Rechtshandbuch Cyber-Security
IT-Sicherheit, Datenschutz, Gesellschaftsrecht, Compliance, M&A, Versicherungen, Aufsichtsrecht, Arbeitsrecht, Litigation
1st Edition
Published in June 2019
XXXIX, 470 pages
978-3-8005-9248-7 (ISBN)
Description
Wirtschaftsunternehmen sind einer immer größer werdenden Gefahr von Angriffen ausgesetzt, die weitreichende Konsequenzen für Daten, Systeme und Netzwerke und damit für die Integrität und Arbeitsfähigkeit einer Organisation haben können. Dabei wächst auch in Deutschland die Erkenntnis, dass es sich bei den rechtlichen Aspekten von "Cyber-Security" nicht nur um ein Thema der IT-Sicherheit und des Datenschutzes handelt, sondern auch zahlreiche andere Rechtsgebiete betroffen sind. Hierzu gehören etwa das Gesellschaftsrecht (Best Practices der Unternehmensorganisation und Sorgfaltspflichten der Geschäftsleitung), das Versicherungsrecht und die zunehmende Etablierung von Cyber-Versicherungen, das Arbeitsrecht, aber auch die Transaktions- und Aufsichtspraxis.
Das Rechtshandbuch Cyber-Security gibt erstmals für das deutsche Recht einen die Rechtsbereiche übergreifenden Überblick über alle maßgeblichen Fragestellungen. Um den praktischen Nutzen zu erhöhen, wird dabei in der Regel zwischen den rechtlichen Anforderungen an eine Vorbeugung ("Preparedness") und den rechtlichen Leitplanken im Ernstfall ("Response") unterschieden. Abgerundet wird das Handbuch durch Länderberichte zu den USA, UK und China sowie rechtsgebietsübergreifende Checklisten
More details
Product info
E-Book
Series
Edition
1. Auflage 2019
Language
German
Place of publication
Frankfurt am Main
Germany
Target group
Professional and scholarly
Geschäftsführer, Vorstände, Aufsichtsräte, Konzernrechtsabteilungen; Fachabteilungen für Datenschutz, IT-Sicherheit, Arbeitsrecht, Compliance-Management, Risikomanagement; Rechtsanwälte, Universitäten, Hochschullehrer, Studierende
File size
2,39 MB
ISBN-13
978-3-8005-9248-7 (9783800592487)
Schweitzer Classification
Other editions
Additional editions
Gabel / Heinrich / Kiefer
Rechtshandbuch Cyber-Security
IT-Sicherheit, Datenschutz, Gesellschaftsrecht, M&A, Versicherungen, Compliance, Aufsichtsrecht, Arbeitsrecht, Litigation
Book
06/2019
1st Edition
Fachmedien Recht und Wirtschaft
€98.00
Shipment within 5-7 days
Gabel / Heinrich / Kiefer
Rechtshandbuch Cyber-Security
IT-Sicherheit, Datenschutz, Gesellschaftsrecht, Compliance, M&A, Versicherungen, Aufsichtsrecht, Arbeitsrecht, Litigation
E-Book
06/2019
1st Edition
Fachmedien Recht und Wirtschaft
€97.99
Available for download
Persons
Dr. Detlev Gabel ist Rechtsanwalt und Partner im Frankfurter Büro von White & Case LLP. Er ist schwerpunktmäßig in den Bereichen Datenschutz- und Technologierecht tätig und leitet die europäische Praxisgruppe Data, Privacy & Cyber-Security der Sozietät
Dr. Tobias Heinrich ist als Partner im Frankfurter Büro von White & Case LLP im Bereich Mergers & Acquisitions tätig. Schwerpunkt seiner Tätigkeit bildet die Beratung von Unternehmen und strategischen Investoren bei nationalen und grenzüberschreitenden M&A-Transaktionen, Joint Ventures und strategischen Kooperationen
Dr. Alexander Kiefner ist Partner im Frankfurter Büro von White & Case LLP und berät Unternehmen in allen Fragen des Gesellschaftsrechts mit Schwerpunkten im Aktien- und Konzernrecht unter Einschluss der kapitalmarktrechtlichen Bezüge
Content
- Cover
- Titel
- Impressum
- Vorwort
- Inhaltsverzeichnis
- Abkürzungsverzeichnis und Verzeichnis der abgekürzt zitierten Literatur
- Kapitel 1 - Einleitung
- I. Top-Thema "Cyber-Security"
- II. Gängige Formen von Cyber-Attacken
- 1. Erpressung durch Computersabotage - Ransomware
- 2. Computersabotage um der Sabotage willen - Malware
- 3. Überlastung von Infrastrukturen - DDoS-Attacken
- 4. Gezielter dauerhafter Zugriff auf IT-Systeme - Advanced Persistent Threat (APT-Angriff)
- 5. Die Chef-Masche - CEO-Fraud
- III. Kosten
- IV. Vorbeugende Maßnahmen ("Preparedness")
- 1. Der strategische Rahmen
- 2. Praktische Maßnahmen
- a) Bestimmung der "Cyber-Sicherheits-Exposition" durch das Management
- b) Ein kritischer Blick seitens des Risikomanagements
- c) Umsetzung geeigneter Maßnahmen durch den CIO und den CISO
- V. Verhalten im Ernstfall ("Response")
- 1. Erfassung und Bewertung des Angriffs ("Identification")
- 2. Schadensbegrenzung ("Minimization")
- 3. Dokumentation aller relevanten Informationen ("Documentation")
- 4. Benachrichtigung Dritter ("Notification")
- 5. Rückkehr zum Normalbetrieb ("Remediation")
- VI. Querschnittsthema Cyber-Security
- Kapitel 2 - Gesellschaftsrecht (Unternehmensleitung und Unternehmensorganisation)
- I. Rechtsgrundlagen
- 1. Einleitung
- 2. Cyber-Security, Compliance und Risikomanagement
- 3. Rechtsgrundlagen
- II. Kollisionsrecht und Verhltnis zu ausländischen Rechtsquellen
- III. Preparedness
- 1. Cyber-Security bezogene Risikovorsorge und Compliance als Rechtspflicht der Unternehmensleitung
- 2. Risikoanalyse
- a) Analyse und Ordnungsrahmen
- b) Umfang der Analyse
- c) Risikokategorisierung und Risikobewertung
- d) Ständige Aktualisierung der Risikoanalyse und -bewertung
- 3. Einführung einer der Analyse und Bewertung entsprechenden Cyber-Security-Governance
- a) Möglichkeiten der Risikobehandlung
- b) Umsetzung durch Cyber-Security-Programm
- c) Preparedness auf dem Prüfstand
- 4. Praktische Notwendigkeiten und Folgen für die Gremienarbeit und -organisation
- a) Das richtige "Mindset" auf Ebene der Unternehmensleitung
- b) Das "richtige" Know-how auf Ebene von Vorstand und Aufsichtsrat
- c) Organisatorische Umsetzungsmaßnahmen
- aa) Veranlassungen und Aufgaben auf Ebene des Vorstands
- bb) Veranlassungen und Aufgaben auf Ebene des Aufsichtsrats
- cc) Kommunikation zwischen Vorstand und Aufsichtsrat
- d) Risikoexternalisierung durch Versicherungslösungen
- IV. Response
- 1. Organisationsvorkehrungen für den Ernstfall
- a) Cyber Incident Response Plan (CIRP)
- b) Das Response-Team
- c) Bedeutung einer effektiven IT-Forensik nach Cyber-Angriff
- 2. Business Judgment Rule und Response
- 3. Insiderrecht und Ad-hoc-Publizität
- 4. Nachgelagerte Maßnahmen nach einer Cyber-Attacke (mittelfristige Reaktion)
- V. Haftungsrisiken für die Unternehmensleitung
- 1. Innenhaftung wegen fehlender oder unzureichender Preparedness
- 2. Innenhaftung wegen fehlender oder unzureichender Response
- 3. Mögliche ersatzfähige Schäden
- 4. Überwälzung von Unternehmensbußgeldern auf Geschäftsleiter
- Kapitel 3 - Mergers & Acquisitions
- I. Einführung
- II. Fallbeispiele
- 1. Verizon/Yahoo
- 2. FedEx/TNT
- 3. Marriott/Starwood
- III. Preparedness
- 1. Bedeutung und Gegenstand der Cyber-Due Diligence
- 2. Eckpunkte der Cyber-Due Diligence
- 3. Durchführung einer Cyber-Due Diligence
- a) Operative Risikoanalyse und Verortung digitaler Assets
- b) Compliance-Risikoanalyse
- c) Risikomanagementsysteme und Compliance
- d) Spezialgesetzliche Regelungen
- e) Datenschutz
- f) Individuelles Handeln als Risikofaktor
- g) Outsourcing an Dritte
- h) Cyber-Versicherungen
- i) Meldepflichten
- j) Cyber-Security-Governance
- k) Stellenwert auf Ebene der Unternehmensleitung
- l) Vorbereitende Maßnahmen für den Ernstfall
- m) Betroffene Länder
- IV. Response
- 1. Vertragliche Instrumente zur Absicherung von Cyber-Risiken
- a) Kaufpreisanpassung
- b) Selbstständige Garantien
- aa) Gegenstand möglicher Garantien
- bb) Kenntnisabhängige Garantien und Wesentlichkeitsvorbehalte
- cc) Rechtsfolgen von Garantieverletzungen
- c) Freistellungen
- d) MAC-Klauseln
- e) W&I-Versicherungen
- 2. Integrationsplanung
- Kapitel 4 - Datenschutz
- I. Datenschutzrechtliche Grundlagen
- 1. Cyber-Security und Datenschutzrecht
- 2. DSGVO
- 3. BDSG (neu)
- 4. ePrivacy-Verordnung (Entwurf)
- II. Kollisionsrecht
- III. Preparedness
- 1. DSGVO
- a) Grundsatz der Integrität und Vertraulichkeit
- b) Sicherheit der Verarbeitung von personenbezogenen Daten
- c) Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- d) Datenschutz-Folgenabschätzung
- e) Einsatz von Auftragsverarbeitern
- f) Bestellung eines Datenschutzbeauftragten
- g) Verhaltensregeln und Zertifizierungen
- 2. BDSG (neu)
- 3. ePrivacy-Verordnung (Entwurf)
- IV. Response
- 1. Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
- 2. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
- V. Rechtmäßigkeit der Verarbeitung personenbezogener Daten bei der Durchführung von Cyber-Sicherheitsmaßnahmen
- 1. Zulässigkeit der Verarbeitung personenbezogener Daten nach DSGVO
- a) Notwendigkeit einer Rechtsgrundlage
- b) Einwilligung der betroffenen Personen
- c) Erfüllung rechtlicher Pflichten
- d) Wahrnehmung berechtigter Interessen
- e) Folgen einer unzulässigen Verarbeitung
- 2. Mögliche zusätzliche Anforderungen
- a) TKG
- b) BetrVG
- VI. Sanktionen
- 1. Verhängung von Geldbußen
- 2. Haftung und Recht auf Schadensersatz
- 3. Befugnisse der Aufsichtsbehörde
- Kapitel 5 - IT-Sicherheit
- I. Rechtliche Grundlagen
- II. Preparedness
- 1. Pläne und Strategien zur Verbesserung der IT-Sicherheit in Deutschland
- 2. Pflichten zur Sicherung von IT-Anlagen privatwirtschaftlicher Unternehmen
- a) Präventive Maßnahmen gem. BSIG
- aa) Maßnahmen von Betreibern Kritischer Infrastrukturen
- (1) Bestimmung von Kritischen Infrastrukturen
- (2) Schaffung von IT-Sicherheitsstandards für KRITIS
- (3) Dokumentations- und Mitteilungspflichten
- (4) Mitwirkungspflichten
- bb) Maßnahmen von Anbietern digitaler Dienste
- b) Präventive Befugnisse des BSI
- aa) Befugnisse gegenüber Betreibern Kritischer Infrastrukturen und digitalen Diensten
- bb) Befugnisse gegenüber Herstellern von IT-Diensten und -Produkten
- c) Spezialgesetzliche Regelungen zur IT-Sicherheit
- aa) IT-Sicherheitspflichten im Energierecht
- bb) IT-Sicherheitspflichten im Atomrecht
- cc) IT-Sicherheitspflichten von Telekommunikationsanbietern
- dd) IT-Sicherheitspflichten im Recht der Telemediendienste
- ee) IT-Sicherheitspflichten für die Gesellschaft für Telematik
- 3. Die Implementierung von IT-Sicherheit im Unternehmen
- 4. Pflichten zur Sicherung von IT-Anlagen im Sektor Staat und Verwaltung
- a) Vorgaben des BSIG
- b) Vorgaben des UP Bund
- c) Kommunikationsnetze des Bundes
- d) Vorgaben des Online-Zugangsgesetzes
- III. Response
- 1. Meldepflichten von Betreibern Kritischer Infrastrukturen
- a) Meldeverpflichtung
- b) Meldungsinhalt
- 2. Meldepflichten von Anbietern digitaler Dienste
- 3. Bewältigung von Störungen und Befugnisse des BSI
- 4. Spezialgesetzliche Meldepflichten
- a) Meldepflichten im Energierecht
- b) Meldepflichten im Atomrecht
- c) Meldepflichten im Telekommunikationsrecht
- d) Meldepflichten im Recht der Telemediendienste
- e) Meldepflichten für die Gesellschaft für Telematik
- 5. Meldepflichten und Störungsbewältigung im Sektor Staat und Verwaltung
- IV. Sanktionen
- 1. Sanktionsvorschriften des BSIG
- 2. Sanktionsvorschriften aus Spezialgesetzen
- 3. Einfluss auf das Zivilrecht
- V. Ausblick: IT-Sicherheitsgesetz 2.0
- Kapitel 6 - Arbeitsrecht
- I. Arbeitsrechtliche Grundlagen
- 1. Individualarbeitsrecht
- a) Beschäftigung als Verantwortlicher für Cyber-Security
- b) Handlungspflichten aus Cyber-Security-Richtlinien
- c) Arbeitsvertragliche Nebenpflichten
- 2. Kollektivarbeitsrecht
- a) Beteiligungsrechte von Betriebsräten
- b) Mitbestimmung in Cyber-Security-Notfällen
- II. Kollisionsrecht
- III. Preparedness
- 1. Cyber-Security-Richtlinien
- a) Inhalt und Form
- b) Individualarbeitsrechtliche Pflichten
- c) Beteiligungsrechte des Betriebsrats
- 2. Schulung und Lernkontrolle ("train & test")
- a) Schulung und Kontrolle
- b) Individualarbeitsrechtliche Pflichten
- c) Beteiligungsrechte des Betriebsrats
- 3. Umgestaltung der Arbeitsumgebung
- IV. Response
- 1. Response-Richtlinien
- a) Inhalte von Response-Richtlinien
- b) Individualarbeitsrechtliche Pflichten
- c) Beteiligungsrechte des Betriebsrats
- 2. Abwehrmaßnahmen
- a) Typische Abwehrmaßnahmen
- b) Individualarbeitsrechtliche Pflichten
- c) Beteiligungsrechte des Betriebsrats
- V. Sanktionen
- 1. Disziplinarische Maßnahmen
- a) Ermahnung /Abmahnung
- b) Kündigung
- 2. Schadensersatz
- a) Pflichtverletzung
- b) Grundsätze der Haftungsbegrenzung für Arbeitnehmer
- aa) Persönlicher Anwendungsbereich
- bb) Verteilung des Schadens nach Verschuldensgrad
- c) Mitverschulden des Arbeitgebers aufgrund unzureichender Preparedness
- Kapitel 7 - Aufsichtsrecht (Banken und Versicherungen)
- I. Überblick und rechtliche Grundlagen
- 1. Bedeutung für den Finanzsektor
- 2. Cyber-Angriffe im Finanzsektor
- 3. Rechtsquellen
- a) Überblick
- b) Nationale Vorgaben
- c) Europäische und supranationale Vorgaben
- II. Preparedness (Anforderungen an das Risikomanagement von Banken)
- 1. Kreditwesengesetz (KWG)
- a) Organisatorische Pflichten (§ 25a KWG)
- b) Auslagerungen (§ 25b KWG)
- 2. Mindestanforderungen an das Risikomanagement (MaRisk) und Bankaufsichtliche Anforderungen an die IT (BAIT)
- a) Technisch-organisatorische Ausstattung (AT 7.2 MaRisk und BAIT)
- b) Notfallkonzept (AT 7.3 MaRisk, Ziff. 7 BAIT)
- c) Auslagerungen (AT 9 MaRisk, Ziff. 8 BAIT)
- 3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
- a) Anwendungsbereich
- b) Angemessene organisatorische und technische Vorkehrungen (§ 8a Abs. 1, Abs. 2 BSIG)
- c) Nachweispflicht (§ 8a Abs. 3 BSIG)
- d) Besondere Anforderungen an Anbieter digitaler Dienste (§ 8c BSIG)
- 4. Sonstige Publikationen von Aufsichtsbehörden
- a) BaFin-Journal
- b) EBA-Leitlinien
- c) ESMA-Leitlinien
- d) EZB
- III. Response (Meldepflichten der Banken)
- 1. BSIG/BSI-KritisV
- a) Anlass der Meldung
- b) Inhalt der Meldung
- c) Unternehmerische Kontaktstelle
- 2. Rahmenwerk der EZB
- a) Rechtsnatur
- b) Cyber-Security-Vorfall
- c) Wesentlichkeit
- d) Meldevorlage
- 3. KWG, MaRisk und BAIT
- IV. Besondere Anforderungen und Meldepflichten für Zahlungsinstitute und Versicherungen
- 1. Zahlungsinstitute
- a) Zahlungsdiensteaufsichtsgesetz (ZAG)
- aa) Preparedness (Anforderungen an das Risikomanagement)
- bb) Response (Meldepflichten)
- b) Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)
- aa) Preparedness (Anforderungen an das Risikomanagement)
- bb) Response (Vorfallüberwachung und Meldepflichten)
- c) BaFin-Rundschreiben zur Meldung schwerwiegender Zahlungssicherheitsvorfälle
- d) BSIG/BSI-KritisV
- e) EBA-Leitlinien
- 2. Versicherungsunternehmen
- a) Versicherungsaufsichtsgesetz (VAG)
- aa) Preparedness (Anforderungen an das Risikomanagement)
- bb) Response (Meldepflichten)
- b) Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) und Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)
- c) BSIG/BSI-KritisV
- d) EIOPA-Publikation
- V. Eingriffsmaßnahmen und Sanktionen
- 1. Öffentlich-rechtliche Sanktionen
- a) Verstöße gegen das KWG
- b) Verstöße gegen das BSIG
- c) Verstöße gegen das ZAG
- d) Verstöße gegen das VAG
- 2. Strafrechtliche Sanktionen
- 3. Zivilrechtliche Sanktionen
- Kapitel 8 - Kartellrecht
- I. Rechtsgrundlagen
- 1. Europäisches Kartellverbot
- 2. Deutsches Kartellverbot
- 3. "Softlaw"
- II. Kollisionsrecht
- III. Preparedness
- 1. Problembewusstsein: Anwendbarkeit und Risiken des Kartellrechts
- 2. Erkennen von Wettbewerbsverhältnissen
- 3. Absprachen zwischen Wettbewerbern
- 4. Unzulässiger Informationsaustausch
- IV. Response
- 1. Compliance-Schulungen und Aufklärung
- 2. "Whistle Blower" und "Internal Investigation"
- 3. Kronzeugenanträge und sonstige Kooperation mit Kartellbehörden
- V. Sanktionen
- 1. Bußgelder
- 2. Untersagungsverfügungen
- 3. Schadensersatzklagen
- Kapitel 9 - Vergaberecht
- I. Rechtliche Grundlagen
- II. Preparedness
- 1. Gewährleistung der Vertraulichkeit durch die öffentliche Hand
- a) Betriebs- und Geschäftsgeheimnisse
- b) Besonders geschützte Unterlagen
- c) Schutzniveau und Maßnahmen
- aa) Festlegung des Sicherheitsniveaus durch Abwägung
- bb) Vertraulichkeit nach Abschluss des Verfahrens
- 2. Gewährleistung der Vertraulichkeit durch den Bieter
- 3. Umgang mit No-Spy-Erlass und dessen Auswirkungen
- III. Response
- 1. Cyberbedingter Bruch der Vertraulichkeit beim Bieter
- a) Reaktion des Bieters
- b) Reaktion des öffentlichen Auftraggebers
- 2. Cyberbedingter Bruch der Vertraulichkeit beim öffentlichen Auftraggeber
- a) Reaktion des öffentlichen Auftraggebers
- b) Reaktion des Bieters
- IV. Rechtsfolgen
- 1. Cyberbedingter Bruch der Vertraulichkeit beim Bieter
- a) Ausschluss
- b) Haftung
- 2. Cyberbedingter Bruch der Vertraulichkeit beim öffentlichen Auftraggeber
- a) Neustart des Verfahrens
- b) Haftung
- 3. Cyberbedingter Bruch der Vertraulichkeit durch einen Bieter
- Kapitel 10 - Prozessführung und Haftung
- I. Einleitung
- II. Rechtsvergleichender Überblick - Litigation-Trends in den USA
- 1. Target - Der Wendepunkt
- 2. Ashley Madison - "Christmas in September"?
- 3. Yahoo - First data breach related securities class action
- 4. Equifax - Avalanche of Litigation
- 5. Zusammenfassende Würdigung und Schlussfolgerung für Deutschland
- a) Consumer Litigation
- b) Financial Institution Litigation
- c) Securities Litigation
- d) Directors & Officers Litigation
- e) Schlussfolgerungen für Deutschland
- III. Zivilrechtliche Haftungsrisiken für das Unternehmen in Deutschland
- 1. Vertragliche Ansprüche
- a) Schadensersatz wegen Verletzung vertraglicher Primärleistungspflichten
- b) Schadensersatz wegen Verletzung vertraglicher Nebenpflichten
- c) Haftung von Banken bei Überweisungen im Online-Banking
- d) Schadensersatzansprüche von Banken gegen Einzelhandelsunternehmen
- 2. Haftung aus Delikt
- a) Schadensersatz wegen Verletzung der DSGVO
- aa) Haftungsvoraussetzungen
- bb) Ersatz des immateriellen Schadens
- b) Schadensersatz wegen Verletzung des TKG
- c) Haftung für Rechtsverletzungen Dritter
- d) Kapitalmarktrechtliche Haftung
- e) Allgemeine Deliktshaftung
- IV. Haftung der Geschäftsleiter
- V. International zuständige Gerichte
- VI. International anwendbares Recht
- 1. Vertragliche Haftungsansprüche
- 2. Deliktische Haftungsansprüche
- VII. Kollektive Rechtsverfolgung
- VIII. Fazit/Ausblick
- Kapitel 11 - Strafrecht
- I. Vorbemerkung
- 1. Strafbarkeit von Cyber-Angriffen
- a) Spionageangriffe
- aa) Datenerlangung durch Eindringen in fremde EDV-Systeme
- bb) Verwertung falscher Eingaben und Speicherung falscher Daten
- cc) Abfangen von Daten
- dd) Advanced Persistent Threat (APT)
- ee) Staatlich organisierte Spionageangriffe
- ff) Anschlussdelikte und Auffangtatbestände
- b) Sabotageangriffe
- aa) Veränderung, Beschädigung oder Zerstörung von Daten und Programmen
- bb) Blockierung von Computersystemen
- cc) Beschädigung, Unbrauchbarmachung oder Zerstörung von Hardware
- c) Betrügerische Angriffe auf das Vermögen und rechtserhebliche Datenvorgänge
- aa) Phishing
- bb) CEO-Betrug
- d) Strafbare Vorbereitungshandlungen
- e) Voraussetzungen der Strafverfolgung
- 2. Straf- und Bußgeldrisiken für Unternehmensverantwortliche im Zusammenhang mit Cyber-Angriffen
- a) Unzureichende Absicherung von Daten
- aa) Nichteinhaltung technisch-organisatorischer Standards
- (1) Straf- und ordnungswidrigkeitsrechtliche Tatbestände des BDSG
- (2) Ordnungswidrigkeitsrechtliche Tatbestände der DSGVO
- bb) Strafbares Offenbaren von Berufsgeheimnissen
- cc) Verletzung der aktienrechtlichen Geheimhaltungspflicht
- dd) Schlechterfüllung von IT-Sicherheitspflichten - Risiko der Strafbarkeitwegen Untreue?
- b) Verletzung gesetzlicher Melde- und Informationspflichten
- aa) Meldepflichten bei unrechtmäßiger Übermittlung personenbezogener Daten
- (1) Nach BDSG
- (2) Nach DSGVO
- (3) Nach TKG
- bb) Meldepflichten von Betreibern Kritischer Infrastrukturen
- cc) Haftung von Unternehmensinhabern und organschaftlichen Vertretern
- c) Straf- und Ordnungswidrigkeitsrisiken bei besonderen Gefährdungslagen
- aa) Besondere Risiken für Betreiber gefährlicher Anlagen
- bb) Sondertatbestände für Verpflichtete nach dem KWG
- II. Zusammenarbeit mit Ermittlungs- und Fachbehörden sowie sonstigen Dritten
- 1. Gründe für die Zusammenarbeit mit den Ermittlungsbehörden
- a) Expertise und Eingriffsbefugnisse der Ermittlungsbehörden
- b) Vorbereitung eines Zivilprozesses und Sicherung von Beweisen
- 2. Zu beachtende Risiken
- a) Drohender Reputationsschaden
- b) Sicherstellung oder Beschlagnahme von Beweismitteln von Hard- und Software
- c) Umschwenken von ökonomisch motivierten Taten in Sabotagehandlungen
- 3. Einschaltung von Fachbehörden und sonstigen Dritten
- III. Straf- und Verfolgbarkeit von Auslandstaten
- 1. Anwendbarkeit des deutschen Strafrechts
- 2. Grenzüberschreitende Ermittlungen
- IV. Kriminalitätsstatistiken und Aufklärungsrate
- Kapitel 12 - Versicherungsrecht
- I. Grundlagen
- 1. Begriff
- 2. Häufigste Gestaltungsform
- 3. Überblick über die Cyber-Risiken und deren Ursachen
- 4. Marktentwicklung und Bedingungswerke
- a) Gesetzgeberische Aktivitäten
- b) Bedingungswerke
- II. Preparedness
- 1. Sachlicher Gegenstand einer Cyber-Versicherung
- a) Drittschäden
- b) Eigenschäden
- 2. Versicherungsfall
- a) Schadensereignisprinzip
- b) Claims-made-Prinzip
- c) Kausalereignisprinzip
- 3. Umfang des Versicherungsschutzes
- a) Haftpflicht
- b) Vermögenseigenschäden
- c) Zusätzliche Deckungsmöglichkeiten
- aa) Assistance-Leistungen
- bb) Betriebsunterbrechungsversicherung
- cc) Erpressungsgelder
- dd) Geldbußen oder -strafen?
- ee) Sonstige zusätzliche Deckungsmöglichkeiten
- 4. Risikoausschlüsse
- 5. Obliegenheiten vor Eintritt des Versicherungsfalls
- a) Gesetzliche Obliegenheiten vor Eintritt des Versicherungsfalls
- aa) § 19 VVG
- bb) Repräsentantenklauseln
- b) Vertragliche Obliegenheiten vor Eintritt des Versicherungsfalls
- aa) "Stand der Technik"-Obliegenheit
- bb) Verschlüsselungsobliegenheit und weitere anzutreffende vertragliche Obliegenheiten
- cc) Obliegenheiten zur Gesamtorganisation eines Unternehmens?
- 6. Deckungssummen
- 7. Überschneidungen mit anderen Versicherungspolicen
- a) Betriebshaftpflichtversicherung
- b) (Feuer-)Betriebsunterbrechungsversicherung
- c) Vertrauensschadenversicherung
- d) D&O-Versicherung
- e) W&I-Versicherung
- f) Strafrechtsschutzversicherung
- 8. Pflicht zum Abschluss einer Cyber-Risk-Versicherung durch die Unternehmensleitung?
- III. Response
- 1. Gesetzliche Obliegenheiten nach Eintritt des Versicherungsfalls
- a) § 82 VVG
- b) § 31 VVG
- 2. Vertragliche Obliegenheiten nach Eintritt des Versicherungsfalls
- 3. Besonderheiten in tatsächlicher Hinsicht beim Nachweis des Versicherungsfalls im Rahmen der Cyber-Deckung - Optimierungsmglichkeiten
- Kapitel 13 - Länderbericht USA
- I. Introduction
- II. Corporate Law
- III. Corporate Transactions (M&A)
- IV. Data Protection and Data Breach Requirements
- V. IT Security Law and Industry Standards
- VI. Criminal Law
- VII. IT Outsourcing and Commercial Contracts
- VIII. Employment Law
- IX. Regulatory
- X. Public Law (incl. Procurement)
- XI. Information Sharing and Antitrust Law
- XII. Insurance
- XIII. Impact/Influence of Extraterritorial Law
- Kapitel 14 - Länderbericht UK
- I. Overview
- 1. Applicable Laws
- 2. Territorial Application
- 3. General Legal Liabilities
- a) Negligence
- b) Misuse of Private Information
- 4. General Cybersecurity Practices
- 5. Cybersecurity-related Bodies and Guidance
- a) The National Cyber Security Centre
- b) The Information Commissioner's Office
- c) Others
- II. Corporate Law
- 1. Preparedness
- a) General Obligations on all Organisations
- b) Directors
- aa) Duty to promote the success of the company
- bb) Duty to exercise reasonable care, skill and diligence
- cc) Complying with Director Duties from a Cybersecurity Perspective
- 2. Response
- 3. Legal Liabilities
- III. M&A/Due Diligence
- 1. General
- 2. Preparedness
- a) General
- b) Due Diligence Process
- 3. Responses
- IV. Data Protection
- 1. General
- 2. Definition of Personal Data and Processing
- 3. Regulator Enforcement and Criminal Offences
- 4. Preparedness
- a) Security of Personal Data
- aa) GDPR Requirements
- bb) ICO Guidance on Cybersecurity
- b) Policy Requirements
- c) Use of Processors
- 5. Responses
- a) Breach Notification
- b) Remedial Actions
- V. Cybersecurity Law
- 1. General
- 2. Preparedness
- a) In-Scope Organisations
- aa) Operators of Essential Services
- bb) Digital Service Providers
- b) Key Obligations
- c) Legal Liabilities
- 3. Responses
- VI. Criminal Law
- 1. General
- 2. Offences
- a) The CMA 1990 Offences
- aa) Unauthorised access to computer material
- bb) Unauthorised access to computer materials with intent to commit or facilitate commission of further offence
- cc) Unauthorised acts with intent to impair, or with recklessness as to impairing, the operation of a computer
- dd) Unauthorised acts causing, or creating risk of, serious damage
- ee) Making, supplying or obtaining articles for use in offences
- b) Legal Liabilities
- 3. Notification
- VII. Communications
- 1. General
- 2. Preparedness
- a) Key Obligations
- aa) CA 2003 Requirements
- bb) PECR Requirements
- b) Legal Liabilities
- 3. Responses
- VIII. Employment Law
- 1. General
- 2. Employee Monitoring
- IX. Financial Services
- 1. Overview
- 2. Preparedness
- a) FCA Requirements
- b) PRA Requirements
- 3. Responses
- a) FCA Notification
- b) PRA Notification
- X. Public Authorities
- 1. General
- 2. Official Secrets Act 1989
- XI. Competition Law
- XII. Litigation
- Kapitel 15 - Länderbericht China
- I. Introduction
- 1. Network Operators and Critical Information Infrastructures
- a) Network Operators
- b) Critical Information Infrastructures
- 2. Extraterritorial Reach
- 3. Legal Liabilities
- 4. Looking Forward
- II. Corporate Law
- III. M&A
- IV. Data Protection
- 1. General
- 2. Preparedness
- a) Personal Information Management System
- b) Collection of Personal Information
- c) Storage and Security
- d) Use of Personal Information
- e) Data Localisation for CIIs
- f) Transfer of Personal Information
- g) Disclosure of Personal Information
- h) Deletion of Personal Information
- 3. Response
- a) Breach Notification
- b) Take Remedial Actions
- V. IT Security Law
- 1. General
- 2. Preparedness
- a) General Obligations of All Network Operators
- b) Additional Obligations of CII Operators
- c) Purchasing Network Products and Services
- d) Inspections of Internet Service Providers
- e) Obligations of Providers of Internet Information Services with the Attribute of Public Opinion or the Ability of Social Mobilization
- 3. Response
- VI. Criminal Law
- 1. General
- a) Crime of infringing personal information of citizens
- b) Crime of refusing to perform obligations for security management of information networks
- c) Crime of illegally using information networks
- 2. Preparedness
- 3. Response
- VII. IT, Outsourcing and Commercial Contracts
- 1. General
- 2. Preparedness
- a) Obtain Data Subject's Consent
- b) Conduct Security Assessment
- c) Be Mindful of the Purposes behind the Transfer
- 3. Response
- a) Revise Cross-Border Data Transfer Plan
- b) Take Measures to Lower Security Risks
- VIII. Employment Law
- 1. General
- 2. Preparedness
- a) Storage and Security
- b) Data Localisation
- 3. Response
- a) Data Deletion & Correction
- b) Breach Notification and Remedial Actions
- IX. Regulatory
- 1. Financial Institutions
- a) General
- b) Preparedness
- aa) Collection of Data
- bb) Storage and Security
- cc) Data Localisation
- dd) Use of Data
- ee) Sharing of Data in the Securities and Futures Industry
- c) Response
- 2. Insurance Companies
- a) General
- b) Preparedness
- aa) Data Localisation for CIIs
- bb) Corporate Governance
- cc) Data Management
- dd) IT Infrastructure
- ee) Outsourcing
- c) Response
- 3. Healthcare and Medical Institutions
- a) General
- b) Preparedness
- aa) Storage and Security
- bb) Data Localisation
- cc) Publishing of Healthcare Big Data
- c) Response
- aa) Change of Healthcare Institution
- bb) Sharing Platform of Healthcare Big Data
- 4. Power Industry
- a) General
- b) Preparedness
- aa) Storage and Security
- bb) Corporate Governance
- X. Public Law (incl. Procurement)
- XI. Antitrust Law
- XII. Litigation
- XIII. Insurance
- Kapitel 16 - Checklisten
- I. Vorbemerkung
- II. Preparedness
- 1. Allgemein/interne Prozesse/Unternehmensorganisation
- a) Risikoanalyse
- b) Folgerungen aus der Risikoanalyse
- c) Unternehmensorganisation und -leitung
- 2. Datenschutzrecht
- 3. IT-Sicherheitsrecht
- a) Betreiber von Kritischen Infrastrukturen bzw. Anbieter digitaler Dienste
- b) Anlage mit Energiebezug
- c) Anlage mit Atombezug
- d) Telekommunikations- und Telemedienanbieter
- 4. Arbeitsrecht
- 5. Aufsichtsrecht
- a) Anforderungen an das Risikomanagement von Banken
- b) Anforderungen an das Risikomanagement bei Kritischen Infrastrukturen
- c) Anforderungen an das Risikomanagement von Zahlungsinstituten
- d) Anforderungen an das Risikomanagement von Versicherungen
- 6. Kartellrecht
- 7. Vergaberecht
- a) Gewährleistung der Vertraulichkeit durch die öffentliche Hand
- b) Gewährleistung der Vertraulichkeit durch den Bieter
- 8. Versicherungsrecht
- a) Allgemein
- b) Obliegenheiten des Versicherungsnehmers vor Eintritt eines Versicherungsfalls
- III. Response
- 1. Cyber Incident Response Plan (CIRP) (rechtsbereichsübergreifend)
- 2. Response-Team
- 3. Gesellschaftsrecht (Unternehmensleitung und Unternehmensorganisation) (soweit im CIRP nicht bereits enthalten)
- a) Entscheidung ber die konkrete Reaktion/Business Judgment Rule
- b) Insiderrecht/Ad-hoc-Publizität (börsennotierte Unternehmen)
- c) Nachgelagerte Maßnahmen
- 4. Datenschutzrecht (soweit im CIRP nicht bereits enthalten)
- 5. Arbeitsrecht (soweit im CIRP nicht bereits enthalten)
- 6. Kartellrecht (soweit im CIRP nicht bereits enthalten)
- 7. Vergaberecht (soweit im CIRP nicht bereits enthalten)
- a) Bietersicht
- b) Öffentlicher Auftraggeber
- 8. Strafrecht (soweit im CIRP nicht bereits enthalten)
- 9. Versicherungsrecht (soweit im CIRP nicht bereits enthalten)
- Stichwortverzeichnis
