Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht.
Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro
Um IT-Sicherheitsvorgaben in den unternehmerischen Alltag zu integrieren, sind zielgruppenorientierte IT-Betriebsrichtlinien sinnvoll (zu den praxisrelevantesten IT-Betriebsrichtlinien siehe Voigt, IT-Sicherheitsrecht, 2018, Rz. 173 ff.).
Diese Richtlinien geben eine bestimmte Vorgehensweise beim Einsatz von und Umgang mit IT vor und sind auf die spezifischen Bedürfnisse und Gegebenheiten unterschiedlicher Gruppen innerhalb des Unternehmens zugeschnitten.
1. Interner Handlungsstandard
IT-Betriebsrichtlinien bilden regelmäßig den Kernbestandteil im IT-Risikomanagementsystem des Unternehmens (s. zum IT-Risikomanagementsystem Voigt, IT-Sicherheitsrecht, 2018, Rz. 149 ff.).
Um IT-Risiken möglichst zu minimieren, müssen Mitarbeitern (aber ggf. auch externen Beratern und Kunden) vertragliche Verpflichtungen zum verantwortungsvollen Umgang mit der IT auferlegt werden (Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 28 Rz. 223 f.).
Besteht ein Betriebsrat, so hat dieser in Bezug auf die Richtlinien regelmäßig ein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 1 BetrVG bzw. gem. § 87 Abs. 1 Nr. 6 BetrVG (s. hierzu Voigt, „Wann ist der Betriebsrat einzubeziehen?“, CRonline Blog v. 25.7.2018; ausführlich Voigt, IT-Sicherheitsrecht, Rz. 82 ff.).
2. Zentrale Elemente
Typischerweise regeln IT-Betriebsrichtlinien die berufliche Nutzung der IT-Infrastruktur durch die Mitarbeiter oder anderweitig Nutzungsberechtigten.
Häufig ist es wegen der fließenden Grenzen zwischen beruflicher und privater IT-Nutzung durch Mitarbeiter ratsam, auch die private Nutzung der betrieblichen IT-Infrastruktur zu regeln (Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 28 Rz. 225 f.). Dabei handelt es sich um ein besonders praxisrelevantes Problemfeld, welches mit erheblichen Sicherheitsrisiken verbunden ist (dazu im Detail Voigt, IT-Sicherheitsrecht, 2018, Rz. 173 ff.).
Übliche Regelungen in IT-Betriebsrichtlinien reichen von einem gänzlichen Verbot der Privatnutzung bis hin zu detaillierten Rahmenbedingungen für eine zulässige Privatnutzung. Aus den beiden Regelungskomponenten der privaten und beruflichen IT-Nutzung ergeben sich für IT-Betriebsrichtlinien (siehe zu den nachfolgenden Ausführungen Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 28 Rz. 229 ff.) folgende zentrale inhaltliche Elemente:
- Kategorisierung von Mitarbeitern:
Bzgl. des Umgangs mit der IT ist es nicht ratsam, alle Mitarbeiter den gleichen ´Richtlinien zu unterwerfen. Aus diesem Grund sollte man eine Kategorisierung der Mitarbeiter vornehmen und zielgruppenorientierte Richtlinien schaffen. - Kategorisierung von Daten:
Auch eine Kategorisierung der vom Unternehmen genutzten und generierten Daten erscheint sinnvoll, um die Art und Weise der gestatteten Nutzung der Sensibilität der verschiedenen Datenkategorien innerhalb der IT-Betriebsrichtlinien anzupassen. Dazu gehören bspw. auch Vorgaben zur Speicherung vertraulicher Daten. - Privatnutzung und ggf. deren Intensität:
IT-Betriebsrichtlinien sollten Regelungen dazu enthalten, ob eine Privatnutzung der Unternehmens-IT zulässig ist. Sollte dies der Fall sein, muss geregelt werden, in welchem Umfang die Privatnutzung gestattet wird (zu den Auswirkungen der gestatteten Privatnutzung siehe Voigt, IT-Sicherheitsrecht, Rz. 174 ff.). - Handhabung der elektronischen Kommunikation:
Da die Kommunikation im Unternehmen heute überwiegend elektronisch stattfindet, werden regelmäßig Vorgaben zur Handhabung der Kommunikationsmittel gemacht. Üblich sind dabei Regelungen zur Archivierung von auf lokalen Rechnern gespeicherten E-Mails, die v.a. zur Erfüllung von Buchhaltungspflichten unerlässlich sind (s. hierzu Voigt, IT-Sicherheitsrecht, Rz. 66). - Umgang mit Passwörtern:
Zur Sicherung der Unternehmensdokumente und -daten gegen unberechtigten Zugriff enthalten IT-Betriebsrichtlinien regelmäßig Regelungen zur Handhabung von Passwörtern und sonstigen Zugangsberechtigungen. - Installationsverbote:
Um externe Sicherheitsrisiken insb. durch Viren und Trojaner zu minimieren, wird den Mitarbeitern des Unternehmens üblicherweise das Downloaden von Programmen oder die eigenmächtige Installation von Software untersagt. - Sicherheit des Arbeitsplatzes und der Arbeitsmittel:
Mitarbeiter können bspw. dazu verpflichtet werden, beim Verlassen ihres Arbeitsplatzes Computer abzuschalten oder passwortgeschützte Bildschirmsperren zu verwenden, um eine unbefugte Nutzung in deren Abwesenheit auszuschließen. Beim Gebrauch des Laptops außerhalb des Büros kann die Verwendung einer speziellen Sichtschutzfolie für den Bildschirm vorgeschrieben werden. - Verpflichtung zur Meldung von Sicherheitsrisiken:
IT-Betriebsrichtlinien sollten Mitarbeiter zur Meldung sicherheitsrelevanter Vorkommnisse verpflichten. Für ein funktionierendes Meldesystem sollten nicht nur die Empfänger der Meldungen, sondern auch die eine Meldepflicht auslösenden Ereignisse umschrieben werden. - Regelung der Haftung:
Auch Haftungsfragen sollten in den IT-Betriebsrichtlinien behandelt werden.
3. Praxishinweis
Die Schaffung der IT-Betriebsrichtlinien kann nur dann IT-Sicherheit im Unternehmen gewährleisten, wenn deren praktische Umsetzung durch die Mitarbeiter gelingt. Es empfiehlt sich daher:
- Supporting: den unterschiedlichen Zielgruppen innerhalb der IT-Betriebsrichtlinien konkrete Hilfestellungen und Werkzeuge an die Hand zu geben, wie etwa Formulare, Checklisten oder konkrete Arbeitsanweisungen (Egle/Zeller in Voigt/von dem Bussche, Konzerndatenschutz, 2. Aufl. (im Erscheinen), Teil 2 Kap. 2, Rz. 38).
- Monitoring: Überdies sollte die Einhaltung der IT-Betriebsrichtlinien durch die Arbeitnehmer regelmäßig einer Überprüfung unterzogen werden. Bei Verstößen sollte ggf. eine Ahndung stattfinden.
