Laut einer Bitkom Studie aus dem Jahr 2016 ist in den vorausgegangenen 12 Monaten jeder zweite Internetnutzer Opfer von Cyber-Kriminalität geworden. Die Folgen solcher Angriffe durch Schadsoftware wie Locky oder TeslaCrypt treffen jedoch nicht nur Privatpersonen, sondern immer häufiger auch Unternehmen. So rückt das Geschäftsfeld der Cybersecurity (zu Deutsch IT-Sicherheit) immer mehr in den Fokus von Startups.

Von Betrugsprävention bis Website Sicherheit – die Geschäftsfelder der Cybersecurity im Überblick

Genauso vielfältig wie die Angriffsmöglichkeiten von Schadsoftware und Co sind dementsprechend die Geschäftsfelder der Cybersecurity-Startups. Branchendienste wie CB Insights unterteilen die Geschäftsmodelle der Cybersecurity-Startups im Groben in folgende Geschäftsfelder:

• Netzwerk und Endgeräte/Mobile Sicherheit (Sicherung von Netzwerken und Endgeräten (Smartphones, Laptops, Tablets))
• IOT/ IIOT (Internet of Things/ Industrial Internet of Things) (Dienstleistungen z.B. Kontrollsysteme für kritische Infrastruktur (Energie- und Wasserversorgung), Schutz vor der Übernahme von connected Cars)
• Threat Intelligence (Bedrohungsdaten) (z.B. Analyse des Dark Web auf Hinweise auf mögliche künftige Bedrohungen und Angriffe)
• Verhaltensanalyse (Tracking von Nutzerverhalten zur Erkennung möglicher Bedrohungen durch Nutzer)
• Echtzeit Netzwerkanalyse (z.B. Verbildlichung von Netzwerkaktivitäten, um Cyberangriffen in Echtzeit zu erkennen und ihnen entgegenzuwirken)
• Risikovermeidung (Systemlücken im Unternehmen aufdecken und Handlungsalternativen vorschlagen)
• Webseiten Sicherheit (z.B. Erkennung und aktive Abwehr von schädlichem Traffic auf der Website z.B. durch schädliche Bots)
• Quantenverschlüsselung (Verschlüsselung auf Basis von Quantenkryptografie)
• Cloud Sicherheit
• Betrugsprävention

Venture Capital-Transaktionen im Bereich Cybersecurity in Deutschland

Die Anzahl von Venture Capital-Transaktionen im Bereich Cybersecurity hat in den letzten Jahren zugenommen. Wie die nachfolgende Abbildung zeigt, ist in den einzelnen Teilbereichen ein reger Wettbewerb um Kunden und Investoren entbrannt.

Quelle: https://cbi-blog.s3.amazonaws.com/blog/wp-content/uploads/2016/08/THE-ONE-IN-THE-POST-9-30-16.png

Auch auf dem deutschen Markt finden Venture Capital-Transaktionen im Bereich Cybersecurity statt. Die Tabelle zeigt eine Übersicht, welche deutschen Unternehmen seit 2014 Wagniskapital einsammeln konnten und wer in diese Unternehmen investierte.

Auch wenn die Geschäftsmodelle der Cybersecurity Startups auf unterschiedlichste Bereiche abzielen, gibt es doch immer wieder die gleichen rechtlichen Themen, mit denen sich die Unternehmen beschäftigen müssen. Einige davon haben wir nachfolgend umrissen.

Datenschutz

Insbesondere Cybersecurity Startups aus den Bereichen IOT/ IIOT, Verhaltensanalyse und Betrugsprävention müssen sich frühzeitig mit dem Datenschutzrecht auseinandersetzen. Dies gilt insbesondere vor dem Hintergrund der ab Mai 2018 anwendbaren EU Datenschutz-Grundverordnung (siehe hierzu auch: #StartupTrend Q&A zur neuen EU DS-GVO), die die bestehenden Regelungen zum Datenschutz z.T. erweitert und die vorgesehenen Bußgelder massiv erhöht.

Wann immer personenbezogene Daten, also Daten, die eine natürliche Person identifizierbar machen, wie z.B. der Name, die Adresse, die Email und die IP-Adresse, erhoben oder verarbeitet werden, ist das Datenschutzrecht einschlägig. Danach dürfen personenbezogene Daten nur verarbeitet werden, wenn es einen ausdrücklichen gesetzlichen Erlaubnistatbestand für die jeweilige Verarbeitung gibt. Ein solcher Erlaubnistatbestand ist z.B. die Einholung einer Einwilligung beim betroffenen Nutzer oder die Verarbeitung zur Vertragsabwicklung mit einem Kunden. Zudem muss der betroffene Nutzer ausdrücklich und umfassend über die Nutzung seiner Daten informiert werden. Er muss wissen, welche Daten von wem zu welchem Zweck verarbeitet werden. Nach der neuen EU Datenschutz-Grundverordnung muss auch angegeben werden, auf welcher gesetzlichen Grundlage die Datenverarbeitung erfolgt. In der Praxis werden diese notwendigen Informationen in der Regel über die allseits bekannte Datenschutzerklärung vermittelt.

Beschäftigtendatenschutz im Bereich der Verhaltensanalyse und Betrugsprävention

Die Regelungen des Datenschutzes sind jedoch keinesfalls auf den privaten Nutzer beschränkt. Vielmehr gilt das Datenschutzrecht überall dort, wo personenbezogene Daten erhoben, gespeichert und verarbeitet werden. So z.B. auch bei Angestellten. Insbesondere Startups aus dem Bereich Verhaltensanalyse und Betrugsprävention müssen sich daher auch mit dem Beschäftigtendatenschutz (siehe hierzu auch: #StartupTrend Workplace of Things – Wearables halten Einzug am Arbeitsplatz) auseinandersetzen.

Berufsgeheimnisträger

Im Umgang mit Berufsgeheimnisträgern, wie z.B. Ärzten und Rechtsanwälten, ist neben dem Datenschutz auch die berufliche Verschwiegenheitspflicht zu beachten. Die Pflicht zur Verschwiegenheit bringt neben den bekannten datenschutzrechtlichen Sicherheitsmaßnahmen wie Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle, Eingabe- und Auftragskontrolle, Verfügbarkeitskontrolle und Datentrennung (vgl. § 9 BDSG), weitergehende Sicherheitsmaßnahmen mit sich. Diese sollen sicherstellen, dass z.B. nicht nach außen dringt, welche Mandanten ein Anwalt berät oder welche Krankheiten ein Patient hat. Mit den rechtlichen Vorgaben für Berufsgeheimnisträger müssen sich insbesondere Startups aus dem Bereich Cloud Sicherheit, Mobile Sicherheit und Quantenverschlüsselung auseinandersetzen, da die entsprechenden Tools mit verschwiegenheitsrelevanten Daten in Berührung kommen können.

Hinweispflichten auf einschlägige Gesetze

Sofern das Cybersecurity Startup selbst nur eine Software bereitstellt und der Kunde diese selbständig in seinem Unternehmen einsetzt, kann es sein, dass nur der Kunde die Vorgaben des Datenschutzes oder zum Berufsgeheimnis zu beachten hat. In einem solchen Fall besteht aber zumindest eine Hinweispflicht des Cybersecurity Startups auf das u.U. einschlägige Datenschutzrecht oder andere einschlägige rechtliche Regelungen.

Hinweispflicht in Bezug auf softwarespezifische Besonderheiten

Die Hinweispflichten im Bereich Cybersecurity beziehen sich jedoch nicht nur auf etwaige gesetzliche Fallstricke beim Einsatz der Dienstleistung des Startups. Da die Rechtsprechung im Wesentlichen immer noch von dem „unwissenden Durchschnittsanwender“ ausgeht, treffen Startups, die Softwareanwendungen oder -dienstleistungen anbieten, besondere Hinweis- und Aufklärungspflichten z.B. in Bezug auf den Einsatz der Software, die Einhaltung etwaiger Standards im Bereich IT-Sicherheit und Anforderungen an die beim Kunden ggf. eingesetzte Hardware.

Cybersecurity Startups als Dienstleister im Bereich der kritischen Infrastruktur

Die Dienstleistungen von Cybersecurity Startups werden zudem häufig von Unternehmen in Anspruch genommen, bei denen eine Cyberattacke verheerende Ausmaße annähme. Dies betrifft z.B. Energieversorger, Telekommunikationsanbieter und Wasserversorger, sog. Betreiber „kritischer Infrastruktur“. Als Dienstleister eines solchen Unternehmens müssen sich Cybersecurity Startups zusätzlich mit den Vorgaben zur IT-Sicherheit, wie dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSiG), dem Telemediengesetz (TMG) oder dem Atomgesetz (AtG) auseinandersetzen.

ISO 27001 und IT-Grundschutz als Handlungsleitfaden

Häufig bleibt auch nach dem Studium des Gesetzestextes offen, welche IT-Sicherungsmaßnahmen das Startup konkret vorzunehmen hat. Entsprechende Anleitung, welche Sicherheitsmaßnahmen konkret vorzunehmen sind, gibt z.B. die für den regulierten Bereich der Energieversorger erstellte ISO 27001, die die Einrichtung und Zertifizierung eines Informationsmanagementsystems regelt. Auch andere Branchen orientieren sich mangels eigenständiger Regelungen an der ISO 27001. Konkretisiert werden die Anforderungen der ISO 27001 im vom Bundesamt für Sicherheit in der Informationstechnik entwickelten IT-Grundschutz, welcher mit vielen Beispielen, Hinweisen und Tipps auch eine praktische Handlungsorientierung für Cybersecurity Startups bietet.

Tipp

Der IT-Grundschutz liefert viele praktische Handlungsorientierung für Cybersecurity Startups.

Pauschaler Haftungsausschluss in AGB nicht möglich

Nicht nur als Dienstleister im Bereich der kritischen Infrastruktur, sondern auch als Dienstleister in anderen Branchen besteht ein enormes Haftungspotenzial für Cybersecurity Startups. Da die Cybersecurity Startups in der Regel sensible Bereiche absichern sollen, können die Schadenssummen im Falle eines Softwarefehlers oder -ausfalls enorm sein. Ein pauschaler umfassender oder gar vollständiger Haftungsausschluss in AGB ist nach deutschem Recht nicht möglich.

Aus diesem Grund sollte, neben einem ausgereiften Produkt und einem technisch versierten Team, der Fokus auch auf die Ausgestaltung der AGB in Form von SaaS-Modellen, Lizenzmodellen oder sogar Kaufmodellen gelegt werden. So kann z.B. durch eine Begrenzung des (rechtlichen) Leistungsgegenstandes des Cybersecurity Startups auch der Haftungsumfang begrenzt werden. Hierbei kommt es nicht nur auf ein vertieftes Grundverständnis der Wirkungsweise des jeweils angebotenen Produktes, sondern auch auf eine präzise rechtliche Formulierung an. Es empfiehlt sich daher, die Hinzuziehung von einem/einer auf IT-Recht spezialisierten und in diesem Bereich erfahrenen Rechtsanwalt /Rechtsanwältin.

Du hast Interesse an detaillierten Informationen zum Thema Cybersecurity?

Kontaktiere gerne unsere Expertin: hier klicken.

#StartupTrend beleuchtet kurz und knapp aktuelle Entwicklungen im Startup und Venture Capital Markt und ergänzt sie um einen Überblick zu wesentlichen rechtlichen Fragestellungen.

Mehr #StartupTrends: hier klicken.