Unsicherheit bei der IT-Haftung oder: Wie dumm darf man sein?

Vorsätzliche Schädigung der Unternehmens-IT wird man den wenigsten vorwerfen können, zumeist handeln sie fahrlässig, was eine Haftung begründen kann. Verhältnismäßig neu ist die so genannte Störerhaftung. “Dabei kann sogar ohne Verschulden eine Verantwortlichkeit begründet werden”, erklärt Nikolaus Forgó von der Leibnitz Universität Hannover. Das gilt etwa bei nicht ausreichender Überwachung von Diskussionsforen, beim Posten rechtwidriger Inhalte oder bei nicht ausreichend gesicherten WLAN-Access-Points.

Hier sind Ansprüche gegen das Unternehmen und dessen Leitung selbst dann denkbar, wenn gar kein Verschulden, sondern nur eine Vermutung einer zumutbaren Prüfpflicht vorliegt. Wann das der Fall ist, ist immer sehr schwer zu beurteilen und sorgt für zusätzliche Risiken und Unsicherheiten. Gerade diese Störerhaftung ist derzeit ein Fakt und wird gerne von den Gerichten herangezogen. “Daran ändert auch das gerade in Kraft getretene Telemediengesetz (TMG) nichts. Es beschäftigt sich mit vielem, darunter Spam, aber damit nicht”, bemängelt Forgó.

Nicht nur Regeln erstellen, auch durchsetzen!

Inzwischen kann man wohl sagen, dass das Bewusstsein für Haftungsrisiken bei löcheriger IT-Infrastruktur steigt, auch wenn die Details oftmals im Nebel der komplexen Normen verschwunden bleiben. Die IT-Abteilung braucht man auf die Gefahren nicht mehr anzusprechen, sie wissen in der Regel Bescheid. “Die Chefetage ist das schwächste Glied, das auch nur mit ausreichenden Hinweisen auf den möglichen Verlust von Swimming Pool oder Porsche für mehr IT-Budget begeistert werden kann”, so der Anwalt mit Nachdruck.

Immerhin verfügen Unternehmen zunehmend über Sicherheitsrichtlinien, die einen mehr oder weniger ausreichenden Schutzwall um das Firmennetz gewährleisten können. Können, denn nicht selten liegen die Konzepte in Schubladen und werden nicht ausreichen durchgesetzt. Darf der Mitarbeiter jetzt privat Surfen oder nicht? Werden zwielichtige Webseiten tatsächlich blockiert? Ist hinreichend geschult worden in Hinblick auf Anhänge oder unbekannte Links? Werden regelmäßig Backups gefahren? Gerade in kleineren Unternehmen sind das oft zentrale Probleme und “es fehlt eine klare Marschrichtung”, skizziert Andreas Leclaire, Anwalt bei der Rechtsanwaltsgesellschaft Raupach&Wollert-Elmendorff.

Beispielsweise hat das Oberlandesgericht Hamm entschieden, einem Reisebüro, das gegen ein Reparaturunternehmen geklagt hatte, keinen Schadensersatz zuzugestehen, weil das Büro keine Backups gezogen hatte. Bei Reparaturarbeiten an der IT waren Daten verloren gegangen.

Gerichte tragen schwer an der IT-Last

Für die Gerichte ist es in vielen Fällen nicht einfach, eine Entscheidung zu treffen. Ebenso wie einen bei manchen Gesetzen das Gefühl beschleicht, dass da nicht nur Profis am Werk waren, bleibt die Kompetenz auch bei Richtern manchmal in der Gerichtskantine liegen.

Die Tendenz geht daher zum Fallrecht, wie man es aus den Vereinigten Staaten kennt. Da wird ein schwammiges Gesetz geschrieben und die Anwälte warten dann erst einmal ab, wie das so ausgelegt wird, und basteln danach ihre Klageschriften oder erklären den Mandanten, ob sie eine Aussicht auf Erfolg haben.

Der andere Trend sind Schiedsgerichte. Statt den Fall vor einem ordentlichen, sprich Zivilgericht, verhandeln zu lassen, setzen die Parteien ein Schiedsgericht zusammen aus Vertretern beider Seiten und arbeiten so an einem Kompromiss. Das Vertrauen in die ordentlichen Gerichte ist diesbezüglich nicht sehr hoch, kann das nur heißen. Und der Vorgang dürfte als demokratisch bedenklich ausgelegt werden, wenn die Parteien auf so leichtem Weg die ordentliche Gerichtsbarkeit umgehen können. “In Strafsachen bleibt es dagegen weiterhin traditionell”, fügt Leclaire hinzu.

Wer sich also noch nicht mit der IT-Sicherheit in seinem Unternehmen befasst hat, sollte es schnellstens tun. Auf die Gerichte ist nicht unbedingt Verlass, auf Gesetze auch nicht, und dumm stellen ergibt keinen Bonus. Im schlimmsten Fall stehen Firmenexistenzen auf dem Spiel, wenn Kredite wegen des Verstoßes gegen Basel II geringer ausfallen oder überhaupt nicht gewährt werden, oder wenn Versicherungen Zahlungen verweigern, weil Verträge hinsichtlich der IT-Sicherheit nicht eingehalten wurden. Es gilt, am Ball zu bleiben und Security nicht als einmalige Gelegenheit zu verstehen, sondern als Prozess, der kontinuierlich in Bewegung ist.