- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Recht » Deutschland » Gesetze

IT-Haftungsrisiken für Mandanten


IT-Haftungsrisiken aus der Perspektive eines Mandanten - Verunsicherung über die grundlegenden rechtlichen Fragen nach dem Umfang der Haftung
Schäden, die durch eine unzureichende IT-Sicherheit hervorgerufen werden, können grundsätzlich Schadensersatzansprüche auslösen


Von Andreas Leclaire, LL.M., Raupach & Wollert-Elmendorff RechtsanwaItsgesellschaft*

(12.02.07) - In den letzten Jahren konnten wir ein deutlich gestiegenes Bewusstsein bei unseren Mandanten im Zusammenhang mit dem Thema IT-Sicherheit und daraus resultierenden Haftungsrisiken feststellen. Dabei handelt es sich sowohl um internationale Konzerne als auch um national operierende mittelständische Unternehmen. Diese gestiegene Sensibilität führt dazu, dass Unternehmen wissen, dass sie technische Lösungen benötigen. Auf der anderen Seite besteht nach wie vor eine große Verunsicherung über die grundlegenden rechtlichen Fragen nach dem Umfang der Haftung und den Verantwortlichen.

Umfang der Haftung und Folgen
Schäden, die durch eine unzureichende IT-Sicherheit hervorgerufen werden, können grundsätzlich Schadensersatzansprüche auslösen. Diese beruhen zum einen auf vertragliche Vereinbarungen zwischen den Geschäftspartnern aber auch auf einer Haftung aus unerlaubter Handlung im Hinblick auf Ansprüche Dritter.

In schöner Regelmäßigkeit werden Unternehmen zudem von so genannten "Abmahn-Wellen" erfasst, in denen Wettbewerber die Nichtumsetzung von IT-rechtlichen Vorgaben nutzen, um gegen Konkurrenten vorzugehen. Solche Abmahnungen können auf behaupteten Verletzungen des Gesetzes zur Bekämpfung des unlauteren Wettbewerbs (UWG) beruhen. Unter dem Stichwort Wettbewerbsvorteil durch Rechtsbruch wurden in der Vergangenheit fehlende Anbieterangaben (Impressum) bzw. Inhalt von Geschäftsbriefen per E-Mail abgemahnt. Auch dem Spamming versucht man über das UWG Einhalt zu gebieten. Darüber hinaus kann sich eine unzureichende IT-Sicherheit auf einen ansonsten bestehenden Versicherungsschutz auswirken. So statuieren Versicherungsverträge weit reichende Informations- und Mitwirkungsobliegenheiten. Bei Nichteinhaltung dieser Obliegenheiten kann es zu Einschränkungen oder sogar zur Verweigerung des Versicherungsschutzes kommen.

Auch strafrechtliche Sanktionen sind denkbar. Hier ist bspw. auf das Ausspähen von Daten gem. § 202a StGB und die Verletzung von Privatgeheimnissen gem. § 203 StGB hinzuweisen.

Verantwortliche für IT-Sicherheit
Durch den Umstand, dass mittlerweile nahezu jede Form der Unternehmenskommunikation, sowohl intern als auch extern, unter Einschaltung von IT durchgeführt wird, stellt sich die Frage nach den Verantwortlichen.

Zunächst ist hier die Unternehmensleitung: durch Vorstand (AG), Geschäftsführer (GmbH), Gesellschafter (KG und GbR) sowie der Geschäftsinhaber in der Pflicht. Ihre Verantwortlichkeit ergibt sich in der Regel aus gesellschaftsrechtlichen Normen und gesetzlichen pflichten.

Daneben sind aber auch die Mitarbeiter des Unternehmens zu nennen. Ihre arbeitsvertraglichen Verpflichtungen und das Weisungsrecht des Arbeitgebers begründen entsprechende Pflichten. Hier ist häufig zu beobachten, dass es an einheitlichen Verhaltensanweisungen (z.B. zur Speicherung und Archivierung von Daten- Kommunikation nach außen) mangelt, wofür wiederum die Unternehmensleitung grundsätzlich verantwortlich ist. Gerade die leitenden Mitarbeiter erkennen in der Regel, dass Handlungsbedarf besteht; nur sehr selten ist jedoch ein einheitliches IT - Sicherheitskonzept erkennbar.

Sofern gewisse IT -relevanten Aufgaben an externe Dritte vergeben werden, haften diese zunächst nach den mit ihnen geschlossenen vertraglichen Vereinbarungen. Bei komplexeren Auslagerungen ganzer Funktionsbereiche (z.B. Outsourcing oder Shared Service Centre) stellen sich zudem noch weitere Fragen, wie bspw. Datenschutz, Betriebsübergang der Mitarbeiter, etc.

Bei der Weitergabe von Informationen und (vertraulichen) Daten an Geschäftskunden und Partner sollte zudem sichergestellt werden, dass zumindest der eigene IT - Sicherheitsstandard auch von diesen erfüllt wird. Zwar können sich aus einer entsprechenden Verletzung zwar ggf. Ansprüche gegen Geschäftskunden und Partner ergeben, diese werden jedoch wegen der Sensibilität der Geschäftsbeziehung in der Regel nicht durchgesetzt-

Ausblick
Es wird mittlerweile von niemanden mehr zu bezweifeln sein, dass IT-Sicherheit im Unternehmen in Zukunft eine immer größer werdende Rolle spielen wird. Jegliche Form der externen Kommunikation aber auch der internen Organisation ("papierloses Büro") werden zunehmend von IT-Lösungen beherrscht. Da es sich bei der IT grundsätzlich um Unterstützungs-Dienstleistungen handelt, zeigen Mängel hierin meist nur indirekt finanzielle Wirkung. Dort wo IT-Sicherheit sich unmittelbar ökonomisch auswirkt, sind die Unternehmen bereit, umfassende kostenintensive Maßnahmen zu ergreifen.

Als Beispiel sei hier die Vergabe von Firmenkrediten unter "Basel II" zu nennen. Kreditinstitute werden in Zukunft noch zurückhaltender bei der Vergabe von Darlehen an Unternehmen sein, die ein herabgestuftes Rating aufweisen. Die Rating-Agenturen werden verstärkt Fragen der IT-Sicherheit bei der Vergabe ihres Rating berücksichtigen. Dieses ist insbesondere für mittelständische Unternehmen von existentieller Bedeutung.

*Andreas Leclaire, LL.M., ist seit mehreren Jahren als Rechtsanwalt für Raupach & Wollert-Elmendorff tätig. Aktuell betreut er internationale Mandanten aus verschiedenen Branchen. Zuvor war er für das Büro Rechtsanwälte Brandi Dröge Piltz Heuer & Gronemeyer aktiv.
Nach seinem Staatsexamen in Münster und Düsseldorf absolvierte er das LL.M.-Programm der Temple University in Philadelphia und erwarb Rechtsanwaltszulassungen in Düsseldorf und New York. Andreas Leclaire ist spezialisiert auf die Bereiche Gewerblicher Rechtsschutz, Urheberrecht, Neue Medien und Securisation. Er ist Mitglied der New York State Bar Association (NYSBA), der Deutsch-Amerikanischen Juristenvereinigung (DAJV) und der Deutsch-Italienischen Juristenvereinigung (DIJV).
(Raupach: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Gesetze

  • Schwarzarbeit im Bewachungsgewerbe

    Der Bundesrat hat eine Reihe von Änderungsvorschlägen zu dem von der Bundesregierung vorgelegten Entwurf eines Gesetzes gegen illegale Beschäftigung und Sozialleistungsmissbrauch (19/8691) gemacht. In der von der Bundesregierung als Unterrichtung (19/9768) vorgelegten Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung begrüßen die Länder die Zielsetzung der Regierung, mit dem Gesetzentwurf die Finanzkontrolle Schwarzarbeit des Zolls (FKS) bei der Bekämpfung von illegaler Beschäftigung, Sozialleistungsmissbrauch und Schwarzarbeit weiter zu stärken.

  • Mitwirkung der Aktionäre

    Die Deutsche Bundesregierung hat den Entwurf eines Gesetzes zur Umsetzung der zweiten Aktionärsrechterichtlinie (ARUG II) vorgelegt (19/9739). Die Richtlinie (EU) 2017/828 des Europäischen Parlaments und des Rates vom 17. Mai 2017 soll die langfristige Mitwirkung der Aktionäre fördern. Der Entwurf sieht unter anderem eine Verbesserung der Möglichkeiten der börsennotierten Gesellschaften zur Kommunikation mit ihren Aktionären vor. Für institutionelle Anleger, Vermögensverwalter und Stimmrechtsberater werden im Aktiengesetz Transparenzpflichten verankert.

  • Mehr Sicherheit bei Arzneimitteln

    Nach mehreren Arzneimittelskandalen reagiert die Bundesregierung mit einem Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV) (19/8753). So soll die Zusammenarbeit zwischen den Behörden von Bund und Ländern verbessert werden, unter anderem durch eine Informationspflicht über Rückrufe. Zugleich werden die Rückrufkompetenzen der Bundesoberbehörden bei Qualitätsmängeln oder dem Verdacht einer Arzneimittelfälschung erweitert. Es soll häufiger unangemeldete Kontrollen geben, etwa in Apotheken, die Krebsmittel (Zytostatika) selbst herstellen.

  • Finanzielle Interessen der EU

    Die Deutsche Bundesregierung hat den Entwurf eines Gesetzes vorgelegt, mit dem die EU-Richtlinie 2017/1371 über die strafrechtliche Bekämpfung von gegen die finanziellen Interessen der Union gerichtetem Betrug umgesetzt werden soll (19/7886). Die Richtlinie legt Mindestvorschriften für die Definition von Straftatbeständen und Strafen zur Bekämpfung von Betrug und sonstigen gegen die finanziellen Interessen der Europäischen Union gerichteten rechtswidrigen Handlungen fest. Sie ist am 17. August 2017 in Kraft getretenen und bis zum 6. Juli 2019 in nationales Recht umzusetzen.

  • Daten zur Überwachung von Fahrverboten

    Die Deutsche Bundesregierung plant Maßnahmen zur Überwachung angeordneter Fahrverbote wegen Überschreitung der Grenzwerte bei Stickstoffdioxid-Emissionen. Der dazu vorgelegte "Entwurf eines Neunten Gesetzes zur Änderung des Straßenverkehrsgesetzes" (19/6334) sieht vor, dass Verkehrsüberwachungsbehörden auf die Daten des Zentralen Fahrzeugregisters zugreifen können, um fahrzeugindividuell anhand der dort gespeicherten technischen Daten über das Fahrzeug die Einhaltung der Verkehrsbeschränkungen und Verkehrsverbote überprüfen zu können.