Compliance in der Sicherheitstechnik

Master-Studiengang Information Security

Dipl.-Ing. Bianca Danczul, BSc

Betreuer: Dipl.-Ing. Herfried Geyer 

Ausgangslage

Im Normalfall werden in der elektronischen Sicherheitstechnik die Anlagen vor der Übergabe zwar korrekt installiert und programmiert, jedoch werden bei der weiteren Betreuung dieser Systeme meist Kosten eingespart, wodurch die Systeme viele Jahre ohne Wartung oder Updates in Betrieb sind. Durch das fehlende Patch-, Identitäts-, oder Netzwerkmanagement sinkt das Niveau der IT-Security und Informationssicherheit daher stetig. Dies birgt unter anderem die Gefahr, dass bei Nichteinhaltung der gesetzlichen Vorgaben – insbesondere in Hinblick auf den Schutz personenbezogener Daten durch die Datenschutzgrundverordnung – hohe Strafen auf ein Unternehmen zukommen können. Diese Arbeit betrachtet daher mögliche Maßnahmen, um die Einhaltung der aktuell gültigen Rechtslage zu gewährleisten.

Ziel

Das Ziel dieser Arbeit ist einerseits festzustellen, wie AGB und Verträge gestaltet sein müssen, um die rechtlichen Rahmenbedingungen einzuhalten. Andererseits soll die Frage beantwortet werden, wer bei kompromittierten Systemen für Schäden innerhalb der gesetzlichen Gewährleistung haftet. Dazu werden zunächst sowohl relevante, einzuhaltende rechtliche Vorgaben und unternehmensinterne und -externe Regelwerke identifiziert, als auch die Funktionsweise der sicherheitstechnischen Systeme erläutert.

Ergebnis

Im Zuge dieser Arbeit konnte eine Übersicht über die zu beachtenden Gesetze und Normen sowie über die wichtigsten Vertragsarten erstellt und die Funktionsweise der sicherheitstechnischen Systeme erläutert werden. Anhand dessen wurden einerseits die rechtlichen Rahmenbedingungen identifiziert sowie Beispiele zur Haftungsfreizeichnung gegeben.

Andererseits wurde versucht, die Frage zu beantworten, wer bei kompromittierten Systemen für Schäden innerhalb der Gewährleistung haftet. Dazu wurde aufbauend auf der Funktionsweise der verschiedenen Systeme und auf den rechtlichen Grundlagen eine fiktive Fallstudie erstellt, welche sich mit der Haftung bei kompromittierten Systemen einmal ohne den und einmal mit dem Verlust personenbezogener Daten beschäftigt.

Ausblick

Insbesondere Fragen zur Haftung sind komplex zu beantworten, da eindeutige Rechtsprechungen und Urteile bezüglich der korrekten Auslegung der DSGVO derzeit noch fehlen. Es bleibt daher zu hoffen, dass in naher Zukunft durch OGH-Urteile Klarheit in die genaue Auslegung der Datenschutzgrundverordnung gebracht werden kann.