Recht

Haftungsrisiken für Firmen im Internet

Das Thema IT-Sicherheit gewinnt juristisch immer mehr an Bedeutung. Angesichts der zunehmenden Komplexität und der damit einhergehenden Verwundbarkeit der unternehmenseigenen IT-Infrastruktur nimmt das Gesetz die IT-Verantwortlichen mehr und mehr in die Pflicht, Maßnahmen zur Datensicherheit zu ergreifen. IT-Administrator erläutert, welche Haftungsrisiken sich durch Nachlässigkeiten in der IT-Sicherheit ergeben können.
IT-Sicherheit kann auch zum rechtlichen Risikofaktor erwachsen
In einem vom Oberlandesgericht Hamm zu entscheidenden Fall ging es um ein Reiseunternehmen, das die Dienste eines Computer-Reparaturdienstes in Anspruch nahm, um ständig wiederkehrende Fehlermeldungen des unternehmenseigenen Servers zu beheben. Schnell zeigte sich die Notwendigkeit, eine Festplatte des Servers austauschen zu müssen.

Fragen des Mitarbeiters des Reparaturdienstes, ob die betreffenden Daten vollumfänglich gesichert seien, wurden bejaht. Es kam wie es kommen musste: Der Austausch der Festplatte führte zu einem kompletten Absturz des Servers, zahlreiche Geschäftsdaten wurden gelöscht – dies zudem unwiederbringlich, da das Reiseunternehmen nicht einmal eine monatliche Datensicherung vorgenommen hatte.

Nichtsdestotrotz verklagte das Reiseunternehmen den Computer-Reparaturdienst auf Zahlung von Schadensersatz. Schließlich sei es ja das Verschulden des Reparaturdienstleisters gewesen, dass es zu einem abrupten Serverausfall gekommen sei. Jedenfalls sei nicht genügend Sorge für eine hinreichende Datensicherung vor diesen Arbeiten getragen worden, wozu der Reparaturdienst jedoch verpflichtet gewesen wäre.

Nach Ansicht des OLG Hamm war der Fall eindeutig. In seinem Urteil vom 1. Dezember 2003 (Az: 13 U 133/03) bescheinigte es dem Reiseunternehmen, "grob fahrlässig" gehandelt zu haben, da es nicht für eine zuverlässige Datensicherungsroutine gesorgt habe. Eine nur alle vier Monate vorgenommene Komplettsicherung der Daten reiche keinesfalls aus, vielmehr habe eine Sicherung der unternehmenseigenen Daten "täglich zu erfolgen, eine Vollsicherung gar mindestens einmal wöchentlich".

Und damit nicht genug: Das Gericht stellte klar, dass es schlicht nicht darauf ankommen könne, ob dem Reparaturdienstleister eine Pflichtverletzung im Sinne der Missachtung seiner Kontrollpflichten vorgeworfen werden könne oder nicht. Vielmehr bliebe es auch bei einer solchen Pflichtverletzung dabei, dass das Reiseunternehmen eine Alleinschuld am entstanden Datenverlust zu tragen hätte und damit auch keinen Dritten für den finanziellen Schaden verantwortlich machen könne.Die zitierte "Blauäugigkeit" kann für die IT-Verantwortlichen der Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Haftungsfolgen mit sich bringen.

Haftung der Geschäftsleitung
So ist etwa nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich vom 27.04.1998 (KonTraG) die Geschäftsleitung verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren, damit Veränderungen, welche nachteilige Auswirkungen auf die Vermögens-, Ertrags- oder Finanzlage des Unternehmens haben können, frühzeitig erkannt werden. Mindestanforderung ist hierbei unter anderem auch eine effektive und regelmäßige Datensicherung. Finden entsprechende Vorkehrungsmaßnahmen nicht statt, wird man das entsprechende Nichthandeln der Geschäftsleitung in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, sicherlich als grob fahrlässig bezeichnen können.

Die zitierte "Blauäugigkeit" kann für die IT-Verantwortlichen der Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Haftungsfolgen mit sich bringen.

Haftung der Geschäftsleitung
So ist etwa nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich vom 27.04.1998 (KonTraG) die Geschäftsleitung verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren, damit Veränderungen, welche nachteilige Auswirkungen auf die Vermögens-, Ertrags- oder Finanzlage des Unternehmens haben können, frühzeitig erkannt werden. Mindestanforderung ist hierbei unter anderem auch eine effektive und regelmäßige Datensicherung. Finden entsprechende Vorkehrungsmaßnahmen nicht statt, wird man das entsprechende Nichthandeln der Geschäftsleitung in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, sicherlich als grob fahrlässig bezeichnen können.

                                                Seite 1 von 2                     Nächste Seite>>

20.07.2009/Max-Lion Keller, Rechtsanwalt bei der IT-Recht-Kanzlei in München/dr/ln

Nachrichten

Besser kommunizieren [8.07.2020]

Ein übersichtlicheres Präsenz-Management, weitere Funktionen für den Chat, vereinfachte Anbindung von CRM- und ERP-Lösungen, komfortablere Konfiguration und höhere Skalierbarkeit für SIP Softphones – das verspricht Version 7 von ProCall Enterprise. [mehr]

Hoher Durchsatz in dichten Umgebungen [7.07.2020]

Zyxel hat sein Portfolio um neue WiFi-6-Access-Points für kleine und mittelständische Unternehmen erweitert. Die Geräte bieten laut Hersteller einen bis zu sechsmal höheren Durchsatz als 11ac-Access-Points in Umgebungen mit hoher Dichte. [mehr]

Tipps & Tools

Download der Woche: Krisp [8.07.2020]

Vor allem bei Video- oder Audiokonferenzen ist eine leise Umgebung sehr wichtig. Mit dem kostenlosen Tool "Krisp" können Sie Hintergrundgeräusche, die gerade im Home Office recht häufig entstehen, per Knopfdruck reduzieren. Die Software unterstützt derzeit über 800 Apps, unter anderem Zoom, Microsoft Teams und Skype. [mehr]

Sicherheitslücke in Remote-Desktop-Gateway [7.07.2020]

Sicherheitsforscher von Check Point haben eine riskante Schwachstelle in der Open-Source-Software Apache Guacamole aufgedeckt. Ein Cyberkrimineller könne das Gateway ausnutzen, um ein Firmennetzwerk zu infiltrieren und sogar komplett zu übernehmen. Viele Organisationen verwenden Apache Guacamole, da Mitarbeiter lediglich den Webbrowser benötigen, um sich einzuwählen. [mehr]