Die Auswirkungen des neuen IT Sicherheitsgesetzes und andere rechtlicher Grundlagen auf BC/DR
Gesetze, Gesetze, Gesetze: Weitere rechtliche Grundlagen außerhalb des IT SiG
Rechtliche Grundlagen für Unternehmen und Organisationen, die nicht unter das IT SiG fallen, sind ebenfalls vorhanden und vielfältig. So gibt es zur Datensicherheit im Disaster-Fall das Bundesdatenschutzgesetz (BDSG), das im BDSG § 9 regelt, dass alle Organisationen, die mit personenbezogenen Daten zu tun haben, entsprechende technische und organisatorische Maßnahmen treffen müssen, die den Anforderungen des BDSG gerecht werden. Dazu zählt auch ein geeignetes Disaster-Recovery-Konzept vorweisen zu können. Dieses muss sicherstellen, dass Daten auch dann nicht verloren gehen, wenn diese versehentlich zerstört oder gelöscht werden, zum Beispiel durch menschliches Versagen.
Wichtige Systeme, wie etwa ERP, müssen nach einem Disaster umgehend wieder mit aktuellen Daten laufen. Nur bei weniger wichtigen Daten und Applikationen wird mehr Zeit eingeräumt. Ein zeitgemäßes BC/DR-Konzept muss dokumentiert sein und auch regelmäßig überprüft werden.
Zum neuen IT SiG und dem BDSG § 9 kommen noch weitere rechtliche Grundlagen für die Sicherung und Aufbewahrung von Daten hinzu, die es ebenfalls zu berücksichtigen gilt. Dazu gehören das Handelsgesetzbuch (§§ 257, 239 Abs. 4 HGB) und die Abgabenordnung (§§ 146 Abs. 5, 147 AO) in Verbindung mit den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD von 2014), die für alle Buchführungspflichtige gültig sind.
Für diejenigen, die unter keine branchenspezifischen Vorschriften fallen, gelten die handels- und steuerrechtlichen Regularien für die Verfügbarkeit, Sicherheit, Integrität und Auffindbarkeit der Daten. Die IT-Systeme müssen gegen Datenverlust und unberechtigten Zugriff oder Veränderungen geschützt sein. Darüber hinaus gibt es sogar noch internationale Regelungen auf europäischer Ebene, die es zu beachten gilt.
Outsourcing schützt nicht vor Haftung. Wie sieht die derzeitige Rechtsprechung aus?
Die IT-Sicherheit hinsichtlich der Unternehmensdaten gehört aus Sicht der Rechtsprechung zu den “…unternehmerischen Selbstverständlichkeiten im Zeitalter digitaler Datenverarbeitung… Die Arbeitsgerichtsbarkeit wertet das betriebliche Interesse an Datensicherheit als Rechtsgut, das höher zu werten ist als das der unternehmerischen Mitbestimmung. Nicht zuletzt das höchste deutsche Zivilgericht, der Bundesgerichtshof, sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an. Unternehmenskritische – und insbesondere auch beweiserhebliche – Dokumente müssen aus Gründen der Rechtssicherheit und Beweisführung vorgehalten werden. Wird dies nicht ermöglicht, kann ein Prozess bereits unter bloßen Beweislastgesichtspunkten wegen “Beweisfälligkeit” verloren gehen.” (“Das neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements”, Whitepaper, Dr. Jens Bücking, Seite 12).
Wichtig ist in diesem Zusammenhang, dass durch Outsourcing, zum Beispiel an Cloud Provider, die haftungsrechtliche Verantwortung hinsichtlich der IT-Sicherheit nicht oder nicht komplett abgegeben werden kann. Je nach Fall kann die beauftragende Organisation zu 100 Prozent in der Haftung bleiben, obwohl der Fehler beim Outsourcer geschehen ist.
Sanktionen gegen die entsprechenden Gesetzesgrundlagen können je nach Vorfall, Auswirkung und Schweregrad sehr teuer werden und auch das Management kann persönlich haftbar gemacht werden. Versäumnisse beim IT-Risikomanagement können zudem zum Verlust des Versicherungsschutzes führen. Mangelnde IT-Compliance ist als Erhöhung der versicherten Gefahr zum Beispiel in der IT-Coverage und in der Director’s and Officer’s-Versicherung anzeigepflichtig.
