Cybersecurity
Unsere spezialisierten Rechtsanwälte unterstützen Sie im Bereich Cybersicherheit. Wir beraten bei der Erarbeitung oder Anpassung von IT-Sicherheitskonzepten und übernehmen für unsere Mandanten im Schadensfall die Rechtsdurchsetzung.
Unser Beratungsansatz
Vorderstes Ziel unserer juristischen Beratung im Bereich Cybersecurity ist die Schaffung oder Wiederherstellung sicherer Prozesse und Abläufe innerhalb des Geschäftsbereichs unserer Mandanten. Da die Ursachen für fehlende Sicherheit bei der Verarbeitung von Daten oder in der IT-Sicherheitsinfrastruktur vielfältig sein können, kommt auch unser Beratungsansatz unterschiedlich, in jedem Fall aber angepasst auf die spezifischen Bedürfnisse unserer Mandanten daher. Sie profitieren von unserer Expertise in allen relevanten Bereichen des IT- und Datenschutzrechts. Von der Implementierung eines umfassenden Informationssicherheits- oder Datenschutzmanagementsystems bis zum schnellen Eingreifen im Falle eines Cyberangriffs auf Ihre Systeme.
Unsere Berater arbeiten standortübergreifend in schnell handlungsfähigen Tasks-Forces zusammen und sorgen dafür, dass Ihr Unternehmen schnell wieder einsatzfähig wird und dies langfristig auch weiterhin bleibt. Auf den nachfolgenden Seiten geben wir Ihnen einen Überblick über die Schwerpunkte unserer IT-sicherheitsrechtlichen Praxis.
Besuchen Sie auch unsere Themenseite zu Datenschutz & Datensicherheit.
Beratung bei Datenschutz- und IT-Sicherheitsverstößen, insbesondere Cyber-Angriffen
In den vergangenen Jahren hat sich das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden, dramatisch erhöht. Sollte es Angreifern gelingen, in interne Systeme einzudringen, sehen sich Unternehmen regelmäßig beträchtlichen Lösegeldforderungen, Bußgeldern und/oder erheblichem Reputationsverlust ausgesetzt. Wir unterstützen Sie dabei, präventiv IT- und datenschutzrechtliche Schwachstellen Ihrer Infrastruktur zu erkennen und zu beheben. Sollten Sie Opfer eines Cyberangriffs werden, so helfen wir Ihnen mit unserem Netzwerk technischer IT-Sicherheitsberater bei der Incident and Emergency Response. Wir übernehmen für Sie die Kommunikation mit Ermittlungs- und Aufsichtsbehörden und unterstützen Sie dabei, die interne und externe Kommunikation zum Vorfall vorzubereiten und durchzuführen.
Beratung bei der Einführung von Informationssicherheits- und Datenschutzmanagementsystemen (ISMS und DSMS)
Moderne Sicherheitsstandards setzen eine Vielzahl wirkungsvoller, synergetisch wirkender Maßnahmen zum Schutz der IT-Infrastruktur voraus. Ein Informationssicherheitsmanagementsystem hilft Ihnen dabei, Verfahren und Regeln innerhalb Ihrer Organisation aufzustellen, um die Sicherheit, der von Ihnen verarbeiteten Informationen, dauerhaft zu gewährleisten und fortlaufend zu verbessern. Um die Einhaltung der besonderen Anforderungen der Verarbeitung personenbezogener Daten zu organisieren und dauerhaft zu gewährleisten, sollte daneben auch ein Datenschutzmanagementsystem eingeführt und betrieben werden.
Wir beraten Sie gerne dabei, Datenschutz- und Informationssicherheitsmanagementsysteme einzuführen und dafür zu sorgen, dass diese ineinandergreifen. Falls Sie dies wünschen, unterstützen wir Sie auch bei der Zertifizierung.
Cyber-Versicherung
Im Nachgang an einen IT-Sicherheitsvorfall können unter Umständen auch Gesellschaftsorgane, etwa handelnde Vorstände oder Geschäftsführer in Anspruch genommen werden. Wenn vorherige Schutzmechanismen nicht gewirkt haben, so sollte für den äußersten Fall eine Cyber-Versicherung greifen, um Verantwortungsträger wirksam abzusichern. Der Abschluss einer solchen erscheint vor allem deshalb ratsam, da die entstandenen Schäden in der Regel nicht von der D&O Versicherung berücksichtigt werden. Insgesamt sollte das Leistungsspektrum sämtlicher Versicherungen im Hinblick auf Schäden durch IT-Sicherheitsvorfälle unbedingt an die jeweilige Unternehmenssituation sowie das individuelle Haftungsrisiko an-gepasst werden. Hier hilft die juristische Expertise unserer Berater dabei zu erkennen, welche Leistungen wirklich abrufbar sein sollten.
Datenschutzrecht
Die Bedeutung des Datenschutzes und der Datenschutz-Compliance nimmt nicht nur vor dem Hintergrund immer neuer Meldungen zu Bußgeld- und Schadensersatzprozessen stetig zu. Daher ist ein mit den datenschutzrechtlichen Vorgaben zu vereinbarendes Vorgehen bei der Verarbeitung personenbezogener Daten unerlässlich. In der Praxis stellen diese Vorgaben die Verantwortlichen immer wieder vor neue, komplexe Aufgaben, deren Bewältigung mit einem immensen Zeit- und Kostenaufwand verbunden sein kann.
Unser standortübergreifendes Team marktbekannter und ausgezeichneter Experten unterstützt Sie dabei, sowohl Einzelfragen zu beantworten, als auch umfangreiche Prozesse datenschutzkonform auszugestalten und die damit einhergehenden Risiken zu minimieren.
Emergency Response Plan
Im Falle eines Cyberangriffs gilt es vor allem, zügig zu handeln. Mit jeder Stunde, in der Geschäftsprozesse unterbrochen sind, entstehen weitere Schäden für betroffene Unternehmen. Daher sollten umgehend die erforderlichen Sofortmaßnahmen eingeleitet und ein Krisenstab gebildet werden, um das weitere Vorgehen zu koordinieren. Bei der Implementierung eines umfassenden Emergency Response Plans helfen wir Ihnen gerne und unterstützen Sie dabei, ein für Sie maßgeschneidertes Konzept zu entwickeln, mit dem Sie auf den Ernstfall vorbereitet sind.
KRITIS Betreiber und regulierte Industrien
Betreiber kritischer Infrastrukturen haben neben den allgemeinen IT-sicherheitsrechtlichen Anforderungen im Übrigen auch die Vorgaben des BSI-Gesetzes einzuhalten. Hierdurch haben Betreiber kritischer Infrastrukturen in besonderem Maße Sorge dafür zu tragen, dass die von ihnen betriebenen kritischen Infrastrukturen funktionsfähig sind und bleiben. Denn der Ausfall oder die Störung einer kritischen Infrastruktur hat erhebliche Folgen für eine Vielzahl von Personen.
Die erhöhten Anforderungen an Betreiber kritischer Infrastrukturen gelten sowohl hinsichtlich der eingesetzten Elemente, Komponenten und Bestandteile, als auch hinsichtlich der eingesetzten Software.
Managed Service und Service Level Agreements mit IT-Dienstleistern
Jedes Unternehmen steht vor der Frage, ob und in welchem Maße es sich bei der Verwaltung seiner IT-Infrastruktur der Unterstützung externer Dienstleister bedient. Die Inanspruchnahme solcher Managed Services, die in Abgrenzung zu anderen Arten des IT-Outsourcings regelmäßig wiederkehrende Leistungen betreffen, kann für Unternehmen lohnend sein, da eigene Ressourcen eingespart werden. Der Umfang der zu erbringenden Dienstleistung sollte jedoch in beiderseitigem Interesse vorher klar definiert und vertraglich festgehalten werden. Die Schaffung von Transparenz über das erworbene Leistungsspektrum erfolgt durch den Abschluss eines Service Level Agreements, in dem vertraglich festgehalten wird, welche Leistungen das externe Unternehmen zu erbringen hat. Die Verhandlung dieses Vertrags erfordert im Einzelnen eine hohe Beratungs- und Verhandlungskompetenz, um Ihren Interessen optimal zur Geltung zu verhelfen. Hierbei unterstützen wir sie gerne.
Pflichten der Gesellschaftsorgane und Organhaftung
Cybersecurity ist Chefsache. Daher ist die angemessene Berücksichtigung IT-sicherheitsrechtlicher Anforderungen und die Einhaltung datenschutzrechtlicher Vorschriften für Unternehmen, unabhängig von ihrer Größe, unerlässlich. Unternehmen, die diesen Pflichten nicht nachkommen und unter Umständen auch ihren Organen drohen die Inanspruchnahme durch Vertragspartner oder eine Haftung gegenüber der Gesellschaft. Bei gravierenden Verstößen gegen solche Pflichten können im Übrigen empfindliche Bußgelder verhängt werden.
Mithilfe unseres ganzheitlichen Beratungsansatzes, können Sie ihre Haftungs- und Prozessrisiken bewerten und minimieren. Gerne unterstützen Sie unsere auf IT-Sicherheits-, Gesellschafts-, Versicherungsrecht und Compliance spezialisierten Rechtsanwälte bei der Implementierung und Durchsetzung geeigneter Maßnahmen, dem Abschluss einer D&O-Versicherung und notfalls der gerichtlichen Verteidigung gegen geltend gemachte Ansprüche.
Produktsicherheit und Lieferketten bei IT- und Softwareprodukten
Immer häufiger erfolgen Cyberangriffe auch indirekt über externe Dienstleister. Wie bei jedem Cyberangriff, besteht auch im Falle eines indirekten Angriffs, also in Form eines Angriffs auf ein anderes Unternehmen innerhalb der Lieferkette ein herausragendes Haftungsrisiko für die betroffenen Unternehmen. Gerade vor dem Hintergrund immer neuer gesetzlicher und europarechtlicher Vorgaben, stehen Unternehmen beim Einsatz und Vertrieb von digitalen Produkten und digitalen Inhalten vor vielfältigen rechtlichen Fragestellungen. Wir beraten Sie bei der Implementierung einer Strategie, welche unterschiedliche, synergetisch wirkende Maßnahmen zur Sicherung der Lieferkette verzahnt.
Prüfung von Rechtsfragen zum Stand der Technik
Der zentrale Begriff des IT-Sicherheitsrechts ist der des „Stands der Technik“. Nicht nur im Bereich kritischer Infrastrukturen, sondern auch bei Anbietern von Telemedien, dem Einsatz von IT-Systemen bei Kreditinstituten, der Einführung technischer und organisatorischer Maßnahmen im Bereich des Datenschutzes, Policen von Cyber-Versicherungen und vielem mehr ist die Auslegung dieses Begriffs von zentraler Bedeutung und gleichzeitig rechtlich hochkomplex.
Auch die Abgrenzung zu „allgemein anerkannten Regeln der Technik“ oder dem „Stand der Wissenschaft und Technik“ stellen rechtlich eine nicht zu verkennende Anforderung dar. Nicht zuletzt aufgrund der technischen Expertise unserer auf IT-Sicherheitsrecht spezialisierten Rechtsanwälte beraten wir Sie gerne zum Fragen des Stands der Technik in allen für Sie relevanten Bereichen.
Aktuelles
- E-Evidence Act: Herausgabe- und Prüfpflichten für Anbieter von Onlinediensten in europaweiten Strafverfahren; Dr. Hans Markus Wulf & Dr. Johannes Rolfs, LL.M; Update Dartenschutz Nr. 166, 12. Januar 2024
- Rechtliche Hürden beim Umgang mit Cyber-Angriffen, Manuel Poncza & Michael Kuska, LL.M., LL.M.; Breidenbach & Frost Fachtagung Cyber Security im ÖV, 1. Dezember 2023, Köln
- NIS-2-Umsetzungsgesetz und Auswirkungen auf die kommunalen Unternehmen, Christine Grau, LL.M., eGovernment, 22. November 2023
Download
Neuer Flyer: "Cybersecurity – Themen und Aufgaben in der Rechtsberatung"
Download
Schauen Sie auch in unseren Flyer "Schutz vor Cyber-Attacken".
Auszeichnungen (Auswahl)
Ausgewählte Mitgliedschaften
Publikationen (Auswahl)
- DORA – Ein Jahr vor Ablauf der Umsetzungsfrist werden immer mehr Konkretisierungen bekannt; Dr. Hans Markus Wulf & Dr. Johannes Rolfs, LL.M; Update Dartenschutz Nr. 164, 21. Dezember 2023
- Cyber Resilience Act: Vorläufige Einigung von Rat und Parlament, fünfjährige Updatepflicht und längere Umsetzungsfrist; Dr. Hans Markus Wulf & Dr. Johannes Rolfs, LL.M; Update Datenschutz Nr. 160, 7. Dezember 2023
- Cyber Resilience Act (CRA), MaRisk und BAIT: Jetzt wird es für Banken richtig ungemütlich; Dr. Lutz Martin Keppeler, Manuel Poncza; IT Finanzmagazin, 5. Dezember 2023
- OLG Karlsruhe: Hacker manipuliert E-Mail-Rechnung – Muss ein zweites Mal gezahlt werden?; Dr. Lutz Martin Keppeler, Manuel Poncza, Dr. Ruben Schneider; Update Datenschutz Nr. 156, 2. November 2023
- Der neue Entwurf des Digital-Gesetzes – Neue Vorgaben zur IT-Sicherheit im Gesundheitswesen; Michael Kuska, LL.M., LL.M.; Update Datenschutz Nr. 154, 22. September 2023
- Das neue KRITIS-Dachgesetz: Überblick zum neuen Referentenentwurf; Michael Kuska, LL.M., LL.M., und Manuel Poncza; Update Datenschutz Nr. 151, 4. August 2023
- Cybersicherheit: Die Umsetzung der DSGVO wäre eine gute Grundlage für die NIS-2 Richtlinie gewesen, IT-Finanzmagazin, 18. Juli 2023
- Cyber Resilienz per EU-Verordnung; Dr. Lutz M. Keppeler und Manuel Poncza; Kölner Kreis, 21. Juni 2023
- Stärkung der Cybersicherheit in kritischen Sektoren – Welche Veränderungen die NIS 2-Richtlinie mit sich bringt; Manuel Poncza; Update Datenschutz Nr. 136, 8. März 2023
Mehr Publikationen...
Mehr Publikationen...
- Digital Operational Resilience Act und Cyber Resilience Act: Neue Vorgaben der EU zur Cybersicherheit; Dr. Hans Markus Wulf & Dr. Johannes Rolfs, LL.M.; Update Datenschutz Nr. 132, 13. Februar 2023
- Manuel Poncza: Der Entwurf des EU Cyber Resilience Act, Zeitschrift für Product Compliance (ZfPC) 2023, S.44-50
- Datenschutzrechtliche Grundlagen der sog. "Penetration Tests"; Manuel Poncza; Zeitschrift für Datenschutz 2023, 8
- Dr. Hans Markus Wulf, Dr. Lutz Martin Keppeler, Manuel Poncza: Cyberangriffe – Effektive Vorbeugung und richtige Begegnung im Angriffsfall; Update Datenschutz Nr. 123, 24. November 2022
- Manuel Poncza: Der Entwurf des EU Cyber Resilience Act, Update Datenschutz Nr. 118, September 2022
- Dr. Lutz M. Keppeler und Manuel Poncza: Warnstufe Rot – Die Log4Shell-Sicherheitslücke, Update Datenschutz Nr. 107, 17. Dezember 2021
- Dr. Lutz M. Keppeler Kommentierung von § 4a, 4b, 5b, 7a, 7b,7c, 9b BSIG, § 11 EnWG und § 109 TKG in Ritter (Hrsg.), die Weiterentwicklung des IT-Sicherheitsgesetzes, 2021
- Dr. Hans Markus Wulf: Recht auf Datenkopie: Erstes höchstrichterliches Urteil zum datenschutzrechtlichen Auskunftsanspruch nach Art. 15 III DSGVO ergangen (BAG vom 27. April 2021), Update Datenschutz Nr. 95, April 2021
- Dr. Hans Markus Wulf: IT-Sicherheitsgesetz 2.0: Neuer Entwurf der Bundesregierung, Update Datenschutz Nr. 90, Februar 2021
- Dr. Lutz M. Keppeler: Dataguidance Cybersecurity Guidance in Germany, Dataguidance-Platform, April 2020
- Dr. Lutz M. Keppeler: Cyberschutz in der Anwaltskanzlei, MkG-Spezial, 7. Mai 2019
- Dr. Lutz M. Keppeler und Dr. Stefan Jöster, LL.M.: Tiber-EU: Sicherheitsstandards stärken Cyberversicherungen, Börsen Zeitung, 30. März 2019
- Dr. Hans Markus Wulf: Der Cybersecurity Act – Wohin steuert Europa in Fragen der Cybersicherheit?, Update Datenschutz Nr. 48, 14. Dezember 2018
- Dr. Lutz M. Keppeler und Dr. Stefan Jöster, LL.M.: Worauf Makler beim Verkauf von Cyberpolicen achten sollten, Pfefferminzia, 15. November 2017
- Dr. Lutz M. Keppeler und Dr. Stefan Jöster, LL.M.: Cyber-Versicherungen gegen Online-Kriminalität, FAZ, 10. Oktober 2017
Veranstaltungen (Auswahl)
- IT-Sicherheit in der Gesetzgebung – Welche Regelungen Unternehmen im Blick haben sollen; Manuel Poncza; IT-Sicherheitstag NRW, Köln, 30. November 2023
- Data Breach Management – An Overview from a Global Perspective, Michael Kuska, LL.M., LL.M., Nick Holland (Shoosmiths) und Jena Valdetero (Greenberg Traurig); Lexology Webinar, 23. Juni 2023
- Cyber Resilience als Product Compliance-Anforderung, Manuel Poncza; 14. Europäische Druckgerätetage, Fürstenfeldbruck, 20. Juni 2023
- Von Cloud bis Homeoffice – Rechtliche Aspekte einer sicheren IT, Michael Kuska, LL.M., LL.M., Deutsches Studierendenwerk e. V., 20. Juni 2023
- NIS-2 Richtlinie, Michael Kuska, LL.M., LL.M., und Manuel Poncza; Cyber Insurance Conference, 1. Juni 2023, Borussia Park Mönchengladbach
- AIR, CRA, DA und Co? Auswirkung der aktuellen EU-Gesetzgebung auf Robotics Geschäftsmodelle, Robotics: Eher "einfaches Gemüt" oder wirklich "Smart"?, Dr. Lutz M. Keppeler; Rittal, 11. Mai 2023, Haigar
Mehr Veranstaltungen...
Mehr Veranstaltungen...
- Cyber Resilience Act - Und noch viel mehr?, Dr. Lutz M. Keppeler; ICT-Resilienz: "Nice-to-have zu Need-to-have?“, 26. April 2023, Hürth
- Cybercrime und IT-Sicherheitsrechtsrecht inklusive Ausblick auf den Cyber Resilience Act, Dr. Lutz M. Keppeler; Heuking Compliance Days, 16. März 2023, Düsseldorf
- Der Entwurf des Cyber Resilience Act und dessen Konsequenzen für KMUs; Manuel Poncza; IHK Köln, 14. März 2023
- Cyberversicherung und der "Stand der Technik", Dr. Lutz M. Keppeler und Stefan Jöster; Messe Security Essen, 21. September 2022
- Podiumsdiskussion mit zu Datenschutz und Cyber-Sicherheit, 3. Deutor Cyber Security Best Practice Conference, Markus Lennartz und Dr. Lutz M. Keppeler, Stuttgart, 30. Juni 2022
- Haftung für Cyberrisiken in der Kommune, 8. Kommunaler IT-Sicherheitskongress 2022, Stefan Jöster und Dr. Lutz M. Keppeler, Berlin, 3. Mai 2022
- Haftung und Organisationsverschulden der Kommune bei Cyber Vorfall. Digital.Kommunal.Sicher-Informationssicherheit in der Kommunalverwaltung, Dr. Lutz M. Keppeler, 15./17./23. und 14. Februar 2022
- Die Folgen eines Cyberangriffs, Im Rahmen der Vortragsreihe „Kurz mal Recht“ der IHK Hanau, 25. November 2021
- Live Online-Interview zu Cyberversicherungen, gemeinsam mit Dr. Stefan Jöster, durchgeführt von Malwarebytes, 11. September 2020
- Datenschutz und IT-Sicherheitsrecht, Vortrag von Dr. Lutz M Keppeler, Webinar „Cyberrisiken und Datenschutz in Zeiten des Homeoffice“, zusammen mit GOSSLER, GOBERT & WOLTERS ASSEKURANZ-MAKLER GMBH & CO. KG und der Digitrace GmbH, 28. August 2020
- BSI Basic Protection. New quasi-legal security standard?, Vortrag von Dr. Lutz M Keppeler, International Insuralex Meeting “Cyber beyond borders”, Frankfurt 29. November 2019
- Teilnahme an Paneldiskussion “CYBER CRISIS MANAGEMENT”, Vortrag von Dr. Lutz M Keppeler, 2. Deutor Cyber Security Best Practice Conference 2019
- Datenschutzgrund-Verordnung und E-Privacy-Verordnung, Vortrag von Dr. Hans Markus Wulf, Handelskammer Hamburg, 22. Oktober 2019
- Cybersicherheit & Recht – Rechtliche und technische Anforderungen für Unternehmen, Vortrag von Dr. Hans Markus Wulf, WM Gruppe, 21. Compliance-Tagung, 19. September 2019