IT-Haftungsrisiken für Mandanten

IT-Haftungsrisiken aus der Perspektive eines Mandanten - Verunsicherung über die grundlegenden rechtlichen Fragen nach dem Umfang der Haftung
Schäden, die durch eine unzureichende IT-Sicherheit hervorgerufen werden, können grundsätzlich Schadensersatzansprüche auslösen

Von Andreas Leclaire, LL.M., Raupach & Wollert-Elmendorff RechtsanwaItsgesellschaft*

(12.02.07) - In den letzten Jahren konnten wir ein deutlich gestiegenes Bewusstsein bei unseren Mandanten im Zusammenhang mit dem Thema IT-Sicherheit und daraus resultierenden Haftungsrisiken feststellen. Dabei handelt es sich sowohl um internationale Konzerne als auch um national operierende mittelständische Unternehmen. Diese gestiegene Sensibilität führt dazu, dass Unternehmen wissen, dass sie technische Lösungen benötigen. Auf der anderen Seite besteht nach wie vor eine große Verunsicherung über die grundlegenden rechtlichen Fragen nach dem Umfang der Haftung und den Verantwortlichen.

Umfang der Haftung und Folgen
Schäden, die durch eine unzureichende IT-Sicherheit hervorgerufen werden, können grundsätzlich Schadensersatzansprüche auslösen. Diese beruhen zum einen auf vertragliche Vereinbarungen zwischen den Geschäftspartnern aber auch auf einer Haftung aus unerlaubter Handlung im Hinblick auf Ansprüche Dritter.

In schöner Regelmäßigkeit werden Unternehmen zudem von so genannten "Abmahn-Wellen" erfasst, in denen Wettbewerber die Nichtumsetzung von IT-rechtlichen Vorgaben nutzen, um gegen Konkurrenten vorzugehen. Solche Abmahnungen können auf behaupteten Verletzungen des Gesetzes zur Bekämpfung des unlauteren Wettbewerbs (UWG) beruhen. Unter dem Stichwort Wettbewerbsvorteil durch Rechtsbruch wurden in der Vergangenheit fehlende Anbieterangaben (Impressum) bzw. Inhalt von Geschäftsbriefen per E-Mail abgemahnt. Auch dem Spamming versucht man über das UWG Einhalt zu gebieten. Darüber hinaus kann sich eine unzureichende IT-Sicherheit auf einen ansonsten bestehenden Versicherungsschutz auswirken. So statuieren Versicherungsverträge weit reichende Informations- und Mitwirkungsobliegenheiten. Bei Nichteinhaltung dieser Obliegenheiten kann es zu Einschränkungen oder sogar zur Verweigerung des Versicherungsschutzes kommen.

Auch strafrechtliche Sanktionen sind denkbar. Hier ist bspw. auf das Ausspähen von Daten gem. § 202a StGB und die Verletzung von Privatgeheimnissen gem. § 203 StGB hinzuweisen.

Verantwortliche für IT-Sicherheit
Durch den Umstand, dass mittlerweile nahezu jede Form der Unternehmenskommunikation, sowohl intern als auch extern, unter Einschaltung von IT durchgeführt wird, stellt sich die Frage nach den Verantwortlichen.

Zunächst ist hier die Unternehmensleitung: durch Vorstand (AG), Geschäftsführer (GmbH), Gesellschafter (KG und GbR) sowie der Geschäftsinhaber in der Pflicht. Ihre Verantwortlichkeit ergibt sich in der Regel aus gesellschaftsrechtlichen Normen und gesetzlichen pflichten.

Daneben sind aber auch die Mitarbeiter des Unternehmens zu nennen. Ihre arbeitsvertraglichen Verpflichtungen und das Weisungsrecht des Arbeitgebers begründen entsprechende Pflichten. Hier ist häufig zu beobachten, dass es an einheitlichen Verhaltensanweisungen (z.B. zur Speicherung und Archivierung von Daten- Kommunikation nach außen) mangelt, wofür wiederum die Unternehmensleitung grundsätzlich verantwortlich ist. Gerade die leitenden Mitarbeiter erkennen in der Regel, dass Handlungsbedarf besteht; nur sehr selten ist jedoch ein einheitliches IT - Sicherheitskonzept erkennbar.

Sofern gewisse IT -relevanten Aufgaben an externe Dritte vergeben werden, haften diese zunächst nach den mit ihnen geschlossenen vertraglichen Vereinbarungen. Bei komplexeren Auslagerungen ganzer Funktionsbereiche (z.B. Outsourcing oder Shared Service Centre) stellen sich zudem noch weitere Fragen, wie bspw. Datenschutz, Betriebsübergang der Mitarbeiter, etc.

Bei der Weitergabe von Informationen und (vertraulichen) Daten an Geschäftskunden und Partner sollte zudem sichergestellt werden, dass zumindest der eigene IT - Sicherheitsstandard auch von diesen erfüllt wird. Zwar können sich aus einer entsprechenden Verletzung zwar ggf. Ansprüche gegen Geschäftskunden und Partner ergeben, diese werden jedoch wegen der Sensibilität der Geschäftsbeziehung in der Regel nicht durchgesetzt-

Ausblick
Es wird mittlerweile von niemanden mehr zu bezweifeln sein, dass IT-Sicherheit im Unternehmen in Zukunft eine immer größer werdende Rolle spielen wird. Jegliche Form der externen Kommunikation aber auch der internen Organisation ("papierloses Büro") werden zunehmend von IT-Lösungen beherrscht. Da es sich bei der IT grundsätzlich um Unterstützungs-Dienstleistungen handelt, zeigen Mängel hierin meist nur indirekt finanzielle Wirkung. Dort wo IT-Sicherheit sich unmittelbar ökonomisch auswirkt, sind die Unternehmen bereit, umfassende kostenintensive Maßnahmen zu ergreifen.

Als Beispiel sei hier die Vergabe von Firmenkrediten unter "Basel II" zu nennen. Kreditinstitute werden in Zukunft noch zurückhaltender bei der Vergabe von Darlehen an Unternehmen sein, die ein herabgestuftes Rating aufweisen. Die Rating-Agenturen werden verstärkt Fragen der IT-Sicherheit bei der Vergabe ihres Rating berücksichtigen. Dieses ist insbesondere für mittelständische Unternehmen von existentieller Bedeutung.

*Andreas Leclaire, LL.M., ist seit mehreren Jahren als Rechtsanwalt für Raupach & Wollert-Elmendorff tätig. Aktuell betreut er internationale Mandanten aus verschiedenen Branchen. Zuvor war er für das Büro Rechtsanwälte Brandi Dröge Piltz Heuer & Gronemeyer aktiv.
Nach seinem Staatsexamen in Münster und Düsseldorf absolvierte er das LL.M.-Programm der Temple University in Philadelphia und erwarb Rechtsanwaltszulassungen in Düsseldorf und New York. Andreas Leclaire ist spezialisiert auf die Bereiche Gewerblicher Rechtsschutz, Urheberrecht, Neue Medien und Securisation. Er ist Mitglied der New York State Bar Association (NYSBA), der Deutsch-Amerikanischen Juristenvereinigung (DAJV) und der Deutsch-Italienischen Juristenvereinigung (DIJV).
(Raupach: ra)

Meldungen: Gesetze