IT-Recht

IT-Recht ist das Recht der Informationstechnologien, bzw. der Fragestellungen die sich bei ihrem Einsatz ergeben. Ein Rechtsgebiet aus Querschnittsmaterien, verschiedenen Rechtsgebieten und zahlreichen Gesetzen. Techniklastig und mit Hang zu Abkürzungen, aber wir lieben es. Denn nichts macht uns mehr Spaß, als Tech-Startups und Unternehmen bei neuen Ideen, Geschäftsmodellen und Compliance-Fragen zu unterstützen. Wir helfen auch dabei, angepasste Konzepte für die neuen Cybersicherheitsgesetze (NIS2, Umsetzungs- und Cybersicherheitsstärkungsgesetz), Datenschutz, künstliche Intelligenz und Vertragsrecht zu erstellen. Die Kanzlei Maisch.law Rechtsanwälte berät auch bei der Umsetzung von Information Protection Maßnahmen und bei der Abwehr von Cyberangriffen.

Was ist IT-Recht?

IT-Recht steht für Informationstechnologierecht. Es handelt sich um eine spannende Querschnittsmaterie verschiedener klassischer Rechtsgebiete. IT-Rechtler befassen sich u.a. mit dem beratungsintensiven Datenschutzrecht und Themen der IT-Sicherheit. Bei App-Entwicklern und IT-Firmen spielt das IT-Recht im Sinne des IT-Vertragsrechts eine große Rolle. Softwareerstellungs- und Wartungsverträge sind komplexe Vorhaben, bei denen man leicht den Überblick verliert. Viele Rechtsfragen stellen sich gemeinhin im Online-Marketing, bei Datenschutzerklärungen für Websites, Gewinnspiele oder Werbekampagnen von Agenturen für ihre Kunden.

Die Ära des Internets 4.0 führt zu einer Verschmelzung von Technologien, die das IT- und Internetrecht beeinflussen, das Schnittstellen zu Medien-, Urheber-, Wettbewerbsrecht, E-Commerce-Recht und gewerblichen Schutzrechten hat. Auch das Gesellschafts- und Arbeitsrecht sind betroffen.

Cybersicherheitsrecht: NIS2 Beratung

Was bedeutet NIS2?

Mit Inkrafttreten der NIS2-Richtlinie (Network and Information Security Richtlinie) hat die EU nun ein neues Kapitel im Cybersicherheitsrecht aufgeschlagen: Die NIS2-Richtlinie erweitert und aktualisiert die ursprüngliche NIS-Richtlinie von 2016. Ziel ist es, die Cybersicherheit in der EU durch strengere Vorgaben und einen erweiterten Geltungsbereich für mehr Unternehmen und Organisationen zu stärken. Die Richtlinie verpflichtet Betreiber kritischer Infrastrukturen wie Energie, Verkehr, Gesundheit sowie Anbieter digitaler Dienste zu angemessenen Cybersicherheitsmaßnahmen und Meldepflichten bei Vorfällen.

Neu hinzu kommen acht weitere Branchen. Unternehmen mit über 50 Mitarbeitern und 10 Mio. Jahresumsatz fallen ebenfalls unter NIS2. Insgesamt wird mit rund 100.000 neuen verpflichteten Organisationen gerechnet. Der Beitrag erläutert die Hintergründe und Ziele der ursprünglichen NIS-Richtlinie sowie die Notwendigkeit der Aktualisierung aufgrund neuer Cyberbedrohungen. Als Beratung wird Unternehmen empfohlen, ihre spezifischen Cybersicherheitsrisiken zu analysieren und zu bewerten, um die NIS2-Anforderungen effektiv umsetzen zu können. ESET bietet dazu Lösungen und Dienstleistungen an.

Die Richtlinie besteht aus vierzehn Punkten, die von den betroffenen Unternehmen und Sektoren erfüllt werden müssen:

Policies: Richtlinien für Risiken und Informationssicherheit
Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
Business Continuity: BCM mit Backup Management, DR, Krisen Management
Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
Training: und Cyber Security Hygiene
Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
Personal: Human Resources Security
Zugangskontrolle
Asset Management (ISMS)
Authentication: Einsatz von Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO)
Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

Hinzu kommt beispielsweise die Einbeziehung aller Leitungsorgane mit Überwachungs- und Weiterbildungsverpflichtung und die persönliche Haftung bei Nicht-Compliance.

Betroffenheitsanalyse

Anwälte führen zunächst eine Analyse durch, ob ein Unternehmen überhaupt unter die NIS2-Regulierung fällt. Dies ist oft nicht eindeutig, da die Richtlinie einen weiten Anwendungsbereich hat und auch Zulieferer kritischer Branchen betroffen sein können.

Risikoanalyse und Maßnahmenplanung

Wenn ein Unternehmen von NIS2 betroffen ist, beraten Anwälte bei der Durchführung einer Risikoanalyse der bestehenden IT-Sicherheitsmaßnahmen. Basierend darauf entwickeln sie Strategien und Maßnahmenpläne zur Schließung von Sicherheitslücken und Erfüllung der NIS2-Anforderungen.

Umsetzung technischer und organisatorischer Maßnahmen

Die Anwälte unterstützen bei der konkreten Implementierung von Sicherheitsrichtlinien, technischen Kontrollen wie Angriffserkennung, Schulungen und der Einführung eines Informationssicherheitsmanagementsystems (ISMS) zur kontinuierlichen Überwachung der Cybersicherheit.

Rechtliche Beratung zu Pflichten und Sanktionen

Sie beraten zu den spezifischen Pflichten für „wichtige“ und „besonders wichtige“ Unternehmen gemäß NIS2 wie Registrierungs-, Melde- und Nachweispflichten. Zudem klären sie über mögliche Bußgelder bei Verstößen bis zu 10 Mio. Euro oder 2% des Jahresumsatzes auf. Insgesamt bieten Anwaltskanzleien eine ganzheitliche Beratung und Unterstützung, damit Unternehmen die komplexen NIS2-Anforderungen fristgerecht bis Oktober 2024 umsetzen können.

Gestaltung und Verhandlung von IT-Verträgen – warum eigentlich?

Wer will was von wem – sobald die Basics eines jeden Vertrags geklärt sind, sollte über die zum Einsatz kommende IT oder die Hilfsmittel gesprochen werden. Gute IT-Verträge zeichnet aus, dass sich der Urheber des Vertragstexts bestens mit den technischen Zusammenhängen und Hintergründen auseinander gesetzt hat, um eine praxistaugliche Gestaltung zu wählen.

Ein guter IT-Vertrag sollte ferner alle relevanten Aspekte abdecken und klarstellen, wer welche Verantwortung trägt. Einfache Sprache anstatt von Advokatendeutsch kann hilfreich sein – schließlich sollten Verträge als „Spielregeln“ für beide Vertragsparteien leicht verständlich sein.

Selbstverständlich sollten die Präambel und die Vertragsklauseln fair gestaltet und eindeutig formuliert sein. Bei den meisten IT-Verträgen spielt ferner Datenschutz eine Rolle. Urheberrecht spielt dann mit hinein, wenn im Rahmen von IT-Verträgen dem UrhG unterliegender Programmcode vermietet oder verkauft bzw. übereignet werden soll.

Eine Vielzahl von Rechtsfragen stellen sich bei Agenturen, die IT-Dienstleistungen vertreiben, z.B. in Form von Social Media Auftritten, Wartung und Community Management, Vermittlung von Content Creatoren, Influencern, Entwicklern uvm. Medien- und presserechtliche Aspekte können ein wichtiger Beratungsbestandteil sein.

Um sicherzustellen, dass diese Punkte in den Verträgen ausreichend behandelt werden, kann es sinnvoll sein, Rechtsanwälte mit hohem Technikverständnis einzuschalten, damit sich der IT-Vertrag organisatorisch und technisch reibungslos umsetzen lässt. Unsere Kanzlei Maisch.law Rechtsanwälte bietet hierfür professionelle Unterstützung an und beantwortet Fragen zum allgemeinen IT-Recht sowie zu speziellen Themen wie Arbeitsrecht oder Gesellschaftsrecht im Bereich der Informationstechnologien und des Internets.

Beratung im Bereich Hinweisgeberschutz

Seit dem 17.12.2023 müssen Unternehmen mit mehr als 50 Mitarbeitern ein Hinweisgebersystem einrichten und Schulungen darüber durchzuführen. Das Hinweisgeberschutzgesetz (HinSchG) ist das deutsche Gesetz zur Umsetzung der EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates der Europäischen Union vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden).

Das Hauptziel des HinSchG besteht darin, Personen zu schützen, die während ihrer beruflichen Tätigkeit Kenntnis über Verstöße erlangt haben und diese melden möchten. Es untersagt jegliche Form von Vergeltungsmaßnahmen gegenüber den sogenannten Whistleblowern und verpflichtet Unternehmen dazu, sichere Kanäle für die Meldung von Missständen einzurichten.

Checkliste – Diese Punkte sollten betroffene Unternehmen jetzt abklären:

GAP-Analyse: Gibt es bereits ein Hinweisgebersystem im Unternehmen? Falls ja, muss es angepasst werden?
Welche Kanäle sollen eingerichtet werden? Telefonisch, per E-Mail, webbasierte Lösung oder Ombudsperson? Soll eine webbasierte Lösung gewählt werden, die auch anonyme Meldungen ermöglicht (nicht zwingend erforderlich)?
Soll der interne Meldekanal nur für Mitarbeiter und Leiharbeitnehmer zugänglich sein oder auch für alle Personen, die beruflich mit dem Unternehmen in Kontakt stehen?
Wie sollen Mitarbeiter und gegebenenfalls andere meldende Personen über vorhandene Meldestellen informiert werden? Unternehmenswebsite, Intranet des Unternehmens oder Schwarzes Brett?
Wie wird Vertraulichkeit sichergestellt?
Wer ist innerhalb des Unternehmens verantwortlich für das Entgegennehmen und Bearbeiten von Hinweisen? Wer erhält begrenzte Zugriffsrechte? Es darf keinesfalls passieren, dass bei Eingang eines Hinweises zunächst an verschiedenen Stellen im Unternehmen nachgefragt wird, wer sich um den Fall kümmert – dies wäre nicht vereinbar mit dem Gebot zur Wahrung der Vertraulichkeit.
Was soll geschehen, sobald ein Hinweis eingegangen ist? Wer sendet zeitnah eine Empfangsbestätigung an den Melder weiter und wer entscheidet über Folgemaßnahmen bzw gibt fristgerecht Rückmeldung an den Melder?
Sind die Personen im Unternehmen ausreichend unabhängig und qualifiziert für die Entgegennahme und Bearbeitung von Hinweisen? Verfügen sie über ausreichende juristische Expertise zur Bewertung der eingehenden Meldungen? Benötigen diese Personen eine Schulung?
Soll ein externer Dienstleister mit der Annahme und gegebenenfalls Bearbeitung von Hinweisen beauftragt werden? Derzeit bieten viele Berater und Softwareanbieter ihre Services an.
Wie wird die Meldung dokumentiert sowie die Kommunikation mit dem Meldepflichtigen festgehalten?
Wie kann das Hinweisgebersystem so gestaltet werden, dass es Meldepflichtige dazu ermutigt, sich nicht direkt an externe Behörden oder gar an die Öffentlichkeit zu wenden, sondern den internen Kanal zu nutzen; gleichzeitig jedoch abschreckend auf missbräuchliche Beschwerden wirkt?
Wie kann der interne Meldekanal datenschutzkonform implementiert werden? Datenschutzrechtliche Fragen sollten in Absprache mit dem Datenschutzbeauftragten geklärt und gegebenenfalls weitere Fachbereiche wie Personalwesen, Rechtswesen und Compliance in den Prozess miteinbezogen werden.
Welche Mitbestimmungsrechte des Betriebsrats sind relevant? Der Betriebsrat sollte frühzeitig eingebunden werden.
Bei Konzernstrukturen: Soll das Hinweisgebersystem bei einer anderen Tochtergesellschaft im Konzern eingerichtet werde? Gemäß deutschem „HinSchG“ wäre dies möglich.
Sind die Personalverantwortlichen bzw. Personalabteilungen aufgrund verschärfter Beweislastregeln vorbereitet? Künftig müssen sie nachweisen, dass Hinweise nicht zu arbeitsrechtlichen Maßnahmen geführt haben, sondern andere Gründe vorlagen. Eine entsprechende Dokumentation der Gründe für arbeitsrechtliche Sanktionen ist daher ratsam.

Als spezialisierte Rechtsanwaltskanzlei im Bereich des Hinweisgeberschutzrechts bieten wir umfassende Beratung und Unterstützung beim Aufbau von Whistleblower-Systemen. Wir entwickeln maßgeschneiderte Hinweisgeberschutzsysteme, die Ihr Unternehmen rechtssicher machen und das Vertrauen Ihrer Mitarbeiter stärken. Mit unserer Expertise begleiten wir Sie als Rechtsberater durch den gesamten Prozess – von der Implementierung bis zur laufenden Betreuung. Setzen Sie auf unsere Erfahrung, um Transparenz und Integrität in Ihrem Betrieb zu gewährleisten. Kontaktieren Sie uns, um Ihr Unternehmen zukunftsfähig und konform zu gestalten.

Ihr Ansprechpartner

Dr. Marc Maisch ist ein angesehener Rechtsanwalt und Fachanwalt für IT-Recht mit Sitz in München. Als Mitgründer der Kanzlei MAISCH LAW Rechtsanwälte hat er sich auf IT-Recht, Datenschutz und Cybersecurity spezialisiert.

Mit seiner Kombination aus juristischer Expertise und technischem Verständnis berät Dr. Maisch Unternehmen und Start-ups zu Fragen der Vertragsgestaltung für Websites, Apps und Künstliche Intelligenz. Sein Fokus liegt auf der Abwehr und Prävention von Cybercrime.

Als gefragter Keynotespeaker ist Dr. Maisch regelmäßig in den Medien präsent, darunter im ZDF bei „Aktenzeichen XY“. In seinen Vorträgen vermittelt er praxisnahe Einblicke in die Vorgehensweisen von Cyberkriminellen und effektive Schutzmaßnahmen.

Jetzt Kontakt aufnehmen

Leistungen

Tätigkeitsfelder unserer Rechtsanwälte

Als „Cyberrechtsanwälte“ arbeiten wir in einem hochspezialisierten Team aus Rechtsanwälten und IT-Partnern in Kooperation zusammen. Wir bieten Ihnen daher anwaltliche Beratung, hand-in-hand mit den Lösungen unserer Hacker, Forensiker oder Ermittler. Unser Anwaltsteam aus Deutschland, Österreich und aus der Schweiz freut sich darauf, Sie u.a. in diesen Rechtsbereichen zu beraten:

Cybercrime Datenschutz Immobilien- und Erbrecht IT-Recht Künstliche Intelligenz Reputationsrecht Strafverteidigung Urheber- und Medienrecht Vertragsrecht

Mehr erfahren