Datensicherheit - Haftung und Prävention

Das Thema IT-Security ist durch eine Vielzahl rechtlicher Vorgaben ausgeprägt, etwa durch das Telemediengesetz oder Bundesdatenschutzgesetz.

Sofern gesetzliche Vorgaben nicht eingehalten werden, kann sowohl die Haftung für eigenes Verschulden als auch für fremdes Verschulden Gegenstand gerichtlicher Weiterungen sein.

Für den Bereich der IT-Sicherheit bedeutet dies u.a., dass im Jahresabschluss der Gesellschaft genaue Angaben über die Art und Weise des Risikomanagements sowie auch über die IT-Sicherheitsstandards des Unternehmens aufgeführt sein müssen. Hierfür trägt der Geschäftsführer –bspw. Einer GmbH- die Verantwortung.

Entsteht aus der Missachtung bzw. nicht ausreichenden Einhaltung von Sicherheitsvorschriften im Rahmen der Informationssicherheit ein Schaden, so haftet nicht nur die Gesellschaft, sondern ggf. auch die Geschäftsleitung, sofern ein Verschulden durch mangelndes IT-Sicherheitsmanagement vorliegt.

Die Haftung für eigenes Verschulden ist demnach dann gegeben, wenn das Unternehmen nicht auf die Art und Weise organisiert ist, wie es unter Einhaltung aller Sicherheitsstandards sein sollte, wobei der Kompetenz- und Verantwortungsbereich des Geschäftsführers maßgeblich ist. Obliegt einem Geschäftsführer die Aufsicht über das Unternehmen, so ist er auch für den Bereich der Informationstechnologie haftbar, sofern er nicht beweisen kann, dass er seine Sorgfaltspflicht ausreichend wahrgenommen hat.

Daneben ist die Haftung für das Verhalten der Mitarbeiter ebenso von Belang.
Nur wenn die Geschäftsleitung die ihr möglichen Schritte getan hat und das Verschulden allein bei dem Verrichtungsgehilfen liegt, kann das Unternehmen von der Haftung befreit werden.

Dies ist dann der Fall, wenn für alle Vorgänge und Aufträge, die im Rahmen der Geschäftsausübung, in denen IT zum Einsatz kommt, eine entsprechende Sensibilisierung auf die technischen Gefahren und Nachweisbarkeit der Sorgfalt vorhanden ist.

In diesem Kontext stellen wir Ihnen beispielhaft die nachfolgenden Porblemfelder dar.

So bedarf es einer grundlegenden Analyse, welche Daten von wem auf welchem Weg erhoben und genutzt werden sowie dazugehöriger Dokumentation. Ferner müssen Compliance-Regelungen (z.B. Datenschutzregelungen) aufgestellt werden, um Abläufe rechtssicher zu gestalten. Der Einsatz von IT-Lösungen muss den Ansprüchen genügen und einer regelmäßigen Statuskontrolle unterliegen. Ferner muss ein Datensicherungskonzept und Archivierung eingeführt und kontrolliert werden (Lokale Lösung vs. Cloud; Was passiert, wenn Datensicherungen verloren gehen, bspw. Durch Brand, etc.?). Neben der Überprüfung der Zulässigkeit und Rahmenbedingungen externer IT-Lösungen sollten auch Vertraulichkeits- und Geheimhaltungsvereinbarungen getroffen werden. Schließlich ist die Bestellung eines Datenschutzbeauftragten in den allermeisten Fällen gesetzlich vorgeschrieben oder aus Sicherheitsgründen angezeigt.

Gemäß den Vorschriften des Bundesdatenschutzgesetzes haben Unternehmen, die mehr als neun Mitarbeiter ständig mit der Erhebung, Nutzung oder Verarbeitung von personenbezogenen Daten beschäftigen, einen Datenschutzbeauftragten zu bestellen, wobei der Datenschutzbeauftragte intern bestimmt oder extern beauftragt werden kann.

Gerne sind wir Ihnen bei dem wichtigen Thema IT-Sicherheit (IT-Security) behilflich und beraten Sie und ihr Unternehmen. Sei dies bei der Umsetzung und Integrierung von IT-Lösungen oder als Datenschutzbeauftragte Ihres Unternehmens.

Wir freuen uns über Ihre Anfrage.

Florestan Goedings, LL.M.
Rechtsanwalt und Mediator

Flemingstr. 11
D- 10557 Berlin

Kontakt

Tel.: +49 (0) 30/ 91 68 36 62

E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen