Das neue IT-Sicherheitsgesetz

Transkript

1 Das neue IT-Sicherheitsgesetz Auswirkungen in der Praxis August 2015

2 Inhalt 02 Hintergrund und internationaler Rahmen 03 Anforderungen und Pflichten nach dem IT- Sicherheitsgesetzes 07 Zusammenfassung und Ausblick 08 Ihr Kontakt 09 Über Pinsent Masons

3 Mit Wirkung zum 25. Juli 2015 ist in Deutschland das neue IT-Sicherheitsgesetz ( Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ) in Kraft getreten. Kein einheitliches Gesetzbuch der IT-Sicherheit Anders als der Titel vermuten lässt, handelt es sich bei dem IT- Sicherheitsgesetz nicht um ein einheitliches Gesetzbuch der IT- Sicherheit. Vielmehr modifizieren die in dem IT-Sicherheitsgesetz enthaltenen Bestimmungen bestehende Gesetze, z. B. das BSI- Gesetz, das Atomgesetz, das Energiewirtschaftsgesetz, das Telemediengesetz und das Telekommunikationsgesetz. Das IT-Sicherheitsrecht bleibt damit auch nach Erlass des IT- Sicherheitsgesetzes ein Flickenteppich. Gesetzliche Bestimmungen, aus denen sich Anforderungen und Pflichten an Unternehmen und das Management in Bezug auf Vorkehrungen zur IT-Sicherheit ergeben, sind über unterschiedlichste Rechtsgebiete verteilt, angefangen von datenschutzrechtliche Bestimmungen (z.b. nach dem Bundesdatenschutzgesetz und dem Telemediengesetz), über Organisationspflichten, die sich aus gesellschaftsrechtlichen Vorgaben an Geschäftsführer und Vorstände ergeben (z.b. gemäß 43 GmbHG oder 91 Abs. 2, 93 AktG), bis hin zu strafrechtlichen Regelungen (z.b. 202a 202c StGB). Adressaten der Regelungen des IT-Sicherheitsgesetzes Das IT-Sicherheitsgesetz richtet sich nach dem Gesetzeswortlaut nicht an alle Unternehmen, sondern im Wesentlichen an Betreiber sogenannter kritischer Infrastrukturen, die künftig zu angemessenen technischen und organisatorischen Vorkehrungen zur IT- Sicherheit sowie umfangreichen Meldepflichten bei IT- Sicherheitsvorfällen verpflichtet werden. Weitere direkte Adressaten des IT-Sicherheitsgesetzes sind insbesondere Anbieter von Telemediendiensten und von Telekommunikationsleistungen, Betreiber von Energieanlagen und Betreiber von kerntechnischen Anlagen. Das IT-Sicherheitsgesetz wird jedoch darüber hinaus auch Auswirkungen auf Unternehmen haben, die nicht direkter Adressat des IT-Sicherheitsgesetzes sind. So ist zum einen zu erwarten, dass Betreiber kritischer Infrastrukturen die an sie durch das IT- Sicherheitsgesetz gestellten Anforderungen und Pflichten vertraglich an ihre Zulieferer weitergeben werden. Zum anderen gehen Experten davon aus, dass sich die - noch durch Rechtsverordnung zu konkretisierenden Vorkehrungspflichten für Betreiber kritischer Infrastrukturen allgemein als "best practice" etablieren werden. 1

4 Hintergrund und internationaler Rahmen Das IT-Sicherheitsgesetz ist Teil der bereits 2011 beschlossen Cyber-Sicherheitsstrategie der Bundesregierung und dient in erster Linie einer Harmonisierung und Verschärfung der Regelungen zur Aufrechterhaltung kritischer Infrastrukturen im Falle von IT-Sicherheitsvorfällen. Das Risiko von Unternehmen, Ziel einer Cyberattacke zu werden, ist beträchtlich. Laut aktueller Umfragen sind mehr als ein Drittel aller Unternehmen in Deutschland bereits Opfer von Cyberkriminalität geworden. Experten sind sich einig, dass die Dunkelziffer deutlich höher sein dürfte. Die Bundesregierung selbst stellt in der Begründung für das IT-Sicherheitsgesetz fest, dass die IT-Sicherheitslage in Deutschland aktuell "angespannt" ist und dass die Angriffe auf die IT-Infrastruktur von Unternehmen und öffentlichen Einrichtungen technologisch immer ausgereifter und komplexer werden. 1 Neben Deutschland planen auch andere EU-Länder vergleichbare nationale IT-Sicherheitsgesetze. Entsprechende Gesetzgebungsverfahren sind aktuell u.a. in Österreich, Finnland, Belgien, Großbritannien und Frankreich auf den Weg gebracht oder in Vorbereitung. Das europäische Pendant zum IT-Sicherheitsgesetz ist die sog. NIS- Richtlinie 2, welche derzeit von den Mitgliedstaaten verhandelt wird und einen einheitlichen europäischen Rechtsrahmen der IT- Sicherheit schaffen soll. Das IT-Sicherheitsgesetz weicht jedoch in Teilen von den derzeit diskutierten Regelungen der NIS-Richtlinie ab bzw. geht darüber hinaus, etwa was die Meldepflichten für Unternehmen betrifft. Dies steht in Einklang mit dem erklärten Ziel der Bundesregierung, Deutschland zu einem Vorreiter der IT-Sicherheit in Europa zu machen und diesbezüglich Maßstäbe zu setzen, die über die einheitlichen europäischen Vorgaben hinausgehen. 1 BT/Drucksache 18/4096, S.1; 2 Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit 2

5 Anforderungen und Pflichten nach dem IT- Sicherheitsgesetzes Adressaten des IT-Sicherheitsgesetzes sind insbesondere Betreiber sog. kritischer Infrastrukturen, daneben aber auch Anbieter von Telemediendiensten und von Telekommunikationsleistungen, Betreiber von Energieanlagen oder Betreiber von kerntechnischen Anlagen. Es ist davon auszugehen, dass die Anforderungen nach dem IT-Sicherheitsgesetz darüber hinaus auch für Unternehmen von Relevanz werden, die kein direkter Adressat des IT-Sicherheitsgesetzes sind. Anforderungen und Pflichten für Betreiber kritischer Infrastrukturen Betreiber kritischer Infrastrukturen Das IT-Sicherheitsgesetz richtet sich in erster Linie an Betreiber sog. kritischer Infrastrukturen ("KRITIS"). Nach dem Gesetz sind KRITIS Einrichtungen und Anlagen, die (1) den Sektoren Energie, IT, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung, Finanz- oder Versicherungs-wesen zugehören, und (2) von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Dies ist der Fall, wenn durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die nähere Bestimmung der vorgenannten Merkmale bleibt einer noch zu erlassenden Rechtsverordnung überlassen. Aktuell ist daher noch unklar, welche Unternehmen konkret als KRITIS-Betreiber anzusehen sind. In jedem Fall ausgenommen von dem Anwendungsbereich des IT- Sicherheitsgesetzes sind Kleinstunternehmen, die weniger als 10 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet. Vorkehrungspflichten Betreiber Kritischer Infrastrukturen sind nach dem IT- Sicherheitsgesetz verpflichtet, angemessene technische und organisatorische Vorkehrungen zur Vermeidung von IT- Sicherheitsfällen zu treffen, die sich an dem jeweiligen Stand der Technik zu orientieren haben. Die Vorkehrungen sind von den KRITIS-Betreibern bis spätestens Juli 2017 umzusetzen. Welche Vorkehrungen dies im Einzelnen sind, ist ebenfalls gesetzlich nicht weiter definiert und soll auf Rechtsverordnungsebene konkretisiert werden. Das IT-Sicherheitsgesetz sieht zudem die Möglichkeit vor, dass Branchenverbände und KRITIS- Betreiber zukünftig branchenspezifische Sicherheitsstandards vorschlagen können, die durch das BSI abgesegnet werden können. Es wird erwartet, dass diese branchenspezifischen Sicherheitsstandards in der Praxis große Relevanz erlangen werden. Nachweispflichten KRITIS-Betreiber haben mindestens alle zwei Jahre gegenüber dem BSI nachzuweisen, dass sie die geforderten IT- Sicherheitsvorkehrungen getroffen haben. Der Nachweis kann durch Übermittlung einer Auflistung der zu diesem Zweck von bzw. bei dem KRITIS-Betreiber durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Entsprechende Audits, Prüfung und Zertifizierung sind nach der Gesetzesbegründung von dazu nachweislich qualifizierten Prüfern bzw. Zertifizierern durchzuführen. Im Falle von Sicherheitsmängeln kann das BSI die Übermittlung der gesamten Überprüfungsergebnisse verlangen. 3

6 Meldepflichten Neben Vorkehrungspflichten treffen KRITIS-Betreiber zukünftig auch umfangreiche Meldepflichten im Falle von IT- Sicherheitsvorfällen. So sind "erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit" der IT- Systeme von KRITIS-Betreibern, die "zum Ausfall oder zur Beeinträchtigung der Funktionsfähigkeit" einer KRITIS führen können oder geführt haben, ab sofort unverzüglich an das BSI melden. Die Meldung muss umfangreiche Angaben zu allen relevanten Hintergründen des IT-Sicherheitsfalles enthalten, einschließlich technischer Informationen und der vermuteten Ursachen. Die namentliche Nennung des betroffenen KRITIS-Betreibers selbst ist hingegen nur dann verpflichtend, wenn die Störung tatsächlich bereits zu einem Ausfall oder einer Beeinträchtigung der KRITIS geführt hat. Andernfalls d.h. sofern der IT- Sicherheitsvorfall lediglich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRITIS führen kann erlaubt das Gesetz grundsätzlich auch eine entsprechende Meldung ohne namentliche Nennung des betroffenen Unternehmens. Eine solche pseudonymisierte Meldung kann etwa durch die übergeordnete Ansprechstelle erfolgen, welche KRITIS- Betreiber, die dem gleichen Sektor angehören, gegenüber dem BSI zum Zwecke des gemeinsamen Informationsaustausches (zusätzlich zu der jeweils zu benennenden unternehmenseigenen Kontaktstelle) benennen können. Die Meldepflichten für KRITIS-Betreiber nach dem IT- Sicherheitsgesetz sind im Ergebnis als weitreichend anzusehen, da eine entsprechende Meldung grundsätzlich bereits dann erforderlich ist, wenn ein IT-System des Unternehmens betroffen ist, das lediglich zu einer Beeinträchtigung der Funktionsfähigkeit der KRITIS führen kann. Zwar soll die Meldepflicht nach dem Gesetzeswortlaut nur bei erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der jeweiligen IT-Systeme bestehen, allerdings bezieht sich das einschränkende Kriterium der Erheblichkeit nicht auf das Ausmaß der potentiellen Beeinträchtigung der Funktionsfähigkeit der KRITIS, sondern auf die Störung des IT-Systems. Nach der offiziellen Gesetzesbegründung soll eine solche erhebliche Störung des IT-Systems wiederum dann vorliegen, wenn diese zu einer Beeinträchtigung der Funktionsfähigkeit der KRITIS führen kann. Das Erheblichkeitskriterium bietet insofern im Ergebnis über die Anforderung einer potentiellen KRITIS- Beeinträchtigung durch den IT-Sicherheitsvorfall hinaus keine zusätzliche Einschränkung der Meldepflicht. Will die Geschäftsleitung keinen Rechtsverstoß riskieren, wird sie daher bei jedem IT-Sicherheitsvorfall, der zu einer entsprechenden Beeinträchtigung der Funktionsfähigkeit der KRITIS führen kann, eine Meldung an das BSI unternehmen müssen, was einen erhöhten Aufwand beim Unternehmen auslösen kann. Eine pflichtwidrig unterlassene Meldung stellt allerdings nur dann eine Ordnungswidrigkeit des Unternehmens dar, wenn der IT-Sicherheitsvorfall bereits zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRITIS geführt hat. In allen sonstigen Fällen sieht das Gesetz keine Sanktionen vor. 4

7 Anforderungen und Pflichten für Anbieter von Telemediendiensten Ein weiterer wichtiger Adressatenkreis des IT- Sicherheitsgesetzes sind Anbieter, die Telemediendienste geschäftlich anbieten. Dies sind grundsätzlich alle Betreiber von Onlineshops, kommerziellen Websites und anderen kommerziellen Internet-Angeboten mithin grundsätzlich alle wirtschaftlich tätigen Unternehmen, die einen Internetauftritt betreiben. Anbieter von Telemediendiensten werden nach dem IT- Sicherheitsgesetz ab sofort dazu verpflichtet, durch technische und organisatorische Vorkehrungen unter Beachtung des jeweiligen Standes der Technik sicherzustellen, dass (1) kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist, und (2) diese gegen Verletzungen des Schutzes personenbezogener Daten sowie gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Im Vergleich zu den KRITIS-Betreibern sind die Pflichten von Betreibern kommerzieller Websites und anderer Telemediendiensteanbieter nach dem IT-Sicherheitsgesetz allerdings deutlich eingeschränkt: Zum einen betrifft die Vorkehrungspflicht nur die für die Telemedienangebote genutzten technischen Einrichtungen, nicht jedoch die gesamte IT-Infrastruktur des Unternehmens. Zum anderen ist der Diensteanbieter nur zu solchen Vorkehrungen verpflichtet, die "technisch möglich" und ihm "wirtschaftlich zumutbar" sind. Schließlich treffen die Anbieter von Telemediendiensten anders als im Falle der KRITIS-Betreiber nach dem IT-Sicherheitsgesetz keine zusätzlichen Meldepflichten bei IT-Sicherheitsvorfällen. Fachkreise kritisieren allerdings, dass das IT-Sicherheitsgesetz wie bei den Regelungen für KRITIS-Betreiber weder Mindeststandards noch Konkretisierungen dazu enthält, welche Vorkehrungen von den Diensteanbietern im Einzelnen getroffen werden müssen, abgesehen von der exemplarischen Nennung sicherer Verschlüsselungsverfahren. Auch sieht das Gesetz keine Möglichkeit der Branchenverbände zur Konkretisierung der Vorkehrungspflicht vor. Dies führt auch für Telemediendiensteanbieter zu einer gewissen Rechtsunsicherheit in Bezug auf die notwendigen Vorkehrungen, zumal ein Verstoß gegen die geforderten Vorkehrungspflicht ebenfalls eine Ordnungswidrigkeit darstellen kann, die mit einer Geldbuße von bis zu EUR belegt ist ( 16 Abs. 2 Nr. 3 TMG n. F.). Spannend ist in diesem Zusammenhang auch die Frage, ob die Gerichte die vorgenannten Anforderungen des IT- Sicherheitsgesetzes an Telemediendiensteanbieter, welche nunmehr in 13 Abs. 7 TMG n. F. umgesetzt sind, als Marktverhaltensregel im wettbewerbsrechtlichen Sinne ansehen werden. In diesem Fall könnten unzureichende Vorkehrungsmaßnahmen entsprechende Abmahnungen von Wettbewerbern auslösen. Einige Gerichte sehen in fehlenden Datenschutzhinweisen gemäß 13 Abs. 1 TMG einen Wettbewerbsverstoß (z. B. zuletzt Hanseatisches OLG ZD 2013, ZD 2013, S. 511) und es ist aktuell zumindest nicht auszuschließen, dass auch die Anforderungen an Vorkehrungen zur IT-Sicherheit nach 13 Abs. 7 TMG n. F. entsprechende wettbewerbsrechtliche Bedeutung erlangen könnten. 5

8 Auswirkungen auf sonstige Unternehmen Es ist davon auszugehen, dass die Vorkehrungspflichten nach dem IT-Sicherheitsgesetz bzw. den darunter zu erlassenden Rechtsverordnungen auch für Unternehmen von Relevanz sein werden, die kein direkter Adressat des IT- Sicherheitsgesetzes sind. Dies gilt zum einen für Zulieferer von KRITIS-Betreibern bzw. deren sonstige Vertragspartner in der Lieferkette, denn es ist zu erwarten, dass KRITIS-Betreiber die sie treffenden Vorkehrungspflichten entsprechend vertraglich an ihre Vertragspartner weitergegeben werden. Darüber gehen Experten davon aus, dass sich die technischen und organisatorischen Vorkehrungen, welche zukünftig von KRITIS-Betreibern einzuhalten sind, allgemein als übliche Standards ("best practice") etablieren werden. So können Unternehmen etwa aufgrund vertraglicher Verpflichtungen gegenüber Kunden oder Partnern, aufgrund einschlägiger Organisationspflichten des Managements (z.b. gemäß 43 GmbHG oder 91 Abs.2, 93 AktG) oder aber nach datenschutzrechtlichen Gesichtspunkten entsprechende Pflichten zur Einhaltung von IT-Sicherheitsstandards treffen. Es wird erwartet, dass insbesondere die branchenspezifischen Sicherheitsstandards, die nach dem IT-Sicherheitsgesetz von Branchenverbänden für sektorbezogene KRITIS-Betreiber vorgeschlagen werden können, in diesem Zusammenhang allgemeine Bedeutung erlangen werden. Von Bedeutung könnten diese Standards auch für das Produkthaftungsrisiko von produzierenden Unternehmen werden. Die gesetzliche Produkt- und Produzentenhaftung knüpft grundsätzlich an die Verletzung von Verkehrssicherungspflichten des Herstellers, insbesondere Konstruktions-, und Fabrikationsfehler, an. Wird ein Produktfehler etwa in Folge einer Cyber-Attacke verursacht, der bei Einhaltung einschlägiger IT- Sicherheitsstandards vermeidbar gewesen wäre, dürfte es dem Hersteller in der Praxis schwerer fallen, sich von einer Produktbzw. Produzentenhaftung zu exkulpieren. 6

9 Zusammenfassung und Ausblick Das Ziel der Bundesregierung, die Bundesrepublik Deutschland international zu einem Vorreiter im Bereich der IT-Sicherheit zu machen, sowie der in diesem Zusammenhang erfolgte Erlass des IT- Sicherheitsgesetzes werden von der einheimischen Wirtschaft und IT-Fachleuten grundsätzlich positiv gesehen. In Bezug auf die konkreten Anforderungen und Pflichten, die sich für Unternehmen in Zusammenhang mit dem IT-Sicherheitsgesetz ergeben, besteht derzeit jedoch noch erhebliche Rechtsunsicherheit. Wichtige Konkretisierungen, etwa hinsichtlich der Definition von KRI- TIS-Betreibern oder der durch die Unternehmen zu treffenden Vorkehrungspflichten, sind noch zu erlassenden Rechtsverordnungen überlassen worden. Auch ist derzeit noch unklar, welche konkreten Auswirkungen die Vorkehrungspflichten unter dem IT- Sicherheitsgesetz auf Unternehmen haben werden, die keine KRITIS-Betreiber sind. Unternehmen sind daher gut beraten, sich regelmäßig über die weitere Entwicklung und die sie möglicherweise zukünftig treffenden Pflichten in Zusammenhang mit dem IT-Sicherheitsgesetz zu informieren bzw. durch Experten auf dem Laufenden halten zu lassen. 7

10 Ihr Kontakt Sollten Sie Fragen zum neuen IT-Sicherheitsgesetz wie selbstverständlich auch bei Interesse an dem weiteren Leistungsspektrum unserer Kanzlei haben, sprechen Sie uns bitte an. Unsere langjährig erfahrenden Anwälte stehen Ihen gern zur Verfügung. Dr. Florian von Baum Rechtsanwalt, Partner Head of German IT/IP & Outsourcing T: M: E: Dr. Michael Zollner, LL.M. Rechtsanwalt IT/IP & Outsourcing T: M: E: Nasim Jenkouk Rechtsanwältin IT/IP & Outsourcing T: M: E: 8

11 Über Pinsent Masons Pinsent Masons ist eine der führenden internationalen Wirtschaftskanzleien. Unsere Wurzeln reichen bis ins Jahr 1769 zurück. Heute zählt die Kanzlei mehr als Rechtsanwälte an Standorten in Europa, im Mittleren Osten, in Asien und Australien. Mit der Kombination hoch spezialisierter Branchenkenntnis und juristischer Fachkompetenz bieten wir unseren Mandanten genau die rechtliche Beratung, die ihren Bedürfnissen entspricht. Pinsent Masons Germany konzentriert sich dabei auf folgende Rechtsbereiche: Corporate and M&A IT/IP & Outsourcing HR & Employment Litigation & Compliance Competition Real Estate & Property Banking & Finance Infrastructure & Energy Projects Tax Bei grenzüberschreitenden Transaktionen können wir auf die Unterstützung unserer Kollegen in Europa, im Mittleren Osten, in Asien und Australien, sowie unserem globalen Netzwerk befreundeter Kanzleien zurückgreifen. IT/IP & Outsourcing IT/IP & Outsourcing hochgradig komplex und mit rasanter Entwicklung. Im Hinblick auf die Branchen ebenso wie auf ihre rechtlichen Grundlagen. Pinsent Masons arbeitet intensiv mit den Weltmarktführern im Technologiesektor, vor allem in den Bereichen Telekommunikation, Software, Automotive und Life Science zusammen. Das macht uns zu Experten im Technologiesektor und hält uns stets zu den neuesten Entwicklungen auf dem Laufenden. Unsere Schwerpunkte IT Vertragliche Umsetzung neuer Technologien und Geschäftsmodelle wie Cloud Computing, Software as a Service, Connectivity, Big Data, E- und M-Commerce sowie Open Source Umsetzung regulatorischer Anforderungen, insbesondere zum Datenschutz IP Schutz und Verteidigung des geistigen Eigentums von der Strategie bis zur Verteidigung bzw. Durchsetzung von Schutzrechten (vor allem Marken, Patente, Urheberrechte und Sortenrechte) Kommerzialisierung von IP durch Technologietransaktionen, Lizenzierung und Vertrieb Forschungs- und Entwicklungsprojekte Wettbewerbsrecht, Werberecht Sourcing/Outsourcing Sourcing- bzw. Outsourcing-Transaktionen, sowohl kundenals auch anbieterseitig IT-, Business Process und HR-Outsourcing IT-Entwicklungs-, Implementierungs- und Integrationsprojekte Innovative Supply Chain-Projekte, inklusive Open Innovation und Smart Factory (Industrie 4.0) 9

12 Pinsent Masons Germany LLP Ottostraße München T: F: Bank: Barclays Bank PLC, Frankfurt IBAN DE SWIFT BARCDEFF Amtsgericht München PR 1154 Pinsent Masons Germany LLP ist eine Gesellschaft in der Rechtsform einer in England und Wales eingetragenen Limited Liability Partnership (Registernummer: OC373389) mit Sitz in London, 30 Crown Place, Earl Street, London EC2A 4ES, Vereinigtes Königreich. Die Gesellschaft hat eine deutsche Zweigniederlassung mit Geschäftssitz in München an der oben angegebenen Adresse, eingetragen im Partnerschaftsregister des Amtsgerichts München (Registernummer: PR 1154). Bezogen auf die Pinsent Masons Germany LLP, bezeichnet der Begriff Partner Gesellschafter (Members), soweit sie als Rechtsanwalt zugelassen sind, oder Angestellte oder Berater der Pinsent Masons Germany LLP oder mit ihr verbundener Gesellschaften, soweit ihre Stellung der eines Gesellschafters entspricht. Ein Verzeichnis der Gesellschafter (Members) der Pinsent Masons Germany LLP und der Personen, deren Stellung der eines Gesellschafters entsprechen, liegt am oben angegebenen Geschäftssitz in München und am oben angegebenen Sitz in London aus. Der Name Pinsent Masons wird verwendet zur Bezeichnung der Pinsent Masons LLP und mit ihr verbundener Gesellschaften, einschließlich der Pinsent Masons Germany LLP, die tätig sind unter dem Namen Pinsent Masons oder einem Namen der diese Worte enthält. Je nach Kontext bezieht sich Pinsent Masons auf die Pinsent Masons LLP und/oder eine oder mehrere mit ihr verbundenen Gesellschaften. Pinsent Masons Germany LLP Eine vollständige Liste der weltweiten Standorte findet sich unter: