In der vergangenen Woche hielt Dr. Lars Siebert, LL.M. (Emory) den Einführungsvortrag zum „17. Berchtesgadener Dialog - Artificial Intelligence“ mit dem Titel „Heilsbringerin oder Gefahrenquelle? Ein Blick auf künftige KI-Anwendungen und internationale Regulierungsbemühungen“.
Bundesregierung plant neues Gesetz zur IT-Security
Monday, 24. November 2014
Von Dr. Lars Siebert, LL.M. (Emory) und Dr. Alexander Fiedler, LL.M. (University of Michigan), BMT Berlin
Die Sicherheit von IT-Systemen ist für Unternehmen aus wirtschaftlichen Gesichtspunkten ein wichtiges Thema. Es gibt aber auch eine immer größer werdende Anzahl gesetzlicher Vorschriften, die Unternehmen zur IT-Compliance verpflichten.
Präventionspflichten finden sich beispielsweise im Bundesdatenschutzgesetz. Dieses verpflichtet Unternehmen, erforderliche „technische und organisatorische Maßnahmen“ zu treffen, um den Datenschutz im Betrieb sicherzustellen (§ 9 BDSG). Eine Auflistung solcher Maßnahmen findet sich in der Anlage zu § 9 Satz 1 BDSG. Danach müssen Unternehmen für effektive Zugangs- und Zugriffs- und Eingabekontrollen zu Computersystemen sorgen.
Kommt es im Unternehmen zu einer Datenpanne, kann ein Unternehmen auch eine Handlungspflicht treffen. Im Falle des Diebstahls personenbezogener Daten im Rahmen von Hackerangriffen oder bei versehentlicher Versendung solcher Daten an einen Dritten, kann die Pflicht bestehen, dies dem Betroffenen sowie der zuständigen Behörde mitzuteilen. Entsprechende Benachrichtigungspflichten finden sich beispielsweise im Bundesdatenschutzgesetz (§ 42a BDSG), im Telemediengesetz (§ 15a TMG) oder im Telekommunikationsgesetz (§ 109a TKG). Kommt ein Unternehmen der Meldepflicht nicht nach, drohen Schadensersatzansprüche der Betroffenen sowie Bußgelder in Höhe von bis zu 300.000 Euro.
Weitere IT-Compliance-Pflichten sind bereits in Planung. Im August 2014 hat die Bundesregierung einen neuen Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)1. Das Gesetz soll Anfang 2015 beschlossen werden. Dann werden Betreiber „kritischer Infrastrukturen“, unter anderem aus den Sektoren Informationstechnik, Transport, Verkehr sowie Telekommunikation, verpflichtet, dem Stand der Technik entsprechende Vorkehrungen zum Schutz informationstechnischer Systeme zu implementieren und dies alle zwei Jahre dem Bundesamt für Sicherheit in der Informationsgesellschaft nachzuweisen.
