- Anzeigen -

Sie sind hier: Home » Recht » Deutschland » Gesetze

Juristische IT-Haftungsrisiken


IT-Haftungsrisiken aus juristischer Perspektive – Die Falle liegt oftmals in den Sorgfaltspflichten, die die Unternehmensleitung hat
Aus rechtlicher Sicht besteht die Anforderung, eine IT-Security-Policy zu haben, die Branchenstandards nicht unterschreitet


Prof. Dr. Nikolaus Forgó, Leibniz Universität Hannover*

(13.02.07) - Das europäische System der Verantwortlichkeit für Schäden setzt in aller Regeln an einer zentralen Frage an: Gibt es jemanden, der den Schaden verschuldet hat? Schäden können vorsätzlich oder fahrlässig verschuldet werden. Vorsätzlich handelt, wer den schädlichen Erfolg vorhersieht und ihn will. Das ist häufig bei Autoren von Schadsoftware wie Viren, Würmern und Trojanern der Fall. Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt (§ 276 I BGB).

Wenn ein ins Unternehmen eingeschleppter Virus Schäden bei Dritten verursacht (z.B., weil Kundenrechner mit dem Virus ebenfalls infiziert werden), kann es daher sein, dass nicht nur der Virenautor haftet, sondern - wegen Fahrlässigkeit - auch das Unternehmen und seine Mitarbeiter. Da Autoren von Schadsoftware selten greifbar sind, lautet die zentrale Problematik daher häufig: Wurde der Schaden durch Außerachtlassung der im Verkehr erforderlichen Sorgfalt (mit)verschuldet?

Diese "im Verkehr erforderliche Sorgfalt" (§ 276 I BGB) zu bestimmen, ist schwierig, aber eine Tendenz wird zunehmend klarer: Der nationale Gesetzgeber geht immer stärker dazu über, die Sorgfaltsanforderungen zu normieren (z.B. in § 9 BDSG oder in den Grundsätzen ordnungsgemäßer DV-gestützter Buchführung). Für die Einhaltung dieser Vorgaben ist die Geschäftsleitung verantwortlich und kann diese Verantwortlichkeit auch nicht wegdelegieren (vgl. z.B. § 92 II AktG). Es besteht daher Zunehmend das Risiko für Vorstand/Geschäftsführung, für die Außerachtlassung der gebotenen IT-Sicherheit per Organisationsverschulden persönlich in Regress genommen zu werden und mit dem gesamten Privatvermögen zu haften.

Dazu kommen erheblich sich verschärfende europäische und internationale Vorgaben (z.B. aus der Richtlinie über den Datenschutz in der elektronischen Kommunikation oder aus Basel II). Insgesamt besteht daher aus rechtlicher Sicht die Anforderung an die Unternehmensleitung, eine IT-Security-Policy zu haben, die Branchenstandards nicht unterschreitet, mit normativen Vorgaben vereinbar ist und gleichzeitig die Datenschutzrechte der Betroffenen einhält. Die Einhaltung dieser Policy ist zu kontrollieren und im Bedarfsfall durchzusetzen, weil andernfalls erst recht die Haftung droht.

Deutsche Gerichte sind auch zunehmend dazu übergegangen, im Wege der so genannten Störerhaftung in Einzelfällen sogar verschuldensunabhängig Verantwortlichkeiten für das Verhalten Dritter bei der Verwendung von IT zu postulieren. Das gilt etwa bei nicht ausreichender Überwachung von Diskussionsforen beim Posten rechtswidriger Inhalte, oder bei nicht ausreichend gesicherten WLAN-Access-Points. Hier sind Ansprüche gegen das Unternehmen und in Folge die Unternehmensleitung selbst dann denkbar, wenn gar kein Verschulden, sondern nur die Vermutung einer zumutbaren Prüfpflicht vorliegt. Da schwierig zu antizipieren ist, wann eine Prüfpflicht zumutbar ist, lauern hier erhebliche weitere Risiken.

An diesen Grundregeln ändert auch das soeben in Kraft getretene Telemediengesetz (TMG) nichts. In diesem Gesetz werden die Normen des bisherigen Teledienstegesetzes und des Mediendienstestaatsvertrags vereinigt. Auch das bisherige Teledienstedatenschutzgesetz wird in das Gesetz integriert, um eine einheitliche Rechtsgrundlage für Dienste der Informationsgesellschaft zu schaffen. Unter anderem wird eine (weitere) Norm zu Spam geschaffen (§ 6 Abs. 2 TMG). Sie verlangt nun, dass "in der Kopf- und Betreffzeile weder der Absender noch der kommerzielle Charakter der Nachricht verschleiert oder verheimlicht werden." An den Grundsätzen der Haftung und Verantwortlichkeit für das (mitunter auch böswillige) Verhalten Dritter ändert das Gesetz jedoch nichts. Eine umfassende Befassung mit IT-Security ist daher auch weiterhin rechtlich zwingend erforderlich. IT-Security muss dabei als Prozess verstanden werden, der permanent neu zu definieren und an geänderte technische, soziale und ökonomische Rahmenbedingungen anzupassen ist. Das trägt nicht nur zu kontrollierbaren rechtlichen Risiken, sondern auch zu einem sichereren und damit besseren IT-Umfeld für uns alle bei.

*Prof. Dr. Nikolaus Forgó ist Professor für IT-Recht und Rechtsinformatik an der Leibnitz Universität Hannover. Nikolaus Forgó hat in Wien und Paris (Paris II Pantheon-Assas) Rechtswissenschaften, Sprachwissenschaften und Philosophie studiert. 1997 promovierte er zum Dr. jur. in Wien. Zwischen 1990 und 2000 war er als Assistent und als IT-Beauftragter der rechtswissenschaftlichen Fakultät in Wien tätig.
Nikolaus Forgó leitete seit 1998 den Universitätslehrgang für Informationsrecht und Rechtsinformation an der Universität Wien. 2002 wurde er als Professor für IT-Recht und Rechtsinformatik an der Leibnitz Universität Hannover (Institut für Rechtsinformatik) berufen. Derzeit beschäftigt er sich schwerpunktmäßig mit den Themenbereichen Recht der IT-Security, Datenschutz- und Medizindatenschutzrecht und IT-Urheberrecht.
(Leibnitz Universität: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Gesetze

  • Änderung der Datenschutz-Konvention

    Die Bundesregierung hat einen Gesetzentwurf (19/20920) zur Ratifizierung des Änderungsprotokolls zur sogenannten Datenschutz-"Konvention 108" des Europarates vorgelegt. Er sieht die Zustimmung von Bundestag und Bundesrat "zu dem Protokoll vom 10. Oktober 2018 zur Änderung des Übereinkommens vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten" vor. Der Bundesrat hatte Anfang Juli beschlossen, gegen den Gesetzentwurf keine Einwendungen zu erheben.

  • Restaurant-Umsatzsteuer wird gesenkt

    Der Umsatzsteuersatz für Restaurant- und Verpflegungsdienstleistungen soll von 19 auf sieben Prozent gesenkt werden. Die Steuersenkung soll vom 1. Juli dieses Jahres bis zum 30. Juni 2021 gültig sein, heißt es in dem von den Koalitionsfraktionen CDU/CSU und SPD eingebrachten Entwurf eines Gesetzes zur Umsetzung steuerlicher Hilfsmaßnahmen zur Bewältigung der Corona-Krise (19/19150). Die Abgabe von alkoholischen und alkoholfreien Getränken bleibt allerdings von der Steuersenkung ausgenommen. Das Corona-Steuerhilfegesetz sieht außerdem eine steuerliche Besserstellung für Zuschüsse des Arbeitgebers zum Kurzarbeitergeld vor. Entsprechend der sozialversicherungsrechtlichen Behandlung sollen Zuschüsse des Arbeitgebers zum Kurzarbeitergeld und zum Saison-Kurzarbeitergeld bis 80 Prozent des Unterschiedsbetrages zwischen dem Soll-Entgelt und dem Ist-Entgelt steuerfrei gestellt werden. Daneben enthält der Entwurf weitere Regelungen zum Umsatzsteuer- und zum Umwandlungssteuergesetz.

  • Reform des Telemediengesetzes

    Die Bundesregierung hat einen Gesetzentwurf vorgelegt, mit dem sie die Richtlinie über audiovisuelle Mediendienste (AVMD-Richtlinie) in deutsches Recht umsetzen will. Die Änderungen beträfen vor allem Anbieter audiovisueller Mediendienste und Videosharingplattform-Dienste, schreibt die Bundesregierung im "Entwurf eines Gesetzes zur Änderung des Telemediengesetzes und weiterer Gesetze" (19/18789). Konkret geht es darum, dass diese Anbieter neue Verfahren zum Umgang mit Nutzerbeschwerden einführen müssen.

  • Änderung des NetzDG

    Die Bundesregierung hat den Entwurf eines Gesetzes zur Änderung des Netzwerkdurchsetzungsgesetzes (NetzDG) vorgelegt (19/18792). Eine Reihe von ergänzenden Regelungen soll die Bekämpfung strafbarer Inhalte auf den Plattformen der erfassten Anbieter sozialer Netzwerke weiter verbessern und transparenter machen. Ferner soll die Beilegung von Streitigkeiten zwischen Beschwerdeführern sowie Nutzern mit den Anbietern zukünftig vereinfacht und effektiver gemacht und die Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte aufgrund rechtswidriger Inhalte erleichtert werden.

  • Aufsicht soll vereinheitlicht werden

    Finanzanlagenvermittler und Honorar-Finanzanlagenberater sollen künftig zentral von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt werden. Die bisherige zersplitterte Aufsichtsstruktur mit Industrie- und Handelskammern sowie Gewerbeämtern werde der zunehmenden Komplexität des Aufsichtsrechts und den Anforderungen an eine auf diesem Gebiet spezialisierte und wirksame Aufsicht sowie auch den Anforderungen des Anlegerschutzes nicht gerecht, heißt es in dem von der Bundesregierung eingebrachten Entwurf eines Gesetzes zur Übertragung der Aufsicht über Finanzanlagenvermittler und Honorar-Finanzanlagenberater auf die Bundesanstalt für Finanzdienstleistungsaufsicht (19/18794).