Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Wer haftet für die IT-Sicherheit?

17.10.2006, 00:00 Uhr | Lesezeit: 7 min
Wer haftet für die IT-Sicherheit?

Das Thema "IT-Sicherheit" betrifft keineswegs nur Computer-Spezialisten, sondern hat absolute unternehmerische Relevanz. Unternehmen, die der IT-Sicherheit nur wenig Beachtung schenken, handeln grob fahrlässig und werden mittlerweile auch seitens der Gerichte als schlicht "blauäugig" bezeichnet. Rechtsanwalt Max-Lion Keller erläutert anhand eines Falls, den das Oberlandesgericht (OLG) Hamm im Jahr 2003 zu entscheiden hatte, welche rechtlichen Konsequenzen sich aus einer derartigen Blauäugigkeit für ein Unternehmen ergeben.

Ein Reiseunternehmen hatte Probleme mit seinem Server und beauftragte einen Computer-Reparaturdienst, nach dem Grund für eine bestimmte Fehlermeldung zu suchen. Der Mitarbeiter des Reparaturdienstes wollte daraufhin eine Festplatte austauschen und erkundigte sich vorher, ob die betreffenden Daten gesichert seien. Dies bejahte das Reiseunternehmen und es kam, wie es kommen musste: Bei der Vorbereitung des Festplattenaustausches kam es zu einem Absturz des Servers mit der Folge, dass zahlreiche Geschäftsdaten gelöscht wurden.

Das Reiseunternehmen hatte seine Daten noch nicht einmal monatlich gesichert, so dass Teile der Daten tatsächlich unwiederbringlich gelöscht waren. Das Reisebüro verklagte nun den Reparaturdienst auf Zahlung von Schadensersatz mit der Begründung, dass der Dienstleister bei den Arbeiten an der Festplatte nicht sachgemäß vorgegangen sei und dabei das System zerstört oder beschädigt habe. Es sei jedenfalls nicht genügend Sorge für eine hinreichende Datensicherung vor diesen Arbeiten getragen worden. Dazu sei der Reparaturdienst aber verpflichtet gewesen. Das Gericht hatte nun zu entscheiden, in wessen Verantwortungsbereich die Datensicherung fällt.

Bei mangelnder Datensicherung selbst schuld

Das OLG Hamm fand in seinem Urteil vom 1. Dezember 2003 (Az:13 U 133/03) deutliche Worte: Es legte dem Reiseunternehmen zur Last, dass dieses nicht für eine zuverlässige Sicherheitsroutine gesorgt, sondern diese vielmehr grob vernachlässigt habe. So habe der nach dem Absturz festgestellte Stand der Komplettsicherung dem Stand vier Monate vor den Wartungsarbeiten entsprochen! Dies sei "grob fahrlässig, ja blauäugig", so das OLG Hamm. Schließlich habe eine Sicherung der Unternehmensdaten "täglich zu erfolgen, eine Vollsicherung mindestens einmal wöchentlich." Das Gericht legte noch nach: Selbst wenn dem Mitarbeiter des Reparaturdienstes eine Pflichtverletzung im Sinne der Wahrnehmung seiner Controllerpflichten vorzuwerfen wäre, bliebe es dabei, dass dem Reiseunternehmen eine Alleinschuld am entstanden Datenverlust und damit am finanziellen Schaden vorzuwerfen wäre.

Banner Starter Paket

Haftung der Beteiligten

Die nun schon vielfach zitierte "Blauäugigkeit" kann für den jeweiligen IT-Verantwortlichen in einem Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Folgen haben: So ist die Geschäftsleitung nach dem am 27. April 1998 in Kraft getretenen Kontroll- und Transparenzgesetz (KonTraG) verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren. Schenkt die Geschäftsleitung der Gefahr einer fehlenden Datensicherung keine Beachtung, so ist in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, auch deren Verhalten als grob fahrlässig zu bezeichnen.

Natürlich kann sich auch der unmittelbare IT-Verantwortliche aus dem Arbeits- bzw. Anstellungsvertrag haftbar machen. Es muss heutzutage zudem jedem klar sein, dass Pflichtverletzungen im Bereich der IT-Sicherheit arbeitsrechtliche Abmahnungen und im Wiederholungsfall gar Kündigungsfolgen nach sich ziehen können.

Ähnlich stellt sich die Problematik bei externen bzw. freien Mitarbeitern dar, die in aller Regel in einem Dienst- oder auch Werkvertragsverhältnis zu ihren Auftraggebern stehen. Abhängig von der jeweiligen Vertragsausgestaltung können hier grobe sicherheitsrelevante Verfehlungen schnell zur sofortigen wie auch entschädigungslosen Auflösung des Vertrages führen. Darüber hinaus kommen natürlich auch Schadensersatzansprüche des Auftraggebers in Betracht.

Bei unzureichenden Datensicherungsmaßnahmen spielt es übrigens keine Rolle, wie dilettantisch etwaige Wartungsarbeiten vorgenommen werden. Das Risiko des Datenverlusts tragen in diesen Fällen ausschließlich die Unternehmen bzw. die jeweiligen Verantwortlichen.

Auch GmbH-Geschäftsführer persönlich haftbar

Im Aktiengesetz ist festgelegt, dass eine persönliche Haftung des Vorstand dann in Betracht kommt, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG). Nahezu dieselben Anforderungen gelten:

  • Für den Geschäftsführer einer GmbH, der die "Sorgfalt eines ordentlichen Geschäftsmannes" aufzubringen hat (§ 43 Abs. 1 GmbHG). Diese, zugegebenermaßen eher allgemein gehaltene, Formulierung beinhaltet in der rechtlichen Praxis ganz ähnliche Folgerungen für das Risikomanagement wie für Vorstände nach dem Aktiengesetz.
  • Für andere Gesellschaftsformen, wie etwa die Offene Handelsgesellschaft oder die Kommanditgesellschaft. Diese sind nämlich den Kapitalgesellschaften hinsichtlich der Rechtspflichten zur IT-Sicherheit dann gleichgestellt, wenn sie keine natürliche Person als persönlich haftende Gesellschafter haben (vgl. dazu das Kapitalgesellschaften und Co-Richtlinie-Gesetz, "KapCoRiLiG").

Kommt die Geschäftsführung oder der Vorstand - als Verantwortliche - der oben beschriebenen Risikovorsorgepflicht nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Mitglieder des Vorstands und der Geschäftsführung, unter Umständen auch der Aufsichtsratmitglieder (§116 AktG) führen.

Schadensersatz

Die mangelhafte IT-Sicherheit eines Unternehmens kann auch Schadensersatzansprüche desjenigen Vertragpartners nach sich ziehen, dem durch die Leistungserbringung des Unternehmens konkret bezifferbare Schäden entstanden sind, etwa in Form eines kompletten oder auch nur teilweisen Produktions- oder gar Betriebsausfalles. Dasselbe gilt für den Fall, dass vertrauliche fremde Informationen abhanden gekommen sind. Als Haftungsgrundlage kommen hierbei schuldrechtliche Schadensersatzansprüche in Betracht, gemäß § 280ff. BGB. Gerade in diesem Zusammenhang ist auch § 241 Abs. 2 BGB zu beachten, wonach die Pflicht besteht, auf die Rechte, Rechtsgüter und Interessen des Vertragspartners Rücksicht zu nehmen. Hierzu gehören insbesondere die Beachtung von Schutzpflichten, Aufklärungs- und Beratungspflichten.

Datenschutzrechtliche Haftung

Die Haftungsrisiken im Bereich des Datenschutzrechts sind enorm, sowohl für das Unternehmen als auch für die Geschäftsführung. So ergibt sich aus § 7 S. 1 Bundesdatenschutzgesetz (BDSG) ein verschuldensunabhängiger Schadensersatzanspruch. Diese Vorschrift bestimmt nämlich, dass ein Unternehmen für alle Schäden verschuldensunabhängig (!) und unbegrenzt haftet, die es Dritten durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zufügt. Darüber hinaus kommen hierbei auch deliktische Ansprüche gem. § 823 BGB in Betracht, da das von § 823 I BGB geschützte Rechtsgut Eigentum eben auch die Integrität von Daten umfasst. Nicht zuletzt wäre hier auch eine Verletzung des allgemeinen Persönlichkeitsrecht zu denken, etwa wenn es um personenbezogene Daten geht.

Beispiel: Ein Hacker kann Kundendaten auslesen, weil keine Firewall eingesetzt wird, vgl. Anlage zu § 9 Satz 1 BDSG Nr. 2. Dabei ist insbesondere für Unternehmen die in § 7 BDSG enthaltene Beweislastumkehr problematisch. Es wird nämlich zunächst immer erst einmal von einem Verschulden des Unternehmers ausgegangen. Bezüglich der Haftung gilt nur für den Fall etwas anderes, in dem das Unternehmen die "gebotene Sorgfalt" (vgl. § 7 S. 2 BDSG) beachtet hat. Dies ist natürlich dann der Fall, wenn es die oben aufgeführten Verpflichtungen zur Einhaltung des Datenschutzes beachtet und auch umgesetzt hat.

Bußgelder und Freiheitsstrafe

Auch in den Fällen, bei denen noch kein Schaden entstanden ist, kann die mangelnde Umsetzung von IT-Sicherheitsbestimmungen im besonders sensiblen Bereich des Datenschutzes teuer werden. So können in Fällen, in denen personenbezogene Daten nicht ausreichend gemäß den Vorgaben des BDSG geschützt werden, je nach Schwere des Verstoßes

  • Bußgelder (bis zu 250.000 Euro, auch bei fahrlässiger Begehungsweise, § 43 BDSG)
  • und sogar Freiheitsstrafen von bis zu zwei Jahren gegen die Verantwortlichen verhängt werden (vgl. § 44 BDSG).

In solchen Fällen können die IT-Verantwortlichen – gleich ob Vorstand, Geschäftsführer, Behördenleiter, angestellter oder externer IT-Administrator – tatsächlich mit "einem Bein im Gefängnis stehen".

Eigener Finanz- und Imageschaden

Ausfälle der IT-Infrastrukur können natürlich dem betroffenen Unternehmen auch direkt hohe finanzielle Verluste bescheren, etwa wenn es um einen länger andauernden Ausfall der unternehmenseigenen IT-Infrastruktur geht. Hinzu kann zudem der Imageverlust des Unternehmens kommen, weil etwa grobe Versäumnisse im Bereich des Datenschutzes an die Öffentlichkeit gelangen sollten. Nur am Rande sei noch erwähnt, dass Defizite im Bereich der IT-Sicherheit dazu führen können, dass die Versicherungen ihre Leistungen kürzen und sich dabei auf ein mögliches Mitverschulden des "blauäugigen" Unternehmens berufen. In diesem Zusammenhang kann es dann auch leicht zu einer Erhöhung der Versicherungsprämie für zukünftige Fälle kommen.

 

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
Antje Delater / PIXELIO

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

3 Kommentare

B
Bernhard Brandner 28.11.2016, 19:37 Uhr
Was wenn eingerichtete Datensicherung versagt?
Wie ist die Haftung, wenn von einem IT-Dienstleister die Datensicherung auf gespiegelter Festplatte und externem NAS-Server eingerichtet wurde und sich irgendwann herausstellt, daß das System nie gesichert hat?
I
Idova 27.04.2016, 10:43 Uhr
Was aber wenn das Unternehmen nicht auf seine Administratoren hört?
Hallo!

Eine sicherlich sehr oft auftretende Frage: 
Was aber wenn das Unternehmen nicht auf seine Administratoren hört?

Oder wenn das Unternehmen die schriftlich vorliegen Hinweise auf zB Sicherheitslücken zwar wahrnimmt, diese aber verschleppt bis zum Sankt-Nimmerleins-Tag ?

Würde mich über eine Antwort sehr freuen. 

Beste Grüße!
d
derwoda 12.01.2016, 16:32 Uhr
Vielen Dank
an den Autor, sehr nützliche Informationen, um Kunden mal "einzunorden" :) Viele Chefs nehmen die hier aufgeführten Themen immer noch auf die leichte Schulter!

weitere News

Neue Mindestanforderungen zur Sicherheit von Internetzahlungen
(18.11.2015, 10:06 Uhr)
Neue Mindestanforderungen zur Sicherheit von Internetzahlungen
Pflichten von Online-Händlern bei Verdacht auf Diebstahl von Kundendaten
(20.10.2015, 08:34 Uhr)
Pflichten von Online-Händlern bei Verdacht auf Diebstahl von Kundendaten
Rechtsrahmen der IT-Sicherheit
(28.04.2007, 00:00 Uhr)
Rechtsrahmen der IT-Sicherheit
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei