Das Thema IT-Sicherheit hat längst nicht mehr nur technische Aspekte. Die gesetzlichen Vorschriften sollten besonders bei geschäftsverantwortlichen Firmenlenkern ganz oben auf der Agenda stehen. Für eventuelle Folgeschäden von Sicherheitslücken könnten sie persönlich in die Pflicht genommen werden.
Ein Szenario, vor dem jedem Unternehmer graut: Das Kundendatensystem seiner Organisation wird gehackt, die geheimen Informationen geklaut. Was der Firmenchef eher ahnt, als dass es ihm wirklich bewusst ist: Der Kunde wird Recht bekommen, wenn er vor Gericht zieht. Und er wird nicht nur das unzureichend gesicherte Unternehmen, sondern auch den Geschäftsführer persönlich in Regress nehmen.
"Umso verblüffender ist es", so Stefan Gehrke, Geschäftsführer der Mcert Deutsche Gesellschaft für IT-Sicherheit in Berlin, "wie sorglos viele Unternehmen mit IT-Security umgehen und wie wenig besonders mittelständische Unternehmen gegen Datenklau, Viren und Würmer unternehmen." Hier gebe es anscheinend noch "immensen" Aufklärungsbedarf - vor allem über die rechtlichen Konsequenzen.
Versicherungen drücken sich
Dabei sind schon die potenziellen wirtschaftlichen Schäden schlimm genug: Viren und Würmer können im eigenen System und den Informationsbeständen von Geschäftspartnern Betriebsstörungen bis hin zu Umsatzeinbrüchen verursachen. Werden Geschäfts- und Betriebsgeheimnisse von Außenstehenden gelüftet, ist der Wettbewerbsvorteil dahin. Versicherungen treten für Schäden, die aus offenkundigen Sicherheitslücken - beispielsweise dem unverschlüsselten Versand via E-Mail - resultieren, ungern ein: Die meisten Policen enthalten längst einen ganzen Katalog von Obliegenheiten, die sich auf die IT-Sicherheit beim Kunden beziehen.
Schadensersatz, Bußgeld & Co.
Horst Speichert, Experte für neue Medien, DV-Recht und IT-Vertragsgestaltung (horst@speichert.de), hat zusammengetragen, welche rechtlichen Konsequenzen IT-Sicherheitslücken nach sich ziehen können. Hier ein Auszug:
-
Schadensersatz: Gibt ein Unternehmen (oder der Verantwortliche) personenbezogene Daten weiter, ohne die rechtlichen Vorgaben zu beachten, haftet es für eventuell eintretende Nachteile und kann auf Zahlung von Schadensersatz und Schmerzensgeld verklagt werden.
-
Bußgeld: Verantwortliche, die personenbezogene Daten weitergeben, ohne dafür eine Einwilligung des Betroffenen zu haben, oder dies ohne Berufung auf eine gesetzliche Ermächtigungsgrundlage tun, riskieren ein Bußgeld in Höhe von bis zu 250 000 Euro.
-
Haft- oder Geldstrafe: Verantwortliche, die Daten weitergeben und dabei gegen das Fernmeldegeheimnis oder Vorschriften des Bundesdatenschutzgesetzes verstoßen, riskieren eine Geldstrafe.
-
Verlust der Gewerbeerlaubnis: Fällt ein Unternehmen im Geschäftsbetrieb immer wieder wegen Lücken in der IT-Sicherheit auf und wird beispielsweise von Wettbewerbern beim Gewerbeamt angezeigt, so kann es wegen fehlender Zuverlässigkeit die Gewerbeerlaubnis verlieren.
-
Behördliche Überprüfung: Unternehmen und Verantwortliche, die wegen illegaler Weitergabe personenbezogener Daten auffallen, riskieren eine Überprüfung durch die Datenschutzaufsichtsbehörde.
-
Probleme mit Versicherungen: Tritt ein Schaden ein, der mit Defiziten in der IT-Sicherheit zusammenhängt, so kürzen Versicherer die vereinbarte Leistung unter dem Vorbehalt des Mitverschuldens, und es droht eine Erhöhung der Versicherungsprämie.
Wer dann, zum Beispiel für neue IT-Security-Investitionen, Geld von seiner Hausbank benötigt, hat die Rechnung ohne Basel II gemacht. Seit Juli dieses Jahres ist nun auch im deutschen Recht verankert, dass sich eine unzureichende IT-Infrastruktur negativ auf das Unternehmens-Rating und damit auf die Kreditvergabe auswirken kann.