Sie sind hier: Home » Recht » Deutschland » Gesetze

Juristische IT-Haftungsrisiken


IT-Haftungsrisiken aus juristischer Perspektive – Die Falle liegt oftmals in den Sorgfaltspflichten, die die Unternehmensleitung hat
Aus rechtlicher Sicht besteht die Anforderung, eine IT-Security-Policy zu haben, die Branchenstandards nicht unterschreitet


Prof. Dr. Nikolaus Forgó, Leibniz Universität Hannover*

(13.02.07) - Das europäische System der Verantwortlichkeit für Schäden setzt in aller Regeln an einer zentralen Frage an: Gibt es jemanden, der den Schaden verschuldet hat? Schäden können vorsätzlich oder fahrlässig verschuldet werden. Vorsätzlich handelt, wer den schädlichen Erfolg vorhersieht und ihn will. Das ist häufig bei Autoren von Schadsoftware wie Viren, Würmern und Trojanern der Fall. Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt (§ 276 I BGB).

Wenn ein ins Unternehmen eingeschleppter Virus Schäden bei Dritten verursacht (z.B., weil Kundenrechner mit dem Virus ebenfalls infiziert werden), kann es daher sein, dass nicht nur der Virenautor haftet, sondern - wegen Fahrlässigkeit - auch das Unternehmen und seine Mitarbeiter. Da Autoren von Schadsoftware selten greifbar sind, lautet die zentrale Problematik daher häufig: Wurde der Schaden durch Außerachtlassung der im Verkehr erforderlichen Sorgfalt (mit)verschuldet?

Diese "im Verkehr erforderliche Sorgfalt" (§ 276 I BGB) zu bestimmen, ist schwierig, aber eine Tendenz wird zunehmend klarer: Der nationale Gesetzgeber geht immer stärker dazu über, die Sorgfaltsanforderungen zu normieren (z.B. in § 9 BDSG oder in den Grundsätzen ordnungsgemäßer DV-gestützter Buchführung). Für die Einhaltung dieser Vorgaben ist die Geschäftsleitung verantwortlich und kann diese Verantwortlichkeit auch nicht wegdelegieren (vgl. z.B. § 92 II AktG). Es besteht daher Zunehmend das Risiko für Vorstand/Geschäftsführung, für die Außerachtlassung der gebotenen IT-Sicherheit per Organisationsverschulden persönlich in Regress genommen zu werden und mit dem gesamten Privatvermögen zu haften.

Dazu kommen erheblich sich verschärfende europäische und internationale Vorgaben (z.B. aus der Richtlinie über den Datenschutz in der elektronischen Kommunikation oder aus Basel II). Insgesamt besteht daher aus rechtlicher Sicht die Anforderung an die Unternehmensleitung, eine IT-Security-Policy zu haben, die Branchenstandards nicht unterschreitet, mit normativen Vorgaben vereinbar ist und gleichzeitig die Datenschutzrechte der Betroffenen einhält. Die Einhaltung dieser Policy ist zu kontrollieren und im Bedarfsfall durchzusetzen, weil andernfalls erst recht die Haftung droht.

Deutsche Gerichte sind auch zunehmend dazu übergegangen, im Wege der so genannten Störerhaftung in Einzelfällen sogar verschuldensunabhängig Verantwortlichkeiten für das Verhalten Dritter bei der Verwendung von IT zu postulieren. Das gilt etwa bei nicht ausreichender Überwachung von Diskussionsforen beim Posten rechtswidriger Inhalte, oder bei nicht ausreichend gesicherten WLAN-Access-Points. Hier sind Ansprüche gegen das Unternehmen und in Folge die Unternehmensleitung selbst dann denkbar, wenn gar kein Verschulden, sondern nur die Vermutung einer zumutbaren Prüfpflicht vorliegt. Da schwierig zu antizipieren ist, wann eine Prüfpflicht zumutbar ist, lauern hier erhebliche weitere Risiken.

An diesen Grundregeln ändert auch das soeben in Kraft getretene Telemediengesetz (TMG) nichts. In diesem Gesetz werden die Normen des bisherigen Teledienstegesetzes und des Mediendienstestaatsvertrags vereinigt. Auch das bisherige Teledienstedatenschutzgesetz wird in das Gesetz integriert, um eine einheitliche Rechtsgrundlage für Dienste der Informationsgesellschaft zu schaffen. Unter anderem wird eine (weitere) Norm zu Spam geschaffen (§ 6 Abs. 2 TMG). Sie verlangt nun, dass "in der Kopf- und Betreffzeile weder der Absender noch der kommerzielle Charakter der Nachricht verschleiert oder verheimlicht werden." An den Grundsätzen der Haftung und Verantwortlichkeit für das (mitunter auch böswillige) Verhalten Dritter ändert das Gesetz jedoch nichts. Eine umfassende Befassung mit IT-Security ist daher auch weiterhin rechtlich zwingend erforderlich. IT-Security muss dabei als Prozess verstanden werden, der permanent neu zu definieren und an geänderte technische, soziale und ökonomische Rahmenbedingungen anzupassen ist. Das trägt nicht nur zu kontrollierbaren rechtlichen Risiken, sondern auch zu einem sichereren und damit besseren IT-Umfeld für uns alle bei.

*Prof. Dr. Nikolaus Forgó ist Professor für IT-Recht und Rechtsinformatik an der Leibnitz Universität Hannover. Nikolaus Forgó hat in Wien und Paris (Paris II Pantheon-Assas) Rechtswissenschaften, Sprachwissenschaften und Philosophie studiert. 1997 promovierte er zum Dr. jur. in Wien. Zwischen 1990 und 2000 war er als Assistent und als IT-Beauftragter der rechtswissenschaftlichen Fakultät in Wien tätig.
Nikolaus Forgó leitete seit 1998 den Universitätslehrgang für Informationsrecht und Rechtsinformation an der Universität Wien. 2002 wurde er als Professor für IT-Recht und Rechtsinformatik an der Leibnitz Universität Hannover (Institut für Rechtsinformatik) berufen. Derzeit beschäftigt er sich schwerpunktmäßig mit den Themenbereichen Recht der IT-Security, Datenschutz- und Medizindatenschutzrecht und IT-Urheberrecht.
(Leibnitz Universität: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Gesetze

  • Datenübermittlung und Datenpflege

    Als Unterrichtung durch die Deutsche Bundesregierung liegt der "Evaluierungsbericht des Zweiten Gesetzes zur Verbesserung der Registrierung und des Datenaustausches zu aufenthalts- und asylrechtlichen Zwecken" (20/10200) vor.

  • Durchsetzung des DSA

    Die Deutsche Bundesregierung hat das Digitale-Dienste-Gesetz (20/10031) zur Umsetzung des Digital Services Act (DSA) auf nationaler Ebene vorgelegt. Während die ab 17. Februar 2024 in der Europäischen Union geltende DSA-Verordnung etwa Sorgfaltspflichten für Online-Dienste im Kampf gegen Desinformation und Hassrede im Internet und die Durchsetzung auf EU-Ebene regelt, konkretisiert der Gesetzentwurf der Bundesregierung Zuständigkeiten der Behörden in Deutschland.

  • Klarstellung für Betriebsräte und Unternehmen

    Die Bundesregierung will das Betriebsverfassungsgesetz ändern. Durch einen entsprechenden Gesetzentwurf (20/9469) sollen nach einem Urteil des Bundesgerichtshofes vom Januar 2023 entstandene Rechtsunsicherheiten beseitigt werden.

  • 1:1-Umsetzung wird angestrebt

    Die von der Bundesregierung geplante Umsetzung einer EU-Richtlinie zur Kraftfahrzeug-Haftpflichtversicherung in nationales Recht war Thema einer öffentlichen Anhörung im Rechtsausschuss des Bundestages am. Die Sachverständigen sahen den Opferschutz durch den Regierungsentwurf gestärkt, sprachen sich aber für eine Reihe von Nachbesserungen aus.

  • Modernisierung der Registerlandschaft

    Mit der Annahme eines Gesetzentwurfs (20/8866) der Deutschen Bundesregierung in geänderter Fassung hat der Wirtschaftsausschuss in seiner Sitzung einer Änderung des Unternehmensbasisdatenregistergesetzes einstimmig zugestimmt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen