Sie sind hier: Home » Recht » Deutschland » Gesetze

IT-Haftungsrisiken für Mandanten


IT-Haftungsrisiken aus der Perspektive eines Mandanten - Verunsicherung über die grundlegenden rechtlichen Fragen nach dem Umfang der Haftung
Schäden, die durch eine unzureichende IT-Sicherheit hervorgerufen werden, können grundsätzlich Schadensersatzansprüche auslösen


Von Andreas Leclaire, LL.M., Raupach & Wollert-Elmendorff RechtsanwaItsgesellschaft*

(12.02.07) - In den letzten Jahren konnten wir ein deutlich gestiegenes Bewusstsein bei unseren Mandanten im Zusammenhang mit dem Thema IT-Sicherheit und daraus resultierenden Haftungsrisiken feststellen. Dabei handelt es sich sowohl um internationale Konzerne als auch um national operierende mittelständische Unternehmen. Diese gestiegene Sensibilität führt dazu, dass Unternehmen wissen, dass sie technische Lösungen benötigen. Auf der anderen Seite besteht nach wie vor eine große Verunsicherung über die grundlegenden rechtlichen Fragen nach dem Umfang der Haftung und den Verantwortlichen.

Umfang der Haftung und Folgen
Schäden, die durch eine unzureichende IT-Sicherheit hervorgerufen werden, können grundsätzlich Schadensersatzansprüche auslösen. Diese beruhen zum einen auf vertragliche Vereinbarungen zwischen den Geschäftspartnern aber auch auf einer Haftung aus unerlaubter Handlung im Hinblick auf Ansprüche Dritter.

In schöner Regelmäßigkeit werden Unternehmen zudem von so genannten "Abmahn-Wellen" erfasst, in denen Wettbewerber die Nichtumsetzung von IT-rechtlichen Vorgaben nutzen, um gegen Konkurrenten vorzugehen. Solche Abmahnungen können auf behaupteten Verletzungen des Gesetzes zur Bekämpfung des unlauteren Wettbewerbs (UWG) beruhen. Unter dem Stichwort Wettbewerbsvorteil durch Rechtsbruch wurden in der Vergangenheit fehlende Anbieterangaben (Impressum) bzw. Inhalt von Geschäftsbriefen per E-Mail abgemahnt. Auch dem Spamming versucht man über das UWG Einhalt zu gebieten. Darüber hinaus kann sich eine unzureichende IT-Sicherheit auf einen ansonsten bestehenden Versicherungsschutz auswirken. So statuieren Versicherungsverträge weit reichende Informations- und Mitwirkungsobliegenheiten. Bei Nichteinhaltung dieser Obliegenheiten kann es zu Einschränkungen oder sogar zur Verweigerung des Versicherungsschutzes kommen.

Auch strafrechtliche Sanktionen sind denkbar. Hier ist bspw. auf das Ausspähen von Daten gem. § 202a StGB und die Verletzung von Privatgeheimnissen gem. § 203 StGB hinzuweisen.

Verantwortliche für IT-Sicherheit
Durch den Umstand, dass mittlerweile nahezu jede Form der Unternehmenskommunikation, sowohl intern als auch extern, unter Einschaltung von IT durchgeführt wird, stellt sich die Frage nach den Verantwortlichen.

Zunächst ist hier die Unternehmensleitung: durch Vorstand (AG), Geschäftsführer (GmbH), Gesellschafter (KG und GbR) sowie der Geschäftsinhaber in der Pflicht. Ihre Verantwortlichkeit ergibt sich in der Regel aus gesellschaftsrechtlichen Normen und gesetzlichen pflichten.

Daneben sind aber auch die Mitarbeiter des Unternehmens zu nennen. Ihre arbeitsvertraglichen Verpflichtungen und das Weisungsrecht des Arbeitgebers begründen entsprechende Pflichten. Hier ist häufig zu beobachten, dass es an einheitlichen Verhaltensanweisungen (z.B. zur Speicherung und Archivierung von Daten- Kommunikation nach außen) mangelt, wofür wiederum die Unternehmensleitung grundsätzlich verantwortlich ist. Gerade die leitenden Mitarbeiter erkennen in der Regel, dass Handlungsbedarf besteht; nur sehr selten ist jedoch ein einheitliches IT - Sicherheitskonzept erkennbar.

Sofern gewisse IT -relevanten Aufgaben an externe Dritte vergeben werden, haften diese zunächst nach den mit ihnen geschlossenen vertraglichen Vereinbarungen. Bei komplexeren Auslagerungen ganzer Funktionsbereiche (z.B. Outsourcing oder Shared Service Centre) stellen sich zudem noch weitere Fragen, wie bspw. Datenschutz, Betriebsübergang der Mitarbeiter, etc.

Bei der Weitergabe von Informationen und (vertraulichen) Daten an Geschäftskunden und Partner sollte zudem sichergestellt werden, dass zumindest der eigene IT - Sicherheitsstandard auch von diesen erfüllt wird. Zwar können sich aus einer entsprechenden Verletzung zwar ggf. Ansprüche gegen Geschäftskunden und Partner ergeben, diese werden jedoch wegen der Sensibilität der Geschäftsbeziehung in der Regel nicht durchgesetzt-

Ausblick
Es wird mittlerweile von niemanden mehr zu bezweifeln sein, dass IT-Sicherheit im Unternehmen in Zukunft eine immer größer werdende Rolle spielen wird. Jegliche Form der externen Kommunikation aber auch der internen Organisation ("papierloses Büro") werden zunehmend von IT-Lösungen beherrscht. Da es sich bei der IT grundsätzlich um Unterstützungs-Dienstleistungen handelt, zeigen Mängel hierin meist nur indirekt finanzielle Wirkung. Dort wo IT-Sicherheit sich unmittelbar ökonomisch auswirkt, sind die Unternehmen bereit, umfassende kostenintensive Maßnahmen zu ergreifen.

Als Beispiel sei hier die Vergabe von Firmenkrediten unter "Basel II" zu nennen. Kreditinstitute werden in Zukunft noch zurückhaltender bei der Vergabe von Darlehen an Unternehmen sein, die ein herabgestuftes Rating aufweisen. Die Rating-Agenturen werden verstärkt Fragen der IT-Sicherheit bei der Vergabe ihres Rating berücksichtigen. Dieses ist insbesondere für mittelständische Unternehmen von existentieller Bedeutung.

*Andreas Leclaire, LL.M., ist seit mehreren Jahren als Rechtsanwalt für Raupach & Wollert-Elmendorff tätig. Aktuell betreut er internationale Mandanten aus verschiedenen Branchen. Zuvor war er für das Büro Rechtsanwälte Brandi Dröge Piltz Heuer & Gronemeyer aktiv.
Nach seinem Staatsexamen in Münster und Düsseldorf absolvierte er das LL.M.-Programm der Temple University in Philadelphia und erwarb Rechtsanwaltszulassungen in Düsseldorf und New York. Andreas Leclaire ist spezialisiert auf die Bereiche Gewerblicher Rechtsschutz, Urheberrecht, Neue Medien und Securisation. Er ist Mitglied der New York State Bar Association (NYSBA), der Deutsch-Amerikanischen Juristenvereinigung (DAJV) und der Deutsch-Italienischen Juristenvereinigung (DIJV).
(Raupach: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Gesetze

  • Verordnung zu Cookies auf Webseiten vorgelegt

    Damit Internetnutzer eine "anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen" bei Cookie-Einwilligungsbannern haben, hat die Bundesregierung eine Verordnung auf den Weg gebracht (20/12718).

  • Änderung der Außenwirtschaftsverordnung

    Mit der 21. Verordnung zur Änderung der Außenwirtschaftsordnung soll die Ausfuhr von "Dual-Use-Gütern", also Waren mit doppeltem Verwendungszweck, restriktiver gehandhabt werden.

  • Bekämpfung von Finanzkriminalität

    Der Etat des Bundesfinanzministeriums (Einzelplan 08) soll 2025 um 332 Millionen Euro auf 10,1 Milliarden Euro steigen im Vergleich zu 2024. Das zumindest sieht der Haushaltsentwurf der Bundesregierung vor, der dem Bundestag zugeleitet wurde (20/12400).

  • Kapitalanleger-Musterverfahrensgesetz beschlossen

    Der Rechtsausschuss hat den Gesetzentwurf der Bundesregierung "zur Reform des Kapitalanleger-Musterverfahrensgesetzes" (KapMuG - 20/10942, 20/11307) beschlossen. Die Vorlage passierte das Gremium in geänderter Fassung mit Stimmen der Fraktionen von SPD, Bündnis 90/Die Grünen und FDP bei Ablehnung der CDU/CSU-Fraktion, der Gruppen Die Linke und BSW und Enthaltung der AfD-Fraktion.

  • Auskunftssperren für Mandatsträger

    Die Deutsche Bundesregierung will mit einem Gesetzentwurf zur Änderung des Bundesmeldegesetzes (20/12349) den Schutz gefährdeter Personen vor Anfeindungen oder sonstigen Angriffen, die nach Bekanntwerden ihrer Wohnanschrift durch Melderegisterauskünfte erfolgen können, verstärken.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen