Inwiefern  sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die  

Einhaltung  ausreichender IT-Sicherheitsstandards zu ergreifen und deren  

Befolgung  zu überwachen?  

  (1) Die Effektivität des Datenschutzbeauftragten.  36

  (2) Ausreichender Schutz durch §9 i.V.m. der Anlage zu §9  S.1

BDSG  ?  38

b.)  Allgemeine gesetzliche Sorgfaltspflichten  40

aa.)  Das Gesetz zur Kontrolle und Transparenz im  

Unternehmensbereich  und seine Auswirkungen.  40

  (1) Auswirkungen auf das Aktiengesetz.  40

  (2) Auswirkungen auf das HGB  44

bb.)  Sorgfaltspflichten aus dem GmbHG  45

cc.)  Sorgfaltspflichten der GbR, OHG und KG.  45

dd.)  Pflicht zur ordnungsgemäßen Buchführung.  46

  (1) Grundsätze ordnungsgemäßer DV-gestützter  

Buchf  ührungssysteme.  46

  (2) Grundsätze ordnungsgemäßer Buchführung bei Einsatz von  

Informationstechnik   46

c.)  Verlagerung der Pflichten durch IT-Outsourcing?  47

d.)  Bewertung.  47

2.)  Vertikale Regelungen  49

a.)  Telekommunikationsrechtliche Vorschriften aus dem TKG.  49

aa.)  Der Anwendungsbereich des TKG  49

bb.)  Die einzelnen Pflichten.  50

  (1) Wahrung des Fernmeldegeheimnisses nach §88 TKG  50

  (2) Vorsorge- und Sicherungspflichten aus §109 TKG  50

cc.)  Bewertung  52

  (1) Überflüssigkeit von §109 TKG?  53

  (2) Mangelnde Konkretisierung des §109 TKG?  54

b.)  Vorschriften aus dem Finanzwesen.  55

aa.)  Das Kreditwesengesetz  55

bb.)  Das Wertpapierhandelsgesetz.  56

cc.)  Untergesetzliche Regelungen.  57

dd.)  Fazit  58

III.)  Pflicht zur Überwachung gesetzlicher IT-Sicherheitsstandards  59

1.)  Überwachungspflichten horizontaler Regelungen  59

2.)  Überwachungspflichten vertikaler Regelungen  60

3.)  Überwachungspflichten bei Delegation  60

IV.)  Standards, technische Regelwerke und Normen.  61

1.)  Grundschutzhandbuch des Bundesamts für Sicherheit in der  

Informationstechnik   62

2.)  DI-N und ISO-Normen.  63

3.)  Fazit  63

V.)  Internationale Regelungen.  64

1.)  Sarbanes-Oxley Act.  64

2.)  Basel II.  65

VI.)  Nationaler Plan zum Schutz der Informationsinfrastrukturen.  65

1.)  Umsetzungsplan KRITIS  66

2.)  Fazit  66

2

Inwiefern  sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die  

Einhaltung  ausreichender IT-Sicherheitsstandards zu ergreifen und deren  

Befolgung  zu überwachen?  

VII.)  Strafrechtlicher Schutz der IT-Sicherheit.  66

VIII.)  Zwischenergebnis der kritischen Würdigung bestehender  

Regelungen   67

D.)  Konsequenzen bei fehlender Umsetzung der Pflichten.  69

I.)  Haftung der Unternehmen  69

II.)  Persönliche Haftung der Leitungsorgane.  70

III.)  Maßnahmen der Aufsichtsbehörden.  71

IV.)  Sonstige Folgen.  72

V.)  Fazit.  73

E.)  Ansätze zur Problemlösung  76

I.)  Gesetzliche Lösungsmöglichkeiten  76

1.)  Schaffung eines IT-Sicherheitsgesetzes  76

a.)  Notwendigkeit und Ausgestaltung eines solchen Gesetzes  76

b.)  Bedenken gegen die Schaffung eines IT-Sicherheitsgesetzes.  78

2.)  Überarbeitung vorhandener Regelungen.  80

a.)  Neugestaltung einfachgesetzlicher Vorschriften  80

aa.)  Ansätze im BDSG.  80

bb.)  Ansätze im Handels- und Gesellschaftsrecht  83

cc.)  Ansätze im TKG  84

b.)  Aufwertung untergesetzlicher Institutionen  85

II.)  Außergesetzliche Möglichkeiten zur Schaffung von IT-Sicherheit  86

1.)  IT-Sicherheit als Wettbewerbsfaktor.  86

2.)  Sonstige Ansätze  88

F.)  Resümee  90

3

Abkürzungsverzeichnis

a.a.O.

a.F. AG AktG

AO AöR Art. Artikel ASiG

BaFin

BB BDSG

BGB BGBl. BITKOM

Telekommunikation und neue Medien e.V. BMI Bundesministerium des Innern BSI

BSIG BSI-KostV

Bsp.

BT-Drs. BVerfG bzgl. bzw. CR DB ders., dies., das. d.h. DIN DSB DuD EG etc. e.V. FAMA f., ff. FRUG GbR GG GmbH GmbHG

GmbHR

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die

Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren

Befolgung zu überwachen?

GoB

GoBS GRUR

HGB Hrsg. i.d.R. IDW ISO i.S.v. IT Informationstechnik i.V.m.

ITRB KG KonTraG KWG Gesetz über das Kreditwesen MaRisk

MiFID Richtlinie über Märkte für Finanzinstrumente Mio. Million MMR Multimedia und Recht m.w.N. NJW NPSI Nationaler Plan zum Schutz der Informationsinfrastrukturen Nr. Nummer NZG

OHG OLG Pc PTSG RegBegr. RegE Rn. SigG

S. s.o. siehe oben sog. StGB StrÄndG TK TKG Tz. u.a. UP KRITIS

US usw. 5

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die

Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren

Befolgung zu überwachen?

u.U. unter Umständen vgl. VVG WM WpHG

z.B. Ziff. z.T. zum Teil 6

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die

Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren

Befolgung zu überwachen?

Literatur- und Quellenverzeichnis

Baumbach, Klaus/Hopt, Adolf

Handelsgesetzbuch (Kommentar), 33. Auflage, München 2008. Berliner Kommentar

Telekommunikationsgesetz, Franz Jürgen Säcker (Hrsg.), Berlin 2006. Borchers, Detlef

Datenschutz als Wettbewerbsfaktor, in DuD 2006, S. 721-724. Boos, Karl-Heinz/Fischer, Reinfried/Schulte-Mattler, Hermann (Hrsg.) Kreditwesengesetz, Kommentar zu KWG und Ausführungsvorschriften, 2. Auflage, München 2004. Brockhaus Enzyklopädie Dreizehnter Band, 19. Auflage, Mannheim 1991. dies.

Sechzehnter Band, 19. Auflage, Mannheim 1991. Brühann, Ulf/Zerdick, Thomas

Umsetzung der EG-Datenschutzrichtlinie, in CR 1996, S. 429-435. Bundesamt für Sicherheit in der Informationstechnologie Die Lage der IT-Sicherheit in Deutschland 2007, abrufbar unter: http://www.bsi.de/literat/lagebericht/index.htm. das.

IT-Grundschutzhandbuch, abrufbar unter: http://www.bsi.de/gshb/deutsch/index.htm. das.

Leitfaden IT-Sicherheit, abrufbar unter: http://www.bsi.de/gshb/Leitfaden/index.htm. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Hrsg.)

Website des BfDI, Bonn, http://www.bfd.bund.de/. Bundesministerium des Innern (Hrsg.)

Nationaler Plan zum Schutz der Informationsinfrastrukturen, Berlin 2005, abrufbar unter:

http://www.bsi.de/fachthem/kritis/veroeff_npsi.htm.

7

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

das.

Umsetzungplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen, Berlin 2007, abrufbar unter: http://www.bmi.bund.de/cln_012/nn_121894/Internet/Content/Broschuere n/2007/Kritis.html.

Bundesministerium für Wirtschaft und Technologie ID2010 - Informationsgesellschaft Deutschland 2010, Aktionsprogramm der Bundesregierung, Berlin 2006, abrufbar unter: http://www.bmwi.de/BMWi/Navigation/Service/publikationen,did=17553 0.html.

Bundesverband Informationswirtschaft Telekommunikation und neue Medien e.V.

Kompass der IT-Sicherheitsstandards, Leitfaden und Nachschlagewerk, abrufbar unter:

http://www.bitkom.org/de/publikationen/38337_40496.aspx. Cappelaro, Christoph/Füser, Karsten

IT-Risiken als Ratinkriterium, in Die Bank 10/2005, S. 68-74. Damman, Ulrich/Simitis, Spiros EG-Datenschutzrichtlinie, Kommentar, Frankfurt 1996. Daum, Andreas/Petzold, Jürgen/Pletke, Matthias BWL für Juristen, Eine praxisnahe Einführung in die betriebswirtschaftlichen Grundlagen, Wiesbaden 2007. Däubler, Wolgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo Bundesdatenschutzgesetz, Basiskommentar zum BDSG, 2. Auflage, Frankfurt am Main 2007. Degenhart, Christoph

Staatsrecht I, Staatsorganisationsrecht, 23. Auflage, Leipzig 2007. Deutsche Bundesbank

Mindestanforderungen an das Risikomanagement (MaRisk), Frankfurt, http://www.bundesbank.de/bankenaufsicht/bankenaufsicht_marisk.php. Duisberg, Alexander/Orthmann, Jan-Peter

Basel II und seine Auswirkungen auf die IT-Infrastruktur der Banken, in ITRB 2005, S. 160-161.

8

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Eckert, Claudia

IT-Sicherheit - Konzepte, Verfahren, Protokolle, 5. Auflage, Darmstadt 2008. Economy.one GmbH (Hrsg.)

„Erschreckende Naivität“, BSI-Präsident Udo Helmbrecht über digitale Wirtschaftsspionage in Deutschland und einen TÜV für Software, WitschaftsWoche Magazin, Düsseldorf, abrufbar unter: http://www.wiwo.de/technik/erschreckende-naivitaet-230193/. Ehmann, Eugen/Helfrich, Marcus EG Datenschutzrichtlinie, Kurzkommentar, Köln 1999. Fischer, Thomas/Petri, Jens-Holger/Steidle, Roland Outsourcing im Bankbereich-neue aufsichtsrechtliche Anforderung nach §25a KWG und MaRisk, in WM 2007, S. 2313-2321. Fleischer, Holger

Vorstandsverantwortlichkeit und Fehlverhalten von Unternehmensangehörigen - Von der Einzelüberwachung zur Errichtung einer Compliance-Organisation, in AG 2003, S. 291-300. Gola, Peter/Schomerus, Rudolf

Bundesdatenschutzgesetz (Kommentar), 9. Auflage, München 2007. Jungbluth, Melanie/Schmidt, Stefan/Schmieding, Henrik IT-Security, Datensicherheit und Datenschutz im Unternehmen aus rechtlicher und praktischer Sicht, 1.Auflage, Karlsruhe 2007. Hannemann, Ralf/Schneider, Andreas/Hanenberg, Ludger Mindestanforderung an das Risikomanangement (MaRisk) - Eine einführende Kommentierung, Stuttgart 2006. Hartlieb, Bernd

Verweisung auf technische Normen in Rechtsvorschriften: Vorträge und Diskussionen, Deutsches Institut für Normung (Hrsg.), Berlin 1982. Heckmann, Dirk

Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen-Maßstäbe für ein IT-Sicherheitsrecht, in MMR 2006, S. 280-285. Heise, Christian und Ansgar/Persson, Christian (Hrsg.) Heise Online, Hannover, http://heise.de.

9

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Hessische Datenschutzbeauftragte

Website des Hessischen Datenschutzbeauftragten, Wiesbaden, http://www.datenschutz.hessen.de/. Heun, Sven-Erik

Handbuch Telekommunikationsrecht, 2. Auflage, Frankfurt 2007. Hoeren, Thomas/Sieber, Ulrich

Handbuch Multimedia Recht, Rechtsfragen des elektronischen Geschäftsverkehrs, 17. Ergänzungslieferung, München 2007. Hoffmann-Riem, Wolfang

Informationelle Selbstbestimmung in der Informationsgesellschaft - Auf dem Wege zu einem neuen Konzept des Datenschutzes, in AöR 1998, S. 513- 540. Holznagel, Bernd Recht der IT-Sicherheit, München 2003. Holznagel, Bern/Hanßmann, Anika/Sonntag, Matthias IT-Sicherheit in der Informationsgesellschaft - Schutz kritischer Infrastrukturen, Münster 2001. Hüffer, Uwe

Gesellschaftsrecht, 7. Auflage, München 2007. ders.

Aktiengesetz (Kommentar), 7. Auflage, München 2006. Kiethe, Kurt/Groeschke, Per

Die Durchsetzung von Schadensersatzansprüchen in Fällen der Betriebs-und Wirtschaftsspionage, in MMR 2006, S. 1358-1370. Kloepfer, Michael Informationsrecht, München 2002. ders.

Umweltrecht, 3. Auflage, München 2004. Kollmann, Andreas

Technische Normen und Prüfzeichen im Wettbewerbsrecht, in GRUR 2004, S. 6-11. Köttner, Wolfgang

Angriffe aus dem Netz, online abrufbar unter: http://www.freitag.de/2008/05/08050601.php.

10

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Kötz, Hein/Wagner, Gerhard

Deliktsrecht, 10. Auflage, Bonn 2006. Kunig, Philip

Der Grundsatz informationeller Selbstbestimmung, in Jura 1993, S. 595-604. Lensdorf, Lars

IT-Compliance- Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, in CR 2007, S. 413-418. Lutter, Marcus/Krieger, Gerd

Rechte und Pflichten des Aufsichtsrats, 4. Auflage, Köln 2002. Lück, Wolfgang

Elemente eines Risiko-Managementsystems, DB 1998, S.8-14. Manager Magazin

Spionage: „Die größte Gefahr ist das Personal“, in Manager Magazin vom 26.11.2007, abrufbar unter: http://www.manager-magazin.de/unternehmen/artikel/0,2828,518674,00.html. Manssen, Gerrit

Telekommunikations- und Multimediarecht, Berlin 1999. Mengel, Anja/Hagemeister, Volker Compliance und Arbeitsrecht, BB 2006, S. 2466-2471. Münchner Kommentar

Aktiengesetz, §§76-117, MitbestG, §76 BetrVG 1952, 2. Auflage, München 2004. nachrichtenmanufaktur GmbH (Hrsg.) n-tv der Nachrichtensender, http://www.n-tv.de/. Pahlen-Brandt, Ingrid

Sind Datenschutzbeauftragte zahnlose Papiertiger, in DuD 2007, S. 24-28. Puchert, Sigmar

Rechtssicherheit im Internet, Grundlagen für Einkäufer und Entscheider, Heidelberg 2001.

Reinhard, Tim/Pohl, Lorenz/Capellaro, Hans-Christoph IT-Sicherheit und Recht, Rechtliche und technisch-organisatorische Aspekte für Unternehmen, Berlin 2007.

11

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Reischhauer, Friedrich/Kleinhans, Joachim

Kreditwesengesetz, Loseblattkommentar für die Praxis nebst sonstigen bank- und sparkassenrechtlichen Aufsichtsgesetzen sowie ergänzende Vorschriften, Ergänzungslieferung 06/07, Stand Dezember 2007. Rodewald, Jörg/Unger, Ulrike

Corporate Compliance- Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, in BB 2006, S. 113-117. Roßnagel, Alexander

Freiheit im Griff, Informationsgesellschaft und Grundgesetz, Stuttgart 1989. Roth, Birgit/Schneider, Uwe

IT-Sicherheit und Haftung, in ITRB 01/2005, S. 19-22. Schäffter, Markus

Notfallplanung als Prüfstein eines IT-Sicherheitsmanagements, in DB 01/2003, S.10-12. Scheja, Gregor/Haag, Niels

Einführung in das Datenschutzrecht, 2. Auflage, Edewecht 2006. Schmidt, Karsten/Lutter, Marcus

Aktiengesetz Kommentar, Band I, §§1-149, Hamburg und Bonn 2007. Schneider, Uwe/Schneider, Sven Zwölf goldene Regeln des GmbH-Geschäftsführers zu Haftungsvermeidung, in GmbHR, S. 1229-1235. Schultze-Melling, Jyn

IT-Sicherheit in der anwaltlichen Beratung, in CR 2005, S.73-80. dies.

Effizientes Information Security Management im Rahmen von IT-Outsourcing-Verträgen, in ITRB, S. 42-46. Simitis, Spiros

Bundesdatenschutzgesetz (Kommentar), 6. Auflage, Baden-Baden 2006. ders.

Daten- oder Tatenschutz - Ein Streit ohne Ende?, in NJW 1997, S.1902-1903.

12

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Sonntag, Matthias

IT-Sicherheit kritischer Infrastrukturen, Von der Staatsaufgabe zur rechtlichen Ausgestaltung, München 2005. Speichert, Horst

Praxis des IT-Rechts, 2. Auflage, Wiesbaden 2007. Spiegel Online GmbH

So schützen sie sich vor Internetfischern, vom 08.02.2008, abrufbar unter: http://www.spiegel.de/netzwelt/web/0,1518,533809,00.html. Spindler, Gerald

Verantwortlichkeit von IT-Herstellern, Nutzern und Intermediären, Studie im Auftrag des BSI, Bonn 2007. ders.

IT-Sicherheit - Rechtliche Defizite und rechtspolitische Alternativen, in MMR 2008, S. 7-13. Spindler, Gerald/Stilz, Eberhard

Kommentar zum Aktiengesetz, Band 1, §§1-178, München 2007. Statistisches Bundesamt (Hrsg.)

Unternehmen und Arbeitsstätten, Nutzung von Informations- und Kommunikationstechnik in Unternehmen, Wiesbaden 2007. Steckler, Brunhilde

Grundzüge des IT-Rechts, 2.Auflage, Bielefeld 2005. Steger, Udo

Rechtliche Verpflichtungen zur Notfallplanung im IT-Bereich, in CR 2007, S. 137-143. Technology Review

„Ich sehe da keinen Widerspruch“, Interview mit dem Präsidenten des BSI Udo Helmbrecht, Ausgabe 1/2008, S. 52-55. Telekommunikationsgesetz

Beck´scher TKG Kommentar, Telekommunikationsgesetz, Hrsg.: Geppert, Piepenbrock, Schütz, Schuster, 3. Auflage, München 2006. das.

Beck´scher TKG Kommentar, Telekommunikationsgesetz, Hrsg.: Büchner, Ehmer, Geppert, Kerkhoff, Piepenbrock, Schütz, Schuster, München 1997.

13

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Ulmer, Peter

GmbHG, Großkommentar, Band I, Einleitung und §§1-28, Hrsg.: Peter Ulmer, Mathias Habersack und Martin Winter, Tübingen 2005. ders.

GmbHG, Großkommentar, Band II, §§29-52, Hrsg.: Peter Ulmer, Mathias Habersack und Martin Winter, Tübingen 2006. Vogel, Rupert

IT-Sicherheit- rechtlich betrachtet, abrufbar unter: http://www.bartsch-partner.com/media/docs/diverse/061020rechtsforumskriptrv_ppt.pdf Wikimedia Foundation (Hrsg.)

Wikipedia - Die frei Enzyklopädie, St. Petersburg (USA), http://de.wikipedia.org. Wolf, Klaus/Runzheimer, Bodo

Risikomanagement und KonTraG, 3. Auflage 2001, Wiesbaden 2001.

Die Internet-Quellen wurden sämtlich im Februar/März 2008 gesichtet.

14

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

A.) Einführung

I.) Problemstellung

Die heutige Bedeutung von Internet und Informationstechnik für die Gesellschaft und eine damit zusammenhängende Abhängigkeit bedarf keiner ausführlichen Erläuterung. Informationstechnik ist allgegenwärtig; sie ist aus dem wirtschaftlichen und gesellschaftlichen Leben nicht mehr wegzudenken. Insbesondere die Nutzung von Informations- und Kommunikationstechnologie in Unternehmen hat einen unaufhaltbaren, stetigen Zuwachs. ¹ Weniger bewusst ist man sich oft allerdings über die damit verbundenen Gefahren und Risiken. Die Bedrohungen durch Computerwürmer, Viren oder Trojaner sind nach wie vor enorm hoch. ² In der jüngsten Zeit sind Gefahren und Schäden durch Viren zwar rückläufig gewesen, aber es kam vermehrt zu Bedrohungen durch Spyware, Trojaner, sog. Phishing-Attacken oder Angriffe von Bot-Netzen. Im Einklang damit steht die für Unternehmen zunehmende Gefahr von Datenspionage durch solche Angriffe. 3

Zu diesen möglichen Ursachen für einen Schaden oder gar einen Ausfall des IT-Systems gesellen sich Gefahren durch höhere Gewalt wie z.B. Feuer oder Stromausfälle, technisches Versagen von Soft- und Hardware, Diebstahl, Organisationsdefizite oder Fahrlässigkeit von Mitarbeitern im Umgang mit Informationstechnik. Sorgen solche Sicherheitsrisiken dann erst einmal für den Ausfall von Computern und den damit verbundenen Prozessen, so müssten viele Unternehmen ihren Betrieb zumindest für einen gewissen Zeitraum einstellen. Der Flug- und Bahnverkehr könnte zum Stillstand kommen, Finanzmärkte blieben geschlossen. Kurz um, ein großer Teil der Wirtschaft könnte zum Erliegen gebracht werden, wenn einzelne Ausfälle andere Bereiche in Mitleidenschaft ziehen würden.

Nach Vergegenwärtigung der genannten Szenarien scheint eine gesetzliche Pflicht der Unternehmen, solche IT-Schadensfälle durch ausreichende

Sicherheitsmaßnahmen zu verhindern, selbstverständlich zu sein. Es fragt sich in

¹ So benutzen nach einer Studie des Statistischen Bundesamtes von 2007 zur Nutzung von Informations- und Kommunikationstechnologie im Unternehmen zum Beispiel 82% aller Unternehmen einen Computer, 74% benutzen eine DSL-Internetanschluss, 67% setzen Netzwerke im Unternehmen ein und 41% benutzen IT-Systeme zur Auftragsbearbeitung.

² Zu den nachfolgenden Begrifflichkeiten solcher technischer Schädlinge und deren Aufkommen siehe: „Lage der IT-Sicherheit in Deutschland“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI), S. 20 ff.

³ Vgl. dazu Interview mit dem Präsidenten des BSI Udo Helmbrecht in Technology Review, S. 52.

15

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

diesem Zusammenhang allerdings, wie es zu erklären ist, dass nach einer Studie nur 50% der Unternehmen organisatorisch auf einen Hackerangriff vorbereitet sind und über einen entsprechenden Notfallplan verfügen. ⁴ Demnach sind sogar noch weniger auf Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer vorbereitet. Nur 28% verfügen ferner über externe Ausweichsysteme, wenn ihre IT ausfällt.

Durch die zunehmende Digitalisierung des Wirtschafts- und Gesellschaftslebens nimmt auch die digitale Datenmenge ständig zu. Geheimhaltungsbedürftige Entwicklungs-, Kunden- oder Patientendaten sind somit auch vermehrt den oben genannten Gefahren ausgesetzt. Meldungen wie „Datendiebstahl bei MTV“ ⁵ oder „Deutsche Unternehmen missbrauchen Kundendaten“ ⁶ lassen an einem effektiven Schutz solcher Daten zweifeln und die Frage nach der Verantwortlichkeit aufkommen.

Diese Diskrepanz zwischen möglichen Schadensfolgen beim Ausfall von IT-Systemen und z.T. unzureichenden Sicherheitsvorkehrungen in den Unternehmen gegen Angriffe und Ausfälle, gibt den Grund für eine ausführliche Erörterung der aufgeworfenen Problemstellung. Es muss daher geklärt werden, inwiefern Unternehmen, in Form ihrer Leitungsorgane, überhaupt dazu verpflichtet sind Maßnahmen zu ergreifen, um ausreichende IT-Sicherheitsstandards zu installieren und somit oben genannte Szenarien zu verhindern. Ferner soll die Arbeit klären, ob die bestehenden Regelungen überhaupt einen ausreichenden Schutz bieten können.

II.) Gang der Darstellung

Die Bearbeitung beginnt zunächst mit der Klärung der für die Problemstellung wesentlichen Grundlagen. Darin gilt es zu skizzieren welche Unternehmen und insbesondere welche Leitungsorgane für die Einhaltung und Überwachung von IT-Sicherheitsstandards in Frage kommen. Dabei wird sich auf die häufigsten Unternehmensformen beschränkt, da die hier relevanten Vorschriften i.d.R. auch für besondere Mischformen gelten. Ferner soll der zentrale und auf den ersten

⁴ Studie „Managementkompass Sicherheitsstrategien“ wurde durchgeführt von Mummert in Zusammenarbeit mit dem F.A.Z.-Insitut. Näheres dazu bei: http://www.heise.de/newsticker/meldung/92589.

⁵ http://www.heise.de/newsticker/meldung/101527.

⁶ http://www.heise.de/newsticker/meldung/101527.

16

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Blick recht weite Begriff der IT-Sicherheit mit Inhalt gefüllt werden. Es folgt dann eine Auseinandersetzung mit der Notwendigkeit von IT-Sicherheit in der heutigen Gesellschaft. Es gilt also zu klären, warum Unternehmen neben möglichem Eigeninteresse überhaupt dazu verpflichtet werden sollten IT-Sicherheitsstandards einzurichten. In diesem Zusammenhang wird das Augenmerk auf Unternehmen im Allgemeinen liegen und auf eine spezielle Betrachtung von Unternehmen mit ggf. mehr IT-Bezug verzichtet, um einen umfassenden Überblick der Regelungen für alle Unternehmen schaffen zu können. Adressaten der zu untersuchenden Sicherheitsanforderung sind also alle Unternehmen die IT verwenden.

Aufbauend auf dem Verständnis von IT-Sicherheit und dessen Zielsetzung soll eine umfangreiche Darstellung der bestehenden Pflichten zur Einhaltung und Überwachung von IT-Sicherheitsstandards erfolgen. Hier liegt ein erster Schwerpunkt der Bearbeitung, da dies durch die Querschnitthaftigkeit der Materie erforderlich erscheint. Einheitliche rechtliche Regelungen für die Einhaltung von IT-Sicherheitsstandards gibt es nicht, vielmehr sind die einschlägigen Vorschriften auf eine Vielzahl einzelner Rechtsvorschriften verteilt Um aus diesem Sammelsurium einen verständlichen Überblick zu schaffen, bedurfte es einer umfangreicheren Darstellung. An diesen ersten Schwerpunkt soll sich jedoch zugleich ein nächstes Hauptkriterium der Arbeit anreihen. Es gilt die bestehenden Regelungen einer kritischen Würdigung in Bezug auf Regelungstechnik, Effektivität und Umsetzungsschwierigkeiten zu unterziehen. Durch das Aufzeigen eventueller gesetzlicher Defizite sollen Ursachen für die soeben aufgeworfene Problemstellung gefunden werden.

Hauptsächlich werden nationale Regelungen betrachtet und nur an den Stellen, an denen der europäische Gesetzgeber auf das deutsche Recht Einfluss genommen hat soll dies Gegenstand der Betrachtung sein. Das Gleiche gilt für internationale Vorschriften, die nur dann erwähnt werden sollen, wenn sie einen gewissen Stellenwert für deutsche Unternehmen haben.

Im Anschluss an das Regelungssystem wird ein kurzer Überblick über Sanktionen bei fehlender Umsetzung der Vorschriften gegeben werden. Die Arbeit schließt mit einem letzten Schwerpunkt, nämlich dem Aufzeigen von Ansätzen zum Beseitigen bestehender Defizite. Dabei sollen sowohl allgemeine als auch ganz spezielle Vorschläge gemacht werden, wie der Gesetzgeber mit

17

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

seinen vorhandenen Möglichkeiten Verbesserungen erzielen kann. Verzichtet wird auf eine breite Diskussion technischer Lösungsmöglichkeiten. Auch wenn das IT-Sicherheitsrecht sehr interdisziplinär geprägt ist, sollen Ansätze hauptsächlich auf juristische Möglichkeiten beschränkt werden.

18

Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

B.) Grundlagen

I.) Begriffsbestimmungen

1.) Unternehmen

Für die nachfolgende Untersuchung muss zunächst geklärt werden, welche Unternehmen zur Einhaltung ausreichender IT-Sicherheitsstandards in Frage kommen. In der Wirtschaft ist ein Unternehmen eine rechtlich, wirtschaftlich und finanziell selbstständige Wirtschaftseinheit mit einer eigenen Führung (Unternehmensleitung). ⁷ Einen einheitlichen rechtlichen Unternehmensbegriff gibt es hingegen nicht, da die jeweiligen Gesetze ihn je nach Zweck definieren. ⁸ In Deutschland gibt es eine Vielzahl von Rechtsformen eines Unternehmens. Die Häufigsten sind die Gesellschaft mit beschränkter Haftung (GmbH), die offene Handelsgesellschaft (OHG), die Gesellschaft bürgerlichen Rechts (GbR), die Kommanditgesellschaft (KG) und die Aktiengesellschaft (AG). Über die Verbreitung und Dominanz von Informationstechnik in der heutigen Gesellschaft und im Wirtschaftsleben braucht man keine großen Ausführungen mehr zu machen. Informationstechnik ist allgegenwärtig. ⁹ Es ist demnach auch nicht notwendig eine Unterscheidung der einzelnen Unternehmen hinsichtlich ihrer „IT-Betroffenheit“ vorzunehmen. Ein wirtschaftliches und öffentliches Leben ist heute ohne Computertechnologie kaum mehr vorstellbar. So dass sämtliche Unternehmen die Informationstechnik benutzen, gleich welcher Branche, von eventuell vorhandenen Verpflichtungen zur IT-Sicherheit tangiert wären.

2.) Leitungsorgane

Ferner muss bestimmt werden welche Leitungsorgane im Unternehmen überhaupt in Betracht kommen, um bestehende Verpflichtungen bzgl. IT-Sicherheitsstandards einzuhalten und deren Befolgung zu überwachen. Dafür ist es erforderlich kurz aufzuzeigen, was ein Leitungsorgan charakterisiert.

⁷ Vgl. Daum/Petzold/Pletke, 1.2.1, S. 3.

⁸ Vgl. Baumbach/Hopt, Einl. v. §1, Rn.31..

⁹ Siehe auch Holznagel, §1, Rn. 1 über die Bedeutung der Informationstechnik in der heutigen Zeit.

19