Juristische IT-Haftungsrisiken

IT-Haftungsrisiken aus juristischer Perspektive – Die Falle liegt oftmals in den Sorgfaltspflichten, die die Unternehmensleitung hat
Aus rechtlicher Sicht besteht die Anforderung, eine IT-Security-Policy zu haben, die Branchenstandards nicht unterschreitet

Prof. Dr. Nikolaus Forgó, Leibniz Universität Hannover*

(13.02.07) - Das europäische System der Verantwortlichkeit für Schäden setzt in aller Regeln an einer zentralen Frage an: Gibt es jemanden, der den Schaden verschuldet hat? Schäden können vorsätzlich oder fahrlässig verschuldet werden. Vorsätzlich handelt, wer den schädlichen Erfolg vorhersieht und ihn will. Das ist häufig bei Autoren von Schadsoftware wie Viren, Würmern und Trojanern der Fall. Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt (§ 276 I BGB).

Wenn ein ins Unternehmen eingeschleppter Virus Schäden bei Dritten verursacht (z.B., weil Kundenrechner mit dem Virus ebenfalls infiziert werden), kann es daher sein, dass nicht nur der Virenautor haftet, sondern - wegen Fahrlässigkeit - auch das Unternehmen und seine Mitarbeiter. Da Autoren von Schadsoftware selten greifbar sind, lautet die zentrale Problematik daher häufig: Wurde der Schaden durch Außerachtlassung der im Verkehr erforderlichen Sorgfalt (mit)verschuldet?

Diese "im Verkehr erforderliche Sorgfalt" (§ 276 I BGB) zu bestimmen, ist schwierig, aber eine Tendenz wird zunehmend klarer: Der nationale Gesetzgeber geht immer stärker dazu über, die Sorgfaltsanforderungen zu normieren (z.B. in § 9 BDSG oder in den Grundsätzen ordnungsgemäßer DV-gestützter Buchführung). Für die Einhaltung dieser Vorgaben ist die Geschäftsleitung verantwortlich und kann diese Verantwortlichkeit auch nicht wegdelegieren (vgl. z.B. § 92 II AktG). Es besteht daher Zunehmend das Risiko für Vorstand/Geschäftsführung, für die Außerachtlassung der gebotenen IT-Sicherheit per Organisationsverschulden persönlich in Regress genommen zu werden und mit dem gesamten Privatvermögen zu haften.

Dazu kommen erheblich sich verschärfende europäische und internationale Vorgaben (z.B. aus der Richtlinie über den Datenschutz in der elektronischen Kommunikation oder aus Basel II). Insgesamt besteht daher aus rechtlicher Sicht die Anforderung an die Unternehmensleitung, eine IT-Security-Policy zu haben, die Branchenstandards nicht unterschreitet, mit normativen Vorgaben vereinbar ist und gleichzeitig die Datenschutzrechte der Betroffenen einhält. Die Einhaltung dieser Policy ist zu kontrollieren und im Bedarfsfall durchzusetzen, weil andernfalls erst recht die Haftung droht.

Deutsche Gerichte sind auch zunehmend dazu übergegangen, im Wege der so genannten Störerhaftung in Einzelfällen sogar verschuldensunabhängig Verantwortlichkeiten für das Verhalten Dritter bei der Verwendung von IT zu postulieren. Das gilt etwa bei nicht ausreichender Überwachung von Diskussionsforen beim Posten rechtswidriger Inhalte, oder bei nicht ausreichend gesicherten WLAN-Access-Points. Hier sind Ansprüche gegen das Unternehmen und in Folge die Unternehmensleitung selbst dann denkbar, wenn gar kein Verschulden, sondern nur die Vermutung einer zumutbaren Prüfpflicht vorliegt. Da schwierig zu antizipieren ist, wann eine Prüfpflicht zumutbar ist, lauern hier erhebliche weitere Risiken.

An diesen Grundregeln ändert auch das soeben in Kraft getretene Telemediengesetz (TMG) nichts. In diesem Gesetz werden die Normen des bisherigen Teledienstegesetzes und des Mediendienstestaatsvertrags vereinigt. Auch das bisherige Teledienstedatenschutzgesetz wird in das Gesetz integriert, um eine einheitliche Rechtsgrundlage für Dienste der Informationsgesellschaft zu schaffen. Unter anderem wird eine (weitere) Norm zu Spam geschaffen (§ 6 Abs. 2 TMG). Sie verlangt nun, dass "in der Kopf- und Betreffzeile weder der Absender noch der kommerzielle Charakter der Nachricht verschleiert oder verheimlicht werden." An den Grundsätzen der Haftung und Verantwortlichkeit für das (mitunter auch böswillige) Verhalten Dritter ändert das Gesetz jedoch nichts. Eine umfassende Befassung mit IT-Security ist daher auch weiterhin rechtlich zwingend erforderlich. IT-Security muss dabei als Prozess verstanden werden, der permanent neu zu definieren und an geänderte technische, soziale und ökonomische Rahmenbedingungen anzupassen ist. Das trägt nicht nur zu kontrollierbaren rechtlichen Risiken, sondern auch zu einem sichereren und damit besseren IT-Umfeld für uns alle bei.

*Prof. Dr. Nikolaus Forgó ist Professor für IT-Recht und Rechtsinformatik an der Leibnitz Universität Hannover. Nikolaus Forgó hat in Wien und Paris (Paris II Pantheon-Assas) Rechtswissenschaften, Sprachwissenschaften und Philosophie studiert. 1997 promovierte er zum Dr. jur. in Wien. Zwischen 1990 und 2000 war er als Assistent und als IT-Beauftragter der rechtswissenschaftlichen Fakultät in Wien tätig.
Nikolaus Forgó leitete seit 1998 den Universitätslehrgang für Informationsrecht und Rechtsinformation an der Universität Wien. 2002 wurde er als Professor für IT-Recht und Rechtsinformatik an der Leibnitz Universität Hannover (Institut für Rechtsinformatik) berufen. Derzeit beschäftigt er sich schwerpunktmäßig mit den Themenbereichen Recht der IT-Security, Datenschutz- und Medizindatenschutzrecht und IT-Urheberrecht.
(Leibnitz Universität: ra)

Meldungen: Gesetze