Unternehmen unterliegen diversen IT-Sicherheitspflichten, also Rechtspflichten zur Umsetzung von IT-Sicherheit. Mängel bei der Umsetzung von Maßnahmen und IT-Sicherheitspflichten betreffen sowohl GmbHs und AGs wie auch Kleinunternehmer. So entschied das OLG Hamm im Jahr 2003 (Urteil vom 1.12.2003 – 13 U 133/03), dass einem Reisebüro kein Schadensersatz gegen einen PC-Reparaturdienst zu stehe, wenn das Reisebüro keine Sicherungsmaßnahmen vorgenommen habe. Die Verantwortung für eine Sicherung aller Daten liege beim Unternehmen und nicht bei dem Reparaturdienst. Da eine Teilsicherung einmal täglich erfolgen müsse, eine Vollsicherung mindestens einmal wöchentlich, habe sich das Unternehmen ein „überdeckendes Mitverschulden“ (§ 254 BGB) zuzurechnen lassen und könne keinerlei Ersatz für die verlorenen Daten verlangen. Auch bei der ungewollten Versendung von Viren können sich (hohe) Schadensersatzpflichten ergeben.
Die Umsetzung der IT-Sicherheitspflichten stellt ein „Vermeideverhalten“ gegen eine drohende Haftung dar, die sich aus Zivilrecht und öffentlichem Recht ergeben. Dabei drohen eine Reihe von negativen Folgen – ggf. für den IT-Beauftragten oder den Vorstand persönlich – der Haftung:
- Vertragliche Haftung: Gegenüber den Vertragspartnern kann ein Unternehmen hohe Ausfälle erleiden (siehe Ausgangsfall). Ein verspätete Vertragserfüllung aufgrund von Problemen mit der IT kann zur Verpflichtung zum Ersatz von Verzugsschaden führen (§ 254 BGB). Besonders problematisch ist dies bei Verträgen, die bei Versäumen des vereinbarten Termins nicht nachgeholt werden können, hier drohen hohe Schadensersatzforderungen.
- Schadensersatzhaftung: Bei Verletzung von Grundsätzen der IT-Sicherheitspflichten kommt auch eine deliktische Haftung (§§ 823 ff. BGB) sowie Verschulden bei Vertragsschluss usw. in Betracht.
- Wettbewerbsrecht: Unzulängliche Maßnahmen aus IT-Sicherheitspflichten können zu wettbewerbsrechtlichen Ansprüchen führen, z.B. wenn über den Firmenaccount ungewollt Spam versendet wird oder Verstöße gegen Datenschutzrecht gegenüber Dritten.
- Verlust des Versicherungsschutzes: Eine Nichteinhaltung der Vorschriften zur IT-Sicherheit kann auch zum Verlust des Versicherungsschutzes führen und so ein Unternehmen direkt in der Existenz bedrohen. (Siehe z.B. § 16 VVG.)
- Negativer Prüfungsvermerk im Jahresabschluss: Bei der Jahresabschlussprüfung ist auch zu prüfen, ob die notwendigen Anforderungen an die IT-Sicherheitspflichten durch die Unternehmen eingehalten wurden. Wenn dies nicht der Fall ist, kann der Prüfer den Abschlussvermerk verweigern oder einschränken. Ggf. müssen dann BaFin oder Bundesbank informiert werden.
- Bußgelder und Kriminalstrafen durch die Behörden: Eine Vielzahl von Spezialgesetzen sieht Bußgelder vor für Rechtsverletzungen, z.B. das Bundesdatenschutzgesetz (§§ 43 ff. BDSG). Auch das Strafrecht kann einschlägig sein, z.B. über § 202a (Unterstützen beim Ausspähen von Daten) wenn ein WLAN für einen unzureichend beschränkten Personenkreis bereitgestellt wird.
- Gewerbliche Aufsichtsmaßnahmen: Wenn der Geschäftserfolg gefährdet wird durch die unzureichende Umsetzung besteht die Gefahr, dass die gewerbliche Aufsichtsbehörde einschreitet.
- Vergaberecht: Öffentliche Auftraggeber sehen bei Ausschreibungen immer öfter einen Nachweis über die Umsetzung der Maßnahmen der IT-Sicherheitspflichten vor. Dies kann in den Leistungsbeschreibungen (z.B. § 8 oder § 25 Nr. 2 VOL/A) vorgesehen werden.
- Verlust von Versicherungsschutz: Mängel in der Umsetzung der IT-Sicherheitspflichten sind ggf. dem Versicherer anzuzeigen, wie auch die Erhöhung einer Gefahr. Dies kann zumindest zu höheren Versicherungsbeiträgen führen.
- Ökonomische Nachteile: Nicht zu unterschätzen sind die Gefahren aufgrund schlechter Presse oder Herabstufung der Bonität bei nicht ausreichenden Compliance-Maßnahmen. Auch ein Testat durch die Wirtschaftsprüfer könnte verweigert werden, da diese auch die Umsetzung von Überwachungsmaßnahmen zu prüfen haben.
Umsetzung von bestimmten IT-Sicherheitspflichten ist zwingend notwendig!
Der Aufwand, der zu tätigen ist, um diese Risiken zu vermeiden variiert stark. Kapitalgesellschaften kommen an umfassenden Compliance-Programmen nicht mehr vorbei. Zumindest sollten ein IT-Verantwortlicher und ein Datenschutzbeauftragter benannt werden. Bei der Umsetzung im Unternehmen sollten einerseits die technische Seite bedacht werden (z.B. Schutz gegen Angriffe von Außen über Viren, Datensicherung durch ergänzende Server) und andererseits die rechtliche Seite (Ordentliche Verträge mit IT-Dienstleistern, Handlungsanweisungen für Arbeitnehmer usw.).
Das obige Beispiel des Reisebüros zeigt: Auch Kleinunternehmer können gravierende rechtliche Nachteile erleiden, wenn die Umsetzung bestimmter Grundlagen der IT-Sicherheitspflichten nicht angemessen erfolgte. Bei der Umsetzung können externe Berater gute Dienste leisten, insbesondere bei einer Verbindung von technischer und rechtlicher Beratung. Dazu kooperiere ich mit Data S in Ulm, die externe Datenschutzbeauftragte und Technik-Berater sind.
