„Deutschland ist beim Thema IT-Sicherheit in Europa vergleichsweise Vorreiter“, betonte Dr. Dennis-Kenji Kipker, Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht an der Universität Bremen. Bereits seit dem Jahr 2011 gibt es hierzulande eine Cyber-Sicherheitsstrategie, die vor einem Jahr – im November 2016 – aufgrund der neuen Bedrohungslage angepasst wurde. Zwei der vier Handlungsfelder der Strategie betreffen dabei die Privatwirtschaft – und damit auch Unternehmen: „Zum einen geht es darum, Kritische Infrastrukturen zu sichern und damit Unternehmen in Deutschland zu schützen. Zum anderen soll eine leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur gewährleistet werden“, erklärte Kipker.
Dazu bedürfe es einer umfassenden IT-Security-Compliance: „Wie bei Compliance im klassischen Sinn, geht es bei IT-Security-Compliance darum, diejenigen Vorgaben, die sich speziell mit IT-Sicherheit befassen, einzuhalten – im weitesten Sinne gilt das auch für das Thema Datenschutz.“ Dabei gebe es ganz unterschiedliche Quellen für die IT-Security-Compliance, die sich auch in den unterschiedlichen Gesetzen – vom Aktien- und GmbH-Gesetz bis zum Telemediengesetz – wiederfinden. So heißt es zum Beispiel im GmbH-Gesetz: Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. „In der Rechtsprechung fallen darunter auch Cyber-Security-Vorfälle“, betonte Kipker. Die Crux bei der IT-Sicherheit sei, dass es keine kodifizierte Regelung gebe – auch nicht auf europäischer Ebene. In vielen Gesetzestexten laute deshalb die Prämisse, sich am Stand der Technik zu orientieren. Doch was ist Stand der Technik? Hier kommen Normen und Standards ins Spiel.