25.08.2021

Incident Response Vereinbarungen bei IT-Sicherheitsfällen im Vorfeld abschließen

Welche rechtlichen Auswirkungen haben IT-Sicherheitsvorfälle und welche sinnvollen Gegenmaßnahmen können Unternehmen bereits im Vorfeld einleiten? Darüber sprechen wir mit Rechtsanwalt Stefan Hessel, LL.M. im Interview. Er arbeitet als Senior Associate und Co-Head der Digital Business Unit bei reuschlaw Legal Consultants in Saarbrücken. Hessel berät Unternehmen zu komplexen Fragestellungen im Bereich des Datenschutzes, der Cybersicherheit sowie des IT-Rechts. Am 17. September spricht der Rechtsexperte als Referent auf den Internet Security Days 2021 über Incident Response Vereinbarungen.

 

Herr Hessel, welche möglichen Rechtsfolgen gibt es für Unternehmen bei IT-Sicherheitsvorfällen?

Hessel: In Deutschland gibt es kein einheitliches Gesetz zum Umgang mit IT-Sicherheitsvorfällen. Aus diesem Grund können die Rechtsfolgen für Unternehmen sehr vielfältig sein. Sind beispielsweise personenbezogene Daten betroffen, kann eine Datenschutzverletzung vorliegen, die nach der DSGVO zur Meldung an die Datenschutzaufsichtsbehörde verpflichten kann. Noch strengere Regelungen gelten zum Beispiel für kritische Infrastrukturen oder andere Risikobereiche wie das autonome Fahren oder E-Health. Betrifft der IT-Sicherheitsvorfall ein Produkt, kann auch eine Gewährleistung oder eine Produzentenhaftung in Raum stehen. Wenn wir über einen Vorfall informiert werden, stellen wir daher in der Regel eine ganze Menge Fragen, um den Sachverhalt bestmöglich zu erfassen. Anschließend prüfen wir, welche gesetzlichen Vorgaben zu beachten sind.

 

Warum sind Incident Response Vereinbarungen so wichtig? Welche rechtlichen Vorgaben haben Unternehmen dabei zu beachten?

Hessel: Bei Incident Response Vereinbarungen handelt es sich um vertragliche Vereinbarungen zum Umgang mit IT-Sicherheitsvorfällen, die Unternehmen mit Dienstleistern oder Geschäftspartnern abschließen können. Sie helfen angesichts des Flickenteppichs an gesetzlichen Regelungen bei IT-Sicherheitsvorfällen eine schnelle und sichere Bewältigung zu gewährleisten und können rechtliche Unklarheiten vermeiden. Für Incident Response Vereinbarungen gilt die Vertragsfreiheit, sodass die Inhalte von den Unternehmen weitgehend frei bestimmen können. Das ist einerseits ein großer Vorteil, weil sich die Vereinbarungen so sehr individuell gestalten und auf die konkrete Situation anpassen lassen. Andererseits birgt die freie Gestaltungsmöglichkeit auch ein gewisses Risiko, weil man bei der Gestaltung der Verträge viele unterschiedliche Konstellationen bedenken und regeln muss. Hier ist es besonders wichtig, dass Juristen und IT-Experten eng zusammenarbeiten.

 

Welche Gegenmaßnahmen können Unternehmen schon im Vorfeld treffen?

Hessel: Die wichtigste präventive Gegenmaßnahme bei IT-Sicherheitsvorfällen ist, Cybersicherheit und die Einhaltung der einschlägigen Gesetze im Unternehmen zur Chefsache zu machen. Idealerweise geschieht dies zum Beispiel über eine verbindliche IT-Sicherheitsrichtlinie und entsprechende Weisungen an die Mitarbeiter des Unternehmens. Darüber hinaus sollten Unternehmen die rechtlichen Implikationen des Themas nicht unterschätzen. Schon im eigenen Unternehmen gibt es bei IT-Sicherheitsmaßnahmen eine Menge rechtlicher Vorgaben zu beachten. Der Datenschutz ist hier nur ein Beispiel. Geht es um IT-Sicherheit bei Dienstleistern, Geschäftspartnern oder auch Zulieferern, wird die Bedeutung rechtlicher Regelungen noch größer. Ohne vertragliche Regelung ist es nämlich in der Regel nicht möglich, bestimmte IT-Sicherheitsmaßnahmen umzusetzen. In solchen Konstellationen ist eine Kombination von rechtlichen und technischen beziehungsweise organisatorischen Maßnahmen auch präventiv sehr sinnvoll und wichtig.

 

Vielen Dank für das Gespräch!

Mehr Informationen zum Thema erhalten Sie auf den Internet Security Days 2021. Herr Hessel freut sich über Ihre Fragen!

Stefan Hessel