Rechtliche Rahmenbedingungen der ISMS
topic - Kurzbeschreibung
Beschreibung
- Informationssicherheit sollte aufgrund enormer Haftungsrisiken nicht vernachlässigt werden
Empfehlungen
- Regelmäßige Datensicherung
- Anti-Virus-Programm (regelmäßiger Updates)
- Firewall
- Ordnungsgemäße Lizenzverwaltung
- Bestellung eines Informationssicherheits- und Softwarebeauftragten
- Aufbau eines Managementsystems für Informationssicherheit
Anhang
Siehe auch
Links
Weblinks
TMP
Folgen der Nichtbeachtung
der Anforderungen an Informationssicherheit
Zivilrechtlichen Folgen
Folge keiner oder unzureichender vertraglicher Regelungen
- Verursacher
der Nichtbeachtung von Informationssicherheits-Anforderungen
- Betroffener
nicht beachteter Informationssicherheits-Anforderungen
Fall 1: Schlampiger Fabrikant
- Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest
- die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
- durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
- Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
- In welchem Umfang muss die Firma Eiche Nordisch haften?
- Kundenschäden wegen unterbliebener Auftragserledigung
- Ausfallansprüche der Vertriebspartner
- EDV-Kosten der Geschäftspartner
- Dies ist eine Frage des Verschuldens
die sich danach bemisst
- ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
- Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen
- Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden
Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall
- wohl aber bei sensiblen Daten (Landgericht Köln)
- Kein Fahrlässigkeitsvorwurf
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
- inkl. Installation von Updates
- selbst verbreitenden Virus
Fall 2: Schlampige Dienstleister
- Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
- ihm unterläuft eine Unachtsamkeit, versehentlich
- löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
- Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
- Minderung und Ausschluss des Schadensersatzes
bei Nichtbeachtung der Regeln der Informationssicherheit
- Ordnungsgemäße Datensicherung
- Regelmäßige Sicherung
- Überprüfung des Erfolgs der Sicherung
- Sichere Aufbewahrung des Backups
- ...
Strafrecht
- Strafrechtliche Konsequenzen i.d.R. weniger relevant
- § 203 StGB sieht für bestimmte Berufsgruppen
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
- wenn vertrauliche Daten öffentlich werden
- aufgrund zu schwacher Sicherheitsvorkehrungen
- Die übrigen hier relevanten Straftatbestände
§ 202a - Ausspähen von Daten, § 303b Computersabotage
- betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
Rechtliche Bedeutung von Informationssicherheit
| Bereich | Beschreibung |
|---|---|
| Prozesssicherheit | Fehlerfreie Produktion |
| Einhaltung von DIN- und Qualitätsstandards | Qualitätsmanagement |
| Datenschutz | Recht auf informationelle Selbstbestimmung |
| Datensicherheit | Unternehmensführung auf valider Datenbasis |
Produkthaftung
- Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden
| Regelung | |
|---|---|
| Schadensersatz statt der Leistung bei fehlerhafter Lieferung | §§ 281 ff., 440, 636 BGB |
| Mangelfolgeschaden bei Vertrag | § 280 I BGB |
| Schadensersatz ohne Vertrag | § 823 BGB |
| Gefährdungshaftung mit Haftungsausschluss-Tatbeständen | § 1 ProdHG |
Entlastungsbeweis
- Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis
- Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe
- Möglicher Wegfall
Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
- Haftungsvoraussetzung bei Schadensersatz nach BGB
- Entlastungsbeweis nach § 1 II Nr. 5 ProdHG
Weil Informationssicherheit dem Stand der Technik entspricht
Vorschriften und Aanforderungen
Informationssicherheitsgesetz
BSI – Gesetz
Datenschutz
Haftung
Informationssicherheit/Recht/Haftung