IT-Haftungsbereich:
Internetrecht und IT-Sicherheitsgesetz
Das Internetrecht und das IT-Sicherheitsgesetz sind nah mit den Vorgaben zum Datenschutz verbunden. In jedem Unternehmen spielt die IT-Sicherheit eine immer größere Rolle, zum Beispiel um personenbezogene Daten von Kunden oder auch Firmengeheimnisse vor Hackerangriffen zu bewahren. Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) hat sich die Verantwortlichkeit und somit auch die Haftung bei Verstößen verändert. Mehr dazu lesen Sie im nachfolgenden Text.
Vorgaben des IT-Sicherheitsgesetzes
Immer wieder wurden Fälle bekannt, bei denen Unternehmen zwar Opfer von Cyber-Attacken wurden, diese aber vor der Öffentlichkeit geheim hielten. Das IT-Sicherheitsgesetz verpflichtet daher jeden dazu, dass auftretende Cyberkriminalität, egal in welcher Form, innerhalb der Computersysteme umgehend dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) zu melden sind. Außerdem ist eine Warnung an die Kunden auszusprechen, falls personenbezogene Daten betroffen sind. Sofern es möglich ist, müssen der Bundesnetzagentur darüber hinaus Lösungsvorschläge für das Schließen der Sicherheitslücken bzw. Vorkehrungen zum Verhindern einer Wiederholung unterbreitet werden.
Maßnahmen für die IT-Sicherheit
Selbstverständlich sind zunächst die technischen Voraussetzungen zu schaffen, damit grundsätzlich Cyber-Attacken vorgebeugt werden kann. An dieser Stelle sind Fachkräfte aus dem IT-Bereich notwendig. Darüber hinaus sind aber auch organisatorische Maßnahmen notwendig. So sind Nutzungsrichtlinien aufzustellen und die Mitarbeiter ausreichend sowohl bezüglich des Umgangs mit personenbezogenen Daten als auch mit dem Internet zu schulen. Auf diese Weise können Sicherheitslücken von allen Beteiligten zeitnah entdeckt und ausgebessert werden, sodass gegebenenfalls unangenehme Schadensersatzzahlungen und Haftungsfragen vermieden werden.
Vorgaben des Internetrechts
Das Internetrecht ergibt sich größtenteils aus den Vorgaben des Telemediengesetzes (TMG). Auch dieses bietet Überschneidungen mit der DSGVO, hier steht aber vor allem das Betreiben einer eigenen Webseite im Vordergrund. Dabei sind einige Informationspflichten einzuhalten, wie zum Beispiel die notwendigen Angaben im Impressum sowie in der Datenschutzerklärung. Damit die Webseite den Sicherheitsvorschriften entspricht, sollte sie zudem verschlüsselt sein. Dann ist es etwa auch gestattet, E-Mail-Adressen für das Versenden eines Newsletters zu speichern. Die kommerzielle Absicht dahinter darf laut Gesetz dabei nicht verschleiert werden.
Haftung im Internetrecht und in der IT-Sicherheit
Mittlerweile wird im Falle von IT-Sicherheitslücken die verantwortliche Stelle selbst zur Haftung herangezogen. Ist eine bestimmte Person damit beauftragt, die technischen Maßnahmen etwa zur Einhaltung der DSGVO-Vorschriften zu überprüfen, ist sie verantwortlich, wenn ein Hacker-Angriff verzeichnet wurde. In solch einem Fall ist ein Gutachten zu erstellen, in dem behandelt wird, wie es zu dem Übergriff kommen konnte und was zur Schadensbegrenzung unternommen wird. Dazu sind die Angaben zu der verantwortlichen Person, sprich zum Datenschutzbeauftragten, anzugeben. Er muss bei etwaigen Schadensersatzforderungen vonseiten der Betroffenen zusammen mit der Führungskraft des Unternehmens haften.
Auf der kostenfreien Ratgeberplattform anwalt.org vom Berufsverband der Rechtsjournalisten e.V. erhalten Sie weitere Informationen zum IT-Recht, zum IT-Sicherheitsgesetz und ähnlichen Themen.