Recht

Haftungsrisiken für Firmen im Internet

Das Thema IT-Sicherheit gewinnt juristisch immer mehr an Bedeutung. Angesichts der zunehmenden Komplexität und der damit einhergehenden Verwundbarkeit der unternehmenseigenen IT-Infrastruktur nimmt das Gesetz die IT-Verantwortlichen mehr und mehr in die Pflicht, Maßnahmen zur Datensicherheit zu ergreifen. IT-Administrator erläutert, welche Haftungsrisiken sich durch Nachlässigkeiten in der IT-Sicherheit ergeben können.
IT-Sicherheit kann auch zum rechtlichen Risikofaktor erwachsen
In einem vom Oberlandesgericht Hamm zu entscheidenden Fall ging es um ein Reiseunternehmen, das die Dienste eines Computer-Reparaturdienstes in Anspruch nahm, um ständig wiederkehrende Fehlermeldungen des unternehmenseigenen Servers zu beheben. Schnell zeigte sich die Notwendigkeit, eine Festplatte des Servers austauschen zu müssen.

Fragen des Mitarbeiters des Reparaturdienstes, ob die betreffenden Daten vollumfänglich gesichert seien, wurden bejaht. Es kam wie es kommen musste: Der Austausch der Festplatte führte zu einem kompletten Absturz des Servers, zahlreiche Geschäftsdaten wurden gelöscht – dies zudem unwiederbringlich, da das Reiseunternehmen nicht einmal eine monatliche Datensicherung vorgenommen hatte.

Nichtsdestotrotz verklagte das Reiseunternehmen den Computer-Reparaturdienst auf Zahlung von Schadensersatz. Schließlich sei es ja das Verschulden des Reparaturdienstleisters gewesen, dass es zu einem abrupten Serverausfall gekommen sei. Jedenfalls sei nicht genügend Sorge für eine hinreichende Datensicherung vor diesen Arbeiten getragen worden, wozu der Reparaturdienst jedoch verpflichtet gewesen wäre.

Nach Ansicht des OLG Hamm war der Fall eindeutig. In seinem Urteil vom 1. Dezember 2003 (Az: 13 U 133/03) bescheinigte es dem Reiseunternehmen, "grob fahrlässig" gehandelt zu haben, da es nicht für eine zuverlässige Datensicherungsroutine gesorgt habe. Eine nur alle vier Monate vorgenommene Komplettsicherung der Daten reiche keinesfalls aus, vielmehr habe eine Sicherung der unternehmenseigenen Daten "täglich zu erfolgen, eine Vollsicherung gar mindestens einmal wöchentlich".

Und damit nicht genug: Das Gericht stellte klar, dass es schlicht nicht darauf ankommen könne, ob dem Reparaturdienstleister eine Pflichtverletzung im Sinne der Missachtung seiner Kontrollpflichten vorgeworfen werden könne oder nicht. Vielmehr bliebe es auch bei einer solchen Pflichtverletzung dabei, dass das Reiseunternehmen eine Alleinschuld am entstanden Datenverlust zu tragen hätte und damit auch keinen Dritten für den finanziellen Schaden verantwortlich machen könne.Die zitierte "Blauäugigkeit" kann für die IT-Verantwortlichen der Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Haftungsfolgen mit sich bringen.

Haftung der Geschäftsleitung
So ist etwa nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich vom 27.04.1998 (KonTraG) die Geschäftsleitung verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren, damit Veränderungen, welche nachteilige Auswirkungen auf die Vermögens-, Ertrags- oder Finanzlage des Unternehmens haben können, frühzeitig erkannt werden. Mindestanforderung ist hierbei unter anderem auch eine effektive und regelmäßige Datensicherung. Finden entsprechende Vorkehrungsmaßnahmen nicht statt, wird man das entsprechende Nichthandeln der Geschäftsleitung in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, sicherlich als grob fahrlässig bezeichnen können.

Die zitierte "Blauäugigkeit" kann für die IT-Verantwortlichen der Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Haftungsfolgen mit sich bringen.

Haftung der Geschäftsleitung
So ist etwa nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich vom 27.04.1998 (KonTraG) die Geschäftsleitung verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren, damit Veränderungen, welche nachteilige Auswirkungen auf die Vermögens-, Ertrags- oder Finanzlage des Unternehmens haben können, frühzeitig erkannt werden. Mindestanforderung ist hierbei unter anderem auch eine effektive und regelmäßige Datensicherung. Finden entsprechende Vorkehrungsmaßnahmen nicht statt, wird man das entsprechende Nichthandeln der Geschäftsleitung in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, sicherlich als grob fahrlässig bezeichnen können.

                                                Seite 1 von 2                     Nächste Seite>>

20.07.2009/Max-Lion Keller, Rechtsanwalt bei der IT-Recht-Kanzlei in München/dr/ln

Nachrichten

Neue Schulung zu Sicherheit in Azure [28.01.2020]

cirosec bietet die neue Schulung "Sicherheit in Azure-Cloud-Umgebungen" an. Mit diesem eintägigen Training sollen die Teilnehmer ein tiefes Verständnis von Bedrohungen für Azure-Cloud-Umgebungen erhalten und Maßnahmen und Empfehlungen zur Absicherung effizient umsetzen können. [mehr]

Datenschutz für KMUs [27.01.2020]

HRES Development bringt mit "DS easy" ein Datenschutzmanagementsystem auf den Markt, das besonders für KMUs die Umsetzung der DSGVO erleichtern soll. Ziel des Produkts ist es, den Verantwortlichen Schritt für Schritt durch das Audit zu führen. [mehr]

Tipps & Tools

Download der Woche: MyKeyFinder [28.01.2020]

Trotz aller Sicherheitsvorkehrungen werden Rechner immer wieder mit Malware infiziert. Der Admin muss dann häufig das Betriebssystem und die Software neu aufsetzen. Mit dem kostenfreien Tool "MyKeyFinder" kann er im Voraus alle Lizenzschlüssel in einer Liste speichern und muss nicht erst auf einer CD-Hülle oder in einer Bestätigungs-E-Mail suchen. Dabei lassen sich die Schlüssel auch als PDF exportieren oder in die Zwischenablage kopieren. [mehr]

Vorschau Februar 2020: Backup & Recovery [27.01.2020]

Nicht erst die stetigen Ransomware-Angriffe verdeutlichen den enormen Stellenwert von Backups im Unternehmen: Ein falscher Klick genügt und schon steht die Firmen-IT still. Im Februar beleuchtet IT-Administrator deshalb das Thema Backup & Recovery ausführlich. Darin erfahren Sie, wie der System Center Data Protection Manager beim Sichern und Wiederherstellen behilflich sein kann. Auch das Backup von Office-365-Daten mit Freeware sowie die Neuerungen in Sachen Tape dürfen nicht fehlen. In den Produkttests treten drei Backupprogramme von Acronis, NovaStor und Solarwinds gegeneinander an. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle