Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Lexikon

Wiki»Legal Lexikon»M&A»Security

Security


Begriff und rechtlicher Rahmen: Security

Der Begriff Security umfasst im rechtlichen Kontext eine Vielzahl an Bedeutungen. Ursprünglich aus dem Englischen stammend, bezeichnet „Security“ Sicherheit und Schutz, findet jedoch in unterschiedlichen Rechtsgebieten Anwendung, insbesondere in Bezug auf Sicherheitsdienstleistungen, Wertpapiere und den Datenschutz. Der nachfolgende Beitrag beleuchtet den Begriff umfassend aus rechtlicher Perspektive und erklärt die einschlägigen Normen, Verpflichtungen sowie Bedeutungsmöglichkeiten.

1. Security als Sicherheitsdienstleistung

1.1. Legaldefinition und Zulassungsvoraussetzungen

Im Bereich der Sicherheitsdienstleistungen bezieht sich Security vor allem auf das Bewachungsgewerbe und den Bereich privater Wach- und Sicherheitsunternehmen. Gemäß § 34a Gewerbeordnung (GewO) ist das Bewachungsgewerbe erlaubnispflichtig. Die Erlaubnis zur Ausübung setzt eine behördliche Zuverlässigkeitsprüfung, einen Nachweis über geordnete Vermögensverhältnisse sowie eine qualifizierte Sachkundeprüfung nach der Bewachungsverordnung (BewachV) voraus.

1.2. Vertragsgrundlagen und Haftung

Bewachungsdienstleistungen basieren in der Regel auf Dienstverträgen nach den §§ 611 ff. Bürgerliches Gesetzbuch (BGB) oder Werkverträgen (§§ 631 ff. BGB), je nach geschuldeter Leistung. Sicherheitsunternehmen treffen spezifische Sorgfaltspflichten; bei Pflichtverletzungen können sowohl vertragliche als auch deliktische Haftungsansprüche gegen sie geltend gemacht werden. Die Haftung ist oft durch individuelle Vertragsklauseln beschränkt, unterliegt jedoch rechtlichen Grenzen, insbesondere im Hinblick auf grobe Fahrlässigkeit oder Vorsatz.

1.3. Datenschutz im Bewachungsgewerbe

Die Verarbeitung personenbezogener Daten durch Sicherheitsdienste unterliegt der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG). Insbesondere bei der Videoüberwachung öffentlich zugänglicher Räume muss eine Abwägung zwischen berechtigten Sicherheitsinteressen und den Persönlichkeitsrechten der Betroffenen erfolgen.

2. Security im Finanz- und Kapitalmarktrecht

2.1. Begriffsabgrenzung: Security als Wertpapier

Im angloamerikanischen Raum steht der Begriff „Security“ vor allem für Wertpapiere, die dem Finanz- und Kapitalmarktrecht unterliegen. Nach § 2 Wertpapierhandelsgesetz (WpHG) sowie der Definition der EU-Richtlinie MiFID II (Markets in Financial Instruments Directive) zählen darunter Aktien, Schuldverschreibungen, Optionen, Derivate und weitere börsennotierte sowie außerbörslich gehandelte Finanzinstrumente.

2.2. Emission, Handel und Anlegerschutz

Die Emission und der Vertrieb von Securities sind in Deutschland und Europa streng reguliert. Das Wertpapierprospektgesetz (WpPG) regelt die Publizitätspflichten für Emittenten; die Finanzdienstleistungsaufsicht (BaFin) überwacht die Einhaltung. Zum Schutz der Anleger bestehen umfassende Informations-, Aufklärungs- und Dokumentationspflichten für Anbieter, geregelt im WpHG und in weiteren aufsichtsrechtlichen Bestimmungen (bspw. Geldwäschegesetz – GwG zur Verhinderung von Finanzkriminalität).

2.3. Straf- und zivilrechtliche Folgen bei Verstößen

Verletzungen kapitalmarktrechtlicher Pflichten können sowohl strafrechtliche Konsequenzen (z. B. Insiderhandel, Marktmanipulation nach § 119 WpHG) als auch zivilrechtliche Ansprüche (wie Schadensersatz nach § 826 BGB – sittenwidrige vorsätzliche Schädigung) auslösen.

3. Security in Bezug auf IT- und Datenschutzrecht

3.1. IT-Sicherheit als Teil der betrieblichen Compliance

Im Sinne der Informationssicherheit beschreibt Security sämtliche Maßnahmen zum Schutz der Integrität, Verfügbarkeit und Vertraulichkeit informationstechnischer Systeme. Die rechtlichen Anforderungen ergeben sich insbesondere aus dem IT-Sicherheitsgesetz (IT-SiG), der DSGVO sowie sektorbezogenen Spezialgesetzen, etwa dem Telekommunikationsgesetz (TKG).

3.2. Meldepflichten und Haftung im Falle von Sicherheitsverletzungen

Betreiber kritischer Infrastrukturen sind verpflichtet, erhebliche IT-Sicherheitsvorfälle unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Auch Unternehmen anderer Branchen unterliegen Meldepflichten bei Datenschutzverletzungen gegenüber den Aufsichtsbehörden und betroffenen Personen (Art. 33, 34 DSGVO). Die Verletzung dieser Pflichten kann zu Bußgeldern, Schadensersatzforderungen und zum Entzug von Betriebserlaubnissen führen.

4. Rechtliche Aspekte der Begriffsverwendung in internationalen Kontexten

4.1. Unterschiedliche Rechtsverständnisse

Während der Begriff Security im deutschen Recht primär den Sicherheitsdienst und den Datenschutz betrifft, versteht das angloamerikanische Recht unter „Security“ vorwiegend das Wertpapier. Dies ist bei internationalen Rechtsstreitigkeiten und Verträgen von hoher Bedeutung, um Missverständnisse in der Vertragsauslegung zu vermeiden.

4.2. Internationale Abkommen und Harmonisierung

Zahlreiche internationale Regelwerke (z. B. Richtlinien der Europäischen Union zum Kapitalmarktrecht oder zur IT- und Informationssicherheit) zielen darauf ab, die Rechtslage zu vereinheitlichen und einen grenzüberschreitenden Anlegerschutz sowie IT-Sicherheitsstandard zu gewährleisten.

Zusammenfassung der rechtlichen Bedeutung von Security

Der Begriff Security nimmt im deutschen und internationalen Recht eine vielschichtige Rolle ein. Er bezeichnet Sicherheitsdienstleistungen des Bewachungsgewerbes, umfasst die Regulierung von Wertpapieren sowie die IT-Sicherheit und den Datenschutz. Alle Bereiche sind durch spezifische gesetzliche Regelungen und strenge Aufsichtsbehörden geprägt. Die differenzierte Betrachtung im rechtlichen Kontext ist essenziell, um Haftungsrisiken zu minimieren, gesetzliche Anforderungen einzuhalten und die Rechte aller beteiligten Parteien zu wahren.

Quellen

  • Bürgerliches Gesetzbuch (BGB)
  • Gewerbeordnung (GewO)
  • Bewachungsverordnung (BewachV)
  • Wertpapierhandelsgesetz (WpHG)
  • EU-Richtlinie MiFID II
  • Datenschutz-Grundverordnung (DSGVO)
  • IT-Sicherheitsgesetz (IT-SiG)
  • Bundesdatenschutzgesetz (BDSG)

Häufig gestellte Fragen

Welche rechtlichen Grundlagen müssen Unternehmen im Bereich IT-Security beachten?

Unternehmen sind im Bereich der IT-Security an eine Vielzahl von gesetzlichen Regelungen gebunden, die sowohl auf nationaler als auch auf europäischer Ebene bestehen. Primär relevant ist die Datenschutz-Grundverordnung (DSGVO), welche u.a. in Art. 32 konkrete Vorgaben zur Sicherheit der Verarbeitung macht. Unternehmen sind verpflichtet, technische und organisatorische Maßnahmen (TOM) zu implementieren, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Neben der DSGVO existieren weitere nationale Gesetze wie das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0). Diese regeln den Schutz personenbezogener Daten, Anforderungen an die IT-Sicherheit kritischer Infrastrukturen (KRITIS), Meldepflichten bei Sicherheitsvorfällen sowie spezifische Branchenstandards. Für Unternehmen bedeutet dies, dass sie ihre IT-Systeme fortlaufend an den Stand der Technik anpassen, Risiken evaluieren und gegebenenfalls externe Dienstleister in die Sicherheitspflichten einbinden müssen. Bei Missachtung drohen empfindliche Bußgelder und zivilrechtliche Haftungsrisiken.

Welche Meldepflichten bestehen bei Sicherheitsvorfällen?

Unternehmen sind nach verschiedenen Gesetzen verpflichtet, Sicherheitsvorfälle zu melden. Gemäß Art. 33 DSGVO besteht die Pflicht, Verletzungen des Schutzes personenbezogener Daten („Data Breaches“) binnen 72 Stunden an die zuständige Datenschutzaufsichtsbehörde zu melden, sofern ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Ergänzend regelt das IT-Sicherheitsgesetz Meldepflichten für Betreiber Kritischer Infrastrukturen (KRITIS), auch ohne Personenbezug, etwa bei Angriffen auf die IT-Systeme. Hier sind die zuständigen Meldestellen, insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI), zu informieren. Versäumnisse oder verspätete Meldungen können erhebliche Bußgelder und weitere rechtliche Konsequenzen nach sich ziehen. Zudem können Stakeholder, wie Betroffene oder Geschäftspartner, unter bestimmten Umständen ebenfalls informiert werden müssen. Unternehmen sollten daher ein internes Reporting und Incident Response-Konzept rechtssicher aufsetzen.

Welche Haftungsrisiken bestehen bei Verstößen gegen Security-Vorgaben?

Die Haftungsrisiken im Bereich der IT-Security sind vielschichtig: Unternehmen können sowohl zivilrechtlich wie auch öffentlich-rechtlich in Anspruch genommen werden. Im Rahmen der DSGVO drohen Bußgelder bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes. Darüber hinaus besteht bei einer fahrlässigen oder vorsätzlichen Vernachlässigung der Security-Pflichten im Falle eines Schadens (z.B. durch Datenverlust, Datenabfluss oder Systemausfälle) eine Schadensersatzpflicht gegenüber Betroffenen. Auch Wettbewerber oder Vertragspartner können Ansprüche geltend machen, wenn ihnen durch mangelnde Security ein wirtschaftlicher Schaden entsteht. Mitarbeiter haften im Rahmen ihrer Tätigkeit eingeschränkt. Geschäftsführer oder Vorstände haften u.U. persönlich, wenn sie ihrer Organisations- und Überwachungspflicht nicht nachkommen.

Welche Rolle spielen Verträge mit Dienstleistern im Bereich Security?

Verträge mit externen Dienstleistern, insbesondere Auftragsverarbeitern (gemäß Art. 28 DSGVO), stellen ein zentrales Element der rechtssicheren Ausgestaltung der IT-Security dar. Unternehmen müssen vertraglich sicherstellen, dass Dienstleister angemessene technische und organisatorische Maßnahmen implementieren und dokumentieren. Dies umfasst Vertraulichkeitsverpflichtungen, Audit-, Kontroll- und Informationsrechte sowie die Pflicht zur unverzüglichen Mitteilung von Sicherheitsvorfällen. Der Vertrag muss die Rückgabe oder Löschung von Daten nach Abschluss der Verarbeitung regeln und sollte Sanktionen für Verstöße vorsehen. Bei Unteraufträgen sind spezielle Genehmigungs- und Kontrollmechanismen erforderlich. Die Einhaltung der Pflichten ist laufend zu überwachen und zu dokumentieren.

Wie ist der Stand der Technik rechtlich zu beurteilen und zu erfüllen?

Der „Stand der Technik“ ist ein dynamischer Rechtsbegriff, der sowohl in der DSGVO als auch im IT-Sicherheitsgesetz verwendet wird. Rechtlich wird darunter verstanden, dass Unternehmen Sicherheitsmaßnahmen nach dem aktuellen Entwicklungsstand implementieren müssen, die den wirtschaftlichen Aufwand und den Schutzbedarf in ein angemessenes Verhältnis setzen. Maßgeblich sind dabei veröffentlichte Standards (z.B. ISO 27001, BSI-Grundschutz), Branchenempfehlungen, technische Richtlinien und anerkannte Praktiken. Unternehmen müssen regelmäßig evaluieren, ob eingesetzte Maßnahmen noch dem Stand der Technik entsprechen und Aktualisierungen oder zusätzliche Maßnahmen erforderlich sind. Dies erfordert eine fortlaufende Risikoanalyse und Dokumentation. Bei Verstößen gegen den Stand der Technik kann dies als grob fahrlässig gewertet werden und zur Haftung führen.

Sind Mitarbeiter zu bestimmten IT-Security-Maßnahmen verpflichtet?

Ja, aus rechtlicher Sicht besteht eine arbeitsrechtliche und datenschutzrechtliche Verpflichtung der Mitarbeiter zur Mitwirkung an IT-Sicherheitsmaßnahmen. Arbeitgeber müssen ihre Mitarbeiter im Rahmen von IT-Policies, Arbeitsanweisungen und Schulungen verbindlich anweisen, bestimmte Vorgaben einzuhalten (z.B. Passwortschutz, Umgang mit sensiblen Daten, Meldepflicht bei Auffälligkeiten). Die Einhaltung dieser Vorgaben muss überwacht, bei Bedarf sanktioniert und regelmäßig überprüft werden. Juristisch gesehen trägt jedoch das Unternehmen die Verantwortung, explizite und verständliche Vorgaben zu machen und die Mitarbeitenden entsprechend zu schulen. Bei Pflichtverstößen können Abmahnungen oder im Wiederholungsfall arbeitsrechtliche Konsequenzen verhängt werden.

Welche Besonderheiten gelten bei internationalen Datenübermittlungen im Security-Kontext?

Internationale Datenübermittlungen, insbesondere in Drittstaaten außerhalb der EU/des EWR, unterliegen strengen rechtlichen Anforderungen. Neben geeigneten Security-Maßnahmen und der Einhaltung des Stands der Technik ist sicherzustellen, dass das Datenschutzniveau im Empfängerland dem europäischen Standard entspricht. Dies wird regelmäßig durch Angemessenheitsbeschlüsse der EU-Kommission, Standardvertragsklauseln oder Binding Corporate Rules erreicht. Darüber hinaus verlangt die DSGVO eine Evaluation potenzieller Zugriffe staatlicher Stellen auf die Daten beim Empfänger sowie ggf. zusätzliche Schutzmaßnahmen. Die Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen ist zwingend und muss gegenüber Behörden nachgewiesen werden können. Bei Verstößen drohen hohe Bußgelder und zivilrechtliche Haftung.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen