IT-Sicherheitsrecht

Inhaltsverzeichnis
  1. Whitepaper Cyber Security
  2. Cyber Defense Legal Framework by TRÖBER@ legal
  3. Unsere Expertise
  4. Unsere Expertinnen und Experten

Wie wir arbeiten

Wirtschaftskanzlei & Kanzlei für die öffentliche Hand

TRÖBER@ legal ist eine Wirtschaftskanzlei aus Leidenschaft. Für uns steht Ihr unternehmerischer Erfolg im Mittelpunkt unserer Arbeit. Als spezialisierte Kanzlei sind wir stets auf der Suche nach sinnvollen und pragmatischen Lösungen, welche Ihre Bedürfnisse erfüllen. Unser Anspruch ist es, Sie mit dieser Kompetenz und über 30-jähriger Erfahrung auf dem Gebiet des IT-Rechts zu unterstützen und so optimale Lösungen für kleine, mittlere mittelständische, sowie große Unternehmen zu finden.

Beratung

Der Schwerpunkt unserer Tätigkeit liegt darin, Ihnen Cyber Security als ganzheitliche Lösung anbieten zu können und Ihnen so einen rechtlichen Rahmen aus Prävention, Reaktion, Nachsorge und den nötigen „Basics“ zu schaffen.

Prävention

Um rechtlichen Risiken aus IT-Sicherheitsvorfällen bestmöglich vorzubeugen, liegt ein wesentlicher Fokus unserer Beratung auf der Erstellung und Umsetzung eines Cyber Defense Legal Frameworks. Ziel unseres Konzeptes ist es, die Haftung des Unternehmens bei IT-Sicherheitsvorfällen zu begrenzen und dabei auch individuelle Haftungsrisiken der Geschäftsleitung, die sogenannte D&O-Haftung, in den Blick zu nehmen.

Im Zuge einer optimalen Prävention analysieren und prüfen wir die individuellen Datenschutzorganisation, sowie die vorhandenen Verträge mit Zuliefern und Kunden, beispielsweise in Form von AGB, Managed Service Verträgen und Internet- und Cloud-Verträgen.

Außerdem übernehmen wir die Prüfung, ob bestehende technische und organisatorische Maßnahmen etwaige Rechtspflichten erfüllen, sowie die rechtliche Prüfung des Schutzes von Geschäftsgeheimnissen. Neben unserer prüfenden Tätigkeit stehen wir Ihnen ebenso bei dem Aufbau und der Einführung eines CIRP (Cyber Incident Response Plan) zur Umsetzung der Vorschriften im Zuge eines ganzheitlichen Ansatzes zu Verfügung.

Ausgehend von den Prüfungsergebnissen begleiten wir Sie ebenso bei der Umsetzung weiterer Präventionsmaßnahmen. Neben der bereits erläuterten Implementierung und Dokumentation technischer und organisatorischer Maßnahmen (TOM) der Informationssicherheit, welche beispielsweise gem. Art. 24 DSGVO erforderlich sind, kümmern wir uns außerdem um die Aufnahme rechtlicher Verpflichtungen in Incident Response Pläne und um die juristische Begleitung von Zertifizierungsprozessen (z.B. ISO 27001 oder ISO 27001 auf Basis von IT-Grundschutz).

Und bei konkreten Einzelfragen?
Durch den direkten Draht zu unseren Mitarbeiter*innen bekommen Sie stets eine schnelle und fundierte Antwort.

Reaktion

Trotz eines vollumfänglichen Präventionsplans kann ein IT-Sicherheitsvorfall natürlich nie vollständig ausgeschlossen werden. Im Falle eines konkreten Vorfalls begleiten wir Sie jedoch als kompetenter Berater durch alle Phasen der Bewältigung und stehen an Ihrer Seite, falls es doch einmal brennen sollte.

Wir unterstützen Sie im Ernstfall bei der Meldung bei Aufsichtsbehörden, z.B. im Falle eines Datenschutzvorfalles nach Art. 33 DSGVO oder bei Störungen der IT-kritischen Infrastruktur nach § 8b BSI-Gesetz. Außerdem beraten wir Sie bei einer eventuell erforderlichen Information der Kunden, wie es z.B. nach Art. 34 DSGVO der Fall ist.
Unser Ziel ist es, das Vertrauen Ihrer Kunden auch im Falle eines Sicherheitsvorfalles zu erhalten und gelichzeitig alle Rechtspflichten zu erfüllen und dabei sicherzustellen, dass keine rechtlich unvorteilhaften Aussagen getätigt werden.
Auch in Bezug auf die Zusammenarbeit mit etwaigen Ermittlungsbehörden, wie beispielsweise der Polizei, stehen wir Ihnen zur Seite und unterstützen Sie bei der sorgfältigen und rechtssicheren Dokumentation des Vorfalls.

Bei Sicherheitsvorfällen steht Ihnen in vielen Fällen nur eine kurze Zeitspanne zur Reaktion zu Verfügung. Wir stellen sicher, dass die rechtliche Vorbereitung und Begleitung der Kommunikation mit Behörden, Kunden und sonstigen Dritten rechtssicher, effektiv und schnell erledigt wird und bieten so rechtliche Unterstützung bei der Schadensaufnahme und Schadenminimierung.

Nachsorge

Selbstverständlich stehen wir Ihnen auch bei Nachsorge eines IT-Sicherheitsvorfalls unterstützend und beratend zur Seite.

Mittels Review und Analyse der Cyber Attack unterstützen wir Ihr Unternehmen bei der Erstellung von Abschlussberichten und deren Dokumentation (z.B. für Aufsichtsbehörden).
Außerdem kümmern wir uns um die Abwehr von Haftungsfällen und helfen bei der Kommunikation mit Cyber Insurances. Eine sauber durchgeführte Nachsorge beinhaltet außerdem die Optimierung des Compliance-Management-Systems, um durch den IT-Notfall aufgedeckte Schwachstellen und Sicherheitslücken zu schließen. Wir unterstützen Sie außerdem im Nachgang, Ihre Dokumentationen zum Notfallmanagement auf dem aktuellen Stand zu halten und entwickeln gemeinsam mit Ihnen Ihre IT-Sicherheitsarchitektur weiter.

Erstellung von Rechtstexten und Verfahrensdokumentationen

Stehen das Konzept und der organisatorische Rahmen, übernehmen wir die Erstellung sämtlicher Rechtstexte:

  • Aufbau CIRP (Cyber Incident Response Plan)
  • Abschlussberichte und Dokumentation (z.B. für Aufsichtsbehörden)
  • Compliance-Management System

Vertretung

Sofern es nötig wird, übernehmen wir Ihre kompetente Vertretung vor Gericht, gegenüber den Aufsichtsbehörden und Betroffenen. Wir unterstützen bei der Reduzierung des Haftungsrisikos. Unsere Experten entwickeln stets die im Einzelfall passenden Verteidigungsstrategien aus Cyber Defense plus Legal Framework, womit ganzheitlicher Schutz anvisiert wird – immer mit Blick auf die größtmögliche Rechtssicherheit für Ihr Unternehmen.

Gutachten

Wir bieten Ihnen qualifizierte Gutachten im IT-Sicherheitsrecht an. Dafür erarbeiten wir uns zunächst ein umfassendes Verständnis Ihres Geschäftsmodelles und der konkreten IT-Situation. Unser erfahrenes Team beginnt dabei mit einer konkreten Bestandsaufnahme und Risikoanalyse, um IT-Risiken zu identifizieren und Ihnen klare Handlungsempfehlungen zur Prävention von Sicherheitsvorfällen und Schließung von Sicherheitslücken zu geben.

Unsere Expertise

Implementierung und Dokumentation technischer und organisatorischer Maßnahmen der Informationssicherheit (TOM)

Als spezialisierte Kanzlei verfügen wir über fundiertes Wissen in Bezug auf die Vorgänge zur Implementierung und Dokumentationen der Maßnahmen zur Informationssicherheit, welche beispielsweise nach Art. 24 DSGVO erforderlich sind.
Zur Herstellung ausreichender Informationssicherheit ist ein umfassendes Informationssicherheitsmanagement erforderlich, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen.
Als Partner an Ihrer Seite unterstützen wir Sie bei der Umsetzung und Überprüfung etwaiger Maßnahmen, um die Informationssicherheit in Ihrem Unternehmen sicherzustellen.

Aufbau und Einführung eines CIRP (Cyber Incident Response Plan)

Die Erstellung eines CIRP sorgt für eine schnelle Reaktionsfähigkeit im Falle eines Cyberangriffs oder Datenschutzvorfalls. Alle ggf. nötigen Maßnahmen und Aktionen sind im Zuge des Plans bereits im Vorfeld ausgearbeitet und die Verantwortlichkeiten im Team klar definiert – dies ermöglicht einen reibungslosen und schnellen Handlungsablauf, wenn es drauf ankommt. Sinn und Zweck des Cyber Incident Response Plan ist es, eine schnelle Eindämmung eines Cyber-Vorfalls sicherzustellen und so einen resultierenden Schaden möglichst gering zu halten.

Die Incident Response ist der Prozess eines Unternehmens, bei dem auf IT-Bedrohungen wie Cyberangriffe, Sicherheitsverletzungen und Serverausfälle reagiert wird. Ein effektives Incident Response Management zielt darauf ab, den Betrieb von digitalen Services aufrechtzuerhalten beziehungsweise so schnell wie möglich wieder herzustellen. An erster Stelle des Management Systems steht, die negativen Auswirkungen eines Zwischenfalls auf ein Minimum zu reduzieren.

Es gilt eine effektive Reaktion auf einen Sicherheitsvorfall zu etablieren, bevor ein solcher überhaupt eintritt. Dies erfolgt in der Regel in einem fünfteiligen Prozess: Vorbereitung, Identifizieren und Melden, Bewertung, Reaktion in Form von Untersuchung und Behebung, Dokumentation der Erkenntnisse.

Bei jedem Unternehmen sieht ein solcher Plan etwas anders aus, sehr gern steht TRÖBER@ legal Ihnen mit einer Reihe „Best Practices“ zur Seite, um die Reaktion auf IT-Sicherheitsvorfälle bestmöglich auf Ihr Unternehmen und dessen Bedürfnisse anzupassen.

Gern unterstützen wir Sie bei der Erstellung eines - auf Ihr Unternehmen abgestimmten – Plans und helfen Ihnen, sich möglichst effektiv vor Cyber-Angriffen zu schützen und im Fall der Fälle den angerichteten Schaden möglichst gering zu halten.

Data Protection und Security Awareness Trainings

Um im alltäglichen Umgang mit IT-Systemen ein ausreichendes Sicherheitsniveau zu schaffen, muss zunächst ein Problembewusstsein („Awareness“) für Cyber-Sicherheit geschaffen werden. Erst wenn dieser Grundstein gelegt ist, kann darauf aufbauend eine Verhaltensänderung ein sicherer Umgang mit digitalen Inhalten erreicht werden.
Für eine erfolgreiche Vorfalls-Prävention ist es mithin unumgänglich Security Awareness Maßnahmen erfolgreich zu integrieren und so die Schnittstelle zwischen Mensch und Maschine sicherer und besser zu gestalten.

Als Spezialisten auf dem Gebiet der IT-Sicherheit stehen wir Ihnen gern mit Tipps und Informationen rund um das Thema Data Protection und Security Awareness zur Seite.

Compliance Management System

Außerdem bieten wir Ihnen Services zur Optimierung des Compliance-Management Systems an.
Das CMS umfasst die Gesamtheit der in einem Unternehmen eingerichteten Strukturen, Prozesse und Maßnahmen zur Sicherstellung der Einhaltung rechtsverbindlicher Regelungen. Die Bestandteile eines wirksamen und aussagekräftigen Compliance Management Systems finden sich in der 2021 veröffentlichten generischen Norm ISO 37301. Darunter fällt unter anderem die Unterstützung und Bekenntnis durch die Organisationsleitung, eine umfassende Erfassung der Informationen über die Organisation, Informationen über die betriebliche Planung, sowie die Maßnahmen zur ständigen Verbesserung und des Krisenmanagements.
Mittels eines wirksamen CMS-Systems sollen Risiken für wesentliche Regelverstöße schnellstmöglich und bestenfalls rechtzeitig erkannt werden, damit etwaige Sicherheitsvorfälle abgewendet werden können.

Cyber Attack

Auch im unglücklichen Fall, dass Ihr Unternehmen Opfer einer Cyber Attacke geworden ist, können Sie auf uns zählen. Besonders wichtig: Lieber zu viel melden als zu wenig.
Es kann nie ausgeschlossen werden, dass im Fall des Unterlassens einer Meldung nicht doch eine Rechtspflicht vernachlässigt worden ist, die übersehen wurde. Daher gilt hier der Maßstab – besser Vorsicht als Nachsicht.
Gern beraten wir sie schnell, kompetent und effektiv, welche Meldepflichten in einem konkreten Fall zu beachten sind.

Ansprechpartner im Ernstfall

Wir unterstützen Ihr Unternehmen dabei, im Ernstfall die richtigen Ansprechpartner über einen Vorfall in Kenntnis zu setzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland für die operative Cybersicherheit für kritische Infrastruktur verantwortlich und stellt die allgemeine Meldestelle für Sicherheitsvorfälle dar. Handelt es sich außerdem um einen akuten Fall von Cyberkriminalität ist außerdem das Bundeskriminalamt bzw. das Landeskriminalamt zu informieren. Kommt es hingegen „nur“ zu einem Datenschutzleck personenbezogener Daten ist der/die jeweilige Landebeauftragte*r für Datenschutz und Informationsfreiheit die richtige Anlaufstelle (z.B. LDI NRW). Unter Umständen können auch Kunden und Betroffene zu informieren sein, sofern es um haftungsrelevante und datenschutzbezogene Fragestellungen oder um die – im Zweifelsfall unbefugte – Offenlegung von Geschäftsgeheimnissen geht.

Gern unterstützen wir Sie bei der Einhaltung etwaiger Meldepflichten und stehen Ihnen bei Fragen und Unsicherheiten zur Seite.

Unsere Expertinnen und Experten

Rechtsanwalt Jörn Tröber
Fachanwalt für Informationstechnologierecht … Geboren 1964 in Göttingen, 1984 Abitur am Gymnasium Petrinum in Dorsten, Studium der Rechtswissenschaften und der Betriebswirtschaftslehre von 1986 bis 1990 in Münster, 1991 Referendarexamen beim Oberlandesgericht Hamm, Referendariat…
Prof. Dr. jur. Volker Lüdemann
Volker Lüdemann ist seit September 2009 Professor für Wirtschafts- und Wettbewerbsrecht an der Hochschule Osnabrück und wissenschaftlicher Leiter des Niedersächsischen Datenschutzzentrums (NDZ). Zuvor war er Syndikusanwalt und Geschäftsführer im VW-Konzern. Volker Lüdemann beschäftigt sich seit…