Haftung bei IT-Compliance
Jedes IT-Unternehmen hat heute ein eigenes IT-System mit Onlinezugriff und verarbeitet unternehmens- und personenbezogene Daten EDV-gestützt. Dass hierbei umfangreiche Pflichten zu beachten sind, zeigt bereits der – stetig an Bedeutung gewinnende – Begriff „IT-Compliance“. Viele Unternehmen haben auf das Erfordernis einer Anpassung des eigenen IT-Systems auf gesetzliche Vorschriften bislang noch nicht reagiert. Dieser Beitrag gibt daher eine grobe Übersicht zur Haftung bei IT-Compliance, geordnet nach Rechtsgebieten.
I. Datenschutz
Besondere Aufmerksamkeit erhält in der Presse derzeit das Thema Datenschutz. Hier geht es häufig um den Diebstahl von personenbezogenen Daten, die dazu missbraucht werden, unerwünschte Werbung zu versenden oder gar unerlaubt auf fremde Bankkonten zuzugreifen. Im Rahmen des Betriebs eines EDV-Systems sieht das Datenschutzrecht jedoch weitere Regelungen vor. So enthält § 9 BDSG für Unternehmen die Pflicht, alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um einen ausreichenden Datenschutz zu gewährleisten. Hiernach ist u.a. im Rahmen der Haftung bei IT-Compliance darauf zu achten, dass der Zutritt zur EDV-Anlage überwacht, der Zugriff auf das System passwortgeschützt, die Weitergabe von personenbezogenen Daten protokolliert, die Auftragsdatenverarbeitung (Outsourcing) mittels eigener Maßnahmen kontrolliert, ein Schutz der Daten vor Beschädigung oder Zerstörung aufgebaut oder eine unkontrollierte Entsorgung von Datenträgern verhindert wird. Darüber hinaus ist bei Vorliegen der Voraussetzungen ein Datenschutzbeauftragter zu bestellen. Zuwiderhandlungen sind nicht nur mit Bußgeld, sondern auch mit Freiheitsstrafe und Haftungsansprüchen bedroht.
II. Steuerrecht
Das Steuerrecht schreibt bestimmte Regeln vor, in welcher Form steuerrelevante Daten zu archivieren sind. Maßgeblich sind hier die Grundsätze ordnungsgemäßer Buchführung (GOB) sowie die Grundsätze ordnungsgemäßer EDV-gestützter Buchführungssystem (GoBS). Letzere schreiben beispielsweise vor, dass innerhalb der EDV-gestützten Buchführung eine Journal- und Kontenfunktion eingeführt und ein internes Kontrollsystem installiert werden muss. Auch werden hier erweiterte Aufbewahrungspflichten aufgestellt. Ein Verstoß gegen obige Grundsätze kann dazu führen, dass bestimmte Kosten mangels ausreichender Belege nicht abzugsfähig sind und entsprechende Abzüge später wieder zurückerstattet werden müssen. Relevant ist im Steuerrecht auch, dass Rechnungen nicht als PDF versandt werden dürfen, ohne dass eine qualifizierte Signatur verwendet wird (was die absolute Ausnahme darstellt). Abzüge infolge von Rechnungen, die nur als PDF vorliegen, können – sogar verzinst – vom Finanzamt nach Jahren zurückgefordert werden.
III. Gesellschaftsrecht
Der Bereich des Gesellschaftsrechts hält für die Verantwortlichen der Unternehmen besondere Haftungsrisiken bereit, da hier sogar die persönliche Haftung der Geschäftsleitung betroffen ist. Nach § 91 AktG hat der Vorstand beispielsweise ein Risikomanagement sowie ein Frühwarnsystem zu installieren. Diese Systeme müssen natürlich auch die IT umfassen, wobei insbesondere die IT-Sicherheit zu erwähnen ist. Versäumnisse bei der Installation derartiger Systeme führen zur persönlichen Haftung des Vorstands gegenüber der Gesellschaft sowie ggf. zur verweigerten Entlastung in der Hauptversammlung, da der Wirtschaftsprüfer beim Jahresabschluss in unabhängiger Weise bewerten muss, wie effektiv das Risikomanagement funktioniert und bei negativer Bewertung von einer Entlastung abraten muss. Zu diesem Thema hatte zuletzt das Landgericht München mit Urteil vom 05.04.2007 entschieden. Ähnliche Pflichten gelten für GmbH-Geschäftsführer.
IV. Strafrecht
Der Unternehmensinhaber ist teilweise verantwortlich für Handlungen seiner Mitarbeiter, soweit diese im Namen des Unternehmens handeln. Dies gilt auch für den Bereich des Strafrechts. Verstoßen daher Mitarbeiter am Arbeitsplatz gegen Vorschriften des Urheberrechts (Download von geschützten Musiktiteln, Bildern oder Videos) oder des Strafgesetzbuchs (Download von kinderpornographischen Daten), so ist das Unternehmen zur Auskunft gegenüber Urheber und Staatsanwaltschaft verpflichtet. Es gibt also auch im Strafrecht eine Haftung bei IT-Compliance. Es hat zudem zu dulden, dass die EDV-Anlagen durchsucht und beschlagnahmt werden. Schlimmer trifft häufig jedoch der Imageschaden.
V. Vertragsrecht
Teilweise übernehmen IT-Unternehmen eine vertragliche Pflicht zur Speicherung von Daten der Kunden. Dies bietet sich z.B. im Falle des IT-Outsourcing, des Webhostings, der Auftragsdatenverarbeitung (Callcenter) oder von Werbeverträgen mit Speicherung von Werbedaten auf dem Server der Agentur an. Kommt es jedoch zu einem Serverausfall oder einer erheblichen Einschränkung in der Funktionsweise mit der Folge von Datenbeschädigung oder Datenverlust, dann stehen häufig Schadensersatzsansprüche der Kunden – teilweise in erheblicher Höhe – im Raum. Eine unzureichend abgesicherte IT führt daher im Einzelfall zu erheblichen Haftungsrisiken, die vom Risikomangement umfasst sein sollten. Gleiches gilt für das Lizenzmanagement. Es sollte Protokoll darüber geführt werden, welche Softwarelizenzen vom Unternehmen erworben wurden und ob diese Lizenzen noch aktuell und zahlenmäßig ausreichend sind. Haftungsträchtig ist auch die Versendung von virenbefallenen E-Mails durch Mitarbeiter Ihres Unternehmens, da der Kunde Sie auch in diesem Fall auf Schadensersatz in die Haftung nehmen wird. Ausgehende E-Mail sind daher zwingendnotwendig vom eigenen System auf Schadsoftware zu prüfen. Ein weiteres Risiko der Haftung bei IT-Compliance bieten unzureichende Haftungsklauseln in den AGB. Insoweit sollte darauf geachtet werden, dass die Haftung für Ausfallschäden in der IT auf das gesetzliche Minimum reduziert werden, um die Haftungsrisiken entsprechend zu reduzieren.
VI. Außervertragliche Haftung
Auch die außervertragliche Haftung für unzureichende IT-Systeme spielt in der Praxis eine große Rolle. Hier ist zunächst die Versendung von virenbefallenen E-Mails durch Mitarbeiter an Drittunternehmen zu nennen, was zu außervertraglichen Haftungsansprüchen nach § 823 BGB führen kann. Auch die eigene Internetpräsenz oder der eigene Onlineshop kann bei unzureichender Kontrolle zu Verstößen gegen Wettbewerbsrecht führen und damit Kosten für gegnerische Abmahnung oder Gerichtsverfahren verursachen.
VII. Sonstige Nachteile unkontrollierter IT-Systeme
Nicht nur die rechtlichen Konsequenzen unzureichender IT-Systeme können jedoch zu finanziellen Einbussen bei Unternehmen führen. Auch tatsächliche Beschränkungen sind unweigerliche Folge mangelhafter IT-Sicherheit. So verlangen in zunehmendem Maße große Konzerne von ihren IT-Dienstleistern die Vorlage von Sicherheitszertifikaten, wie beispielsweise eine Zertifizierung nach ISO 27001 oder die Einhaltung der Vorgaben des BSI-Grundschutzes. Bei öffentlichen Aufträgen durch den Staat verweisen die Behörden inzwischen auch zunehmend auf eine mangelnde fachliche Eignung nach § 13 VOF, wenn obige Zertifkate nicht vorgelegt werden können. Es ist sichtbar, dass das Thema IT-Sicherheit auch im Rahmen der Auftragsvergabe an Bedeutung gewinnt.
Weiterhin kann ein unzureichendes IT-System zu einem reduzierten Ranking bei der Hausbank führen, welches seit Basel II routinemäßig vorgenommen wird. Ein – ggf. sogar zertifiziertes – sicheres IT-Sicherheitssystem führt dagegen zu einer Reduzierung von Haftungsrisiken und damit zu einer Aufwertung des eigenen Unternehmensrating bei der Bank und anderen Kreditgebern.
Links:Veröffentlichung bei DealersOnly
Wichtig für den IT-Unternehmer:
IT-Unternehmen sollten die Haftung bei IT-Compliance ernst nehmen. Immer mehr Unternehmen bieten IT-Sicherheitszertifikate nach ISO 27001 an, welche gegenwärtig eine ausreichende Grundlage für IT-Sicherheit bietet. Auch ohne Zertifizierung sollten sich Unternehmen jedoch aufmachen, ein effektives Risikosystem zu schaffen, um zumindest eine eigene, persönliche Haftung gegenüber der Gesellschaft zu vermeiden. Zur Vermeidung von Haftungsrisiken durch Mitarbeiter sollte eine Betriebsvereinbarung mit den wichtigsten Verboten und Regelungen vereinbart oder mangels Betriebsrat eine entsprechende Dienstanweisung verfasst werden.
Der Verfasser bietet zudem in regelmäßigen Abständen in Hamburg Info-Veranstaltungen zum Thema Haftung bei IT-Compliance und ISO 27001 an.
