die durch eines seiner Produkte an Rechtsgütern Dritter verursacht werden, zu einem gesicherten Anwendungsbereich des Deliktsrechts.5 Die verschuldensabhängige Produzentenhaftung nach § 823 Abs. 1 BGB wird in diesem Bereich durch Schutzgesetze flankiert. Dabei spielen vor allem die Normen des Produktsicherheitsgesetzes (ProdSG) eine tragende Rolle.6 Zentrale Norm mit Blick auf Sicherheitspflichten und -standards ist § 3 ProdSG.7 Danach darf ein Produkt nur dann auf dem Markt bereitgestellt werden, wenn es die vorgesehenen Anforderungen erfüllt und die Sicherheit und Gesundheit von Personen oder andere normierte Rechtsgüter bei bestimmungsgemäßer oder vorhersehbarer Verwendung nicht gefährdet. Das ProdSG

586

1 Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 276; Staudinger in Schulze, BGB, § 823 Rz. 146. 2 Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 273 m.w.N. 3 Staudinger in Schulze, BGB, § 823 Rz. 150; Sprau in Palandt, BGB, § 823 Rz. 59. 4 S. für die nachfolgenden Beispiele Wagner in MüKo-BGB, § 823 Rz. 525 m.w.N.; Sprau in Palandt, BGB, § 823 Rz. 65 (zum BDSG), 72 m.w.N.; Spindler, CR 2016, 297, 306 f. m.w.N.; Mehrbrey/Schreibauer, MMR 2016, 75, 81 m.w.N. 5 Wagner in MüKo-BGB, § 823 Rz. 916. 6 Wagner in MüKo-BGB, § 823 Rz. 1024 ff.; Sprau in Palandt, BGB, § 823 Rz. 68. 7 Wagner in MüKo-BGB, § 823 Rz. 1026.

221

2021-11-22, 12:02, HB groß

H. Rz. 586 | Allgemeine Haftung für IT-Sicherheit

findet nur auf „Produkte“ i.S.d. § 2 Nr. 22 ProdSG Anwendung. Hardware-Komponenten fallen unproblematisch unter diesen Produkt-Begriff, wohingegen die Frage der Produkteigenschaft von Software nach wie vor umstritten ist.1 587

IT-Sicherheitsdefizite und Produktsicherheitsdefizite treffen vor allem dann zusammen, wenn die Produktion vorrangig systemgesteuert stattfindet. Dies ist besonders bei der Industrie 4.0 der Fall: Kommt es durch IT-Sicherheitsdefizite zu einem Cyber-Angriff auf die Produktionssysteme und dadurch zu Ausfällen oder Störungen, drohen systembedingte Produktionsfehler, die sich als Fertigungsfehler im Endprodukt niederschlagen können.2 Mangelnde IT-Sicherheit kann dann zu mangelnder Produktsicherheit werden, so dass sich diese beiden gesetzlich vorgesehenen Schutzziele gewissermaßen überschneiden.3 Dennoch ist die Haftung nach § 823 Abs. 2 BGB i.V.m. dem ProdSG im IT-Sicherheitsrecht von untergeordneter Relevanz, da dessen sachlicher Schutzbereich auf Personenschäden beschränkt ist, die als Folge von ITSicherheitsdefiziten nicht allzu häufig denkbar sind.4 Eine eigene Anspruchsgrundlage für Schadensersatzforderungen hält das ProdSG ebenfalls nicht vor. c) Haftung nach § 831 BGB für Verrichtungsgehilfen

588

§ 831 BGB begründet eine Haftung des Geschäftsherrn für sein eigenes Verschulden bei der Auswahl des Verrichtungsgehilfen, der Beschaffung sachlicher Hilfsmittel oder bei Leitungsmaßnahmen, durch welche Dritte zu Schaden kommen.5 Bei IT-Sicherheitsverstößen kann sich aus § 831 BGB eine Haftung des Unternehmens für zum Schadensersatz verpflichtendes Verhalten von Mitarbeitern ergeben.6 Die Haftung für Verschulden der Unternehmensleitung erfolgt wegen der Zurechnung über § 31 BGB im Deliktsrecht über § 823 BGB, nicht über § 831 BGB.7

589

Wesentliche Voraussetzung eines Anspruchs nach § 831 BGB ist, dass ein Verrichtungsgehilfe Dritte in Ausführung der ihm übertragenen Tätigkeit schädigt. Verrichtungsgehilfen des Unternehmens sind dabei solche Personen, die in irgendeiner Weise für das Unternehmen tätig sind und dabei abhängig sowie weisungsgebunden sind.8 Das Unternehmen muss dazu in der Lage sein, die Tätigkeit dem Handelnden jederzeit zu entziehen, sie zu beschränken oder nach Zeit und Umfang zu regeln.9 Besonders eine Unternehmenshaftung für Arbeitnehmer steht auf Grundlage dieser Voraussetzungen im Kernbereich des § 831 BGB.10 Bei der Rechtsgutverletzung muss der Verrichtungsgehilfe in Ausführung seiner Tätigkeit gehandelt haben, also muss

1 2 3 4 5 6 7 8 9 10

Klindt/Schucht in Klindt, ProdSG, § 2 Rz. 164 m.w.N. Bräutigam/Klindt, NJW 2015, 1137, 1140 m.w.N. Bräutigam/Klindt, NJW 2015, 1137, 1140 m.w.N. Wagner in MüKo-BGB, § 823 Rz. 1029 m.w.N. Staudinger in Schulze, BGB, § 831 Rz. 1. Roth/Schneider, ITRB 2005, 19, 20. Staudinger in Schulze, BGB, § 831 Rz. 4; Wagner in MüKo-BGB, § 831 Rz. 19. Wagner in MüKo-BGB, § 831 Rz. 14. Wagner in MüKo-BGB, § 831 Rz. 14 m.w.N. Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 831 Rz. 19.

222

2021-11-22, 12:02, HB groß

III. Haftung des Unternehmens gegenüber Dritten | Rz. 591 H.

ein unmittelbarer, innerer Zusammenhang zwischen der Verrichtung seiner Tätigkeit und der schädigenden Handlung bestehen.1 Da sich die IT-Sicherheit im Unternehmen nur unter Beteiligung aller Abteilungen und Mitarbeiter umsetzen lässt, bspw. über Verhaltensvorgaben in Betriebsrichtlinien (s. Rz. 658 ff.), lassen sich ITSicherheitsvorfälle regelmäßig auf ein Fehlverhalten von Arbeitnehmern im Rahmen ihrer Arbeitstätigkeit zurückführen. Damit liegen entsprechend auch die Voraussetzungen des § 831 BGB regelmäßig vor. § 831 Abs. 1 Satz 2 BGB sieht eine Entlastungsmöglichkeit für das Unternehmen vor, wenn es nachweisen kann, bei der Auswahl, Instruktion und Überwachung des Verrichtungsgehilfen die im Verkehr erforderliche Sorgfalt eingehalten zu haben.2 Diese Exkulpationsmöglichkeit spielt allerdings regelmäßig eine rein theoretische Rolle.3 Da das Unternehmen eine Pflicht zur ordnungsgemäßen Unternehmensorganisation trifft, welche die Schädigung Dritter durch interne Arbeitsabläufe gerade verhindern soll (s. Rz. 578), kommt eine Entlastung für Organisationsdefizite bei Unternehmen kaum in Betracht.4 4. Verschuldensunabhängige Produkthaftung Neben die deliktische, verschuldensabhängige Produzentenhaftung (s. Rz. 580) tritt die verschuldensunabhängige Produkthaftung nach dem ProdHaftG, welche in ihrer praktischen Bedeutung aufgrund der engeren Voraussetzungen allerdings hinter der deliktischen Haftung zurückbleibt.5 Zu beachten ist jedoch, dass die Haftung gem. § 14 ProdHaftG vertraglich nicht abbedungen werden kann. Nach dem ProdHaftG haften Hersteller fehlerhafter Produkte für Personen- und Sachschäden. Produkte i.S.d. § 2 ProdHaftG sind bewegliche Sachen, auch wenn sie einen Teil einer anderen beweglichen oder unbeweglichen Sache bilden. Damit fallen Hardware und einzelne Hardware-Komponenten unproblematisch unter den Produkt-Begriff, wohingegen die Frage nach der Sach- und folglich Produkteigenschaft von Software und Software-Komponenten nach wie vor umstritten ist.6 Software sollte zumindest dann als Produkt zu qualifizieren sein, wenn sie auf einem Datenträger gespeichert und damit verkörpert ist.7

590

Eine Haftung nach § 1 ProdHaftG setzt – genau wie ein deliktischer Anspruch aus § 823 Abs. 1 BGB (s. Rz. 573) – die Verletzung geschützter Rechtsgüter voraus. Reine

591

1 2 3 4

Staudinger in Schulze, BGB, § 831 Rz. 9 m.w.N. Staudinger in Schulze, BGB, § 831 Rz. 11 m.w.N. Roth/Schneider, ITRB 2005, 19, 20. Sprau in Palandt, BGB, § 823 Rz. 11 m.w.N.; teilweise wird sogar befürwortet, § 831 Abs. 2 Satz 2 BGB als Exkulpationsmöglichkeit auf Unternehmen gar nicht anzuwenden, s. Wagner in MüKo-BGB, § 831 Rz. 11 m.w.N. 5 Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, S. 85 f.; Rockstroh/Kunkel, MMR 2017, 77, 82. 6 Rockstroh/Kunkel, MMR 2017, 77, 82 m.w.N.; Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 2 ProdHaftG Rz. 4, 22 ff. 7 Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, S. 85 m.w.N.; Rockstroh/Kunkel, MMR 2017, 77, 82 m.w.N.; nähere Einzelheiten bei Hoeren in Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, IT-Verträge, Rz. 81.

223

2021-11-22, 12:02, HB groß

H. Rz. 591 | Allgemeine Haftung für IT-Sicherheit

Vermögensschäden sind nicht ersatzfähig.1 Eine Inanspruchnahme kommt in Betracht, wenn durch den Fehler eines Produkts jemand getötet, sein Körper oder seine Gesundheit verletzt oder eine Sache beschädigt wird. Besonders Sachschäden bilden die Folge von IT-Sicherheitsvorfällen und stehen damit im Mittelpunkt eines Haftungsrisikos. Grundsätzlich werden jedoch nur Schäden an anderen Sachen als dem fehlerhaften Produkt erfasst.2 Zudem wird ein Anspruch gegen den Hersteller noch dadurch beschränkt, dass die beschädigte Sache gewöhnlicherweise und im konkreten Fall hauptsächlich privat genutzt werden muss, § 1 Abs. 1 Satz 2 Halbs. 2 ProdHaftG. Die praktische Bedeutung des ProdHaftG im Soft- und Hardwarebereich wird über den Ausschluss der Haftung im unternehmerischen Verkehr maßgeblich eingeschränkt.3 592

Die Rechtsgutverletzung muss durch die Fehlerhaftigkeit des Produkts verursacht worden sein, § 1 Abs. 1 ProdHaftG. Ein Produkt hat einen Fehler, wenn es nicht die Sicherheit bietet, die unter Berücksichtigung aller Umstände berechtigterweise erwartet werden kann, § 3 Abs. 1 ProdHaftG. Die Sicherheitserwartungen decken sich grundsätzlich mit den Verkehrspflichten des Herstellers nach § 823 Abs. 1 BGB, so dass auf die entsprechenden Ausführungen in Rz. 578 verwiesen werden kann und sowohl Konstruktionsfehler als auch Fabrikations- und Instruktionsfehler sowie Produktbeobachtungsfehler zur Fehlerhaftigkeit des Produkts führen können.4

593

Neben der eingeschränkten Anwendbarkeit des ProdHaftG im Fall von Sachschäden sieht § 1 Abs. 2 ProdHaftG überdies verschiedene Fälle eines Haftungsausschlusses vor. Im IT-Bereich ist dabei besonders § 1 Abs. 2 Nr. 5 ProdHaftG im Hinblick auf Entwicklungsfehler relevant: Danach haftet der Hersteller nicht für Fehler, die von ihm zum Zeitpunkt des Inverkehrbringens des Produkts nach dem Stand von Wissenschaft und Technik nicht erkannt werden konnten. „Alte“ Produkte müssen damit an geänderte Bedrohungslagen nicht angepasst werden, sofern sie im Zeitpunkt ihres Inverkehrbringens fehlerlos waren. Allenfalls kann Unternehmen in solchen Fällen eine verschuldensabhängige deliktische Haftung für Produktbeobachtungsfehler drohen (s. Rz. 580).5 Wohl ist aber zu beachten, dass bei der Entwicklung neuer Produkte die kontinuierlich ansteigenden IT-Sicherheitserwartungen zu berücksichtigen sind, da diese den Hersteller zur Anpassung seiner Produkte an aktuelle Sicherheitsstandards zwingen, um deren Fehlerhaftigkeit und damit eine verschuldensunabhängige Haftung nach dem ProdHaftG zu vermeiden.6

1 Rockstroh/Kunkel, MMR 2017, 77, 82 m.w.N. 2 Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 1 ProdHaftG Rz. 22 ff. 3 Rockstroh/Kunkel, MMR 2017, 77, 82; Hoeren in Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, IT-Verträge, Rz. 81. 4 Rockstroh/Kunkel, MMR 2017, 77, 82 m.w.N. 5 Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 1 ProdHaftG Rz. 54. 6 Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 1 ProdHaftG Rz. 54.

224

2021-11-22, 12:02, HB groß

IV. Inanspruchnahme von Cyber-Angreifern | Rz. 596 H. & Das Wesentliche in Kürze:

594

Gegenüber Dritten haftet das Unternehmen für interne IT-Sicherheitsdefizite auf Schadensersatz: 1. Verschuldensabhängig aus Vertrag (§§ 280 ff. BGB) – Haftungserleichterungen unter Einschränkungen möglich (§§ 305 ff. BGB bei AGB zu beachten) 2. Verschuldensabhängig aus Deliktsrecht (§§ 823 ff. BGB oder Spezialgesetz) – § 823 Abs. 1 BGB: Rechtsgutsverletzung durch Verletzung von Verkehrssicherungspflichten (Organisationsdefizite im Unternehmen, unzureichende Produktbeobachtung) – § 823 Abs. 2 BGB: Schutzgesetzverletzung, etwa IT-Sicherheitsrecht (Art. 24 DSGVO, § 169 TKG), ProdSG – § 831 BGB für Verrichtungsgehilfen, vor allem IT-Sicherheitsvorfälle durch Fehlverhalten von Mitarbeitern 3. Verschuldensunabhängig aus § 1 ProdHaftG – Vertraglich nicht abdingbar – Haftung für Rechtsgutverletzung durch Produktfehler (IT-Sicherheitsdefizite) bei hauptsächlich privat genutzten Produkten Auf Grundlage der vorbeschriebenen Anspruchsgrundlagen kann das Unternehmen auch Dritte bei IT-Sicherheitsdefiziten in Anspruch nehmen. Dabei kann ggf. ein anspruchsreduzierendes Mitverschulden des Unternehmens nach § 254 BGB wegen der Verletzung von IT-Sicherheitspflichten zur Kürzung der Ansprüche führen.

IV. Inanspruchnahme von Cyber-Angreifern Wie bereits dargelegt (s. Rz. 16 ff.), wird das Internet immer häufiger von Dritten als Angriffsmittel auf Unternehmen genutzt, wobei die Arten und Ziele solcher Angriffe vielfältig sind: Zu denken ist etwa an Fälle digitaler Wirtschaftsspionage, Sabotage oder an Datendiebstähle. Aufgrund der hohen Praxisrelevanz von Cyber-Angriffen aus Unternehmenssicht sollen daher die Möglichkeiten zur Inanspruchnahme von Cyber-Angreifern Erwähnung finden. Der Mangel an einschlägiger Rechtsprechung1 verdeutlicht jedoch bereits, dass die Identifikation und erfolgreiche Inanspruchnahme von Cyber-Angreifern in der Praxis erhebliche Schwierigkeiten bereitet.

595

1. Anspruchsgrundlagen Gegen Cyber-Angreifer kommen vor allem deliktische Ansprüche gem. § 823 Abs. 2 BGB i.V.m. einem Schutzgesetz in Betracht (s. ausführlich Rz. 583 ff.).2 Die Grundlage dafür bilden regelmäßig Strafnormen, die vom Angreifer verletzt wurden, wie bspw.:3 1 S. dazu Mehrbrey/Schreibauer, MMR 2016, 75, 75. 2 Mehrbrey/Schreibauer, MMR 2016, 75, 76. 3 Mehrbrey/Schreibauer, MMR 2016, 75, 76; von Brühl/Brandenburg, ITRB 2013, 260, 261 f.; s. zu den nachfolgenden Ausführungen Hassemer in Schneider, Handbuch EDV-Recht, Teil E, Rz. 11–117.

225

2021-11-22, 12:02, HB groß

596

H. Rz. 596 | Allgemeine Haftung für IT-Sicherheit

– § 202a StGB – Ausspähen von Daten: Die Vorschrift stellt den unbefugten Zugang durch Dritte zu geschützten Daten, die nicht für den Täter bestimmt waren, unter Überwindung der Zugangssicherung unter Strafe. – § 202b StGB – Abfangen von Daten: Bestraft werden Dritte, die sich unbefugt nicht für sie bestimmte Daten unter Anwendung von technischen Mitteln aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschaffen. Darunter fallen etwa nichtöffentliche Datenübertragungen über Telefon, Fax oder E-Mail. – § 263a StGB – Computerbetrug: Die Vorschrift stellt verschiedene Manipulationshandlungen unter Strafe, die das Ergebnis eines Datenverarbeitungsvorgangs beeinflussen, wodurch ein Vermögensschaden entsteht. Derartige Taten werden regelmäßig über das Internet verübt, zu denken ist etwa an Phishing oder Pharming. – § 303a StGB – Datenveränderung: Nach dieser Vorschrift wird bestraft, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Die Vorschrift sichert damit die Verfügungsgewalt des Unternehmens über die in seinen Datenspeichern vorhandenen Informationen. – § 303b StGB – Computersabotage: Die Vorschrift schützt das störungsfreie Funktionieren einer Datenverarbeitungsanlage, deren Tätigkeit für einen anderen von wesentlicher Bedeutung ist. Letzteres ist etwa der Fall, wenn die Funktionsfähigkeit des Unternehmens als Ganzes nach der jeweiligen Organisationsstruktur und Aufgabenteilung ganz oder überwiegend von der Datenverarbeitung abhängig ist. Ein Beispiel dafür sind Denial-of-Service-Attacken. – § 23 GeschGehG – Verletzung von Geschäftsgeheimnissen (s. Rz. 144 ff.). 597

Auch von § 823 Abs. 1 BGB erfasste Rechtsgutverletzungen auf Seiten des Unternehmens sind denkbar, etwa auf Grundlage des Rechts am eingerichteten und ausgeübten Gewerbebetrieb (s. Rz. 574 ff.).1 Werden etwa für Phishing-Mails oder Pharming-Seiten Bilder oder Firmenlogos verwendet, liegt regelmäßig auch ein Verstoß gegen das Urheber- oder Markenrecht des Berechtigten vor, so dass spezialgesetzliche Schadensersatzansprüche nach § 97 Abs. 2 UrhG sowie §§ 14 Abs. 6, 7 und 15 Abs. 5, 6 MarkenG in Betracht kommen.2 2. Anspruchssicherung und Vorgehen im Falle von Cyber-Angriffen

598

Auch wenn Unternehmen grundsätzlich zivilrechtliche Ansprüche gegen Cyber-Angreifer zustehen, bereitet deren Durchsetzung in der Praxis Schwierigkeiten. CyberAngriffe finden typischerweise im Verborgenen statt, so dass der Angreifer regelmäßig unbekannt oder nur schwer über IP-Adressen zu identifizieren ist.3 Dabei werden eigenen Nachforschungsmaßnahmen der Unternehmen datenschutzrechtliche Grenzen gesetzt, so dass eine Ermittlung der Täter regelmäßig nur über die Ein-

1 von Brühl/Brandenburg, ITRB 2013, 260, 262; Mehrbrey/Schreibauer, MMR 2016, 75, 76. 2 Mehrbrey/Schreibauer, MMR 2016, 75, 76. 3 von Brühl/Brandenburg, ITRB 2013, 260, 262; Mehrbrey/Schreibauer, MMR 2016, 75, 76.

226

2021-11-22, 12:02, HB groß

IV. Inanspruchnahme von Cyber-Angreifern | Rz. 599 H.

schaltung der Staatsanwaltschaft in Betracht kommt.1 Diese kann gegenüber Telekommunikations- und Telemedienanbietern Auskunftsersuchen zur Feststellung der Identität der Angreifer zu Strafverfolgungszwecken nach § 174 Abs. 3 TKG bzw. § 24 Abs. 3 TTDSG stellen (s. Rz. 362 ff.).2 Die Sicherung der IP-Adresse des Cyber-Angreifers, sofern sie im Einzelfall feststellbar ist, ist damit die entscheidende Maßnahme, mit welcher Unternehmen ihre zivilrechtlichen Ansprüche gegen den Angreifer sichern können.3 Im Falle von Cyber-Angriffen bietet sich zur Anspruchssicherung das nachfolgende Vorgehen an:4 (1) Sicherung der vorhandenen Daten: Im Falle eines Cyber-Angriffs müssen schnellstmöglich sämtliche Daten gesichert werden, um den Angreifer – etwa über IP-Adressen – im Nachhinein ermitteln zu können. (2) Einschaltung der Staatsanwaltschaft: Dies sollte schnellstmöglich nach dem Angriff erfolgen, damit die Staatsanwaltschaft bei Telekommunikations- und Telemedienanbietern erfolgreich Auskunftsersuchen stellen kann. Zu beachten ist das eingeschränkte Zeitfenster für Auskünfte: Sowohl Telekommunikations- als auch Telemedienanbieter können (Verbindungs-)Daten rechtskonform nur temporär, teilweise nur für wenige Tage bis Wochen aufbewahren, vgl. § 176 TKG.5 Auch sollte der Angriff dem entsprechenden LKA gemeldet werden, um eine schnelle Aufnahme der Ermittlungen zu gewährleisten. Für diese Zwecke gibt es beim LKA eine spezielle Abteilung, die sogenannte Zentrale Ansprechstelle Cybercrime (ZAC). Ein sofortiges Handeln des Unternehmens ist also für die Erfolgsaussichten der Anspruchsdurchsetzung zwingend erforderlich. (3) Enger Kontakt mit der Staatsanwaltschaft: Angesichts des engen Zeitfensters sollte das Unternehmen nach Erstattung der Strafanzeige in den folgenden Tagen engmaschig mit der Staatsanwaltschaft in Kontakt bleiben, um sicherzugehen, dass diese das Auskunftsersuchen gegen den Diensteanbieter zügig auf den Weg bringt. Während der Ermittlungen sollte das Unternehmen regelmäßig Akteneinsicht nehmen, um die Durchsetzung zivilrechtlicher Ansprüche vorzubereiten. Auch das Unternehmen sollte den Telekommunikations- oder Telemedienanbieter selbst schnellstmöglich über das anstehende Strafverfahren informieren. (4) Information von Vertragspartnern und Kunden: Um Reputationsverlusten und Sicherheitsrisiken für Vertragspartner und Kunden vorzubeugen, sollten diese über Sicherheitsrisiken im Vorfeld informiert werden. Teilweise können hier auch gesetzliche, vorwiegend datenschutzrechtliche Meldepflichten gegenüber Auf-

1 2 3 4

Mit weiteren Einzelheiten von Brühl/Brandenburg, ITRB 2013, 260, 262. von Brühl/Brandenburg, ITRB 2013, 260, 262. von Brühl/Brandenburg, ITRB 2013, 260, 262. von Brühl/Brandenburg, ITRB 2013, 260, 263; s. auch für die nachfolgenden Ausführungen. 5 Dazu etwa BGH, Urt. v. 13.1.2011 – III ZR 146/10, MMR 2011, 341, 341 ff. mit Anm. von Karg = CR 2011, 178.

227

2021-11-22, 12:02, HB groß

599

H. Rz. 599 | Allgemeine Haftung für IT-Sicherheit

sichtsbehörden oder Betroffenen bestehen, etwa gem. Art. 33, 34 DSGVO (s. Rz. 221 ff.), die es zu erfüllen gilt. 600

601

Unternehmen können Schäden durch Cyber-Angriffe am besten über angemessene IT-Sicherheitsstandards vorbeugen. Auch wenn Angriffe nicht stets verhindert werden können, können die negativen Folgen des Angriffs etwa über Notfallpläne (s. Rz. 683 ff.) abgemildert werden.1 Die unternehmenseigene IT-Sicherheit dient damit dem Selbstschutz. & Das Wesentliche in Kürze: Die Haftung von Cyber-Angreifern aus Deliktsrecht ist regelmäßig eher von theoretischer Relevanz, da die Anspruchssicherung in der Praxis häufig scheitert.

V. Ordnungswidrigkeiten- und Strafrecht 602

Die Verletzung rechtlicher Pflichten im Bereich der IT-Sicherheit kann für das Unternehmen und seine Organe unter verschiedenen Gesichtspunkten zur Verwirklichung von Straftaten oder Ordnungswidrigkeiten führen.2 In besonderem Maße von einem solchen Haftungsrisiko betroffen ist die Unternehmensführung, der für die Verletzung von IT-Sicherheitspflichten eine persönliche Haftung droht. So hat die Diskussion um „Criminal Compliance“ nicht nur in der unternehmerischen Praxis, sondern auch in der Strafrechtswissenschaft erheblich an Bedeutung gewonnen.3 Über Konsequenzen aus dem Bereich des Ordnungswidrigkeiten- und Strafrechts soll das Unternehmen zur Einhaltung seiner rechtlichen IT-Sicherheitspflichten angehalten werden.4 Entsprechende Verstöße bringen aufgrund dessen nicht nur Haftungsfolgen für die Unternehmensleitung, sondern auch für das Unternehmen als solches mit sich. Es wird gar diskutiert, den IT-Sicherheitsbeauftragten entsprechenden ordnungswidrigkeits- und strafrechtlichen Konsequenzen auszusetzen. 1. Haftung der Geschäftsleitung

603

Das Haftungsrisiko der Geschäftsleitung für mangelnde IT-Sicherheit ergibt sich daraus, dass diese für die Umsetzung von IT-Sicherheit im Unternehmen verantwortlich ist (s. Rz. 32 ff.). In jüngerer Zeit werden zunehmend unternehmerische Fehlentscheidungen im Nachhinein durch Ermittlungsbehörden und Strafgerichte einer strafrechtlichen Kontrolle unterzogen.5 Der Geschäftsleitung drohen dabei vorrangig Konsequenzen aus dem Ordnungswidrigkeitenrecht, wobei auch die strafrechtliche Relevanz einer unzureichenden Geschäftsleitung Beachtung finden sollte. 1 von Brühl/Brandenburg, ITRB 2013, 260, 263. 2 S. dazu auch Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 136 ff. 3 S. die Nachweise bei Beck in BeckOK-OWiG, 31. Edition, 1.7.2021, § 130 Rz. 125 ff. 4 Beck in BeckOK-OWiG, 31. Edition, 1.7.2021, § 130 Rz. 126. 5 Altenburg, BB 2015, 323, 323.

228

2021-11-22, 12:02, HB groß

V. Ordnungswidrigkeiten- und Strafrecht | Rz. 605 H.

a) § 130 OWiG – Verletzung der Aufsichtspflicht im Unternehmen § 130 OWiG – Verletzung der Aufsichtspflicht in Betrieben und Unternehmen (1) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. […]

Der Tatbestand des § 130 OWiG richtet sich unmittelbar an Entscheidungsträger im Unternehmen – also vorrangig die Geschäftsleitung – und soll sicherstellen, dass diese Vorkehrungen treffen, um Normverstöße durch Mitarbeiter oder andere im oder für das Unternehmen tätige Personen zu verhindern.1 Die Vorschrift beruht auf der Erwägung, dass die Geschäftsleitung kraft ihrer Organisationszuständigkeit im Unternehmen eine Garantenpflicht trifft: sie soll IT-Sicherheitsverstößen entgegenwirken, die ihrem Organisationskreis entstammen.2 Die Relevanz dieser Bestimmung ist angesichts erheblicher innerer IT-Sicherheitsrisiken durch das Verhalten eigener Mitarbeiter nicht zu unterschätzen (s. Rz. 15). Täter des § 130 OWiG kann der Inhaber eines Betriebs, Unternehmens oder Konzerns sein.3 Die Inhaberschaft bestimmt sich danach, wem die Erfüllung unternehmerischer Pflichten tatsächlich obliegt.4 Bei Kapitalgesellschaften sind dies in erster Linie die Mitglieder des Vorstands bzw. der Geschäftsführung.5 Auch Betriebsangehörige oder Dritte können jedoch Täter sein, wenn sie mit der Erfüllung von Aufgaben beauftragt wurden, die den Inhaber des Unternehmens treffen.6 Dafür ist allerdings eine ausdrückliche Beauftragung des Betroffenen erforderlich, damit für ihn das Ausmaß der von ihm zu erfüllenden Pflichten eindeutig erkennbar ist.7 Zudem muss der Beauftragte jedenfalls zu einem gewissen Grad eigenverantwortlich handeln können und sachliche Entscheidungskompetenz besitzen, was je nach konkreter Ausgestaltung der Position etwa beim IT-Sicherheitsbeauftragten der Fall ist (dazu sogleich Rz. 615 f.).8

604

aa) Vorliegen von Aufsichtsdefiziten Eine Aufsichtspflichtverletzung ergibt sich daraus, dass der Täter diejenigen Aufsichtsmaßnahmen unterlässt, die erforderlich und zumutbar sind, um der Gefahr von Zu-

1 Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 1. 2 Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 1 f. m.w.N. 3 Beck in BeckOK-OWiG, 31. Edition, 1.7.2021, § 130 Rz. 26 ff.; Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 22 ff. 4 Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 25; Beck in BeckOK-OWiG, 31. Edition, 1.7.2021, § 130 Rz. 34. 5 Pelz in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 5 Rz. 8. Auch Mitglieder von Kontrollorganen, insbesondere des Aufsichtsrats, unterliegen Aufsichtspflichten, deren Verletzung eine Strafe nach § 130 OWiG zur Folge haben kann. 6 Pelz in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 5 Rz. 12. 7 Pelz in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 5 Rz. 12 m.w.N. 8 Pelz in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 5 Rz. 12 m.w.N.

229

2021-11-22, 12:02, HB groß

605

H. Rz. 605 | Allgemeine Haftung für IT-Sicherheit

widerhandlungen gegen betriebs- und unternehmensbezogene Pflichten zu begegnen.1 Dies umfasst Maßnahmen zur Herstellung und Wahrung der IT-Sicherheit im Unternehmen.2 Der genaue Umfang der Risikoerkennungs- und Überwachungspflichten der Geschäftsleitung ist stark einzelfallabhängig (s. Rz. 32 ff.). Aus diesem Grund bereitet auch die Bestimmung des konkreten Ausmaßes der Aufsichtspflicht nach § 130 OWiG Schwierigkeiten.3 Insbesondere Art, Größe und Organisation des Unternehmens sowie die Gefahrgeneigtheit der unternehmerischen Tätigkeiten spielen eine Rolle.4 Im Konzern bezieht sich die Aufsichtspflicht der Konzernleitung lediglich auf den reinen Konzernbereich, nicht jedoch auf die Binnenaufsicht in den juristisch selbstständigen Tochterunternehmen (s. Rz. 80 ff.).5 Die unternehmensinterne Organisation ist von der Geschäftsleitung so zu strukturieren, dass eine erforderliche Überwachung auch effektiv durchgeführt werden kann.6 Nicht jedem Unternehmen kann jedoch die Einrichtung umfassender IT-Compliance-Strukturen abverlangt werden, sondern die Compliance-Umsetzung liegt im Ermessen der Geschäftsleitung (s. Rz. 56 ff.). Eine allgemeine Pflicht zur Einrichtung eines Risikomanagement-Systems besteht – abgesehen von diesbezüglichen spezialgesetzlichen Pflichten – nicht.7 bb) Ahndung von Aufsichtsdefiziten 606

Ein vorwerfbarer Verstoß gegen die Aufsichtspflicht kann nur geahndet werden, wenn im Betrieb eine mit Strafe oder Geldbuße bedrohte Zuwiderhandlung begangen wurde und dadurch Pflichten der Geschäftsleitung verletzt wurden, was bei angemessener Ausübung der Aufsicht verhindert oder zumindest wesentlich erschwert werden könnte.8 Damit muss die Geschäftsleitung für IT-Compliance-Verstöße im Unternehmen einstehen, die straf- oder bußgeldbewährt sind. Diesbezüglich sind vor allem bußgeldbewährte Verstöße gegen das Datenschutzrecht relevant (s. Rz. 232 ff.).

607

Als Rechtsfolge des § 130 OWiG droht den Geschäftsleitungsmitgliedern ein Bußgeld, dessen Höhe von der Art und Weise der Aufsichtspflichtverletzung abhängt. Im gravierendsten Fall drohen Sanktionen bis zu 1 Mio. Euro. Die Bußgeldbemessung richtet sich nach allgemeinen Regeln, wobei in erster Linie die Bedeutung der Aufsichtspflichtverletzung und die Vorwerfbarkeit des Verhaltens der Geschäftsleitung, sowie deren wirtschaftliche Verhältnisse zu berücksichtigen sind.9

1 2 3 4 5 6 7 8 9

Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 38 m.w.N. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 137 m.w.N. Beck in BeckOK-OWiG, 31. Edition, 1.7.2021, § 130 Rz. 39 ff. Pelz in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 5 Rz. 16 m.w.N.; Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 43 m.w.N. Pelz in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 5 Rz. 19 m.w.N. Pelz in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 5 Rz. 17 m.w.N. Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 40 m.w.N. Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 76; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 137. Rogall in Karlsruher Kommentar zum OWiG, § 130 Rz. 122.

230

2021-11-22, 12:02, HB groß

V. Ordnungswidrigkeiten- und Strafrecht | Rz. 611 H.

b) § 266 StGB – Unternehmerische Fehlentscheidungen als Untreue? In den vergangenen Jahren haben Strafgerichte den Versuch unternommen, wirtschaftliche Risikoentscheidungen der Geschäftsleitung strafrechtlich zu bewerten.1 Auch wenn eine Verurteilung bisher nicht stattfand und es nicht immer zur Anklage kommt, hat die Anzahl von Ermittlungsverfahren wegen wirtschaftlichen Fehlentscheidungen der Geschäftsleitung beachtlich zugenommen.2

608

Die Grundlage für derartige Ermittlungen bildet der Tatbestand der Untreue in Form des Treuebruchs nach § 266 Abs. 1 Alt. 2 StGB. Danach wird bestraft, wer die ihm obliegende Pflicht verletzt, fremde Vermögensinteressen wahrzunehmen und dadurch demjenigen, dessen Vermögen er zu betreuen hat, einen Nachteil zufügt. Finanzielle Schäden des Unternehmens durch IT-Sicherheitsdefizite können unter diesem Gesichtspunkt strafrechtliche Relevanz entfalten. Eine Vermögensbetreuungspflicht trifft kraft Gesetzes die Geschäftsleitung des Unternehmens.3 Ob die Schlechterfüllung einer auf die IT-Sicherheit des Unternehmens bezogenen Organisations- und Handlungspflicht der Geschäftsleitung als Verletzung einer Vermögensbetreuungspflicht in Betracht kommt, ist von der Beherrschbarkeit der potentiellen Risiken und der Zumutbarkeit entsprechender Präventionsmaßnahmen abhängig.4 Als Verletzung von Vermögensbetreuungspflichten kommt dabei nicht nur eigenes Handeln oder Unterlassen der Geschäftsleitung, sondern ggf. auch das Nichteinschreiten gegen schädigendes Verhalten von Mitarbeitern oder Dritten in Betracht.5

609

Beispiele für die Schlechterfüllung der IT-Sicherheitspflichten der Geschäftsleitung: – Nichtergreifen erforderlicher technischer und organisatorischer Schutzmaßnahmen gegen Computerviren; – Nichtanfertigen eines IT-Sicherheitskonzepts; – unzureichende Überwachung und Kontrolle der Einhaltung von IT-Sicherheitsstandards durch die Mitarbeiter im Unternehmen.

610

Da die Geschäftsleitung im Hinblick auf die Umsetzung von IT-Compliance allerdings einen weiten Ermessensspielraum hat (s. Rz. 62 ff.) und ohnehin jeder wirtschaftlichen Entscheidung das Risiko ihres Scheiterns anhaftet, ist bisher ungeklärt, wann derartige Fehlentscheidungen zu strafrechtlich relevanten Pflichtverletzungen werden.6 Diese Rechtsunsicherheit wird über das subjektive Vorsatzerfordernis weiter ergänzt: Für die Strafbarkeit der Geschäftsleitung genügt bereits bedingter Vorsatz, so dass sie es lediglich für möglich halten muss, dass ihre Entscheidung pflichtwidrig ist und

611

1 Altenburg, BB 2015, 323, 323; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 151 m.w.N. 2 Altenburg, BB 2015, 323, 323 m.w.N. 3 Dierlamm in MüKo-StGB, § 266 Rz. 92–95 m.w.N.; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 151 m.w.N. 4 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 155 m.w.N. 5 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 155 m.w.N., s. auch für die nachfolgenden Beispiele. 6 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 156 m.w.N.; Altenburg, BB 2015, 323, 324 f. m.w.N.

231

2021-11-22, 12:02, HB groß

H. Rz. 611 | Allgemeine Haftung für IT-Sicherheit

dadurch ein Schaden entstehen könnte.1 In der Praxis dürfte der Geschäftsleitung bei Risikoentscheidungen regelmäßig bewusst sein, dass ein finanzielles Verlustrisiko besteht, so dass der subjektive Tatbestand erfüllt wird.2 Im Falle einer rechtswidrigen und schuldhaften Verletzung des § 266 StGB droht der Geschäftsleitung eine Freiheitsstrafe bis zu fünf Jahren oder eine Geldstrafe. Da sich das Ausmaß des Haftungsrisikos mangels fehlender Kasuistik nur schwer einschätzen lässt, sollten Unternehmen unbedingt künftige Rechtsentwicklungen beobachten. 2. Haftung des Unternehmens 612

Eine Strafbarkeit von Unternehmen nach dem StGB sieht das deutsche Strafrecht bisher nicht vor.3 Allerdings zeigen sich im Ordnungswidrigkeitenrecht deutliche Tendenzen, die Vermögensabschöpfung für strafbare Handlungen bei den (begünstigten) Unternehmen zu forcieren.4 Die Grundlage für eine Sanktionierung von Unternehmen bilden dabei die §§ 9, 30, 130 OWiG. § 30 OWiG ermöglicht die Festsetzung einer Geldbuße gegen juristische Personen unter der Voraussetzung, dass deren Repräsentanten (Organe, Vorstände, Vertreter, sonstige Leitungspersonen) eine Straftat oder Ordnungswidrigkeit begangen haben, durch die entweder Pflichten des Unternehmens verletzt worden sind oder die zu dessen Bereicherung geführt haben oder führen sollten.5 Die Vorschrift ermöglicht damit als „Brücke“ die Zurechnung der Verletzung von Aufsichtspflichten nach § 130 OWiG durch die Geschäftsleitung und damit in der Konsequenz die Zurechnung strafbewehrter Pflichtverletzungen durch Mitarbeiter des Unternehmens, welche durch Aufsichts- und Organisationsdefizite ermöglicht wurden (s. Rz. 591 ff.).6 Neben der Verletzung des § 130 OWiG als Hauptanwendungsfall einer Unternehmenssanktionierung auf Grundlage der § 30 OWiG kommen grundsätzlich auch andere Pflichtverletzungen durch die Geschäftsleitung als Anknüpfungstat in Betracht.7 Voraussetzung dafür ist, dass es sich um Pflichten handelt, die das Unternehmen als solches treffen.8 So kann auch eine strafrechtlich relevante Verletzung von Verkehrssicherungspflichten oder gar die Verwirklichung des Untreue-Tatbestands durch die Geschäftsleitung zur Haftung des Unternehmens auf der Grundlage von § 30 OWiG führen.9

613

Entsprechende Unternehmensgeldbußen können gem. § 30 Abs. 2 OWiG bis zu 10 Mio. Euro betragen.10 Zumessungsgrundlagen bilden u.a. die Bedeutung der Ordnungswidrigkeit oder Straftat und der die Geschäftsleitung treffende Vorwurf sowie

1 Altenburg, BB 2015, 323, 325 m.w.N. 2 Altenburg, BB 2015, 323, 325. 3 Dazu etwa Joecks in MüKo-StGB, Einleitung Rz. 124 f. m.w.N.; Meyberg in BeckOKOWiG, 31. Edition, 1.7.2021, § 30 Rz. 1 m.w.N. 4 Joecks in MüKo-StGB, Einleitung Rz. 124. 5 Rogall in Karlsruher Kommentar zum OWiG, § 30 Rz. 1. 6 Meyberg in BeckOK-OWiG, 31. Edition, 1.7.2021, § 30 Rz. 12 m.w.N. 7 Meyberg in BeckOK-OWiG, 31. Edition, 1.7.2021, § 30 Rz. 78. 8 Zu den Einzelheiten Meyberg in BeckOK-OWiG, 31. Edition, 1.7.2021, § 30 Rz. 77 ff. 9 Rogall in Karlsruher Kommentar zum OWiG, § 30 Rz. 93 f. m.w.N. 10 Zu den Einzelheiten Rogall in Karlsruher Kommentar zum OWiG, § 30 Rz. 130 ff. m.w.N.

232

2021-11-22, 12:02, HB groß

V. Ordnungswidrigkeiten- und Strafrecht | Rz. 615 H.

die wirtschaftlichen Verhältnisse des Unternehmens.1 Hat das Unternehmen aus der Tat einen wirtschaftlichen Vorteil gezogen, kann der gesetzliche Bußgeldhöchstbetrag sogar überschritten werden, um den aus der Tat bezogenen Vorteil abzuschöpfen.2 Der Entwurf zum geplanten Verbandssanktionengesetz (VerSanG-E)3 enthält ein spezielles Sanktionsrecht für Unternehmen. Es normiert eine Verfolgungspflicht von Verbandsstraftaten durch die zuständigen Verfolgungsbehörden. Sein Anwendungsbereich ist beschränkt auf Straftaten, durch die unternehmensbezogene Pflichten verletzt wurden oder durch die das Unternehmen bereichert wurde oder werden sollte, § 1 VerSanG-E. Es sieht für solche Verbandsstraftaten eine Erhöhung des Sanktionsrahmens auf 10 % des Jahresumsatzes vor, wenn der Jahresumsatz des betroffenen Unternehmens mehr als 100 Mio. Euro beträgt. Bei der Festlegung der Strafe sollen aber bei Kooperation auf Seiten des betroffenen Unternehmens gem. § 17 VerSanG-E Milderungsfaktoren mit einbezogen werden, wodurch die Strafe um bis zu 50 % reduziert werden kann. Obgleich im letzten Koalitionsvertrag vom 12.3.2018 vereinbart, ist der Regierungsentwurf nach zahlreichen angeheizten Diskussionen nicht verabschiedet worden, womit die Neuordnung des Sanktionenrechts für Unternehmen vorerst gescheitert ist.

614

3. Haftung des IT-Sicherheitsbeauftragten Wie zuvor aufgezeigt, liegt es vorrangig im Verantwortungsbereich der Geschäftsleitung, für Straftraten oder Ordnungswidrigkeiten im Unternehmenskreis einzustehen. Dies ergibt sich aus der Garantenstellung der Geschäftsleitung: Durch die Übernahme der Leitung und Organisation des Unternehmens obliegt ihr eine „Sonderverantwortlichkeit“ für die Integrität dieses Aufgabenbereichs.4 Diese umfasst ihre Verantwortlichkeit für die Herstellung und Aufrechterhaltung von IT-Sicherheit im Unternehmen (s. Rz. 32 ff.). Wie bereits gezeigt, übernimmt vertraglich jedoch auch ein ggf. vorhandener IT-Sicherheitsbeauftragter im Unternehmen wichtige Pflichten und Funktionen in Bezug auf die unternehmenseigene IT-Sicherheit (s. Rz. 639 f.). So erkennt der BGH an, dass auch dienst- bzw. arbeitsvertragliche Pflichten eine haftungsbegründende Garantenstellung entstehen lassen können.5 Unter diesem Gesichtspunkt wird eine ordnungswidrigkeiten- und strafrechtliche Haftung des IT-Sicherheitsbeauftragten diskutiert.6

1 Rogall in Karlsruher Kommentar zum OWiG, § 30 Rz. 134. 2 Meyberg in BeckOK-OWiG, 31. Edition, 1.7.2021, § 30 Rz. 98 m.w.N. 3 Gesetzentwurf der Bundesregierung eines Gesetzes zur Stärkung der Integrität in der Wirtschaft vom 16.6.2020, abrufbar unter: https://www.bmjv.de/SharedDocs/Gesetzgebungsver fahren/Dokumente/RegE_Staerkung_Integritaet_Wirtschaft.pdf;jsessionid=AB7DAE7150 62985B0227DE96E89C7633.2_cid297?__blob=publicationFile&v=2, zuletzt abgerufen am 29.10.2021. 4 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 136 f. 5 BGH, Urt. v. 17.7.2009 – 5 StR 394/08, BKR 2009, 422, 424 = CR 2009, 699. 6 S. dazu die Darstellung und Nachweise bei Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 136 ff.; Barton, RdV 2010, 19, 19 ff.

233

2021-11-22, 12:02, HB groß

615

H. Rz. 616 | Allgemeine Haftung für IT-Sicherheit 616

Bisher stand vorrangig die Geschäftsleitung im Fokus der Ermittlungsbehörden. In einem Urteil aus dem Jahr 2009 hat der BGH allerdings zur Garantenstellung eines Compliance-Officers Stellung genommen.1 Im genannten Fall wurde der Leiter der Innenrevision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe verurteilt, weil er trotz Kenntnis der erforderlichen Umstände nichts gegen betrügerische Manipulationen von Abrechnungen durch ein Vorstandsmitglied unternommen hatte. IT-Sicherheitsbeauftragte sollten sich klarmachen, dass auch ihre Position eine strafrechtliche Haftung durch Unterlassen grundsätzlich begründen kann. In einem solchen Fall müssen IT-Sicherheitsbeauftragte für Verstöße gegen das IT-Sicherheitsrecht aus dem Unternehmenskreis einstehen. Maßgeblich für eine entsprechende Garantenstellung ist neben der Übernahme eines bestimmten Pflichtenkreises ein damit einhergehendes besonderes Vertrauensverhältnis.2 Dem Beauftragten muss es nicht nur obliegen, unternehmensinterne Prozesse zu optimieren und gegen das Unternehmen gerichtete Pflichtverstöße aufzudecken und künftig zu verhindern, sondern auch vom Unternehmen ausgehende Rechtsverstöße zu beanstanden und zu unterbinden.3 Dies ist bei Compliance-Officers regelmäßig der Fall, da sie für die Unterbindung von Rechtsverstößen durch innere und äußere Risiken verantwortlich sind.4 Auch der IT-Sicherheitsbeauftragte übernimmt in der Praxis häufig entsprechende Verantwortlichkeiten, indem er die Einhaltung von IT-Sicherheitspflichten im Unternehmen sicherstellt (s. Rz. 639 ff.). Daher sollte eine entsprechende Haftungsgefahr nicht außer Betracht gelassen werden, auch wenn die Frage nach der Übertragbarkeit dieser Rechtsprechung auf den IT-Sicherheitsbeauftragten noch nicht abschließend geklärt ist. & Das Wesentliche in Kürze:

617

Eine Haftung der Geschäftsleitung kommt insbesondere auf folgenden Grundlagen in Betracht: – aus § 130 OWiG wegen Verletzung ihrer Überwachungspflicht fi Geldbußen bis zu 1 Mio. Euro – strafrechtliche Haftung durch Unterlassen (gesetzl. Garantenstellung) fi Freiheitsstrafe/Geldbuße – ggf. aus § 266 StGB wegen finanziellen Schäden des Unternehmens durch IT-Compliance-Verstöße (fehlende Kasuistik) fi Freiheitsstrafe/Geldbuße Auch eine Haftung des Unternehmens aus § 30 OWiG kommt über eine Zurechnung der Ordnungwidrigkeiten/Straftaten der Geschäftsleitung in Betracht. Dabei drohen Geldbußen von bis zu 10 Mio. Euro. Ggf. kommt auch eine strafrechtliche Haftung des IT-Sicherheitsbeauftragten durch Unterlassen in Betracht. Es fehlt allerdings an Kasuistik, ob tatsächlich eine haftungsbegründende Garantenstellung besteht.

1 2 3 4

BGH, Urt. v. 17.7.2009 – 5 StR 394/08, BKR 2009, 422, 422 ff. BGH, Urt. v. 17.7.2009 – 5 StR 394/08, BKR 2009, 422, 424. BGH, Urt. v. 17.7.2009 – 5 StR 394/08, BKR 2009, 422, 424. BGH, Urt. v. 17.7.2009 – 5 StR 394/08, BKR 2009, 422, 424 m.w.N.

234

2021-11-22, 12:02, HB groß

I. Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens I. Vorbemerkung Während die Verantwortlichkeit der Unternehmensleitung für IT- und Informationssicherheit grundsätzlich nicht vollständig delegiert werden kann, ist bei der praktischen Umsetzung der entsprechenden Sicherheitspflichten die Beteiligung verschiedener Akteure im Unternehmen unerlässlich. Zur effektiven Risikoerkennung und -behandlung bieten sich in der Praxis verschiedene Instrumente an, wobei drei Möglichkeiten in diesem Abschnitt eine Darstellung erfahren werden. Zur Implementierung eines möglichst umfassenden Informationssicherheitsstandards ist insbesondere eine Kombination dieser Instrumente in der Praxis angezeigt, die mittlerweile durchaus als marktüblich anzusehen ist.1

618

Unabhängig davon, welche Maßnahmen im Unternehmen zur Schaffung eines hinreichenden Sicherheitsstandards zum Einsatz kommen, sind vor allem zwei Dinge unerlässlich: ein klares Sicherheitskonzept und dessen konsequente Umsetzung. Unternehmen sollten daher zunächst prüfen, welche Sicherheitsmaßnahmen ihrer Gesellschafts- bzw. Konzernstruktur und vor allem ihren personellen und finanziellen Ressourcen am besten entsprechen und auf dieser Grundlage ein entsprechendes IT- und Informationssicherheitskonzept ausarbeiten. Dabei müssen insbesondere der Umfang und die inhaltliche Ausprägung der auf das Unternehmen anwendbaren Rechtspflichten zur IT-Sicherheit (s. dazu insbesondere Rz. 164 ff.) Berücksichtigung finden. Über eine dauerhafte und effektive Umsetzung des entwickelten Konzepts muss die Einhaltung der Informationssicherheitspflichten fortlaufend sichergestellt werden. Dies kann durch den intervallweise erfolgenden Durchlauf des „Plan/Do/Check/Act-Zyklus“2 durch das Unternehmen erfolgen (s. Rz. 651 ff.).

619

II. Benennung betrieblicher Beauftragter für IT-Sicherheit Unternehmen sollten die Ernennung eines betrieblichen Beauftragten für IT-Sicherheit bzw. Informationssicherheit erwägen. Dieser soll im Wesentlichen die Geschäftsleitung bei der Wahrnehmung ihrer IT-Sicherheitspflichten beraten und unterstützen.3 Die dabei anfallenden Verpflichtungen in Bezug auf die Informations-, Datenund IT-Sicherheit werden auf verschiedene Rollen im Unternehmen verteilt, so dass

1 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 217. 2 Fleischhauer/Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 33 Rz. 368 ff. 3 BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 41, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Stan dards/standard_200_2.pdf, zuletzt aufgerufen am 29.10.2021.

235

2021-11-22, 12:02, HB groß

620

I. Rz. 620 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

grundsätzlich die Benennung verschiedener betrieblicher Beauftragter mit Bezug zur IT-Sicherheit bzw. Informationssicherheit in Betracht kommt. 621

Unter den verschiedenen betrieblichen Beauftragten spielt der IT-Sicherheitsbeauftragte die wesentliche Rolle hinsichtlich der technischen Sicherheit der IT-Infrastruktur des Unternehmens.1 Im Regelfall existieren jedoch weder eine unmittelbare gesetzliche Pflicht noch unmittelbare gesetzliche Vorgaben zur Einrichtung und Stellung von IT-Sicherheitsbeauftragten.2

622

Ausnahme: Gesetzliche Pflicht zur Benennung eines IT-Sicherheitsbeauftragten In folgenden Fällen ist die Benennung eines IT-Sicherheitsbeauftragten gesetzlich vorgeschrieben: – gem. § 165 Abs. 1 Satz 1 Nr. 1 TKG für Telekommunikationsanbieter (Telekommunikationssicherheitsbeauftragter, s. Rz. 400); – gem. § 11 Abs. 1a EnWG für Betreiber von Energieversorgungsnetzen (s. Rz. 430).

623

Am Fehlen einer allgemeinen Rechtspflicht zur Benennung des IT-Sicherheitsbeauftragten wird ein besonders starker Unterschied zum Datenschutzrecht deutlich (s. zu Einzelheiten Rz. 164 ff.), durch welches Unternehmen gem. Art. 37 ff. DSGVO sowie § 38 BDSG zur Benennung eines Datenschutzbeauftragten, der eine vergleichbare Funktion erfüllt, verpflichtet werden. Allerdings lässt sich ggf. mittelbar aus der Pflicht der Gesellschaftsorgane zur Erkennung und Abwehr von IT-Risiken (s. Rz. 32 ff.) eine Pflicht zur Ernennung des IT-Sicherheitsbeauftragten und anderer Beauftragter, deren Aufgaben Bezug zur IT-Sicherheit aufweisen, ablesen: Die „übliche Sorgfalt“, die die Geschäftsleitung bei der Erfüllung ihrer Aufgaben walten lassen muss, wird von der Rechtsprechung regelmäßig anhand von etablierten Marktstandards beurteilt, wobei sich die Benennung von IT-Sicherheitsbeauftragten bereits als marktüblich bezeichnen lässt.3 Zumindest von Unternehmen ab einer gewissen Größe kann damit die Benennung eines IT-Sicherheitsbeauftragten regelmäßig erwartet werden. Aufgaben, Funktion und Stellung eines IT-Sicherheitsbeauftragten können bspw. mehr oder weniger stark an diejenigen eines Datenschutzbeauftragten i.S.d. Art. 37 ff. DSGVO (s. Rz. 217 ff.) angelehnt werden.4 Ob die Aufgaben von einer Einzelperson, einer Abteilung im Unternehmen oder nur in Teilzeit ausgeübt werden, ist von der Größe des Unternehmens, den vorhandenen Ressourcen und dem angestrebten ITSicherheitsniveau abhängig. Die konkrete Ausgestaltung dieser Position – wie auch anderer Positionen mit IT-Sicherheitsbezug – liegt damit im Ermessen des Unternehmens.5 1 Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. I.3. 2 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 251. 3 Zu Einzelheiten Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 252. 4 S. dazu ausführlich Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.6; sowie mit einer Gegenüberstellung möglicher Aufgaben Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. I.4. 5 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 253.

236

2021-11-22, 12:02, HB groß

II. Benennung betrieblicher Beauftragter für IT-Sicherheit | Rz. 625 I.

1. Abgrenzung verschiedener betrieblicher Beauftragter Während der IT-Sicherheitsbeauftragte maßgeblich Funktionen bzgl. der technischen Sicherung der IT-Infrastruktur des Unternehmens erfüllt, kann es zu einer Überschneidung mit anderen unternehmensinternen Rollen kommen. Damit wird eine Abgrenzung der verschiedenen betrieblichen Beauftragten erforderlich, deren Aufgaben einen Bezug zur Informationssicherheit aufweisen. Nicht alle dieser Positionen werden stets im Unternehmen vorgesehen sein. So ist deren Schaffung teilweise rechtlich vorgeschrieben und teilweise zur Abwehr von Risiken vom Unternehmen (s. Rz. 32 ff.) angezeigt:1

625

Position

Rechtspflicht zur Benennung

IT-Sicherheitsbeauftragter

Grds. nein, Ausnah- – Gewährleistet v.a. technische Sicherheit der IT-Infrastruktur men: §§ 165 Abs. 1 Satz 1 Nr. 1 TKG, 11 – Unterstützung der Geschäftsleitung bei Abs. 1a EnWG der Einhaltung der IT-Sicherheitspflichten

Funktionen

– Erstellung, Integration und Pflege von IT-Sicherheitskonzept und Betriebsrichtlinien, Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb Datenschutzbeauftragter

Art. 37 ff. DSGVO, § 38 BDSG

– Gesetzlich geregelte Funktionen (s. Rz. 217 ff.) – Wichtige Rolle zur Gewährleistung des Datenschutzes im Unternehmen, einschließlich Datensicherheit

Zentrales Risikomanagement

Ggf. §§ 76, 93 AktG

– Zentrale Stelle zur Entgegennahme von Risikomeldungen aus den verschiedenen Unternehmensteilen (auch: IT-Risiken) – Steuerung unternehmerischer Risiken

IT-Risikobeauftragter

Ggf. §§ 76, 93 AktG

– Erkennung, Bewertung und Management von IT-Risiken – Durchführung entsprechender Risikoanalysen in Zusammenarbeit mit IT-Sicherheits- und/oder Datenschutzbeauftragtem – Beteiligung an Konzeption und Umsetzung des IT-Risikomanagementsystems

1 S. dazu ausführlich Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. I.3.

237

2021-11-22, 12:02, HB groß

624

I. Rz. 625 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens Position

Rechtspflicht zur Benennung

Ggf. §§ 76, 93 AktG Informationssicherheitsbeauftragter (Chief Information Security Officer, CISO)

Funktionen – Definiert Informationssicherheitspolitik des Unternehmens anhand der Unternehmensstrategie – Für Informationssicherheitsrahmen im Unternehmen strategisch verantwortlich – Schnittstelle zwischen Geschäftseinheiten und Überwachung der verantwortlichen Abteilungen und Beauftragten

ComplianceOfficer

Ggf. §§ 76, 93 AktG

– Überwacht die Einhaltung aller Compliance-Vorgaben im Unternehmen (Gesetze, Organisationsgrundsätze, Unternehmensrichtlinien …)

2. Stellung des IT-Sicherheitsbeauftragten 626

627

Da die Stellung des IT-Sicherheitsbeauftragten im Unternehmen gesetzlich nicht vorgegeben ist, kann das Unternehmen diese an seine konkreten Bedürfnisse und seine Gesellschaftsstruktur anpassen. Grundsätzlich kann die Geschäftsleitung ihr Ermessen auch dahingehend ausüben, auf einen betrieblichen IT-Sicherheitsbeauftragten zu verzichten und lediglich punktuell auf externes Know-how zurückzugreifen.1 Gleichwohl ist von einem solchen Vorgehen häufig abzuraten, da die bestmögliche Risikominimierung nur mit Hilfe eines betrieblichen IT-Sicherheitsbeauftragten gewährleistet werden kann.2 Eine wichtige Grundsatzentscheidung trifft das Unternehmen bei der Auswahl zwischen der Benennung eines internen oder externen IT-Sicherheitsbeauftragten. Die folgenden Anhaltspunkte sind bei der Entscheidung u.a. zu berücksichtigen:3 Interner IT-Sicherheitsbeauftragter

Externer IT-Sicherheitsbeauftragter

Besserer Einblick in das Unternehmen und Kenntnis der Unternehmensabläufe (Insider-Perspektive)

Bereits bestehende Expertise und (hoffentlich) hoher Grad an Professionalität

Genießt als Arbeitnehmer den üblichen Arbeitnehmerschutz: Kündigungsschutz, Haftungsprivilegierung etc.

Keine Arbeitnehmerprivilegien



Zumeist angemessene Versicherung vorhanden, die die Folgen etwaiger Aufgabenverletzungen abdeckt

1 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 253. 2 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 254. 3 Thalhofer in Hornung/Schallbruch, IT-Sicherheitsrecht, § 16 Rz. 38; s. dazu auch Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 258 ff.; vgl. ähnliche Erwägungen zum Datenschutzbeauftragten in Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.6.2.2.

238

2021-11-22, 12:02, HB groß

II. Benennung betrieblicher Beauftragter für IT-Sicherheit | Rz. 629 I. Interner IT-Sicherheitsbeauftragter

Externer IT-Sicherheitsbeauftragter

Benennung löst ggf. Mitbestimmungsrechte des Betriebsrats aus



Potentielle Kollision mit anderen Aufgaben des ausgewählten Arbeitnehmers (Interessenkonflikt)

Risikofaktor, da unternehmensexternen Person der Zugriff auf sicherheitsrelevante unternehmensinterne Daten eingeräumt wird

Der IT-Sicherheitsbeauftragte unterscheidet sich insofern von anderen Beauftragten wie dem Datenschutzbeauftragten, als dass seine Funktion und Position nicht gesetzlich legitimiert oder geschützt ist.1 Damit er dennoch seine im Unternehmen äußerst wichtige Funktion für die Einhaltung der IT-Sicherheit ausüben kann, obliegt es dem Unternehmen, seine Position entsprechend detailliert auszugestalten und ihn mit hinreichenden Befugnissen auszustatten:2

628

– Interner IT-Sicherheitsbeauftragter: Bei der Benennung eines Arbeitnehmers zum IT-Sicherheitsbeauftragten sollte von den Beteiligten eine detaillierte Vereinbarung (im Arbeitsvertrag oder ggf. als Zusatzvereinbarung) abgeschlossen werden, in welcher dem Beauftragten konkrete und detaillierte Aufgaben zugewiesen werden. Aus Nachweisgründen ist dabei für die Vereinbarung die Schriftform anzuraten. – Externer IT-Sicherheitsbeauftragter: Der Vertrag mit dem externen Beauftragten wird inhaltlich speziell auf die zu erfüllenden Aufgaben zugeschnitten. Durch den Vertrag muss er in die Pflicht und Lage versetzt werden, seine Aufgaben mindestens so gut wie ein interner IT-Sicherheitsbeauftragter zu erfüllen. Der Vertrag wird regelmäßig sowohl werkvertragliche (umfangreiche Sicherungsmaßnahmen oder IT-Infrastrukturen werden als Erfolg geschuldet) als auch dienstvertragliche Elemente (fortlaufende Überwachung bestimmter Prozesse und Maßnahmen) enthalten. Da an den externen Beauftragten eine Unternehmensfunktion ausgelagert wird, sollte die Vereinbarung möglichst genaue Angaben zur Umsetzung dieser Funktion vorsehen, z.B. Anforderungen hinsichtlich der Qualifikation des externen Beauftragten, Zugriffs- und Zutrittsrechte, Berichtspflichten, Vertraulichkeitsvereinbarung, ggf. Auftragsverarbeitungsvereinbarung etc. Damit der IT-Sicherheitsbeauftragte auch gegenüber Mitarbeitern und Abteilungen im Unternehmen Befugnisse ausüben kann, muss ihm ein gewisser Geltungsanspruch verschafft werden.3 Daher sollten ihm eine ganze Reihe von Kompetenzen eingeräumt werden, wobei insoweit auf das entsprechende Muster des BSI verwiesen wer-

1 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 261 ff. 2 Däubler in Kipker, Cybersecurity, Kapitel 10 Rz. 113, 133 ff.; s. zu den nachfolgenden Erwägungen Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 280 ff. 3 Däubler in Kipker, Cybersecurity, Kapitel 10 Rz. 113; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 287 f.

239

2021-11-22, 12:02, HB groß

629

I. Rz. 629 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

den kann.1 Zur effektiven Ausübung seiner Befugnisse sollte der interne IT-Sicherheitsbeauftragte im Unternehmen zudem einen gewissen Grad an Unabhängigkeit innehaben. Dieser kann über eine funktionelle Trennung von anderen Unternehmensabteilungen erreicht werden. Die wichtige Bedeutung des internen IT-Sicherheitsbeauftragten ließe sich bspw. dadurch hervorheben, ihn an die Unternehmensleitung anzubinden und auf diese Weise seinen Geltungsanspruch zu unterstreichen.2 3. Haftung des IT-Sicherheitsbeauftragten 630

Bei der Auswahl zwischen einem internen oder externen IT-Sicherheitsbeauftragten sollten Unternehmen auch haftungsrechtliche Aspekte berücksichtigen. Während die Inanspruchnahme des externen IT-Sicherheitsbeauftragten von gewisser Praxisrelevanz ist, kann ein interner IT-Sicherheitsbeauftragter regelmäßig nicht oder nur unter starken Einschränkungen für IT-Sicherheitsverletzungen im Unternehmen in Anspruch genommen werden. a) Geringe Praxisrelevanz: Haftung des internen IT-Sicherheitsbeauftragten

631

Soweit benannt, spielt der IT-Sicherheitsbeauftragte im Unternehmen eine essentielle Rolle für die Erreichung und Aufrechterhaltung von IT-Sicherheit. Während sich die Geschäftsleitung bei der Umsetzung ihrer IT-Sicherheitspflichten maßgeblich auf die Expertise des IT-Sicherheitsbeauftragten verlässt und diesem diesbezüglich mehr oder weniger stark eigene Verantwortlichkeiten überträgt, hat die Haftung des internen IT-Sicherheitsbeauftragten gegenüber der Gesellschaft kaum praktische Relevanz. Dies ist dem Umstand geschuldet, dass die Haftung des internen IT-Sicherheitsbeauftragten als Arbeitnehmer weitgehend beschränkt ist. Anders stellt sich die Lage allerdings dar, sofern sich das Unternehmen für die Benennung eines externen IT-Sicherheitsbeauftragten entschieden hat, der insoweit keine Arbeitnehmerprivilegien genießt und daher grundsätzlich nicht beschränkt haftet (s. Rz. 637 f.).

632

Anspruchsgrundlagen sind für eine Haftung der internen IT-Sicherheitsbeauftragten zunächst vorhanden. Erfüllt der IT-Sicherheitsbeauftragte das ihm vertraglich übertragene Pflichtenprogramm nicht oder nicht ordnungsgemäß, verletzt er seine Leistungspflichten (s. grundsätzlich Rz. 639 f.). In Betracht kommen damit Ansprüche des Unternehmens aus dem Arbeitsvertrag bzw. der Zusatzvereinbarung über die Benennung als IT-Sicherheitsbeauftragter, etwa auf Schadensersatz gem. §§ 280 ff. BGB. Auch deliktische Schadensersatzansprüche gem. §§ 823 ff. BGB sind grundsätzlich denkbar, soweit der IT-Sicherheitsbeauftragte durch seine Handlungen dem Unternehmen einen Schaden zugefügt hat. Grundlage dafür bildet häufig eine Verletzung des sog. Rechts am eingerichteten und ausgeübten Gewerbebetrieb, welches – ver-

1 BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 41, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Stan dards/standard_200_2.pdf, zuletzt aufgerufen am 29.10.2021. 2 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 287; Däubler in Kipker, Cybersecurity, Kapitel 10 Rz. 133–135.

240

2021-11-22, 12:02, HB groß

II. Benennung betrieblicher Beauftragter für IT-Sicherheit | Rz. 634 I.

kürzt gesagt – den Schutz des Unternehmens bezweckt.1 Es handelt sich um einen Auffangtatbestand, der gegenüber spezielleren Schutzvorschriften zurücktritt und das Unternehmen gegen Beeinträchtigungen schützen soll, um dessen ungestörte Betätigung und Entfaltung im Wirtschaftsleben zu gewährleisten.2 Die Durchsetzbarkeit von Ansprüchen des Unternehmens gegen den internen IT-Sicherheitsbeauftragten wird über die Grundsätze der beschränkten Arbeitnehmerhaftung stark eingeschränkt. So kommt der interne IT-Sicherheitsbeauftragte in den Genuss einer nach Verschuldensgraden abgestuften Haftungsprivilegierung, sofern er Schäden an den Rechtsgütern des Unternehmens im Rahmen einer betrieblich veranlassten Tätigkeit herbeiführt.3 Dabei handelt es sich um die Tätigkeiten, die dem IT-Sicherheitsbeauftragten arbeitsvertraglich übertragen wurden oder die er im Interesse des Unternehmens ausführt (s. Rz. 639 f.).4 Kommt es zu diesbezüglichen Pflichtverletzungen, muss der IT-Sicherheitsbeauftragte nicht für jedes Verschulden einstehen.5 So haftet der IT-Sicherheitsbeauftragte lediglich im Falle vorsätzlicher Pflichtverletzungen für den gesamten Schaden.6 Diese Haftungskonstellation dürfte im Unternehmen eine Seltenheit darstellen: Der IT-Sicherheitsbeauftragte müsste wissentlich und willentlich nicht nur die Pflicht- und Rechtsgutsverletzung, sondern auch den konkreten Schaden in Kauf nehmen.7 In Anbetracht der Auswahl des ITSicherheitsbeauftragten anhand seiner Zuverlässigkeit und fachlicher Qualifikation (s. Rz. 627) wird er derartig gravierende Folgen nicht vorsätzlich bezwecken wollen. Daher spielt vor allem die Haftung von IT-Sicherheitsbeauftragten für fahrlässige Pflichtverletzungen eine praktische Rolle, also wenn er bei der Erfüllung seiner Aufgaben die im Verkehr erforderliche Sorgfalt außer Acht gelassen hat.8 In solchen Fällen haftet der IT-Sicherheitsbeauftragte beschränkt auf Grundlage einer einzelfallbezogenen Interessenabwägung: Grundsätzlich wird bei leichter Fahrlässigkeit ein Haftungsausschluss, bei mittlerer eine anteilige Haftung und bei grober Fahrlässigkeit eine volle Haftung angenommen, wobei im Einzelfall auch bei grober und gröbster Fahrlässigkeit Haftungsbeschränkungen nicht ausgeschlossen sind.9

633

Um den Umfang der Haftung des IT-Sicherheitsbeauftragten zu bestimmen, sind die von Arbeitnehmer und Arbeitgeber zu tragenden Anteile am entstandenen Schaden abzuwägen.10 Neben dem Verschulden des Arbeitnehmers spielen dabei u.a. dessen Stellung im Betrieb, die Höhe seiner Vergütung, sein bisheriges dienstliches Ver-

634

1 S. nur die ausführlichen Darstellungen bei Wagner in MüKo-BGB, § 823 Rz. 361 ff.; sowie Förster in BeckOK-BGB, 59. Edition, 1.8.2021, § 823 Rz. 177 ff. 2 Sprau in Palandt, BGB, § 823 Rz. 137 ff. 3 Henssler in MüKo-BGB, § 619a Rz. 8. 4 Mehrbrey/Schreibauer, MMR 2016, 75, 79. 5 Schreiber in Schulze, BGB, § 619a Rz. 6. 6 Weidenkaff in Palandt, BGB, § 611 Rz. 157; Henssler in MüKo-BGB, § 619a Rz. 38. 7 Henssler in MüKo-BGB, § 619a Rz. 38. 8 Schulze in Schulze, BGB, § 276 Rz. 10. 9 Weidenkaff in Palandt, BGB, § 611 Rz. 157 m.w.N.; Henssler in MüKo-BGB, § 619a Rz. 34 ff. m.w.N.; Mehrbrey/Schreibauer, MMR 2016, 75, 79. 10 Weidenkaff in Palandt, BGB, § 611 Rz. 157; Henssler in MüKo-BGB, § 619a Rz. 34.

241

2021-11-22, 12:02, HB groß

I. Rz. 634 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

halten sowie die Gefahrneigung seiner Tätigkeit eine Rolle.1 Arbeitgeberseitig sind etwa das Betriebsrisiko, der Wert des geschädigten Wirtschaftsguts und das eigene Organisationsverschulden zu berücksichtigen.2 Auch die Versicherbarkeit des Risikos durch den Arbeitgeber ist zu berücksichtigen. Allerdings wird üblicherweise die zur Abdeckung von Schäden durch IT-Sicherheitsvorfälle äußerst relevante D&O-Versicherung (s. Rz. 521 f.) als private Versicherung bei der Abwägung nicht einbezogen.3 635

Muss der Arbeitnehmer als Ergebnis dieser Abwägung grundsätzlich haften, so kann ausnahmsweise dennoch eine Haftungserleichterung in Betracht kommen, wenn der Verdienst seiner Tätigkeit in einem deutlichen Missverhältnis zu deren Schadensrisiko steht und eine Haftung die Existenzgrundlage des Arbeitnehmers zerstören würde.4 Da IT-Sicherheitsvorfälle regelmäßig ein sehr hohes Schadenspotential besitzen, könnten die Folgen von Pflichtverletzungen des IT-Sicherheitsbeauftragten durchaus dessen Existenzgrundlage bedrohen.

636

Die Grundsätze der beschränkten Arbeitnehmerhaftung sind vertraglich nicht abdingbar.5 Zudem greift die Haftungsfreistellung des Arbeitnehmers auch, wenn er von Dritten in Anspruch genommen wird: Der Arbeitnehmer muss im Außenverhältnis dem Dritten zwar für seine Pflichtverletzung haften, hat aber im Innenverhältnis gegen den Arbeitgeber einen Freistellungsanspruch.6 b) Höhere Praxisrelevanz: Haftung des externen IT-Sicherheitsbeauftragten

637

Während die Haftung von internen IT-Sicherheitsbeauftragten aufgrund ihrer Stellung als Arbeitnehmer weitgehend beschränkt ist, genießt der externe IT-Sicherheitsbeauftragte als bloßer Vertragspartner des Unternehmens keine Arbeitnehmerprivilegien, die eine Einschränkung seiner Haftung herbeiführen. Der IT-Sicherheitsbeauftragte erfüllt für das Unternehmen wichtige Funktionen bei der Erreichung und Aufrechterhaltung von IT-Sicherheit, so dass IT-Sicherheitspflichten die Hauptleistungspflichten des Vertrags zwischen Unternehmen und IT-Sicherheitsbeauftragtem bilden (s. Rz. 98 f.). Kommt es zu IT-Sicherheitsdefiziten im Unternehmen, sollte daher das Bestehen von Ansprüchen gegen den IT-Sicherheitsbeauftragten unbedingt geprüft werden.

638

Wie bereits dargestellt (s. Rz. 538 ff.), haftet im Fall von internen IT-Sicherheitsdefiziten grundsätzlich das Unternehmen für Schäden bei seinen Kunden und Geschäftspartnern. Dies umfasst über § 278 BGB auch die vertragliche Haftung für Fälle, in denen sich das Unternehmen eines externen IT-Sicherheitsbeauftragten zur Erfüllung 1 Schreiber in Schulze, BGB, § 619a Rz. 6; Weidenkaff in Palandt, BGB, § 611 Rz. 157; Henssler in MüKo-BGB, § 619a Rz. 37 ff. 2 Weidenkaff in Palandt, BGB, § 611 Rz. 157. 3 Henssler in MüKo-BGB, § 619a Rz. 39 m.w.N. 4 Henssler in MüKo-BGB, § 619a Rz. 38 m.w.N.; Mehrbrey/Schreibauer, MMR 2016, 75, 79. 5 S. etwa BAG, Urt. v. 5.2.2004 – 8 AZR 91/03, NJW 2004, 2469, 2469 = MDR 2004, 1005; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 131. 6 Dazu etwa Schreiber in Schulze, BGB, § 619a Rz. 8 m.w.N.

242

2021-11-22, 12:02, HB groß

II. Benennung betrieblicher Beauftragter für IT-Sicherheit | Rz. 640 I.

eigener IT-Sicherheitspflichten bedient hat und dessen Pflichtverletzung haftungsbegründend war.1 Die finanziellen Verluste durch eine solche Inanspruchnahme auf Schadensersatz kann sich das Unternehmen allerdings ggf. über eine vertragliche Haftung des externen IT-Sicherheitsbeauftragten zurückholen. Um dies zu ermöglichen, sollten Unternehmen beim Abschluss des Vertrags mit dem externen IT-Sicherheitsbeauftragten besonders darauf hinwirken, ein für das Unternehmen möglichst günstiges Haftungssystem zu vereinbaren. So bietet die Auswahl eines externen IT-Sicherheitsbeauftragten für das Unternehmen nicht zuletzt den erheblichen Vorteil, dass dieser regelmäßig eine angemessene Versicherung abgeschlossen hat, die die Folgen etwaiger Aufgabenverletzungen angemessen abdeckt. Der Abschluss einer solchen Versicherung sollte ggf. vertraglich vereinbart werden. 4. Aufgaben des IT-Sicherheitsbeauftragten Die Entscheidung, durch welche Aufgaben der IT-Sicherheitsbeauftragte die Unternehmensleitung bei der Erfüllung ihrer IT-Sicherheitspflichten beraten und unterstützen soll, liegt letztlich in deren Ermessen. In der Praxis haben sich bereits typische Aufgabenfelder bzw. gewisse Standards bewährt. Diese lassen sich insbesondere entsprechenden Leitfäden des BSI entnehmen.2 Vor allem die Übertragung folgender Aufgaben an den IT-Sicherheitsbeauftragten hat sich als sinnvoll erwiesen:

639

– Verantwortlichkeit für den Aufbau, den Betrieb und die Weiterentwicklung des ITSicherheitskonzepts im Unternehmen (inkl. Anpassung an Gesetzesänderungen); – Dokumentation des angewandten IT-Sicherheitskonzepts; – Erstellung der IT-Betriebsrichtlinien für das Unternehmen und Abstimmung mit der Unternehmensleitung; – Beratung der Geschäftsleitung in allen Fragen der technischen IT-Sicherheit; – regelmäßige Unterrichtung der Geschäftsleitung zum Stand der IT-Sicherheit im Unternehmen; – Untersuchung und Analyse von IT-Sicherheitsvorfällen in Kooperation mit anderen zuständigen Beauftragten (s. Rz. 139); – Koordination von Sensibilisierungs- und Schulungsmaßnahmen zur technischen IT-Sicherheit für die Mitarbeiter im Unternehmen. Da IT-Sicherheit nicht nur die Herstellung, sondern auch die fortwährende Aufrechterhaltung eines bestimmten Sicherheitsstandards erfordert, treffen den IT-Sicherheitsbeauftragten nicht nur einmalige Organisations-, sondern auch laufende Aufgaben.3

1 Mehrbrey/Schreibauer, MMR 2016, 75, 81. 2 S. zum Informationssicherheitsbeauftragten BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 40 f., abrufbar unter: https://www.bsi.bund.de/Shared Docs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.pdf, zuletzt aufgerufen am 29.10.2021; Däubler in Kipker, Cybersecurity, Kapitel 10 Rz. 116. 3 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 291 f.

243

2021-11-22, 12:02, HB groß

640

I. Rz. 641 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

5. Kriterien zur Auswahl des IT-Sicherheitsbeauftragten 641

Bei der Auswahl eines internen bzw. externen IT-Sicherheitsbeauftragten muss die Unternehmensleitung sicherstellen, dass der Kandidat bestimmte Qualifikationen und Eigenschaften hat. Aufgrund der für die IT-Sicherheit des Unternehmens wichtigen Funktionen des Beauftragten ist dessen hinreichende Befähigung zur Umsetzung der entsprechenden Aufgaben unerlässlich. Dabei müssen in Betracht kommende Kandidaten nicht nur fachliches und technisches Wissen, sondern auch Personalführungskompetenzen besitzen, um die Mitarbeiter des Unternehmens für IT-Sicherheit zu sensibilisieren und ihnen notwendiges Wissen zu vermitteln sowie die kohärente Umsetzung der IT-Sicherheitspflichten im Unternehmen durch alle Beteiligten zu koordinieren.1 Das BSI empfiehlt, bei der Auswahl eines IT-Sicherheitsbeauftragten u.a. auf die folgenden Qualifikationen und Eigenschaften zu achten:2 – Überblick über Aufgaben und Ziele des Unternehmens; – Identifikation mit den Zielsetzungen der IT-Sicherheit; – Kooperations- und Teamfähigkeit (wenige andere Aufgaben erfordern so viel Fähigkeit und Geschick im Umgang mit anderen Personen); – Fähigkeit zum selbstständigen Arbeiten; – Durchsetzungsvermögen; – Erfahrungen im Projektmanagement.

642

Zudem sollte für die Bestellung von externen IT-Sicherheitsbeauftragten auf folgende Aspekte Wert gelegt werden (s. auch Rz. 141): – Klare Beschreibung der Verantwortlichkeiten und Befugnisse; – Klare Beschreibung des zu realisierenden IT-Sicherheitsstandards im Vertragswerk; – Vertragliche Regelungen zur Haftung des externen IT-Sicherheitsbeauftragten (soweit möglich Vereinbarung einer für das Unternehmen möglichst günstigen Haftungsregelung); – Vorhandensein einer angemessenen Versicherung auf Seiten des IT-Sicherheitsbeauftragten; – Sorgfältige Auswahl: technisches und fachliches Wissen anhand von Referenzprojekten, …

1 Vgl. Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 264 f. 2 S. zum Informationssicherheitsbeauftragten BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 41 ff., abrufbar unter: https://www.bsi.bund.de/Shared Docs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.pdf, zuletzt aufgerufen am 29.10.2021; Däubler in Kipker, Cybersecurity, Kapitel 10 Rz. 119.

244

2021-11-22, 12:02, HB groß

III. Einrichtung eines Informationssicherheitsmanagementsystems | Rz. 646 I.

III. Einrichtung eines Informationssicherheitsmanagementsystems Die Geschäftsleitung ist regelmäßig dazu verpflichtet, ein System zu schaffen, welches Informationssicherheitsrisiken steuert, und gleichzeitig Maßnahmen zur Überwachung dieses Steuerungssystems zu treffen (s. Rz. 49 ff.). Auch wenn Umfang und Ausgestaltung dieses IT-Risikomanagements letztlich im Ermessen der Geschäftsleitung liegen, sollte die Schaffung eines zentralen Systems ernsthaft in Betracht gezogen werden. Durch die Einführung eines Informationssicherheitsmanagementsystems (ISMS) schafft das Unternehmen ein umfassendes Informationssicherheitskonzept, in welches verschiedene Elemente und Personen/Abteilungen eingebettet sind. Ein solches Zentralsystem bietet eine gute Lösung zur Erreichung eines möglichst hohen Informationssicherheitsstandards.1

643

Aufbau und Ausgestaltung des Informationssicherheitsmanagementsystems werden auf das jeweilige Unternehmen individuell zugeschnitten, wobei gewisse Elemente in der Praxis typischerweise vorhanden sind. Unternehmen sollten ihre personellen und finanziellen Ressourcen zur Schaffung eines solchen Systems oder zur Optimierung und zum Ausbau vorhandener Systeme überprüfen und ihre Informationssicherheitsbemühungen entsprechend verstärken. Den Anlass dafür bietet nicht nur die Bedeutung der IT im Geschäftsalltag, sondern auch die steigende Zahl von Sicherheitsvorfällen sowie die stattfindende Verschärfung des Informationssicherheitsrechts. Ist ein zentrales Informationssicherheitsmanagementsystem im Unternehmen noch nicht vorhanden, liefert die Praxis bereits erprobte Vorgehensweisen zur Schaffung eines solchen Systems.

644

Praxishinweis zur Einbindung des Informationssicherheitsmanagementsystems in das allgemeine Risikomanagement2: Das Informationssicherheitsmanagementsystem bildet eine Teilkomponente des allgemeinen Risikomanagementsystems. Letzteres dient wesentlich folgenden Zwecken: – Aufbau, Einführung und Abstimmung unternehmensweit einheitlicher Risikomanagementprozesse (s. Rz. 52 ff.); – Aufdeckung bestandsgefährdender Risiken (s. Rz. 40 ff.).

645

Das Informationssicherheitsmanagementsystem wird dabei in das unternehmensweite Risikomanagement zur Aufdeckung von IT-Sicherheitsrisiken eingebunden.

1. Vorteile des Informationssicherheitsmanagementsystems Ein zentrales Informationssicherheitsmanagementsystem vermeidet erheblichen Mehraufwand bei den täglichen Informationssicherheitsherausforderungen im Unternehmen.3 Für den Umgang mit Risiken sind Kontrolle und Transparenz anerkannte Notwendigkeiten.4 Diese Notwendigkeiten lassen sich in einem zentralen Sys-

1 Insbesondere für KRITIS-Betreiber dürfte die Einführung eines ISMS empfehlenswert sein, vgl. Woitke, DuD 2021, 584. 2 Müller in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. I.2. 3 Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 5. 4 Arbeitskreis Externe und Interne Überwachung, 11.6.2010, DB 2010, 1245, 1245.

245

2021-11-22, 12:02, HB groß

646

I. Rz. 646 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

tem sinnvoll umsetzen. Schließlich ermöglicht es die Nutzung von Synergien innerhalb des Systems bei der Schaffung von Informationssicherheitskonzepten, der Durchführung von Überprüfungen, der Dokumentation getroffener Sicherheitsmaßnahmen sowie der Sensibilisierung der Mitarbeiter des Unternehmens.1 Die gegenseitige Verschränkung dieser Maßnahmen ermöglicht einen einheitlichen Umgang mit Bedrohungslagen. Dabei dient das Informationssicherheitsmanagement vor allem der Erfüllung gesellschaftsrechtlicher und spezialgesetzlicher Pflichten des Unternehmens in Bezug auf Informationssicherheit (s. Rz. 32 ff. sowie ab Rz. 164). 647

Noch verlässlicher wird das Informationssicherheitsmanagementsystem durch eine Einbettung in das Interne Kontrollsystem (s. Rz. 73 f.) des Unternehmens. Dieses stellt über Steuerungs- und Überwachungsmaßnahmen einen proaktiven Umgang mit allen operativen, strategischen und finanziellen Risiken für das Unternehmen sicher.2 Über die Behandlung von Bedrohungen für die Informationssicherheit als Teilbereich des allgemeinen Risikomanagements können innerbetriebliche Abläufe umfassend überwacht und die Risiken ausgehend von der Bedrohungsintensität und den vorhandenen Ressourcen priorisiert behandelt werden.3 Dieser ressourcenschonende, risikobasierte Ansatz trägt maßgeblich zur Überlebensfähigkeit des Unternehmens bei.4 Diese positiven Effekte werden in Konzernen bei einer gesellschaftsübergreifenden Einbettung des Systems noch weiter verstärkt.

648

Unabhängig von der strukturellen Einbettung des Informationssicherheitsmanagementsystems im Unternehmen bietet es über die Vereinheitlichung von Prozessen Vorteile. Der einheitliche Umgang mit IT-Risiken ermöglicht die Einsparung personeller und finanzieller Ressourcen. Über eine kontinuierliche Anpassung des Systems wird dabei gleichzeitig die Nachhaltigkeit des Sicherheitskonzepts und dessen größtmögliche Qualität gewährleistet.5 2. Struktur des Informationssicherheitsmanagementsystems

649

Das Informationssicherheitsmanagement unterscheidet sich strukturell grundsätzlich nicht von anderen Managementsystemen und kann daher auf bereits vorhandenen bzw. vertrauten Strukturen aufbauen.6 In der Ausgestaltung sind die Unternehmen damit weitestgehend frei. Eine Hilfestellung bieten anerkannte Branchen- oder Industriestandards. Typischerweise sind u.a. folgende Bestandteile vorgesehen: – Technische Maßnahmen: Je nach vorhandener IT-Infrastruktur treffen Unternehmen unterschiedliche Schutzmaßnahmen zur Abwehr interner wie externer Risiken, um eine sichere IT-Nutzung zu ermöglichen. Aufgrund ständiger technischer Entwicklungen bedürfen diese einer kontinuierlichen Aktualisierung und Anpas1 2 3 4 5 6

Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 5. Arbeitskreis Externe und Interne Überwachung, 11.6.2010, DB 2010, 1245, 1245. Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 11. Arbeitskreis Externe und Interne Überwachung, 11.6.2010, DB 2010, 1245, 1245. Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 15 f. Voigt/von dem Bussche, Handbuch DSGVO, Teil 3.2.1; Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 6.

246

2021-11-22, 12:02, HB groß

III. Einrichtung eines Informationssicherheitsmanagementsystems | Rz. 649 I.

sung.1 Neben Maßnahmen zum Schutz von Computern und Mobiltelefonen gegen Cyber-Angriffe, zur Beschränkung von Zugriffs- und Zugangsrechten oder zur Sicherung von Daten, ist dabei auch an Maßnahmen zum Schutz gegen „traditionellere“ Gefahren zu denken, wie etwa den Schutz der IT-Systeme vor Brand, Diebstahl und Wasserschäden.2 – Organisatorische Maßnahmen: Um IT-Sicherheit zu gewährleisten, ist eine klare Verteilung von Verantwortlichkeiten im Unternehmen unerlässlich, insbesondere zur Vermeidung von Rollenkonflikten.3 Denn nicht selten treten fachbereichsübergreifende Konflikte bei der Umsetzung von Informationssicherheitskonzepten auf. Zur Bewältigung solcher Konflikte kann eine interne Stelle zur Revision und Lösung der Konflikte eingerichtet werden.4 Die in den verschiedenen Abteilungen für die Gewährleistung der Informationssicherheit verantwortlichen Mitarbeiter müssen sorgfältig ausgewählt, instruiert und überwacht werden.5 Gleichzeitig müssen Weisungs-, Kontroll- und Berichtsstrukturen eingerichtet werden, um sicherzustellen, dass die Geschäftsleitung ihre Leitungs- und Kontrollfunktionen effektiv ausüben kann.6 – Maßnahmen zur Umsetzung spezialgesetzlicher Rechtspflichten: Spezialgesetzliche Informationssicherheitspflichten erfordern teilweise das Ergreifen bestimmter Sicherheitsmaßnahmen. Besonders im Bereich des Datenschutzrechts sind Unternehmen von derartigen Verpflichtungen betroffen, wie etwa von der Pflicht zur Meldung von Datenschutzverstößen (s. Rz. 221 ff.). Um diese tatsächlich umsetzen zu können, müssen Unternehmen interne Berichtsstrukturen einrichten, damit in einem Unternehmensbereich auftretende Verstöße möglichst rasch der Unternehmensleitung kommuniziert werden, die dann den Sachverhalt prüfen und ggf. die erforderliche Meldung an die Datenschutzbehörde machen kann. Bei der Schaffung eines Informationssicherheitsmanagementsystems müssen derartige spezialgesetzliche Pflichten im Vorfeld identifiziert und entsprechend im System umgesetzt werden. – Zielgruppenorientierte IT-Betriebsrichtlinien: Besonders bei größeren Unternehmen empfiehlt es sich, zielgruppenorientierte Richtlinien zum IT-Einsatz zu vereinbaren (dazu sogleich ausführlich unter Rz. 658 ff.).7 So können die Informationssicherheitsvorgaben spezifisch auf verschiedene Abteilungen oder Mitarbeitergruppen zugeschnitten werden und auf diese Weise unterschiedlichen Gegebenheiten im Unternehmen angepasst werden.

1 von Holleben/Menz, CR 2010, 63, 67. 2 von Holleben/Menz, CR 2010, 63, 67. 3 BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 50; von Holleben/Menz, CR 2010, 63, 67; Lensdorf, CR 2007, 413, 417. 4 BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 50. 5 von Holleben/Menz, CR 2010, 63, 67. 6 von Holleben/Menz, CR 2010, 63, 67. 7 Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 37; von Holleben/Menz, CR 2010, 63, 67.

247

2021-11-22, 12:02, HB groß

I. Rz. 649 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

– Notfallkonzept: Ausgehend von der starken Abhängigkeit aller Unternehmensprozesse von der IT muss ein Notfallkonzept für Sicherheitsvorfälle zu den getroffenen Risikomanagement-Maßnahmen gehören (s. Rz. 683 ff.).1 Dies umfasst neben der Vorhaltung redundanter Systeme auch die Ausarbeitung von Wiederanlaufplänen für IT-Ausfälle.2 3. Vorgehensweise bei der Schaffung des Informationssicherheitsmanagementsystems 650

Falls ein Unternehmen noch kein Informationssicherheitsmanagementsystem eingeführt hat, kann es sich bei dessen Schaffung an bewährten Industriestandards orientieren. Ein in der Praxis üblicher Standard ist die Norm ISO/IEC 27001, welche die grundlegenden Anforderungen an ein solches System im Unternehmen beschreibt und die diesbezüglich v.a. über die ISO/IEC 27002 ergänzt wird. Eine zur Umsetzung dieses Standards sinnvolle Vorgehensweise wird vom BSI ausführlich beschrieben.3 In der Praxis hat sich zur Schaffung derartiger Systeme in Anlehnung an das klassische Projektmanagement eine Vorgehensweise in vier Schritten4 als sinnvoll erwiesen:5

651

(1) Analyse und Konzeption: Der Prozess zur Einführung des Informationssicherheitsmanagementsystems muss von der Unternehmensleitung initiiert werden. Am Anfang steht die Analyse der eingesetzten IT und der bestehenden Informationssicherheitsmaßnahmen. Diese Maßnahmen sollten dann auf ihre Aktualität und Wirksamkeit im Vergleich zu Industrie- oder Branchenstandards überprüft werden. Zudem müssen die auf das Unternehmen anwendbaren gesetzlichen Informationssicherheitspflichten ermittelt werden. Der Umfang der rechtlichen Verpflichtungen und die bereits getroffenen Maßnahmen sind gegenüberzustellen, um eine etwaig bestehende Schutzlücke zu ermitteln. Als Ergebnis dieses Schritts identifiziert das Unternehmen den bestehenden Handlungsbedarf zum Erreichen eines hinreichenden Informationssicherheitsstandards, der den gesetzlichen Vorgaben entspricht. Ausgehend vom identifizierten Handlungsbedarf wird das Konzept für ein Informationssicherheitsmanagementsystem erarbeitet, welches auf die konkrete Unternehmenssituation zugeschnitten ist. Im Kern steht die Erstellung von IT-Betriebsrichtlinien (dazu sogleich unter Rz. 658 ff.), um eine kohärente Vorgehensweise innerhalb des Unternehmens zu gewährleisten. Dazu gehört es auch, eine Organisationsstruktur zu schaffen und Verantwortlichkeiten im Unternehmen zuzuweisen. Die Konzeption schließt notwendigerweise auch die Ressourcen- und Budgetplanung ein. 1 2 3 4

Lensdorf, CR 2007, 413, 414; von Holleben/Menz, CR 2010, 63, 67. von Holleben/Menz, CR 2010, 63, 67. BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017. Vgl. auch die Grafik unten entsprechend dem PDCA-/Deming-Kreis; vierphasiger Prozess, welcher der kontinuierlichen Verbesserung dient. 5 Vgl. zum Datenschutzmanagementsystem Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 74 ff. bzw. Voigt/von dem Bussche, Handbuch DSGVO, Teil 10; s. auch BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017.

248

2021-11-22, 12:02, HB groß

III. Einrichtung eines Informationssicherheitsmanagementsystems | Rz. 656 I.

(2) Umsetzung: Das entwickelte Informationssicherheitskonzept wird im Unternehmen eingeführt. Bei der Anpassung unternehmensinterner Prozesse sollen die Verantwortlichen der jeweiligen Abteilungen innerhalb ihrer Verantwortungsbereiche unterstützt werden. So kann auf eine effektive Umsetzung durch Priorisierung von einzelnen Prozessen hingewirkt und der Fortschritt durch Zwischenberichte dokumentiert werden.

652

(3) Kontrolle: Der Prozess ist mit der erfolgreichen Umsetzung des Konzepts jedoch keinesfalls abgeschlossen. Um das erreichte Informationssicherheitsniveau dauerhaft aufrechtzuerhalten, muss das System regelmäßig überprüft werden. Die Überprüfung sollte sich nicht nur auf die Wirksamkeit und Effizienz der Maßnahmen, sondern auch auf deren korrekte Umsetzung und fortwährende Rechtskonformität beziehen.

653

(4) Anpassung: Wird bei der Überprüfung des Systems Handlungs- oder Verbesserungsbedarf identifiziert, so beginnt der Prozess zur Implementierung eines angemessenen Informationssicherheitsmanagementsystems von vorne. Die Schritte werden zyklisch durchlaufen und schaffen ein dauerhaftes Bewusstsein über die Bedeutung eines angemessenen Schutzstandards im Unternehmen.

654

655

Bei der Schaffung eines Informationssicherheitsmanagementsystems spielen der Informationssicherheitsbeauftragte sowie der IT-Sicherheitsbeauftragte und die anderen betrieblichen Beauftragten mit Bezug zur unternehmensinternen Informationssicherheit (s. Rz. 624) eine wichtige Rolle. Diese unterstützen die Geschäftsleitung im Rahmen ihrer Aufgabenbereiche bei allen Projektphasen. So kann der IT-Sicherheitsbeauftragte bei der Konzeption des Informationssicherheitsmanagementsystems erheblich mit seinem technischen Fachwissen beitragen. 249

2021-11-22, 12:02, HB groß

656

I. Rz. 657 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens 657

Das Ergebnis der Einrichtung des Informationssicherheitsmanagementsystems ist die Schaffung eines unternehmensweit einheitlichen Informationssicherheitsniveaus. Werden die Vorgaben der ISO/IEC 27001 umgesetzt, kann sich das Unternehmen entsprechend zertifizieren lassen. Durch eine solche Zertifizierung nach ISO/IEC 27001 (s. Rz. 691 f.) kann ein Unternehmen nach innen und außen dokumentieren, dass Informationssicherheit in der nach diesem Standard erforderlichen Art und Weise umgesetzt wurde. Dadurch haben Unternehmen z.B. die Möglichkeit, ihre Informationssicherheitsbemühungen transparent zu machen, was gegenüber Kunden und Geschäftspartnern als Qualitätsmerkmal dienen und ggf. zu einem Wettbewerbsvorteil führen kann.1 Überdies bietet die Zertifizierung einen Sorgfalts- und Leistungsnachweis, über den auch das Haftungsrisiko zu einem bestimmten Grad reduziert werden kann.

IV. Implementierung von IT-Betriebsrichtlinien 658

Um Informationssicherheitsvorgaben in den unternehmerischen Alltag zu integrieren, sind zielgruppenorientierte IT-Betriebsrichtlinien sinnvoll.2 Diese Richtlinien geben eine bestimmte Vorgehensweise beim Einsatz von und Umgang mit IT vor und werden dabei auf die spezifischen Bedürfnisse und Gegebenheiten unterschiedlicher Gruppen innerhalb des Unternehmens zugeschnitten. Bei diesen Zielgruppen handelt es sich bspw. um Mitarbeiter der Personal- oder IT-Abteilung, Leitungsverantwortliche und andere Mitarbeiter des Unternehmens. 1. Schaffung eines internen Handlungsstandards

659

IT-Betriebsrichtlinien stellen eine Anweisung an die Arbeitnehmer des Unternehmens dar, wie sie sich zur Erreichung von IT-Sicherheit zu verhalten haben.3 Da den Mitarbeitern über die Richtlinien ein bestimmter Umgang mit der IT des Unternehmens vorgegeben wird, hat in der Regel der Betriebsrat des Unternehmens, soweit vorhanden, in Bezug auf diese Richtlinien ein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 1 BetrVG bzw. gem. § 87 Abs. 1 Nr. 6 BetrVG (s. Rz. 92 ff.).4 Unternehmen sollten den Betriebsrat daher frühzeitig einbeziehen und seine Zustimmung erreichen. Im Falle von Verletzungen eines bestehenden Mitbestimmungsrechts muss das Unternehmen sonst ggf. die erlassene IT-Betriebsrichtlinie wieder beseitigen.

660

Als wichtiger IT-Sicherheitsbaustein bilden Betriebsrichtlinien regelmäßig den Kernbestandteil des Informationssicherheitsmanagementsystems des Unternehmens (s. Rz. 643 ff.). Um IT-Risiken möglichst zu minimieren, müssen allen Mitarbeitern,

1 BSI, BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 171 f. 2 Vgl. Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 37. 3 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 218; BSI, BSIStandard 200-2, IT-Grundschutz-Methodik, Version 1.0, 15.11.2017, S. 56. 4 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 218; Richardi in Richardi, BetrVG, § 87 Rz. 186.

250

2021-11-22, 12:02, HB groß

IV. Implementierung von IT-Betriebsrichtlinien | Rz. 662 I.

aber ggf. auch externen Beratern und Kunden, vertragliche Verpflichtungen zum verantwortungsvollen Umgang mit der IT auferlegt werden.1 2. Zentrale Elemente von IT-Betriebsrichtlinien Typischerweise regeln IT-Betriebsrichtlinien die berufliche Nutzung der IT-Infrastruktur durch die Mitarbeiter oder anderweitig Nutzungsberechtigten.2 Die IT-Infrastruktur umfasst dabei die vom Unternehmen zur Verfügung gestellte Hard- und Software wie Laptops, Mobiltelefone oder Präsentationstechnik, Internetzugänge und andere Kommunikationsnetze.3 Häufig ist es wegen der fließenden Grenzen zwischen beruflicher und privater IT-Nutzung durch Mitarbeiter ratsam, auch die private Nutzung der betrieblichen IT-Infrastruktur zu regeln.4 Dabei handelt es sich um ein besonders praxisrelevantes Problemfeld, welches mit erheblichen Sicherheitsrisiken verbunden ist (dazu nachfolgend Rz. 664 ff.). Übliche Regelungen reichen von einem gänzlichen Verbot der Privatnutzung bis hin zu detaillierten Rahmenbedingungen für eine zulässige Privatnutzung.

661

Aus den beiden Regelungskomponenten der privaten und beruflichen IT-Nutzung ergeben sich einige zentrale inhaltliche Elemente von IT-Betriebsrichtlinien, wobei die darin enthaltenen Rechte und Pflichten – soweit möglich – auch durch technische Standardeinstellungen an den IT-Systemen hergestellt werden können:5

662

– Kategorisierung von Mitarbeitern: Bzgl. des Umgangs mit der IT ist es nicht ratsam, alle Mitarbeiter den gleichen Richtlinien zu unterwerfen. Aus diesem Grund sollte das Unternehmen eine Kategorisierung der Mitarbeiter vornehmen und zielgruppenorientierte Richtlinien schaffen. Bspw. können so den Mitarbeitern der IT-Abteilung die für ihre Aufgaben erforderlichen umfassenden Zugriffsrechte eingeräumt und andere Verhaltensstandards auferlegt werden als z.B. den Mitarbeitern anderer Unternehmensbereiche. – Kategorisierung von Daten: Auch eine Kategorisierung der vom Unternehmen genutzten und generierten Daten soll die Festlegung kritischer Datensätze ermöglichen, um die Art und Weise der gestatteten Nutzung der Sensibilität der verschiedenen Datenkategorien innerhalb der Richtlinien anzupassen. Dazu gehören bspw. auch Vorgaben zur Speicherung vertraulicher Daten. – Privatnutzung und ggf. deren Intensität: IT-Betriebsrichtlinien sollten in jedem Fall Regelungen dazu enthalten, ob eine Privatnutzung der Unternehmens-IT zulässig ist. Sollte dies der Fall sein, muss geregelt werden, in welchem Umfang die Pri1 Raif in Kramer, IT-Arbeitsrecht, Teil C Kapitel IV Rz. 197 ff.; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 223 f. 2 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 225. 3 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 225. 4 Wurth/Kuhn in Thüsing/Wurth, Social Media im Betrieb, § 6 Rz. 10; Raif in Kramer, ITArbeitsrecht, Teil C Kapitel IV Rz. 227 ff.; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 226. 5 S. zu den nachfolgenden Ausführungen Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 229 ff.

251

2021-11-22, 12:02, HB groß

I. Rz. 662 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

vatnutzung gestattet wird. Üblich ist dabei die Regelung allgemeiner Nutzungsgrenzen, bspw. hinsichtlich des Nutzungszeitrahmens, und die Vorgabe, dass die arbeitsvertraglich geschuldete Tätigkeit sowie sonstige betriebliche Belange durch die Privatnutzung nicht beeinträchtigt werden dürfen (Näheres sogleich unter Rz. 665 ff.). – Handhabung der elektronischen Kommunikation: Da die Kommunikation im Unternehmen heute überwiegend elektronisch stattfindet, werden regelmäßig Vorgaben zur Handhabung der Kommunikationsmittel gemacht. Üblich sind dabei Regelungen zur Archivierung von auf lokalen Rechnern gespeicherten Dokumenten, die v.a. zur Erfüllung von Buchhaltungspflichten unerlässlich sind (s. Rz. 71). – Umgang mit Passwörtern: Zur Sicherung der Unternehmensdokumente und -daten gegen unberechtigten Zugriff enthalten Betriebsrichtlinien Regelungen zur Handhabung von Passwörtern und sonstigen Zugangsberechtigungen. Dabei wird sowohl die Weitergabe eigener Passwörter und Berechtigungen an Dritte als auch die Nutzung fremder Berechtigungen untersagt. Der Zugang zur IT ist Mitarbeitern nur mit einer persönlichen Zugangsberechtigung möglich, wobei die Richtlinien regelmäßig Vorgaben zur Auswahl (z.B. bestimmte Passwortlänge oder die Verwendung bestimmter Zeichenarten) und zur Verwaltung der Berechtigungen enthalten. Die Regelungen zur Passwortnutzung sollten nach Möglichkeit auch technisch umgesetzt werden, so dass nur sichere Passwörter festgelegt werden können. – Installationsverbote: Um externe Sicherheitsrisiken insbesondere durch Viren und Trojaner zu minimieren, wird den Mitarbeitern des Unternehmens üblicherweise das Downloaden von Programmen oder die eigenmächtige Installation von Software untersagt. Das Verbot umfasst überdies in der Regel die Verwendung fremder Hardware oder die Einrichtung und Verwendung paralleler Internetzugänge. Wegen der Gefahr von Datenverlusten sollten zudem Vorgaben zur lokalen Abspeicherung von Daten auf mobilen Geräten gemacht werden. Das entsprechende Verbot sollte nach Möglichkeit durch technische Einstellungen, die die Installation ungewünschter Software verhindern, ergänzt werden. – Sicherheit des Arbeitsplatzes und der Arbeitsmittel: Viele Unternehmen treffen keine Regelungen zur Sicherheit des Arbeitsplatzes und der Arbeitsmittel, obwohl durch entsprechende Vorgaben in den IT-Betriebsrichtlinien Sicherheitsrisiken vermieden werden können. So können bspw. Mitarbeiter dazu verpflichtet werden, beim Verlassen ihres Arbeitsplatzes (z.B. abends oder in Pausen) Computer abzuschalten oder passwortgeschützte Bildschirmsperren zu verwenden, um eine unbefugte Nutzung in deren Abwesenheit auszuschließen. Beim Gebrauch des Laptops außerhalb des Büros kann die Verwendung einer speziellen Sichtschutzfolie für den Bildschirm vorgeschrieben werden, um das Mitlesen vertraulicher Daten durch Dritte zu erschweren. Vorgaben zur Sicherung von Arbeitsplatz und -mitteln helfen häufig dabei, datenschutzrechtliche Anforderungen an die Informationssicherheit zu erfüllen. – Verpflichtung zur Meldung von Sicherheitsrisiken: IT-Betriebsrichtlinien sollten Pflichten der Mitarbeiter zur Meldung sicherheitsrelevanter Vorkommnisse enthalten. Für ein funktionierendes Meldesystem sollten nicht nur die Empfänger der Meldungen, sondern auch die eine Meldepflicht auslösenden Ereignisse umschrie252

2021-11-22, 12:02, HB groß

IV. Implementierung von IT-Betriebsrichtlinien | Rz. 665 I.

ben werden. Um Risiken möglichst umfassend erkennen zu können, sollten die Meldeanlässe in der Richtlinie nicht zu eng gefasst werden. Meldepflichtige Vorkommnisse könnten neben Ereignissen mit offensichtlicher Sicherheitsrelevanz (wie z.B. Cyber-Angriffe über E-Mail-Anhänge) auch unerklärliches Systemverhalten, Datenverluste, die Veränderung von Daten oder Programmen oder ein Verdacht auf Missbrauch der eigenen Benutzerkennungen sein. – Regelung der Haftung: Auch Haftungsfragen können in den IT-Betriebsrichtlinien behandelt werden. Dies betrifft insbesondere Fälle des Datenverlusts oder der Offenlegung von Unternehmensdaten durch Mitarbeiter gegenüber Dritten. Zu beachten ist dabei auch die arbeitsrechtliche Haftungsbeschränkung für Mitarbeiter in Form des innerbetrieblichen Schadensausgleichs (s. auch Rz. 631 ff.). Die Schaffung der IT-Betriebsrichtlinien kann nur dann IT-Sicherheit im Unternehmen gewährleisten, wenn deren praktische Umsetzung durch die Mitarbeiter gelingt. Es empfiehlt sich daher, den unterschiedlichen Zielgruppen innerhalb der Richtlinien konkrete Hilfestellungen und Werkzeuge an die Hand zu geben, wie etwa Formulare, Checklisten oder konkrete Arbeitsanweisungen.1 Überdies sollte die Einhaltung der IT-Betriebsrichtlinien durch die Arbeitnehmer regelmäßig einer Überprüfung unterzogen werden. Bei Verstößen sollte ggf. eine Ahndung stattfinden.

663

3. Praxisrelevante Problemfelder IT-Betriebsrichtlinien sollten, wie soeben erwähnt, sowohl Regelungen zur betrieblichen als auch zur privaten Nutzung von IT im Unternehmen enthalten. Viele Unternehmen unterschätzen interne Bedrohungen durch die eigenen Angestellten (s. auch Rz. 15). IT-Risiken treten insbesondere dort vermehrt auf, wo Unternehmens-IT auch privat genutzt wird oder wo private IT im Arbeitsalltag zum Einsatz kommt. Daneben führt die räumliche Entzerrung von Arbeitgeber und Arbeitnehmer durch mobiles Arbeiten sowie die räumliche Überlagerung von Arbeits- und Privatsphäre zu einer geringeren Einflussnahmemöglichkeit des Arbeitgebers in Bezug auf die Informationssicherheit (s. Rz. 680 ff.). In diesem Zusammenhang lassen sich im Bereich der ITSicherheit praxisrelevante Problemfelder ausmachen, die in den IT-Betriebsrichtlinien Berücksichtigung finden sollten.

664

a) Private Internetnutzung Die private Internetnutzung durch Mitarbeiter am Arbeitsplatz stellt für Unternehmen ein dauerhaftes Sicherheitsrisiko dar. Dies betrifft sowohl die private Nutzung telekommunikationsfähiger mobiler Endgeräte als auch des betrieblichen E-Mail-Accounts. Diese Nutzung birgt ein erhebliches Informationssicherheitsrisiko, z.B. indem Mitarbeiter über E-Mail-Anhänge versehentlich Malware oder Trojaner auf betrieblichen Rechnern installieren. Wie zuvor erwähnt (s. Rz. 661 ff.), sollten die ITBetriebsrichtlinien daher unbedingt Regelungen dazu erhalten, ob eine Privatnutzung zulässig ist und, falls dies der Fall ist, in welcher Intensität. Dabei sind durchaus groß1 Egle/Zeller in von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2, Rz. 38.

253

2021-11-22, 12:02, HB groß

665

I. Rz. 665 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

zügige Regelungen denkbar, die eine Privatnutzung gestatten. Wird diese allerdings aus Informationssicherheitserwägungen heraus gänzlich verboten, sollte zur Vermeidung von Missverständnissen und gar einer Unwirksamkeit des Verbots darauf hingewiesen werden, dass eine etwaig betrieblich veranlasste Privatnutzung sowie eine Privatnutzung in Notfällen nicht vom Verbot erfasst werden.1 666

Falls die private Internetnutzung nicht verboten wird, sollten detaillierte Vorgaben zur zulässigen Art und Weise der Privatnutzung gemacht werden. Die private Nutzung der IT-Infrastruktur des Unternehmens kann bspw. in den Arbeitspausen oder bis zu einer bestimmten Gesamtdauer pro Tag zugelassen werden.2 Regelungen zu Zeitpunkt und Dauer der Nutzung sollten unbedingt vorgesehen werden, um einer Beeinträchtigung der arbeitsvertraglich geschuldeten Leistung durch exzessive Internetnutzung vorzubeugen.

667

Die Durchmischung privater und dienstlicher Kommunikation kann nach teilweise vertretener Ansicht dazu führen, dass das Fernmeldegeheimnis aus § 3 TTDSG auch im Arbeitgeber-Arbeitnehmer-Verhältnis zur Anwendung gelangt.3 Wird die private Internetnutzung durch den Arbeitnehmer gestattet, könnte der Arbeitgeber als Anbieter von Telekommunikationsdiensten i.S.d. § 3 Abs. 2 TTDSG anzusehen sein.4

668

Den nach dem Fernmeldegeheimnis Verpflichteten ist es gem. § 3 Abs. 3 Satz 1 TTDSG untersagt, sich über das für die Erbringung der Telekommunikationsdienste oder für den Betrieb ihrer Telekommunikationsnetze oder ihrer Telekommunikationsanlagen einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder von den näheren Umständen der Telekommunikation zu verschaffen. Da die technische Bereitstellung bspw. eines Internetzugangs bzw. E-Mail-Postfachs in der Regel eine Kenntnisnahme des Inhalts und der näheren Umstände der Telekommunikation der Arbeitnehmer nicht bedarf, wäre ein Zugriff auf die Kommunikation der Arbeitnehmer überwiegend unzulässig, wenn der Arbeitgeber das Fernmeldegeheimnis zu wahren hätte, was mangels Trennbarkeit sowohl die private als auch die berufliche Kommunikation erfassen könnte.5 Zudem setzen Unternehmen üblicherweise eine E-Mail-Filterung ein, um unerwünschte EMails (z.B. Spam) oder E-Mails mit gefährdenden Inhalten (z.B. mit Viren in E-MailAnhängen) herauszufiltern, wovon regelmäßig der gesamte Kommunikationsfluss und damit sowohl berufliche als auch private E-Mails betroffen sind. In diesem Zusammenhang könnte eine Strafbarkeit des Arbeitgebers nach § 206 StGB wegen

1 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 228. 2 Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 230. 3 Vgl. zu § 88 TKG a.F. Voigt in Specht-Riemenschneider/Buchner/Heinze/Thomsen, Festschrift für Jürgen Taeger, 2020, S. 511. 4 Datenschutzkonferenz, Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, Januar 2016, S. 7 f.; Herrmann/Heilmann in BeckOK IT-Recht, 3. Edition, 1.7.2021, TKG § 88 Rz. 20; s. auch Fokken, NZA 2020, 629, 629 ff. 5 Vgl. Voigt in Specht-Riemenschneider/Buchner/Heinze/Thomsen, Festschrift für Jürgen Taeger, 2020, S. 511, 517 f.

254

2021-11-22, 12:02, HB groß

IV. Implementierung von IT-Betriebsrichtlinien | Rz. 671 I.

Verletzung des Fernmeldegeheimnisses angenommen werden, wenn der Kommunikationsvorgang technisch so beeinflusst wird, dass E-Mails überprüft und verzögert übertragen oder gar gelöscht werden (s. auch Rz. 602 ff.).1 Der Arbeitgeber dürfte jedoch auch bei erlaubter Privatnutzung nach hier vertretener Ansicht nicht mehr als dem Fernmeldegeheimnis unterliegender Diensteanbieter zu qualifizieren zu sein.2 So verneinen die Arbeitsgerichte überwiegend die Anwendbarkeit des Fernmeldegeheimnisses im Arbeitsverhältnis,3 und auch der EuGH legt ein restriktives Verständnis des Diensteanbieterbegriffs zu Grunde.4 Eine (so von der ePrivacy-Richtlinie, die Grundlage für die Regelungen zum Fernmeldegeheimnis in Deutschland ist, nicht vorgesehene)5 weite Erstreckung des Diensteanbieterbegriffs auch auf das Arbeitsverhältnis dürfte im Übrigen im Konflikt mit der durch die DSGVO erfolgten Vollharmonisierung der Regelung zur Verarbeitung personenbezogener Daten stehen: Der Zugriff auf personenbezogene Daten in einem E-Mail-Account würde stets auch eine Datenverarbeitung nach sich ziehen. Die DSGVO würde daher – eine Anwendung des Fernmeldegeheimnisses unterstellt – aufgrund des Vorrangs des Europarechts die Regelungen des § 3 TTDSG im Arbeitsverhältnis verdrängen.6

669

Obwohl der Arbeitgeber bei privater Kommunikation von Arbeitnehmern somit wohl nicht dem Fernmeldegeheimnis nach § 3 TTDSG unterfällt, finden bei der Verarbeitung privater Kommunikation die allgemeinen datenschutzrechtlichen Vorschriften der DSGVO und des BDSG Anwendung, die im Regelfall zu einer sehr restriktiven Zugriffsberechtigung durch den Arbeitgeber auf Kommunikationsdaten führen werden. Daher empfiehlt es sich, Regelungen über die Erlaubnis zur bzw. Reichweite der Privatnutzung zu treffen. So kann ggf. die private Nutzung durch den Arbeitnehmer an die Bedingung geknüpft werden, dass unter bestimmten Umständen, wie bei längerem Krankheitsausfall, in die Kommunikation eingesehen werden darf.

670

b) Bring your own Device Als „Bring your own Device“ (BYOD) wird die Einbindung privater Endgeräte der Mitarbeiter, wie Mobiltelefone oder Tablets, in die IT-Struktur des Unternehmens

1 Eisele in Schönke/Schröder, StGB, § 206 Rz. 8a; Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28 Rz. 307 ff.; weitere Nachweise bei Wybitul, NJW 2014, 3605, 3607. 2 Ausführlich hierzu Voigt in Specht-Riemenschneider/Buchner/Heinze/Thomsen, Festschrift für Jürgen Taeger, 2020, S. 511 ff. 3 LAG Niedersachsen, Urt. v. 31.5.2010 – 12 Sa 875/09, juris Rz. 45; LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, juris Rz. 36; LAG Berlin-Brandenburg, Urt. v. 14.1.2016 – 5 Sa 657/15, juris Rz. 116. 4 Vgl. EuGH, Urt. v. 13.6.2019 – C-193/18, juris Rz. 41. 5 Vgl. Voigt in Specht-Riemenschneider/Buchner/Heinze/Thomsen, Festschrift für Jürgen Taeger, 2020, S. 511, 526 f. 6 Ausführlich zu § 88 TKG a.F. Voigt in Specht-Riemenschneider/Buchner/Heinze/Thomsen, Festschrift für Jürgen Taeger, 2020, S. 511, 523 ff.

255

2021-11-22, 12:02, HB groß

671

I. Rz. 671 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

bezeichnet. Dabei verwischt die Grenze zwischen privatem und dienstlichem Endgerät und dessen jeweiliger Nutzung.1 672

Besonders im Hinblick auf datenschutzrechtliche Informationssicherheitspflichten (s. Rz. 164 ff.) macht BYOD im Vergleich zur Nutzung betriebsinterner IT-Infrastruktur einen erhöhten Organisationsaufwand erforderlich. Aufgrund der Doppelnutzung der betroffenen Geräte werden Daten zu unterschiedlichen – privaten oder betrieblichen – Zwecken von unterschiedlichen Verantwortlichen – Arbeitnehmer oder Arbeitgeber – verarbeitet. Aus diesem Grund wird eine Trennung der Daten im Hinblick auf die dienstliche und die private Datenverarbeitung erforderlich.2 Darüber hinaus muss der Arbeitgeber dafür Sorge tragen, dass über technische und organisatorische Maßnahmen ein angemessenes Datensicherheitsniveau auch bei Nutzung privater Endgeräte zu betrieblichen Zwecken sichergestellt wird.3 Dafür sollte verschiedene Hard- und Software für die betrieblichen und privaten Daten und Anwendungen zum Einsatz kommen.

673

Praxistipp: Zur Umsetzung der Trennung von privaten und betrieblichen Daten auf den BYOD-Geräten kann sich eine sog. Container-Lösung anbieten. Dabei werden durch technische Mittel die privaten und dienstlichen Anwendungen und Daten klar voneinander getrennt. Die Umsetzung kann bspw. über die Abschottung der betrieblichen von den privaten Anwendungen und Daten in einem passwortgeschützten Container erfolgen. Da diese Lösung einigen administrativen Aufwand erfordert, bietet sie sich eher für größere Unternehmen an. Ein vollumfassender Schutz kann jedoch aufgrund technischer Hürden auch bei einer Container-Lösung nicht immer gewährleistet werden.

674

Um die effektive Datentrennung und Anwendung der technischen und organisatorischen Sicherheitsmaßnahmen und damit die Einhaltung eines angemessenen IT-Sicherheitsniveaus überprüfen zu können, muss der Arbeitgeber entsprechende Kontrollmöglichkeiten haben.4 Zur Umsetzung bieten sich Protokoll- und Dokumentationsfunktionen als Bestandteil der technischen und organisatorischen Maßnahmen an, wobei deren Einführung regelmäßig nicht nur Mitbestimmungsrechte des Betriebsrats auslöst (s. Rz. 92 ff.), sondern regelmäßig zugleich eine Einwilligung des Arbeitnehmers erforderlich machen wird.5 Nicht endgültig geklärt ist, ob und inwiefern sich eine Beschränkung dieser Kontrollmöglichkeiten aus dem Fernmeldegeheimnis gem. § 3 Abs. 3 Satz 1 TTDSG ergibt, weil der Arbeitgeber als Telekommunikationsdienste-Anbieter anzusehen sein könnte (s. Rz. 665 ff.).

1 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 296. 2 Forst in Thüsing/Wurth, Social Media im Betrieb, § 2 Rz. 121; Conrad in Auer-Reinsdorff/ Conrad, IT- und Datenschutzrecht, § 37 Rz. 311, 317. 3 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 311 ff., s. auch für den nachfolgenden Praxistipp. 4 König, Beschäftigtendatenschutz, § 5 Rz. 52; Forst in Thüsing/Wurth, Social Media im Betrieb, § 2 Rz. 119; Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 311 ff. 5 Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 307 f.

256

2021-11-22, 12:02, HB groß

IV. Implementierung von IT-Betriebsrichtlinien | Rz. 677 I.

Auch darüber hinaus besteht für BYOD-Richtlinien ein erhöhter Regelungsbedarf, da das Eigentum am Gerät und die Verantwortlichkeiten für die Daten regelmäßig zwischen Arbeitnehmer und -geber auseinanderfallen.1 Auch lizenzrechtliche Fragen müssen geklärt werden. Besonders die Haftung beider Beteiligter sollte deshalb klar geregelt werden (s. Rz. 658 ff. bzgl. der weiteren Elemente von Betriebsrichtlinien).

675

c) Social-Media-Nutzung Die Nutzung von Social-Media-Kanälen wie Xing, LinkedIn, Facebook oder Twitter erfolgt heute durch Arbeitnehmer und Arbeitgeber gleichermaßen. Für Unternehmen haben diese Kanäle einen festen Platz in der Marketingstrategie.2 Aus diesem Grund geben immer mehr Unternehmen sich und ihren Mitarbeitern konkrete Richtlinien zur Social-Media-Nutzung.3 Dabei spielt nicht nur die Zulässigkeit der SocialMedia-Nutzung während der Arbeitszeit eine Rolle, sondern auch, welche Äußerungen über den Arbeitgeber, Kunden oder Kollegen überhaupt zulässig sind und welche Folgen eine Verletzung dieser Vorgaben mit sich bringen soll.4

676

Das Gefahrenpotential im Bereich Social Media ergibt sich insbesondere aus drohenden Persönlichkeitsrechtsverletzungen sowie der potentiellen Offenlegung von Unternehmensinterna. Eine angemessene Darstellung des Unternehmens in Social-Media-Kanälen ist ohne Beteiligung der Mitarbeiter und deren eigener Profile kaum umsetzbar.5 Dabei kommt es aus Unternehmenssicht zu „gewollter“ und „ungewollter“ Kommunikation, wobei letztere schlimmstenfalls zu einem Kontrollverlust des Unternehmens über die Kommunikationsinhalte führen kann, so dass ein anderes Bild vom Unternehmen und seinen Produkten im Social-Media-Bereich entsteht, als ursprünglich geplant war.6 Überdies besteht das Risiko, dass von Mitarbeitern Geschäftsgeheimnisse oder fehlerhafte Informationen geteilt werden oder Urheberrechtsverletzungen durch die Verbreitung bestimmter Inhalte begangen werden.7 Auch datenschutzrechtliche Informationssicherheitspflichten müssen Beachtung finden, da innerhalb der Social-Media-Kanäle personenbezogene Daten von Mitarbeitern, Kunden, Bewerbern, Interessenten etc. verarbeitet werden, deren Sicherheit zu gewährleisten ist.8

677

1 Forst in Thüsing/Wurth, Social Media im Betrieb, § 2 Rz. 109; Conrad in Auer-Reinsdorff/ Conrad, IT- und Datenschutzrecht, § 37 Rz. 325. 2 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 349. 3 Imping in Taeger/Pohle, Computerrechts-Handbuch, Teil 70.11 Rz. 50 f.; Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 349. 4 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 354 ff.; ausführlich dazu Günther/Lenz, ArbRAktuell 2020, 405. 5 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 351. 6 Solmecke in Hoeren/Sieber/Holznagel, Multimedia-Recht, 56. Edition, Mai 2021, Teil 21.1 Rz. 77; Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 351. 7 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 351. 8 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 351.

257

2021-11-22, 12:02, HB groß

I. Rz. 678 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens 678

Beispiele für durch Social-Media-Nutzung ausgelöste Informationssicherheitsvorfälle: – Ein Arbeitnehmer veröffentlicht Bilder oder Videos auf einem Profil, aus denen sich interne Betriebsabläufe ablesen lassen. Durch diese unternehmensseitig ungewollte Veröffentlichung kann eine unbekannte Zahl Dritter Kenntnis von vertraulichen Geschäftsabläufen erhalten. – Ein Arbeitnehmer veröffentlicht Fotos von Mitarbeitern auf dem Unternehmens-Profil ohne Wissen der betroffenen Mitarbeiter. Dabei handelt es sich um eine Veröffentlichung der personenbezogenen Daten dieser Arbeitnehmer, für deren Rechtmäßigkeit es eines Erlaubnistatbestands (bspw. der Einwilligung der Mitarbeiter) bedarf.

679

Die Risiken der Social-Media-Nutzung können Unternehmen mit Hilfe spezifischer Betriebsrichtlinien mindern, indem der zulässige Umgang mit Social-Media-Kanälen festgelegt und so ein einheitlicher Verhaltensmaßstab geschaffen wird.1 Besonders ein Hinweis auf Geheimhaltungs- und Datensicherheitspflichten der Mitarbeiter sollte enthalten sein.2 Mitarbeitern muss u.a. kommuniziert werden, welche Haftungsrisiken durch ihr Verhalten und ihre Äußerungen v.a. in Bezug auf das Datenschutz- und Urheberrecht ausgelöst werden können.3 d) Mobiles Arbeiten

680

Das mobile Arbeiten hat einen tiefgreifenden Wandel in der Arbeitswelt bewirkt. Seit Jahren versuchen Arbeitgeber, sich durch die Ermöglichung des Arbeitens aus dem Home-Office für Bewerber attraktiver zu machen. Der Wandel in der Arbeitswelt wurde durch die Corona-Pandemie beschleunigt. Vor Beginn der Pandemie arbeiteten lediglich 18 % der Erwerbstätigen ausschließlich oder teilweise mobil, wohingegen im Dezember 2020 45 % aller Erwerbstätigen hiervon Gebrauch machten.4 Die Entwicklungen werden durch Diskussionen über die Schaffung eines Anspruchs auf Home-Office5 und die Pflicht zur Umsetzung der Richtlinie 2019/1158 zur Vereinbarkeit von Beruf und Privatleben für Eltern und pflegende Angehörige6 vorangetrieben, so dass Unternehmen sich aktiv mit der Möglichkeit von mobilem Arbeiten auseinandersetzen müssen.

681

Das mobile Arbeiten stellt Unternehmen aus Informationssicherheitssicht vor Herausforderungen. So müssen sie neben den Standard-Sicherheitsmaßnahmen im Un1 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 360. 2 Solmecke in Hoeren/Sieber/Holznagel, Multimedia-Recht, 56. Edition, Mai 2021, Teil 21.1 Rz. 78; Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 364. 3 Conrad/Huppertz in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 364 ff. mit weiteren Einzelheiten sowie einem entsprechenden Muster für Social-Media-Richtlinien. 4 Bitkom, Mehr als 10 Millionen arbeiten ausschließlich im Homeoffice, abrufbar unter: https://www.bitkom.org/Presse/Presseinformation/Mehr-als-10-Millionen-arbeiten-aus schliesslich-im-Homeoffice, zuletzt aufgerufen am 29.10.2021. 5 Vgl. BMAS, Referentenentwurf zum MAG, Bearbeitungsstand vom 14.1.2021, abrufbar unter: https://www.bmas.de/DE/Service/Gesetze-und-Gesetzesvorhaben/mobile-arbeit-gesetz. html, zuletzt aufgerufen am 29.10.2021. 6 Richtlinie (EU) 2019/1158, ABl. L 188/79.

258

2021-11-22, 12:02, HB groß

V. Notfallkonzept und Verhalten im Falle von IT-Sicherheitsvorfällen | Rz. 684 I.

ternehmen zusätzliche technische und organisatorische Sicherheitsmaßnahmen für das mobile Arbeiten treffen. Diese können u.a. die Einrichtung von VPN-Verbindungen, Verschlüsselung von Datenträgern sowie Segmentierung und Absicherung von Netzen beinhalten.1 Zu beachten ist, dass bei Regelungen zum mobilen Arbeiten Mitbestimmungsrechte des Betriebsrats gem. § 87 Abs. 1 Nr. 1, 2, 6, 7, 14 BetrVG bestehen können.2 Der Arbeitgeber ist daneben verpflichtet, Vorschriften zur Arbeitssicherheit aus dem ArbZG und ArbSchG zu achten und für deren Einhaltung zu sorgen.3 Neben den Regelungen zur Informationssicherheit sollten auch Aspekte der Haftung, Beendigung des mobilen Arbeitens, Bereitstellung der Arbeitsmittel, Verfügbarkeitszeiten sowie ggf. ein Zugangsrecht des Arbeitgebers zur häuslichen Arbeitsstätte geregelt werden.4 Durch eine rechtssichere Ausgestaltung des mobilen Arbeitens entstehen beim Arbeitgeber daher wirtschaftliche Belastungen, die je nach Unternehmensgröße, bestehender Arbeitsstrukturen und Stand der Informationssicherheit stark variieren können.

682

V. Notfallkonzept und Verhalten im Falle von IT-Sicherheitsvorfällen Ein Notfallkonzept für Informationssicherheitsvorfälle gehört in jedem Fall zu einem rechtskonformen Informationssicherheitskonzept. Die Grundlage bildet die Pflicht von Unternehmen zur Erkennung und Verhinderung bestandsgefährdender Risiken (s. Rz. 40 ff.). Ausgehend von der starken Abhängigkeit nahezu aller Unternehmensprozesse von der IT müssen im Unternehmen zum Umgang mit Bedrohungslagen klare Vorgaben vorhanden sein.5 Das Notfallkonzept setzt dabei nicht präventiv bei der Abwehr bestandsgefährdender Risiken an, sondern ist vorzuhalten, um Risiken, deren Verwirklichung im Unternehmen nicht verhindert werden konnte, bestmöglich zu steuern.

683

1. Konzeption und Inhalt Das Notfallmanagement (auch Business Continuity Management, kurz: BCM) verfolgt im Wesentlichen zwei Ziele: (1) Im Fall einer Störung sollen kritische Geschäftsprozesse nicht beeinträchtigt werden (Prävention).

1 Suwelack, ZD 2020, 561, 563 f.; BSI, IT-Sicherheit im Home-Office im Jahr 2020, Stand 4/ 2021, S. 8 ff., abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Pub likationen/Lageberichte/Umfrage-Home-Office/umfrage_home-office-2020.pdf, zuletzt aufgerufen am 29.10.2021. 2 Hoppe in Kramer, IT-Arbeitsrecht, Teil B Kapitel VIII Rz. 667 ff. 3 Maties in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 37 Rz. 203 f. 4 Ausführlich dazu Neighbour in Sassenberg/Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, Kapitel 2 § 8 Rz. 21 ff.; Hoppe in Kramer, IT-Arbeitsrecht, Teil B Kapitel VIII Rz. 676. 5 Lensdorf, CR 2007, 413, 414; von Holleben/Menz, CR 2010, 63, 67.

259

2021-11-22, 12:02, HB groß

684

I. Rz. 684 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

(2) Im Fall einer Unterbrechung der Prozesse muss deren rechtzeitige Wiederaufnahme sichergestellt sein (Reaktion). Dafür werden sog. Disaster-Recovery-Pläne vorgesehen.1 685

Um ein Notfallkonzept zu erstellen, müssen zunächst die kritischen Geschäftsprozesse des Unternehmens identifiziert werden. Damit steht am Anfang der Konzeption stets eine Risikoanalyse, um zu bestimmen, bzgl. welcher Systeme und Komponenten ein Ausfall am wenigsten toleriert werden kann. Die Vorgehensweise bei der Schaffung des Notfallvorsorgekonzepts entspricht im Wesentlichen den Projektphasen zur Schaffung eines Informationssicherheitsmanagementsystems, so dass auf die entsprechenden Ausführungen verwiesen werden kann (s. Rz. 650 ff.). Ein Notfallvorsorgekonzept sollte im Wesentlichen die folgenden Punkte regeln:2 – Vorgehensmodell und Umsetzung: Es wird ein klar definierter Rahmen vorgegeben, wie die Fähigkeit zur Geschäftsfortführung im Notfall erfolgen soll. Die Vorgehensweise im Fall von IT-Sicherheitsvorfällen wird phasenweise beschrieben. Neben einer Beschreibung der Notfallbewältigungsorganisation muss der Ablauf bei der Umsetzung des Notfallkonzepts klar sein. – Definition Störung – Notfall – Krise: Sobald ein Notfall ausgerufen ist, ruhen die normalen Geschäftsabläufe und das Notfallkonzept wird umgesetzt. Nicht jede Störung ist jedoch ein Notfall, so dass die Anwendung des Notfallkonzepts nicht stets notwendig ist. Jedes Unternehmen muss definieren, wann eine Störung, ein Notfall oder eine Krise vorliegt und wer im Unternehmen autorisiert ist, dies zu entscheiden. – Vorsorgemaßnahmen: Maßnahmen, die im Falle eines Notfalls ergriffen werden müssen, sind im Konzept detailliert aufzuführen, damit betroffene Unternehmensbereiche wissen, wie sie sich im Notfall verhalten müssen. Zu entsprechenden Maßnahmen gehört etwa die Festlegung von generellen Ausweichstandorten und deren Anforderungen, Alarmierungsverfahren, die Beschreibung risikoreduzierender Maßnahmen, Datensicherung, Meldetechniken und Vereinbarungen mit externen Dienstleistern. Ziel ist es, den normalen Geschäftsbetrieb unter Beseitigung der Störung und Gefahrenquelle wiederherzustellen.

686

Das Funktionieren des Notfallkonzepts im Bedarfsfall hängt wesentlich von dessen nachhaltiger Einbindung in die Unternehmenskultur ab, so dass eine entsprechende Schulung und Sensibilisierung der Mitarbeiter, die in den kritischen Geschäftspro1 BSI, BSI-Standard 200-4 Business Continuity Management – Community Draft –, 1.2.2021, S. 6 f., abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grund schutz/BSI_Standards/standard_200_4_CD.pdf, zuletzt aufgerufen am 29.10.2021; Wittmann, Business Continuity Management, abrufbar unter: https://www.computerwoche.de/ a/business-continuity-management-sind-sie-auf-den-ernstfall-vorbereitet, zuletzt aufgerufen am 29.10.2021. 2 Ausführlich dazu BSI, BSI-Standard 200-4 Business Continuity Management – Community Draft –, 1.2.2021, S. 37 ff., abrufbar unter: https://www.bsi.bund.de/SharedDocs/Down loads/DE/BSI/Grundschutz/BSI_Standards/standard_200_4_CD.pdf, zuletzt aufgerufen am 29.10.2021.

260

2021-11-22, 12:02, HB groß

V. Notfallkonzept und Verhalten im Falle von IT-Sicherheitsvorfällen | Rz. 687 I.

zessen tätig sind, unerlässlich ist.1 Unter deren Beteiligung lässt sich das Notfallkonzept im Rahmen von Übungen und Testläufen zudem überprüfen und kontinuierlich verbessern.2 2. Verhalten bei und Bewältigung von IT-Sicherheitsvorfällen Im Falle eines IT-Sicherheitsvorfalls lassen sich, unabhängig davon, ob es sich um einen Notfall oder um eine weniger existenzbedrohliche Risikolage handelt, grundlegende Verhaltensschritte zur Bewältigung der Krise einteilen:3 (1) Meldung und Eskalation: Nach Eintritt eines Schadensereignisses ist die schnellstmögliche Meldung des Vorfalls an die verantwortlichen Stellen im Unternehmen erforderlich. Je schneller und geeigneter der Informationsfluss, desto wahrscheinlicher ist die erfolgreiche Bewältigung des Vorfalls. Die Meldungswege im Unternehmen ergeben sich z.B. aus dem Notfallplan. So können für unterschiedliche Ereignisse unterschiedliche Meldestellen vorgesehen sein (z.B. ITSupport, zentrales Risikomanagement, …). Je gravierender der Vorfall, desto eher erfolgt eine Eskalation: Die Meldestelle veranlasst in Rücksprache mit der Geschäftsleitung ggf. die Alarmierung nicht betroffener Geschäftsbereiche. (2) Sofortmaßnahmen: Nach der Meldung müssen unverzüglich Sofortmaßnahmen ergriffen werden, um größere Schäden zu vermeiden. Dabei kann es sich um technische oder organisatorische Maßnahmen handeln, etwa die Evakuierung von Unternehmensbereichen im Falle von Elementarschäden. (3) Behebung der Störung: Die zur Risikobewältigung verantwortliche Stelle (z.B. ein Krisenstab) findet zusammen und beginnt mit der eigentlichen Behebung der Störung. Dafür werden die zum Vorfall vorhandenen Informationen ausgewertet, die aktuelle Lage in den betroffenen Unternehmensbereichen bewertet sowie Handlungsoptionen und Maßnahmen zur Behebung der Störung festgelegt und durchgeführt. (4) Geschäftsfortführung: Während der Zeit der Störungsbehebung läuft der betroffene Geschäftsbereich im Notfallbetrieb fort. Vorrangig mit Hilfe gesicherter Daten, in Ausweichräumlichkeiten und mit Hilfe von Backup-Systemen. (5) Rückführung zum Normalbetrieb: Ist die Behebung der Störung abgeschlossen, kehrt der betroffene Geschäftsbereich zum Normalbetrieb zurück. (6) Analyse und Dokumentation: Nach Abschluss der Vorfallsbewältigung werden die Maßnahmen analysiert, um das Verbesserungspotential für künftige Risikolagen auszumachen. Zudem wird das gesamte Vorgehen dokumentiert.

1 BSI, BSI-Standard 200-4 Business Continuity Management – Community Draft –, 1.2.2021, S. 44 f. 2 BSI, BSI-Standard 200-4 Business Continuity Management – Community Draft –, 1.2.2021, S. 252 ff. 3 Ausführlich dazu BSI, BSI-Standard 200-4 Business Continuity Management – Community Draft –, 1.2.2021, S. 16 ff.

261

2021-11-22, 12:02, HB groß

687

I. Rz. 688 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

VI. Nutzung technischer Regelwerke 688

Zur Bestimmung des Umfangs oder zur rechtskonformen Umsetzung von Informationssicherheitspflichten spielen technische Regelwerke eine wichtige Rolle. Teilweise ist die Umsetzung entsprechender Regelwerke sogar Teil des IT-sicherheitsrechtlichen Pflichtenprogramms, etwa die Pflicht der Betreiber von Energieversorgungsnetzen gem. § 11 Abs. 1a, 1d EnWG zur Zertifizierung nach ISO/IEC 27001 (s. Rz. 430 ff.). Unternehmen sollten sich bei der Umsetzung ihrer IT-Sicherheitspflichten an vorhandenen technischen Regelwerken orientieren. Nachfolgend sind aus diesem Grund überblicksartige Informationen zu in der Praxis verbreiteten technischen Regelwerken zusammengestellt. 1. BSI-Grundschutz

689

Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI), das national für die Einschätzung der IT-Sicherheitslage und die Herausgabe entsprechender Informationen verantwortlich ist (s. Rz. 354 ff.), hat sein Know-how im BSI-Grundschutz-Kompendium und dem BSI-Standard gebündelt. Bei diesem sich seit 1994 ständig aktualisierenden Standard handelt es sich um den wohl meistgenutzten in Deutschland.1 Das BSI-Kompendium und die BSI-Standards enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit. Unternehmen, die IT-Systeme nutzen, Hersteller von IT-Produkten sowie IT-Dienstleister können mit den BSI-Standards ihre Geschäftsprozesse und Daten sicherer gestalten.2 Erst im Februar 2021 wurde eine Aktualisierung des IT-Grundschutz-Kompendiums abgeschlossen.3 Der BSI-Grundschutz besteht aus vier verschiedenen Standards, die von Unternehmen entweder einzeln oder in Kombination miteinander genutzt werden können. Dadurch eröffnet der BSI-Grundschutz die Möglichkeit zur Schaffung eines flexiblen Informationssicherheitskonzepts. Die Standards dienen nachfolgenden Informationssicherheitszwecken:4 – BSI-Standard 200-1: Er definiert allgemeine Anforderungen an ein Informationssicherheits-Managementsystem und ist mit dem ISO/IEC 27001-Standard und anderen ISO-Standards kompatibel. – BSI-Standard 200-2: Er beschreibt drei mögliche Vorgehensweisen zur Umsetzung des Informationssicherheits-Managementsystems. Die Basis-Absicherung 1 https://www.heise.de/security/meldung/IT-Grundschutz-BSI-schliesst-Modernisierung-ab3859945.html, zuletzt aufgerufen am 29.10.2021. 2 BSI, BSI-Standards, abrufbar unter: https://www.bsi.bund.de/DE/Themen/Unternehmenund-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-stan dards_node.html, zuletzt aufgerufen am 26.5.2021. 3 https://www.heise.de/security/meldung/IT-Grundschutz-BSI-schliesst-Modernisierung-ab3859945.html, zuletzt aufgerufen am 29.10.2021. 4 BSI, BSI-Standards, abrufbar unter: https://www.bsi.bund.de/DE/Themen/Unternehmenund-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-stan dards_node.html, zuletzt aufgerufen am 29.10.2021.

262

2021-11-22, 12:02, HB groß

VI. Nutzung technischer Regelwerke | Rz. 692 I.

liefert einen Einstieg zur Initiierung eines entsprechenden Managementsystems, die Standard-Absicherung ermöglicht die Implementierung eines kompletten Sicherheitsprozesses und die Kern-Absicherung ist eine Vorgehensweise zum Einstieg in ein Informationssicherheits-Managementsystem durch die Anpassung zunächst nur eines Teils der IT-Struktur. – BSI-Standard 200-3: Er bündelt alle risikobezogenen Arbeitsschritte zur Schaffung eines angemessenen IT-Sicherheitsstandards und gibt damit gewissermaßen eine „Arbeitsanweisung“ zur erfolgreichen Durchführung einer Risikoanalyse. – BSI-Standard 100-4/200-4 (Draft): Es wird eine Methodik zur Etablierung und Aufrechterhaltung eines behörden- bzw. unternehmensweiten Notfallmanagements erläutert (s. auch Rz. 20 ff.). Die Anleitung zum Aufbau eines Business Continuity Management Systems (BCMS) im BSI-Standard 100-4 ist gültig, bis eine finale Version des BSI-Standards 200-4 veröffentlicht wird (derzeit noch in der „Community Draft Phase“). Das IT-Grundschutz-Kompendium des BSI unterscheidet sich insofern von anderen Branchenstandards, als dass es detailliert Standard-Sicherheitsmaßnahmen beschreibt, die praktisch mit jedem IT-System mit „normalem“ Schutzbedarf kompatibel sind.1 Dabei werden die sicherheitsrelevanten Gefahren, Zielsetzungen und Handlungsanweisungen als einzelne Bausteine beschrieben. Unternehmen können anhand des Kompendiums die für sie relevanten Gefahren identifizieren und die entsprechenden Handlungsanweisungen an ihre individuellen Bedürfnisse anpassen. Im Vergleich dazu befasst sich etwa der ISO/IEC 27001-Standard vorrangig mit dem Aufbau eines Informationssicherheitsmanagements, ohne differenzierte Umsetzungshinweise zu liefern.

690

2. ISO/IEC 27001 Die Norm ISO/IEC 27001 beschreibt grundlegende Anforderungen an ein Informationssicherheitsmanagementsystem im Unternehmen und berücksichtigt mit Hilfe anderer Normen der ISO-Familie auch branchenspezifische Besonderheiten, etwa ISO/IEC 27002 und ISO/IEC TR 27019, als Leitfäden für Steuerungssysteme der Energieversorgung. Die Normenfamilie wird von der International Organization for Standardization (kurz: ISO) herausgegeben und bündelt Best-Practice-Erfahrungen zu Informationssicherheitsmanagementsystemen (s. auch Rz. 643 ff.).2

691

Auch durch das BSI hat die ISO/IEC 27001 eine vollständige Anerkennung erfahren. So ermöglicht das BSI eine Zertifizierung nach ISO/IEC 27001 auf der Basis des BSI-Grundschutzes.3 Die Zertifizierung erfolgt durch einen vom BSI zugelassenen

692

1 BSI, IT-Grundschutz-Kompendium Edition 2021, abrufbar unter: https://www.bsi.bund. de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grund schutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html, zuletzt aufgerufen am 29.10.2021. 2 Dazu auch Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. I.1. 3 BSI, IT-Grundschutz-Kompendium Edition 2021, S. 15.

263

2021-11-22, 12:02, HB groß

I. Rz. 692 | Praktische Umsetzung: IT-Sicherheitskonzept des Unternehmens

Prüfer und wird ausschließlich vom BSI gesteuert. Auch wenn Unternehmen keine generelle Pflicht zur Zertifizierung nach ISO/IEC 27001 trifft, kann die Einhaltung der Vorgaben Haftungserleichterungen mit sich bringen (s. Rz. 508 ff.). So kann mit Hilfe einer ISO/IEC 27001-Zertifizierung etwa die sorgfältige Umsetzung von IT-Sicherheit im Unternehmen nachgewiesen werden. 3. IT Infrastructure Library (ITIL) 693

Die IT Infrastructure Library (kurz: ITIL) ist eine Sammlung von Best Practices der Prozesse, Funktionen und Rollen, die typischerweise in der IT-Infrastruktur von Unternehmen zu finden sind.1 Das Rahmenwerk wurde vor etwa zwanzig Jahren für die britische Regierung entwickelt, um erprobte Methoden für sichere Rechenzentren zu definieren.2 Die zuletzt im Februar 2019 aktualisierte ITIL-Version 4 beschreibt 34 Praktiken, die eine strategische Ausrichtung der IT bis hin zu Verbesserungsprozessen in der Service-Erstellung und Kundenorientierung ermöglichen.3 Darunter finden sich auch Beschreibungen zum allgemeinen Risikomanagement. 4. Standard-Datenschutzmodell (SDM)

694

Neben den allgemeinen technischen Regelwerken gibt es auch Regelwerke, die für bestimmte Branchen und Bereiche entwickelt wurden. Das SDM bspw. unterstützt bei der Auswahl und Bewertung technischer und organisatorischer Maßnahmen zur Sicherstellung und zum Nachweis der Einhaltung von DSGVO-Vorgaben. Die zu ergreifenden Maßnahmen sind nicht abschließend aufgezählt und müssen ständig neu evaluiert werden, so dass ein angemessener Schutzstandard für die Zukunft gewährleistet werden kann.4 5. ENISA-Empfehlungen

695

Auch die Agentur der Europäischen Union für Cybersicherheit (ENISA) veröffentlicht regelmäßig Informationen zum Risikomanagement und zur Informationssicherheit, z.B. über die Notwendigkeit eines Informationssicherheitsmanagementsystems (ISMS).5 Die ENISA gibt dabei u.a. Handlungsempfehlungen zur Erstellung

1 Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. I.2. 2 Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. I.2. 3 Ramachandran, Difference Between ITIL V3 vs V4, abrufbar unter: https://www.linkedin. com/pulse/difference-between-itil-v3-vs-v4-govind-ramachandran, zuletzt aufgerufen am 29.10.2021; Müller in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, E. I.2. 4 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Das Standard-Datenschutzmodell Version 2.0b, S. 31, abrufbar unter: https://www. datenschutzzentrum.de/uploads/sdm/SDM-Methode_V2.0b.pdf, zuletzt aufgerufen am 29.10.2021. 5 ENISA, The Need for ISMS, abrufbar unter: https://www.enisa.europa.eu/topics/threatrisk-management/risk-management/current-risk/risk-management-inventory/rm-isms/ need, zuletzt aufgerufen am 29.10.2021.

264

2021-11-22, 12:02, HB groß

VI. Nutzung technischer Regelwerke | Rz. 696 I.

und Umsetzung von ISMS im Unternehmen.1 Neben allgemeinen Empfehlungen veröffentlicht die ENISA auch branchen- und anlassspezifische Leitlinien. So wurden z.B. im Hinblick auf die Richtlinie über den europäischen Kodex für die elektronische Kommunikation2 Leitlinien mit technischen und organisatorischen Maßnahmen veröffentlicht. Daneben gibt es gut erläuterte Informationen zur Umsetzung der datenschutzrechtlichen Informationssicherheit bei kleineren und mittelständischen Unternehmen.3 & Das Wesentliche in Kürze:

696

Zur Erfüllung der Informationssicherheitspflichten ist die Erstellung eines auf die konkrete Unternehmenssituation zugeschnittenen Informationssicherheitskonzepts erforderlich. Dies hat im Einzelfall anhand der anwendbaren Rechtspflichten und der vorhandenen Mittel zu deren angemessener Erfüllung zu erfolgen. Dabei sind zumeist folgende Elemente sinnvoll: – Erstellung von IT-Betriebsrichtlinien zum Umgang mit IT im Unternehmen; – Benennung eines IT-Sicherheitsbeauftragten (teilweise gesetzlich vorgeschrieben), der für die technische Sicherheit im Unternehmen verantwortlich ist; – Schaffung eines Informationssicherheitsmanagementsystems; – Notfallkonzept zur Bewältigung aufgetretener Störungen, die die wesentlichen Geschäftsprozesse des Unternehmens bedrohen. Bei der Erfüllung der Informationssicherheitspflichten sollten sich Unternehmen an praxisüblichen technischen Regelwerken orientieren, wie am BSI-Grundschutz-Kompendium und der Norm ISO/IEC 27001.

1 ENISA, The ISMS Framework, abrufbar unter: https://www.enisa.europa.eu/topics/threatrisk-management/risk-management/current-risk/risk-management-inventory/rm-isms/ framework, zuletzt aufgerufen am 29.10.2021. 2 Richtlinie (EU) 2018/1972, ABl. L 321/36. 3 So z.B. ENISA, Guidelines for SMEs on the security of personal data processing, Dezember 2016, abrufbar unter: https://www.enisa.europa.eu/publications/guidelines-for-smes-onthe-security-of-personal-data-processing sowie Handbook on Security of Personal Data Processing, Dezember 2017, abrufbar unter: https://www.enisa.europa.eu/publications/hand book-on-security-of-personal-data-processing, jeweils zuletzt aufgerufen am 29.10.2021.

265

2021-11-22, 12:02, HB groß

2021-11-22, 12:02, HB groß

Stichwortverzeichnis Die angegebenen Zahlen verweisen auf die Randzahlen im Text.

AGB 563 Aktiengesellschaft 36, 511 – Aufsichtsrat 36, 531 – Vorstand 511 Aktualisierungspflicht 127 f., 133 Allgemeines Risikomanagementsystem 48 Anbieter digitaler Dienste 7, 323, 340, 364, 378 – Adressaten 324 – IT-Sicherheitsstandard 331 – Meldepflicht 334 – Stand der Technik 331 Anbieter von Telemedien 363; s. auch TTDSG Anonymisierung 178 Antiviren-Programm 129 Arbeitnehmer 89, 589, 631, 659, 664 Archivierung 69 – sicherungspflichtige Daten und Systeme 71 Atomgesetz 7, 443 – Adressaten 444 – Genehmigungsverfahren 446 – IT-Sicherheitsstandard 446 – Meldepflicht 447 – Sicherheitskonzept 446 – Verletzungsfolgen 448 Aufbewahrungspflicht 68 Auslagerung von IT-Prozessen 491 Auslagerungsbeauftragter 491 Authentizität 265 BaFin 493 BAIT 487, 489 Banken 485 f. BDSG 168, 189, 239 Beschränkte Arbeitnehmerhaftung 633 Bestandsgefährdende Entwicklungen 42 Betreiber von Energieanlagen 434 Betreiber von Energieversorgungsnetzen 430 Betrieblicher Beauftragter für IT-Sicherheit 620 Betriebsrat 89, 659

– Mitbestimmungsrechte 92 – Mitwirkungsrechte 90 Börsenträger 499 Bring your own Device 92, 671 BSI 243, 274, 404 – Detektion von Sicherheitsrisiken 359 BSI-Grundschutz 552, 689 BSI-Grundschutzkatalog 487 BSI-KritisV 256 BSIG 7, 24, 245, 253, 428, 443 – Bußgelder 299 Buchführung 66 ff.; s. auch GoBD; s. Internes Kontrollsystem Bundesnetzagentur 403, 422 Bußgeld 607

Checkliste 4 CISO 59 Cloud-Services 99 Compliance-Pflichten 52 – Legalitätspflicht 53 – Pflicht zur sorgfältigen Unternehmensführung 53 – Überwachungspflicht 53 Compliance-System 54 Cyber-Angriff 16, 480, 595 – Anspruchssicherung 598 Cybersicherheitsstrategie 3 Datenschutzgrundverordnung

164; s. DSGVO Datenschutzrecht 6, 90, 138, 160, 164 – Auftragsverarbeitung 99 – bereichsspezifisches Datenschutzrecht 169 – Bußgelder 233 – Data Breach Notification Policy 222 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen 207 – Datenschutz-Folgenabschätzung 6, 216 – Datenschutzbeauftragter 6, 217, 624 – Internationale Datentransfers 210 – IT-Sicherheitsstandard 193 – IT-Sicherheitsvorgaben 192

267

2021-11-22, 11:51, HB groß

Stichwortverzeichnis – – – – – –

Meldepflicht 6, 221 Mindestanforderungen 200 präventiver Datenschutz 6 Risikoabwägung 198 Schrems II 210 technische und organisatorische Maßnahmen 6, 193 – TKG 413 – Verhaltensregeln 209 – Verletzungsfolgen 232 – Verzeichnis der Datenverarbeitungstätigkeiten 6, 214 – Zertifizierung 209 Datensicherung 557 Datenverarbeitung 176; s. auch Datenschutzrecht Deliktsrecht 302, 535, 541, 572 – Recht am eingerichteten und ausgeübten Gewerbebetrieb 574 – Schutzgesetz 542, 583, 596 – Verkehrssicherungspflicht 578 – Verrichtungsgehilfe 588 D&O-Versicherung 521 DSGVO 164 – Anwendungsbereich 175 – Auftragsverarbeiter 184 – Verantwortlicher 182

EBA Guidelines 491 Einschätzung der Geschäftsleitung 54 Elektronische Buchführung 66 Elektronische Gesundheitskarte 450 Elektronische Patientenakte 450 Elektronischer Identitätsausweis 496 Energieversorger 427 ENISA 695 EnWG 7, 427 – Adressaten 428 – IT-Sicherheitsstandard 429 – Kontaktstelle 438 – Meldepflicht 438 – Systeme zur Angriffserkennung 437 – Verletzungsfolgen 441 ePrivacy-Richtlinie 169 Europäische Union 3, 165 Externe Bedrohungen 16 Fernmeldegeheimnis

391 Finanzdienstleistungen 7 Finanzdienstleistungsinstitut 485 Finanzierungsrisiko 29

268

Früherkennungs- und Überwachungssystem 34, 46 Früherkennungspflicht 41

Geheimhaltungsvereinbarung 99 Geschäftsgeheimnis 5 Geschäftsgeheimnisgesetz 144 – Ausnahmen vom Geschäftsgeheimnisschutz 154 – Geschäftsgeheimnis 145 – Verletzung des Geschäftsgeheimnisses 148 Geschäftsleitung 5, 32, 83, 631 – Haftung 510, 539, 603 Gesellschaftsrecht 33 Gesundheitswesen 450 ff.; s. auch SGB V GmbH – Geschäftsführer 519 GoBD 67, 72 GwG 501 Haftung für IT-Sicherheit

508 Haftungserleichterung 39 Haftungskonzentration 533 Haftungsrisiko 8 Handelsbücher 59 Home-Office 680

Identifizierungsdienstleistungen 496 Industriestandards 552 Informationssicherheitsbeauftragter 656 Informationssicherheitskonzept 618, 643 Informationssicherheitsmanagementsystem 5, 643, 660 – Struktur 649 – Vorgehensweise 650 – Vorteile 646 Informationstechnologie 1 Integrität 265 Interne Bedrohungen 15 Internes Kontrollsystem 59, 73, 647; s. auch Buchführung ISMS 643 ISO/IEC 27001 276, 487, 552, 688, 691 – Informationssicherheitsmanagementsystem Vorgehensweise 650 – Zertifizierung 657 ISO/IEC TR 27019 432 IT Infrastructure Library 693 IT-Betriebsrichtlinien 649, 658

Stichwortverzeichnis – zentrale Elemente 661 IT-Compliance 5, 11, 23 IT-Produkte 580; s. auch Sichere IT-Produkte – BSI 354 – BSIG 343 – Bußgelder 360 – IT-Sicherheitskennzeichen 348 – Kritische Komponente 344 – Mitwirkungspflichten bei Störungen 346 – Untersuchungsrechte 357 – Warnungen an die Öffentlichkeit 354 IT-Sicherheitsbeauftragter 604, 621, 626 – Aufgaben 639 – Auswahl 641 – Haftung 615, 630 – Versicherung 638 IT-Sicherheitsgesetz 161, 246, 448 IT-Sicherheitsgesetz 2.0 247, 305 IT-Sicherheitskennzeichen – Cybersecurity Act 351 IT-Sicherheitskonzept 21 IT-Sicherheitspflichten 4 IT-Sicherheitsvorfall 55, 683, 687 IT-System 1 – Risikofaktor 12 IT-Vorstand 38

Konzern

80 Konzernweite Compliance-Pflicht 81 Konzernweite Überwachungspflicht 84 Kreditinstitut 7, 485 KRITIS 7 KRITIS-Betreiber 254 – Adressaten 255 – Angriffserkennungssysteme 272 – branchenspezifische Sicherheitsstandards 270 – Dienstleistungen 260 – Einsatz kritischer Komponenten 293 – IT-Sicherheitsstandard 265 – Kontaktstelle 277 – Meldefrist 286 – Meldepflicht 277 – Nachweis 274 – Registrierung 277 – risikobasierter Sicherheitsansatz 267 – Stand der Technik 269 – Versorgungsgrad 263

MaRisk 486 f. Mobiles Arbeiten 680

NIS 2

248 NIS-Richtlinie 248 NIS-UmsetzungsG 448 Notfallkonzept 486 f., 649, 683

Online-Banking 136 Ordnungswidrigkeitenrecht 602 Organisatorische Maßnahmen 649 Outsourcing-Verträge 100 PAuswG 496 Personalausweis 496 Personenbezogene Daten 177; s. Datenschutzrecht Pflicht zur Früherkennung bestandsgefährdender Risiken 40 Präventive Maßnahmen 11 Private Internetnutzung 665 Produkthaftung 590 Produktsicherheitsgesetz 586 Produzentenhaftung 580 PSD II 494 Pseudonymisierung 203 Recht der IT-Sicherheit 24 Reputationsverlust 27, 162 Ressortverantwortlichkeit 37, 59, 523; s. IT-Vorstand Revisionssicherheit 67 Risikoanalyse 19, 685 Risikomanagement 18 Risikoverteilungsgrundsatz 34 Schadensersatz

162 Selbstschutz 10 SGB V 450 – Adressaten 461 – Hersteller digitaler Gesundheitsanwendungen 467 – IT-Sicherheitsstandard 462 – Krankenhäuser 456 – Meldepflicht 465 – Telematikinfrastruktur 461 – Verletzungsfolgen 466 – Vertrags(zahn)ärztliche Versorgung 453 SGB XI – Hersteller digitaler Pflegeanwendungen 472 Sichere IT-Produkte 105 – Aktualisierungspflicht 123 – Äußerungen des Herstellers 110 – Beschaffenheitsvereinbarung 122

269

Stichwortverzeichnis – objektive Anforderungen 110 – subjektive Anforderungen 108 – Verbraucherverträge 116, 122 f. – Vertragliche Anforderungen 107 Sicherheitsdefizite 27 Social-Media-Nutzung 676 SOX 76; s. US-Börse Standard Operating Procedure 222 Standard-Datenschutzmodell (SDM) 694 Strafrecht 602

Technische Maßnahmen 649 Telekommunikationsdienste 7, 383, 667 – Benachrichtigung der betroffenen Personen 411 – Benachrichtigung der Öffentlichkeit 411 – Bußgelder 421 – IT-Sicherheitsstandard 391 – Meldepflicht 404 – Schadensersatz 423 Telekommunikationsdienste und -netze – Angriffserkennungssysteme 395 – Ansprechpartner in der EU 401 – Datenverarbeitungsbefugnis zur Störungsvermeidung 399 – IT-Sicherheitsstandard 393 – Kritische Komponenten 395 – Sicherheitsbeauftragter 400 – Sicherheitskonzept 402 – Stand der Technik 395 – Überprüfung durch die BNetzA 395 Telematikinfrastruktur 461 f. Telemedienanbieter 362 Telemediendiensteanbieter 7; s. auch TTDSG – Abgrenzung zum BSIG 377 – Anbieter digitaler Dienste 377 – Geschäftsmäßigkeit 367 – IT-Sicherheitsstandard 366 – Meldepflichten 366 – Stand der Technik 374 – technische und organisatorische Vorkehrungen 373 – Verletzungsfolgen 380 – Verschlüsselungsverfahren 374 TKG 7, 169, 383; s. auch Telekommunikationsdienste – Adressaten 384 – OTT 387 – Telekommunikationsanlagen 386 – Telekommunikationsdienste 387 270

– Telekommunikationsnetze 385 TMG 362 TTDSG 7, 169, 328, 362, 391; s. Telemedienanbieter – Adressaten 363 Typische Sicherheitsversäumnisse 22

Umfang der Geschäftsleitungspflichten 56 – Business Judgement Rule 62 – Sorgfaltsmaßstab 57 Unternehmen im besonderen öffentlichen Interesse 7, 305 – Adressaten 306 – Bußgelder 321 – IT-Sicherheitsstandard 310 – Kontaktstelle 313 – Meldefrist 318 – Meldepflicht 315 – Registrierung 313 – Selbsterklärung 310 Unternehmenshaftung 538, 612 Untreue 608; s. Ordnungswidrigkeiten- und Strafrecht US-Börse 76 ff.

VAG 7, 476 – Adressaten 477 – IT-Sicherheitsstandard 478 – Risikomanagementsystem 479 – VAIT 480 – Verletzungsfolgen 483 Verbraucherverträge 128 Verfügbarkeit 265 Verletzung der Aufsichtspflicht 604 Verschlüsselung 203 Versicherungsschutz 30 Versicherungsunternehmen 476; s. VAG Vertragliche Haftung 544 – Haftungsausschluss 561 – Mitverschulden 555 – Pflichtverletzung 546 – Schaden 554 – Verhalten Dritter 553 – Vertretenmüssen 550 Vertragliche Pflicht 96 – Hauptleistungspflicht 97 – Nebenpflicht 134 Vertragsgestaltung 139 Vertraulichkeit 265

Stichwortverzeichnis

Wartungs- oder Pflegeverträge

99, 132 Wertpapierdienstleistungsunternehmen 498 Wettbewerbsnachteil 28 Wettbewerbsrecht 577

– Marktverhalten 157 – Rechtsbruch 156

ZAG 494 ZAIT 495

271