Für Verbraucher
Für Unternehmen

<p>Das <a href="https://www.bundestag.de/dokumente/textarchiv/2015/kw24_de_it_sicherheit... (SIG) ist eine Novelle und seit Juli 2015 in Kraft; vom SIG betroffene Gesetze sind u.a. das Gesetze über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG). Ziel des SiG ist neben der Härtung der kritischen Infrastruktur die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Um diese Ziele zu erreichen, wurden auch die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeweitet. Für Betreiber von Webangeboten gelten über das TMG höhere gesetzliche Anforderungen, beispielsweise zum Schutz personenbezogener Daten (<a href="https://www.dsin-blog.de/2015/12/16/neue-anforderung-fuer-webseiten/">wir berichteten</a>).</p>
<p>Der aktuelle Koalitionsvertrag schrieb Anfang dieses Jahres dann fest, dass weitere Maßnahmen zur Erhöhung der IT-Sicherheit in einem Änderungsgesetz erfolgen sollen (einen Überblick gaben wir bereits im Blog in einem früheren <a href="https://www.dsin-blog.de/2018/03/05/was-bringt-der-koalitionsvertrag-fue.... Tatsächlich steigt laut <a href="https://www.sicher-im-netz.de/dsin-sicherheitsindex-2018-verunsicherung-... Sicherheitsindex 2018</a>&nbsp;die Verunsicherung unter Verbrauchern bei den Themen IT-Sicherheit und Datenschutz; diese ist vor allem einem höheren subjektiven Gefährdungsgefühl zuzuschreiben. Auch der BSI Lagebericht 2017 zeigt, dass die Bedrohungslage weiter zunimmt, und Angriffe wie Spear-Phishing (gezielte Phishing-Attacken) vermehrt genutzt werden; dadurch spielt auch die menschliche Awareness bei Mitarbeitern von Unternehmen eine wachsende Rolle.</p>
<p>Das BSIG normiert in den §§ 8a bis 8e Handlungspflichten für Betreiber Kritischer Infrastrukturen und Anbieter digitaler Dienste, deren Missachtung schlimmstenfalls zur persönlichen Haftung der Geschäftsleitung führen kann. Jede Geschäftsleitung sollte daher prüfen, ob ihr Unternehmen in den Anwendungsbereich dieser Vorschriften fällt und bejahendenfalls dafür sorgen, dass die Handlungspflichten ordentlich umgesetzt werden.</p>
<p><strong>Unternehmen muss „Betreiber“ einer „Kritischen Infrastruktur“ sein </strong></p>
<p>Nach § 8a Abs. 1 BSIG sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Zunächst gilt es daher festzustellen, ob das Unternehmen überhaupt Adressat dieser Handlungspflicht ist. Das ist es dann, wenn es eine Kritische Infrastruktur betreibt und kein Kleinstunternehmen ist, da letztere nach § 8d Abs. 1 BSIG vom Anwendungsbereich ausgenommen sind.</p>
<p>Nach der EU-Kommission wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet. Während diese Grenzen verhältnismäßig leicht überprüft werden können, kann die Prüfung, ob eine Kritische Infrastruktur betrieben wird, mitunter recht komplex ausfallen. Denn hierzu muss man sich zunächst durch die Irrungen und Wirrungen des BSIG und der hierzu erlassenen Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) kämpfen. Den Einstieg bietet die Definition der Kritischen Infrastrukturen in § 2 Abs. 10 KRITIS-Verordnung. Danach sind Kritische Infrastrukturen „Einrichtungen, Anlagen oder Teile davon, die 1.&nbsp;den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und &nbsp;2.&nbsp;von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Während die Zuordnung zu einem der genannten Sektoren noch leicht fallen dürfte, da es sich um ein objektives Tatbestandmerkmal handelt, enthält das zweite Tatbestandsmerkmal mit der Anknüpfung an die „hohe Bedeutung“ ein subjektives Merkmal, das normativ auszulegen wäre. Da dies in praxi zu unterschiedlichsten Ergebnissen führen könnte und dadurch auch eine wettbewerbliche Ungleichbehandlung einherginge, wird das normative Merkmal durch die KRITIS-VO ausgefüllt. Diese enthält neben weiteren wichtigen Begriffsbestimmungen Prüfschemata für jeden Sektor in Form von Vorschrift und Anhängen. Durch die Rechtsform der Verordnung besteht dadurch auch eine hinreichende Flexibilität, um je nach Bedarf rasch den Anwendungsbereich der Kritischen Infrastrukturen auszudehnen oder wieder einzuschränken. Die Musik spielt sozusagen in den Anhängen.</p>
<p>Damit trifft die Geschäftsleitung zu allererst die Pflicht, prüfen und überprüfen zu lassen, ob das Unternehmen, vereinfacht gesagt, eine Kritische Infrastruktur nach einem der Anhänge betreibt. Da es zur Beantwortung dieser Frage mit wenigen Ausnahmen auf Versorgungsgrade und Schwellenwerte ankommt, die, je nach Wachstum des Unternehmens erreicht oder überschritten werden könnten, beinhaltet § 8a BSIG auch eine wiederkehrende Prüfpflicht. Hinzu kommt, dass bei den technischen Vorkehrungen auf den „Stand der Technik“ abzustellen ist, der sich bekanntlich regelmäßig ändert. Sollten die Schwellenwerte „so grade noch“ unterschritten sein, dürfte sich damit die Frequenz und Intensität der Prüfpflicht erhöhen und im Zweifel sollte von der Anwendung des BSIG ausgegangen werden. Es handelt sich hier um komplexe Prüfungen, die nur von Fachleuten durchgeführt werden können. Im Rahmen dieser Prüfung darf nicht übersehen werden, dass der Begriff des Betreibers nicht auf die Eigentumsstellung abstellt, sondern, wie die Gesetzesbegründung betont, auf die „tatsächliche Sachherrschaft über die Anlage.“</p>
<p><strong>Unternehmen muss angemessene organisatorische und technische Vorkehrungen treffen</strong></p>
<p>Wird der Anwendungsbereich des § 8a BSIG bejaht, stellt sich die nächste, dann eigentliche Herausforderung. Das Unternehmen hat dann nämlich „angemessene organisatorische und technische Vorkehrungen“ zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Dabei soll der Stand der Technik eingehalten werden. Das Gesetz hilft zunächst weiter, indem es in § 8a Abs. 1 S. 3 BSIG definiert: „Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“ Nun wird es für die Geschäftsleitung kniffelig, da sie einerseits eine Abwägung treffen muss zwischen dem Aufwand, der Eintrittswahrscheinlichkeit und der Beeinträchtigungsintensität und andererseits dabei auch noch den jeweils aktuellen Stand der Technik zu beachten hat. Sollte es zu einem Vorfall mit erheblichen Schäden kommen, dann könnten sich Aufsichtsbehörde, Aufsichtsrat, Gericht, Staatsanwaltschaft und Versicherung mit der Frage befassen, ob die Abwägungsentscheidung der Geschäftsleitung unter diesen Prämissen richtig war.</p>
<p><strong>Haftungs- und sonstige Risiken für die Geschäftsleitung</strong></p>
<p>Nehmen wir als Beispiel einer Haftungsnorm § 93 Aktiengesetz (AktG). Danach haben die Vorstandsmitglieder bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Hierin steckt die aus dem US-Recht stammende sog. Business Judgement Rule („BJR“), die im Ergebnis auch für Geschäftsführer einer GmbH gilt; es handelt sich um einen gerichtlich nur eingeschränkt überprüfbaren Ermessenspielraum bei unternehmerischen Entscheidungen. Geschäftsführer und Vorstände haften dann nicht für negative Folgen unternehmerischer Entscheidungen, „wenn die Entscheidung auf Grundlage angemessener Informationen, ohne Berücksichtigung sachfremder Interessen, zum Wohl der Gesellschaft und in gutem Glauben gefasst wurde“, so der Bundesgerichtshof.</p>
<p>Diese Regel gilt etwa bei Leitungspflichten, Sorgfalts- und Treuepflichten und Überwachungs- und Organisationspflichten, nicht aber bei sog. Legalitätspflichten, d.h. bei der Beachtung sämtlicher Rechtsvorschriften, behördlichen Anordnungen und der eigenen Satzung, da hilft die BJR nicht mehr. In unserem o.g. Fall der „angemessenen Vorkehrungen“ handelt es sich zwar um eine Rechtsvorschrift, allerdings ist in dieser mit dem Abwägungsgebot m.E. die BJR enthalten und gilt auch dort. Daraus folgt, dass der Geschäftsleitung ein gerichtlich nur eingeschränkt überprüfbarer Entscheidungsspielraum bei der Festlegung der angemessenen Vorkehrungen verbleibt. Wann der gerichtlich überprüfbare Grenzübertritt erfolgt, muss die Rechtsprechung ausloten. Ebenfalls möglich, sinnvoll und im BSIG angelegt ist, dass branchenspezifische Sicherheitsstandards festgelegt werden können, die den Entscheidungsspielraum dann entsprechend einschränken oder sogar auf „Null” setzen können. Solche „Referenz-Sicherheitsstandards“ ähnlich dem SDM bei der DSGVO dürften die Rechtssicherheit erhöhen und das Haftungsrisiko der Geschäftsleitung verringern, wenn sie denn beachtet werden.</p>
<p>Ganz ähnliche Überlegungen zur Haftung der Leitung dürften auch für die „Anbieter digitaler Dienste“ nach § 8c BSIG gelten, da diese „geeignete und verhältnismäßige“ technische und organisatorische Maßnahmen zu treffen haben. Die §§ 8a bis 8e BSIG enthalten noch einen Blumenstrauß weiterer Handlungspflichten des Unternehmens, wie etwa die Pflicht der Einrichtung einer Kontaktstelle und weitgehende Meldepflichten.</p>
<p><strong>Haftungsdelegation, Enthaftung, Versicherung</strong></p>
<p>Damit die Geschäftsleitung möglichst nicht „mit einem halben Bein im Knast“ steht, ist es bis zu einem gewissen Grad zulässig und zweckmäßig, dass sie ihre Pflichten delegiert, etwa an einen unternehmensangehörigen „Compliance-Officer“ oder IT-Leiter. Die Geschäftsleitung hat freilich darauf zu achten, dass die ausgewählte Person über die erforderliche Qualifikation und Erfahrung verfügt und diese auch beibehält, die Geschäftsleitung trifft daher eine Auswahl- und Überwachungspflicht. Hier ist eine enge vertrauensvolle Zusammenarbeit der Beteiligten eine wesentliche Voraussetzung für die Einhaltung der BSIG-Pflichten. Ein „fire and forget“ darf sich die Geschäftsleitung hier nicht leisten. Im worst case Szenario eines Blackouts muss sie nachweisen können, „alles richtig gemacht zu haben.“ Es sei daran erinnert, dass nach § 93 Abs. 2 AktG Vorstandsmitglieder, die ihre Pflichten verletzen, der Gesellschaft persönlich zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet sind – und zwar in unbeschränkter Höhe. Entsprechendes gilt nach § 43 Abs. 2 GmbHG für GmbH-Geschäftsführer. Weiterhin kann im Fall der Verletzung der Handlungspflichten aus dem BSIG der Geschäftsleitung unter Umständen der Bestätigungsvermerk des Abschlussprüfers verweigert werden. Die Verletzung von Aufsichtsmaßnahmen kann außerdem eine Ordnungswidrigkeit nach § 130 OWiG darstellen. Soweit das Unternehmen deshalb eine (mitunter empfindliche) Geldbuße zu bezahlen hat, kommt ein Regress gegenüber dem Geschäftsführer oder Vorstand in Betracht.</p>
<p>Aufgrund der skizzierten Haftungsgefahren sollten Geschäftsführer und Vorstand nach Enthaftungsmöglichkeiten streben, die bei einer GmbH „einfacher“ zu gestalten sind als bei der AG. Bei einem Compliance-Officer gilt im Übrigen die arbeitsrechtliche Haftungsprivilegierung. Schließlich ist an eine D&amp;O-Versicherung für Geschäftsführung, Vorstand und leitende Angestellte zu denken, deren Prämien wiederum von der Eintrittswahrscheinlichkeit und möglichen Schadenshöhe abhängt. Da ohnehin zur Bewältigung der Pflichten in § 8a bis § 8e BSIG Audits durchzuführen und Krisen- und Risikomanagementpläne aufzustellen sind, können diese Maßnahmen mit einer Evaluierung der Versicherbarkeit, Versicherungshöhe und Prämie verbunden werden.</p>
<p>&nbsp;</p>
<p><em>Ab heutigen Montag bis zum morgigen Dienstag findet die <a href="https://www.public-it-security.de/">Public-IT-Security (PITS) 2018</a>, der Fachkongress Deutschlands für IT- und Cybersicherheit bei Staat und Verwaltung in Berlin statt. Deutschland sicher im Netz präsentiert auf der PITS einen Impulsvortrag durch Geschäftsführer Herrn Dr. Michael Littger am ersten Konferenztag mit anschließender Moderation des Expertenblocks “<a href="https://www.public-it-security.de/block-4/">IT-Sicherheitsgesetz 2.0 Und mit 2.0 wird alles besser?</a>” am zweiten Kongresstag mit Dr. Ortner als einem der Experten auf dem Panel.</em></p>
<p>&nbsp;</p>
<p>Der Beitrag <a rel="nofollow" href="https://www.dsin-blog.de/2018/09/10/it-sicherheitsgesetz-ordnungsrahmen-... für Geschäftsführer aus dem IT-Sicherheitsgesetz</a> erschien zuerst auf <a rel="nofollow" href="https://www.dsin-blog.de">DsiN-Blog | Der IT-Sicherheitsblog für den Mittelstand</a>.</p>

Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen