🛡️ 💰Geld mit #Cybersecurity verdienen? Da gibt es ein paar Kleinigkeiten zu beachten, bevor es teuer wird.
💸 Die #Haftung ist das Damoklesschwert: gerade Nichtanwälte haben das erhebliche Problem, diesen Bereich tierisch zu unterschätzen. Was man auch schnell merkt: Wer als Einzelkämpfer bzw kleine Beratungs-Boutique für 100 Euro/Stunde unterwegs ist, der hat sein Haftungsrisiko nicht auf dem Schirm, ignoriert es oder muss keine passende Haftpflicht bezahlen. Und nein, eine UG/GmbH schützt zwar (die Gesellschaft) nach außen, im Fall grober Schnitzer aber nicht (den Geschäftsführer) nach innen. Die Haftung kann und wird bei groben Fehlern ins persönliche Portemonnaie durchschlagen.
⚖ Ich habe mir ein paar lose Gedanken dazu gemacht, woran man so denken sollte, wenn man Unternehmen zur #Cybersicherheit berät oder Produkte hierzu verkauft:
1️⃣ Am Ende ist alles Beratung, auch wenn man nur verkaufen möchte (außer man hat einen Shop, wo schlicht bestellt und geliefert wird), denn es bestehen schnell auch beim Verkauf von Produkten wie Firewalls Beratungspflichten. Speziell dann, wenn der Kunde ein Szenario schildert und passende Produkte für dieses Szenario zu liefern sind.
2️⃣ Für Juristen nicht überraschend: Ein Ausschluss der Haftung existiert nicht, es verbleibt immer bei einer Kernhaftung, gleich wie man sich vertraglich windet. Dieses Risiko muss innerbetrieblich abgebildet sein durch eine Haftpflicht und passende Stundensätze.
3️⃣ Mangelhafte (Beratungs-)Leistung in der #ITSicherheit führt zum Schadensersatz auch hinsichtlich im Nachgang folgender Sicherheitsvorfälle. Der Streit wird insoweit schon jetzt absehbar seltener zu führen sein über das „Ob“ der Haftung als vielmehr über das „wie viel“ der Haftung.
4️⃣ Betroffene Unternehmen werden sich mit eigenem Mitverschulden beim Zustandekommen des Sicherheitsvorfalls (§254 BGB) ebenso auseinandersetzen müssen, wie mit der beweisrechtlichen Problematik des Nachweises eines Schadens der Höhe nach.
5️⃣ Speziell §30 II des neuen BSI-G (#NIS2) wird die Maßgabe sein, an der sich eine IT-Sicherheitsberatung messen lassen muss; ich glaube nicht, dass hiervon abweichende Vereinbarungen möglich sind, wenn ein Sicherheits-Konzept im Raum stehen. Umso wichtiger ist die klare Konturierung, was GENAU geschuldet ist.
6️⃣ Beim Verkauf von Hardware ist an die Anforderungen an Zertifikate zu denken, speziell §30 VI bei "anspruchsvollen Kunden". Ohne #CRA-Zertifikat wird bei besonders wichtigen Einrichtungen nichts laufen. Beim Hardwarekauf müssen Pflegezyklen berücksichtigt sein + Hinweispflicht, wenn absehbar ein Produkt auf eine gewisse Laufzeit nicht mehr gepflegt wird (es gibt anderslautende Rspr, im Beitrag verlinkt, die ist mE hier nicht anwendbar!)
7️⃣ Mit der Rspr wird man im Regelfall einen (Beratungs-)Vertrag mit Schutzwirkung zugunsten Dritter annehmen müssen! Vorstandsberatung hat damit schnell auch Pflichten gegenüber der gesamten Gesellschaft! #wirtschaft #hacker #digitalisierung
🔗
Unmasking yourself
1moWenn die Vermischung von dienstlicher und privater Nutzung des Handys die "Gefahr" für den AG mit sich bringt, im einem Arbeitsrechtsverfahren in ein Sachvortragsverwertungsverbot zu geraten, heißt das: ein AG sollte bewusst die private Nutzung eines Dienst-Handys untersagen? Um so von vorne herein zu verhindern, dass MA sich darauf berufen können, sie seien vom besonderen Schutz der Daten ausgegangen? Und sollte bei einem rein dienstlich zu verwendendem Dienst-Handy MA bewusst auf eine private Nutzung verzichten?