Archiv
28.05.2013

IT-Recht: Gute Karten vor Gericht mit ISO 27001

Haftung bei Hackerangriffen und Datenpannen: Bei Schadenersatzklagen verwenden Sachverständige ISO-Normen zur Bewertung. „Der Security-Standard ISO 27001 minimiert das Haftungsrisiko für IT-Manager und Unternehmen“, erklären Rechtsanwalt Dr. Radinsky von der Anwaltskanzlei Brauneis / Klauser / Prändl sowie Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS.

Für welche Gesetzesforderungen sind ISO-Zertifizierungen vorteilhaft?
Radinsky: Die juristischen Schlüsselbegriffe „Leistungserbringung nach dem Stand der Technik“ und „Sorgfalt“ ziehen sich durch das gesamte Wirtschaftsrecht – von der Produkthaftung bis zum Datenschutz. Schon GmbH- und AG-Gesetz regeln, dass mit der „Sorgfalt eines ordentlichen Geschäftsmannes“ vorzugehen ist. Legal-Compliance-Maßnahmen betreffen nicht nur das Unternehmen, sondern auch das Management. Im Falle von Hackerangriffen, Datenpannen oder wenn vertragliche Leistungen mangels Sorgfalt nicht erbracht werden, drohen Schadenersatzforderungen.  

Welches Gewicht hat ein ISO-Zertifikat bei Gerichtsgutachten?
Scheiber: Wenn es in bestimmten Bereichen als Stand der Technik gilt, standardisierte Informationssicherheit oder IT Service Management anzuwenden, wird bei Schadenseintritt die Einhaltung der entsprechenden ISO-Norm geprüft. ISO-Standards basieren auf weltweit anerkannten Good-Practices und werden üblicherweise für Gerichtsgutachten als Maßstab herangezogen.

Welche juristischen Vorteile gewährt eine Zertifizierung?
Scheiber: Zum einen verlangen Managementsysteme nach ISO 27001 oder ISO 20000, sich Kenntnis über relevante Gesetze zu verschaffen. Zum anderen ist zu prüfen, ob Geschäftsleitung und Mitarbeiter diese auch einhalten. Das heißt, mit Implementierung von ISO-Standards wird ein juristisches Sicherheitsnetz eingezogen. Wichtig bei Gerichtsverfahren mit IT-Bezug: Eine Zertifizierung nach ISO 27001 oder ISO 20000 liefert einen unabhängigen Sorgfaltsnachweis, weil durch Audits und Re-Zertifizierungen das Niveau der Managementsysteme ständig verbessert wird. Somit wird Fahrlässigkeit vermieden und das Haftungsrisiko minimiert.  

Trifft ein zertifiziertes Unternehmen bei Fehlern kein Verschulden?
Radinsky:
 Mit ISO 27001 und ISO 20000 lässt sich sorgfältige Leistungserbringung nachweisen. Unterlaufen trotz Sicherheitsmaßnahmen Fehler, liegt kein Verschulden vor, so dass im Prinzip keine Schadensersatzverpflichtung entsteht. Meist empfehlen wir zertifizierten Unternehmen, bei Service Agreements die entsprechende ISO-Norm als Maßstab für die Leistungserbringung in den Vertrag aufzunehmen. Bei bestimmten Schadensfällen wie etwa bei Produkthaftung kann das Unternehmen Ansprüche gegen die eigene Geschäftsleitung geltend machen – wenn diese es verabsäumt hat, ein Internes Kontrollsystem einzurichten. Ist das Unternehmen ISO-zertifiziert, womit wesentliche IKS-Anforderungen wie Dokumentation und Überprüfungen abgedeckt sind, hat die Geschäftsleitung ihre Sorgfaltspflicht erfüllt und gute Karten.

EVENT-TIPP:
Österreichs größtes Security-Symposium

9. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2013
Standardisierung von Security & Services nach ISO 27001 / ISO 20000

Di, 04. Juni 2013, 13.00-18.30
Kursalon Stadtpark, 1010 Wien

Key Note von Awareness-Forscher Mikko Siponen, Finnland: “Employees‘ Compliance with Information Security Procedures: Make it Work.” Der Themenbogen der Vorträge spannt sich von „Integration der Cloud-Services in 27001-Security-Prozesse” über „BYOD aus arbeits- und datenschutzrechtlicher Sicht“ bis zum „Schutz sensibler Personendaten nach ISO 27001 in der österr. Staatsdruckerei“. Veranstalter sind die Zertifizierungsorganisationen CIS und Quality Austria.

Information und Anmeldung:
www.cis-cert.com/Symposium