Praxis des IT-Rechts - Praktische Rechtsfragen der IT-Sicherheit und Internetnutzung

9 Risikomanagement, Standards und Zertifizierung (S. 241-242)

Ist Sicherheit Privatvergnügen? Der Themenbereich „Risikomanagement und Datensicherung" beschäftigt sich mit der Verpflichtung des Unternehmens bzw. seiner Geschäftsleitung, Maßnahmen zur Gewährleistung von IT-Sicherheit zu ergreifen. Die freiwillige Anschaffung von Sicherheitstechnik – insbesondere für den Eigenschutz der Unternehmen – wird in Zeiten knapper finanzieller Budgets zurückgestellt. Gesetzlich verankerte Pflichten zur Installation von IT-Sicherheit sind nicht nur Verkaufsargumente für die Hersteller, sondern helfen auch den Sicherheitsbeauftragten und Administratoren in den Unternehmen, bei der Geschäftsleitung die notwendigen Mittel für die Einrichtung der ITSicherheitstechnik freizumachen. 9.1 Verpflichtungen zur IT-Sicherheit Bei der Frage, welche gesetzlichen Bestimmungen Sicherungspflichten enthalten, stößt man zunächst auf die Straftatbestände des § 203 StGB, 17 UWG sowie § 44 BDSG.

9.1.1 Privat- und Geschäftsgeheimnisse

In § 203 StGB wird die Verletzung von Privatgeheimnissen unter Strafe gestellt. Bestimmte Berufsgruppen wie Ärzte, Apotheker, Rechtsanwälte, Notare, Wirtschaftsprüfer, Steuerberater, soziale und psychologische Beratungsstellen aller Art, Sozialarbeiter, Angehörige von Sozialversicherungen usw. unterliegen hinsichtlich der ihnen anvertrauten Daten einer besonderen Verschwiegenheitspflicht.

Die unbefugte Mitteilung der Geheimnisdaten an Dritte ist strafbar. Gemäß § 203 StGB gehören zu den Berufsgruppen mit Garantenstellung auch alle Amtsträger sowie Personen, die für den öffentlichen Dienst besonders verpflichtet sind. Amtsträger sind nach § 11 Nr. 2 alle Beamten, Richter, Personen in einem sonstigen öffentlich-rechtlichen Amtsverhältnis (z. B. Notare) oder sonstige Funktionsträger der öffentlichen Verwaltung. Umfasst sind Beamte auf allen Ebenen, also Kommunal-, Landes- und Bundesbeamte. Nicht jedoch kirchliche Amtsträger.

Beamter ist nur, wer förmlich in das Beamtenverhältnis bestellt wurde und hoheitliche Aufgaben wahrnimmt. Nicht erfasst sind folglich die herkömmlichen Angehörigen des öffentlichen Dienstes. Allerdings wird man in der Praxis nur schwer trennen können. Ein richterliches Urteil oder eine behördliche Verfügung sind zweifellos Hoheitsakte, so dass die anfallenden Informationen und Daten dem § 203 StGB unterfallen.

Werden zur Datenverarbeitung – was regelmäßig der Fall sein wird – insbesondere auch Angehörige des öffentlichen Dienstes, wie etwa Schreibkräfte, eingesetzt, so ist deren Tätigkeit ebenfalls erfasst, weil den entsprechenden Amtsträger Aufsichts- und Überwachungspflichten treffen. Damit besteht in der praktischen Konsequenz für den gesamten Bereich der öffentlichen Verwaltung die Pflicht, die notwendigen Maßnahmen zur Schaffung von ITSicherheit zu ergreifen. Für den öffentlichen Dienst besonders verpflichtet im Sinne von § 203 Abs. 2 Nr. 2 StGB können insbesondere auch private Unternehmen sein, die z. B. als sonstige Stellen zur Datenverarbeitung von Behörden herangezogen werden. Erfasst sind nach § 203 Abs. 2 Nr. 3 StGB auch Personen, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht der Länder und des Bundes (Personalräte) wahrnehmen.

Unter den Amtsträgerbegriff fällt auch die Wahrnehmung von Aufgaben der öffentlichen Verwaltung durch behördenexterne Personen, also etwa die mit öffentlichen Aufgaben Beliehenen wie z. B. Prüfingenieure für Baustatik. Neben den privatisierten Behörden und privaten Trägern öffentlicher Aufgaben sind auch sonstige Stellen mit öffentlich-rechtlichen Funktionen erfasst, wie etwa Krankenhäuser oder die Treuhand. Ebenso unterfallen dem Amtsträgerbegriff auch die Mitglieder von Organen öffentlich- rechtlicher Körperschaften, etwa leitende Personen öffentlicher Banken, verbeamtete Vorstandsmitglieder kommunaler Sparkassen, Fluglotsen oder in einem privatrechtlich organisierten staatseigenen Betrieb, sofern dessen Aufgaben nicht völlig außerhalb des Tätigkeitsfeldes der Behörde liegen (BGHSt 12,89).