|
|
| Zeile 1: |
Zeile 1: |
| '''Rechtliche Rahmenbedingungen der Informationssicherheit'''
| | #WEITERLEITUNG [[Informationssicherheit/Recht/Grundlagen]] |
| | |
| == Beschreibung ==
| |
| Informationssicherheit dürfen aufgrund enormer Haftungsrisiken nicht vernachlässigt werden
| |
| | |
| === Empfehlungen ===
| |
| * Regelmäßige Datensicherung
| |
| * Anti-Virus-Programm (regelmäßiger Updates)
| |
| * Firewall
| |
| * Ordnungsgemäße Lizenzverwaltung
| |
| * Bestellung eines Informationssicherheits- und Softwarebeauftragten
| |
| * Aufbau eines Managementsystems für Informationssicherheit
| |
| | |
| == Recht der Informationssicherheit ==
| |
| === Vorschriften und Gesetzesanforderungen ===
| |
| ; Stellen Sie sich vor …
| |
| | |
| Bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
| |
| * Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört
| |
| * Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt
| |
| | |
| ; Welche Konsequenzen drohen?
| |
| * dem Unternehmen / der Behörde
| |
| * den verantwortlichen Personen
| |
| | |
| {| class="wikitable options"
| |
| |-
| |
| ! !! Beschreibung !! Regelung
| |
| |-
| |
| | Vorstand haftet persönlich || wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt || § 91 Abs. 2 und § 93 Abs. 2 AktG
| |
| |-
| |
| | Geschäftsführern einer GmbH || wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt || § 43 Abs. 1 GmbHG
| |
| |-
| |
| | Im Aktiengesetz genannten Pflichten eines Vorstands || gelten auch im Rahmen des Handelsgesetzbuches || § 317 Abs. 4 HGB
| |
| |-
| |
| | Handelsgesetzbuch verpflichtet Abschlussprüfer || zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" || § 317 Abs. 2HGB
| |
| |-
| |
| | Bestimmte Berufsgruppen || Sonderregelungen im Strafgesetzbuch || Ärzte, Rechtsanwälte, Angehörige sozialer Berufe, ..
| |
| |-
| |
| | Verbraucherschutz || Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt ||
| |
| |-
| |
| | Datenschutz || Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. ||
| |
| |-
| |
| | Banken || Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird ||
| |
| |}
| |
| | |
| === Rechtsgebiete ===
| |
| Vielzahl von Rechtsgebieten
| |
| ==== Allgemeines Zivilrecht ====
| |
| * Datenschutzrecht
| |
| * Telekommunikationsrecht
| |
| * Urheberrecht
| |
| * GmbH-Recht
| |
| * Aktien-Recht
| |
| | |
| ==== Sicherheit in der Informationstechnik ====
| |
| ; Definition
| |
| BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) §2 Abs. 2
| |
| : Sicherheit in der Informationstechnik im Sinne dieses Gesetzes
| |
| :* Einhaltung bestimmter Sicherheitsstandards zu Informationen
| |
| :* Verfügbarkeit
| |
| :* Unversehrtheit
| |
| :* Vertraulichkeit
| |
| | |
| ; Sicherheitsvorkehrungen
| |
| * in und bei der Anwendung
| |
| * von informationstechnischen Systemen oder Komponenten
| |
| | |
| ==== Technische Regelwerke ====
| |
| Technische Regelwerke wie z. B. [[ITSEC]]
| |
| ; Haben zwar keine unmittelbare rechtliche Wirkung
| |
| * an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“
| |
| * technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu
| |
| | |
| == Folgen der Nichtbeachtung ==
| |
| der Anforderungen an Informationssicherheit
| |
| === Zivilrechtlichen Folgen ===
| |
| Folge keiner oder unzureichender vertraglicher Regelungen
| |
| | |
| ; Verursacher
| |
| der Nichtbeachtung von Informationssicherheits-Anforderungen
| |
| | |
| ; Betroffener
| |
| nicht beachteter Informationssicherheits-Anforderungen
| |
| | |
| ==== Fall 1: Schlampiger Fabrikant ====
| |
| ; Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest:
| |
| * die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
| |
| * durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
| |
| * Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
| |
| | |
| ; In welchem Umfang muss die Firma Eiche Nordisch haften?
| |
| ; Kundenschäden wegen unterbliebener Auftragserledigung
| |
| * Ausfallansprüche der Vertriebspartner
| |
| * EDV-Kosten der Geschäftspartner
| |
| | |
| ; Dies ist eine Frage des Verschuldens
| |
| die sich danach bemisst
| |
| * ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
| |
| | |
| ; Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen
| |
| | |
| * Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden
| |
| | |
| Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall
| |
| * wohl aber bei sensiblen Daten (Landgericht Köln)
| |
| | |
| ; Kein Fahrlässigkeitsvorwurf
| |
| bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
| |
| * inkl. Installation von Updates
| |
| * selbst verbreitenden Virus
| |
| | |
| ==== Fall 2: Schlampige Dienstleister ====
| |
| ; Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
| |
| * ihm unterläuft eine Unachtsamkeit, versehentlich
| |
| * löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
| |
| | |
| ; Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu
| |
| i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
| |
| | |
| ; Minderung und Ausschluss des Schadensersatzes
| |
| bei Nichtbeachtung der Regeln der Informationssicherheit
| |
| | |
| ; Ordnungsgemäße Datensicherung
| |
| * Regelmäßige Sicherung
| |
| * Überprüfung des Erfolgs der Sicherung
| |
| * Sichere Aufbewahrung des Backups
| |
| * ...
| |
| | |
| === Strafrecht ===
| |
| ; Strafrechtliche Konsequenzen i.d.R. weniger relevant
| |
| | |
| ; § 203 StGB sieht für bestimmte Berufsgruppen
| |
| Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
| |
| * wenn vertrauliche Daten öffentlich werden
| |
| * aufgrund zu schwacher Sicherheitsvorkehrungen
| |
| | |
| ; Die übrigen hier relevanten Straftatbestände
| |
| § 202a - Ausspähen von Daten, § 303b Computersabotage
| |
| * betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
| |
| | |
| == Rechtliche Bedeutung der Informationssicherheit ==
| |
| | |
| {| class="wikitable options"
| |
| |-
| |
| ! Bereich !! Beschreibung
| |
| |-
| |
| | [[Prozesssicherheit]] || Fehlerfreie Produktion
| |
| |-
| |
| | Einhaltung von DIN- und [[Qualitätsstandards]] || [[Qualitätsmanagement]]
| |
| |-
| |
| | [[Datenschutz]] || Recht auf informationelle Selbstbestimmung
| |
| |-
| |
| | [[Datensicherheit]] || Unternehmensführung auf valider Datenbasis
| |
| |}
| |
| | |
| === Produkthaftung ===
| |
| ; Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden
| |
| | |
| {| class="wikitable options"
| |
| |-
| |
| ! !! Regelung
| |
| |-
| |
| | Schadensersatz statt der Leistung bei fehlerhafter Lieferung || §§ 281 ff., 440, 636 BGB
| |
| |-
| |
| | Mangelfolgeschaden bei Vertrag || § 280 I BGB
| |
| |-
| |
| | Schadensersatz ohne Vertrag || § 823 BGB
| |
| |-
| |
| | Gefährdungshaftung mit Haftungsausschluss-Tatbeständen || § 1 ProdHG
| |
| |}
| |
| | |
| === Entlastungsbeweis ===
| |
| ; Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis
| |
| * Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe
| |
| | |
| ; Möglicher Wegfall
| |
| Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
| |
| * Haftungsvoraussetzung bei Schadensersatz nach BGB
| |
| | |
| ; Entlastungsbeweis nach § 1 II Nr. 5 ProdHG
| |
| Weil Informationssicherheit dem Stand der Technik entspricht
| |
| | |
| == Vorschriften und Anforderungen ==
| |
| {| class="wikitable options"
| |
| |-
| |
| ! Anforderung !! Beschreibung
| |
| |-
| |
| | [[Informationssicherheitsgesetz]] ||
| |
| |-
| |
| | BSI – Gesetz || [[BSIG]]
| |
| |-
| |
| | Datenschutz || [[Datenschutz]]
| |
| |-
| |
| | Haftung || [[Informationssicherheit/Recht/Haftung]]
| |
| |-
| |
| | KonTraG || [[KonTraG]]
| |
| |-
| |
| | Vertragsgestaltung || [[Vertragsgestaltung]]
| |
| |-
| |
| | Softwarelizenzen || [[Softwarelizenzen]]
| |
| |-
| |
| | Penetrationstests || [[Penetrationstest/Recht]]
| |
| |}
| |
| | |
| == Anhang ==
| |
| === Siehe auch ===
| |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}}
| |
| ==== Links ====
| |
| ===== Weblinks =====
| |
| | |
| [[Kategorie:Informationssicherheit/Recht]]
| |