Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Was kommt da in NIS 2, insbesondere in Kapitel 4, auf Unternehmen zu?

Das wissen wir nicht sicher, aber der Rechtsrahmen ist abgesteckt. Hier in der Richtlinie können Sie nachlesen, was der Gesetzgeber umzusetzen hat.

Spannend ist z.B. die Bildungspflicht der Organe und der Mitarbeiter wesentlicher und wichtiger Einrichtungen. Es sollen regelmäßig Schulungen angeboten werden, um „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“

Artikel 3 zeigt übrigens, wer als wesentlich und wichtig gilt.

Twitter? Mastodon!

Die Mehrheit an Twitter wurde übernommen, die Führung ausgetauscht und Personal abgebaut. Nicht jeder teilt Elon Musks unternehmerische Ideen zu Änderungen bei Twitter. Plötzlich befassen sich viele Unternehmen mit den Alternativen und den möglicherweise bevorstehenden Abwanderungen. Eine solche Alternative könnten die Mastodon-Dienste im sog. Fediverse, einem dezentralen „Federated Universe“, sein.

Auf die Frage der Mandantschaft, wie das bei Mastodon läuft und wer das schon macht:

Zunächst sollte man sich nicht von den Begrifflichkeiten verwirren lassen. Das Fediverse kann man schlicht als Verbund von Kurznachrichten-Servern ansehen, die ihre Inhalte miteinander teilen. Zur Funktion schauen Sie doch mal z.B. beim für unser Bundesland zuständigen LfDI in Stuttgart – oder eher auf der behördeneigenen Mastodon-Instanz – vorbei:

Link LfDIBAWÜ auf Mastodon

Deutsche Mastodon Server – die also den Schutzvorschriften der DSGVO unterliegen – können Sie über diese Suchmaschine zu Mastodon finden:

Link zu den Instances

Wollen Sie eine eigene Instanz in Deutschland betreiben, achten Sie darauf, dass Ihre Datenschutztexte u.a. technisch zutreffend und vollständig sind.

Für Kollegen: beA und Ventura

Zur Funktion von beA auf Ventura (OS 13.0) ist aufgefallen, dass der Card-Reader Reiner SCT cyberJack RFID Comfort einen Fehler beim Connect-Versuch zum beA-Web warft.

Der Fehler ist beim vorherigen Betriebssystem bei selbem Hardware-Setup nicht aufgetreten. Durch Deaktivierung der RFID-Lese-Funktion ist das Verbindungsproblem im Card-Reader lösbar. In der Praxis hat sich gezeigt, dass ein System-Neustart und eine neue Verbindung des USB-Readers hilfreich sind.

Hier der Link zur RFID-Deaktivierung:

RFID-Deaktivierung: Anleitung des Herstellers

Lizenzeinräumung: Where on FB?

Wo befinden sich die Hinweise auf Facebook, die sich mit der Einräumung einer Lizenz des Nutzers für die hochgeladenen Bilder und anderen Inhalte befasst?

Z.B. hier in den AGB: Link zu Facebook Terms

Interessant ist – aus juristischer Sicht einiges – insbesondere der Punkt Nr. 3 unter 3., der auch die Einräumung einer Lizenz für abgeleitete Werke betrifft. Laut meta/Facebook dient die Lizenz lediglich dazu dem Nutzer Dienste bereitzustellen. Was das eines Tages für neuartige Dienste im „Metaverse“ bedeutet, bleibt spannend.

Es ist zu raten, die eigenen Einstellungen zur Nutzung von Inhalten auf Facebook in regelmäßigen Abständen zu prüfen und nach dem eigenen Willen anzupassen, damit meta, wie sie schreiben, die Dienste „im Einklang mit deinen Einstellungen“ wie sie schreiben erbringt.

Sie gründen eine GmbH? An diese Rechtsgebiete denken!

Man muss es nicht Business Judgement Rule nennen. Sagen wir hier mal „Verstand der Geschäftsführung, der informiert die Lage einschätzt“ dazu. Informiert bedeutet oft: Je mehr man vorher weiß, desto besser.

Als künftiger Geschäftsführer einer GmbH werden Sie mit einer Vielzahl von Rechtsgebieten mit und ohne Rechtsberatung dazu befasst sein. Auf die Frage welche Gebiete und Rahmenbedingungen zum Start des Geschäftsbetriebs eines Unternehmens hervorzuheben sind, kann man antworten:

Gesellschaftsrecht (dazu auch etwas Registerrecht) – Kennzeichenrecht (insbesondere Markenrecht) – Arbeitsrecht (darin auch das Tarifvertragsrecht) – Wettbewerbsrecht (insbesondere die Compliance bei der Eigendarstellung und das sonstige UWG-konforme Verhalten, z.B. bei Werbung) – Datenschutzrecht (die Organisation des jungen Unternehmens nach DSGVO-Aspekten) – Steuerrecht (Die Erfüllung der Pflichten der AO, KStG) – natürlich auch das Vertragsrecht (AGB-Recht, Handelsrecht, evtl. auch internationales Handelsrecht wie CISG) – Haftungsrecht des Geschäftsführers (mit etwas Versicherungsrechtsthematik: D&O)

Das ist natürlich nur eine persönliche und generelle Einschätzung. Lesen Sie als neuer Geschäftsführer dazu nach oder lassen Sie sich frühzeitig beraten.

Nur ein Detail nach GmbH-Gründung…

aber ein wichtiges: Die Konteninhaber-Bezeichnung

Nach der notariellen Gründung und vor Registereintragung besteht eine sogenannte Vor-GmbH. Lässt sich der künftige Geschäftsführer einer Gesellschaft mit beschränkter Haftung in dieser Zeit der Gründung ein Konto mit dem Vermerk i.Gr (in Gründung) bei der Bank erstellen, ist darauf zu achten dass das Konto der Gesellschaft den Vermerk nicht längere Zeit als nötig nach Gründung behält.

Unternimmt zum Beispiel die Gesellschaft eine Überweisung, wundert sich der Empfänger (regelmäßig ein Vertragspartner), der die Anweisung erhält, über die Darstellung auf seinem Kontoauszug. Sofort stellt sich die Frage, ob die Handelsregisternummer dem Unternehmen wirklich erteilt wurde, oder ob es Probleme mit der Bonität im Rahmen der GmbH-Gründung gab. Gerade, wer im Vertrieb auf zuverlässigen Wareneinkauf angewiesen ist, sollte auf klare Verhältnisse gegenüber den Lieferanten achten.

Daher ist es ratsam, sobald die Eintragung nachgewiesen ist, den unrichtigen Vermerk über den Kontoinhaber „in Gründung“ zeitnah von der Bank ändern zu lassen.

Der regelmäßige Blick aufs BSI

Die im gesetzlichen Sinne sorgfältige Geschäftsführung (§ 43 I GmbHG) wird den Technikeinsatz des eigenen Unternehmens auf Schwachstellen überprüfen müssen und, zumindest wo solche offensichtlich sind, zeitnah handeln.

Der regelmäßige Blick auf die technischen Warnungen des BSI ist dazu wichtig um rechtzeitig Gegenmaßnahmen ergreifen zu können. Sie erlangen verständlich zusammengefasste Informationen über die vom BSI identifizierten technischen Probleme und deren Gefährdungseinstufung hier (Link bei Abruf des Beitrags).

Ein Wort zum Troll

Wer sein/ihr Unternehmen oder einen Anteil daran verkaufen will – und insbesondere wer kaufen will, wird das unternehmerische Risiko des Kaufgegenstandes im Blick haben. Vor dem Erwerb muss es – vielleicht sogar erstmals – (hoffentlich) realistisch eingeschätzt werden.

Unternehmensleiter, die über Jahre mit Software oder auf Software gestützten Produkten am Markt präsent waren, sind gelegentlich irritiert, wenn die reale Thematik der Risiken aus dem Immaterialgüterrecht aufkommt, insbesondere die der Patent-Trolle.

Als Trolle bezeichnet man üblicherweise an einem Patent berechtigte Unternehmen, die ohne wesentliche eigene Tätigkeit mit dem jeweiligen Patent, aus der Verletzung des Patentrechts Gewinn generieren wollen.

Im Software- und IT-Bereich ist es nicht einfach und mit Aufwand (finanziell wie auch personell) verbunden fremde Immaterialgüterrechte an den eigenen Programmen zu prüfen oder prüfen zu lassen. Manchmal unterbleibt eine solche Prüfung. Das kann sich rächen, wenn der Patent-Troll auf das Unternehmen zukommt und Schadensersatz fordert. Solche Versäumnisse sollten in den M&A-Verhandlungen „eingepreist“ und Risiken vor dem Kauf minimiert werden.

Positiv ist, dass immer wieder auch Klagen von Trollen keinen Erfolg haben. Dies zeigte sich in der Sache Gnome-Shotwell, wobei der Patent-Troll sogar sein verliert sein Patent verlor. Hier weiterführendes.

Im Hinblick die Compliance sollten langfristige Strategien zur Darlegung der Rechtmäßigkeit der Verwendung von Technologien erarbeitet werden. Diese helfen auch in der Verkaufssituation mit oder ohne due diligence.

(Update 2.5.2022)