IT im Unternehmen: So vermeiden Sie Haftungsrisiken

Einführung

Bedeutende Änderungen datenschutzrechtlicher Vorschriften haben den Blick vieler Unternehmen wieder auf den Themenbereich "IT-Nutzung und Haftungsrisiken" gelenkt. Dies umso mehr, da die Digitalisierung der Wirtschaft rasant voranschreitet und für Unternehmen aller Größen relevant ist. Dabei sind nicht nur Bereiche und Vorschriften relevant, bei denen es sich um den Schutz personenbezogener Daten handelt, sondern auch eine Vielzahl weiterer Bereiche, aus denen sich Haftungsrisiken ergeben können.

Die 5 häufigsten Fallen

Mangelnde Sicherheitsmaßnahmen können existenzbedrohend sein

Welches Risiko in der Nutzung von Computern liegt, wird oft erst dann deutlich, wenn ein Schaden eingetreten ist. Frühzeitige Sicherheitsmaßnahmen können verhindern, dass z. B. ganze Geschäftsab­läufe durch einen ausgefallenen Server unterbrochen werden.

Vertragliche Verpflichtungen werden übersehen

Die Pflicht, geeignete Sicherheitsmaßnahmen zu ergreifen, kann sich auch aus einem Vertrag ergeben. Nicht selten werden diese Klauseln übersehen oder nicht ernst genommen.
→ Kap. 2

Viren, Trojaner und Spyware werden unterschätzt

Beim allzu unbedarften Umgang mit offenen Computersystemen ist das Eindringen von Schädlingen wie Computerviren oder Trojanern vorprogrammiert. Hierdurch werden jedoch nicht nur eigene Arbeitsabläufe beeinträchtigt. Auch Geschäftspartner u. a. können geschädigt werden.
→ Kap. 5

Software ist nicht ausreichend lizenziert

Immer wieder wird in Unternehmen Software auf so vielen Computern "wie benötigt" installiert, ohne dass die hierzu notwendige Anzahl an Lizenzen vorhanden ist. Dies ist nicht nur illegal, sondern wird von den Software-Anbietern auch rigoros verfolgt.
→ Kap. 6

Datenschutzvorschriften werden nicht beachtet unterschätzt

Die Nichtbeachtung von Datenschutzvorschriften bis hin zum fehlenden Datenschutzbeauftragten kann nicht nur interne Risiken bergen, sondern auch erhebliche Strafen in Form von Schadensersatzansprüchen und Bußgeldern nach sich ziehen.
→ Kap. 8

1 Haftung und Haftungsrisiken

Die Geschäftsleitung ist grundsätzlich für die Nutzung von Computern im Unternehmen verantwortlich. Sie hat die Entscheidungsbefugnis darüber, ob und welche Computer bzw. IT-Systeme eingesetzt werden. Wurde beispielsweise festgelegt, dass bestimmte Geschäftsvorgänge nur noch elektronisch abgewickelt werden (Stichwort papierloses Büro), so hat der Geschäftsführer auch für eine entsprechende Nachvollziehbarkeit der Geschäftsvorgänge (z. B. aus steuerrechtlichen Gründen) zu sorgen und die damit verbundene Datensicherung und -verfügbarkeit zu verantworten. Die Geschäftsleitung kann die Tätigkeit an eine oder mehrere Personen aus der Geschäftsleitung oder dem Unternehmen delegieren.

1.1 Haftung gegenüber dem eigenen Unternehmen

Organe/Geschäftsleitung

Geschäftsführer können als Organe des Unternehmens persönlich gegenüber der eigenen Gesellschaft in die Haftung genommen werden. Zu den verschiedenen Haftungstatbeständen gehört auch der Verstoß gegen die Pflicht, bei der Geschäftsführung die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Wird dies nicht beachtet und entsteht deswegen der Gesellschaft ein Schaden, haftet der Geschäftsführer für diesen persönlich. Im Gegensatz zu "normalen" Arbeitnehmern werden persönliche Eigenschaften wie Alter und Erfahrung in der Regel nicht haftungsmildernd berücksichtigt.

IT-Verantwortliche

Da gerade für technische, aber auch organisatorische IT-Fragen in der Regel spezifische Fachkenntnisse notwendig sind, werden diese Aufgaben nicht selten von einer bestimmten Person der Geschäftsleitung übernommen oder an Mitarbeiter bzw. externe Berater mit entsprechendem IT-Wissen delegiert. Werden Mitarbeiter mit einer solchen Aufgabe betraut, sollte sichergestellt sein, dass sie den Anforderungen in der Praxis gerecht werden können. Dazu gehört auch die Möglichkeit, regelmäßig Fortbildungsveranstaltungen besuchen zu können. Werden offensichtlich ungeeignete Mitarbeiter mit wichtigen Funktionen, wie etwa IT-Administrator, betraut, kann das Unternehmen (bzw. die Geschäftsleitung) unter dem Gesichtspunkt des Organisationsverschuldens beim Eintritt von Schäden in die Verantwortung genommen werden.

IT-Verantwortliche, die selber keine Organe (z. B. Geschäftsführer, Vorstand) des Unternehmens sind, haften entsprechend den u. g. Grundsätzen der Arbeitnehmerhaftung.

Praxis-Tipp

Wer für die Sicherheit bzw. Nutzung der IT (wie Computer oder Internet) verantwortlich ist, sollte zur eigenen Sicherheit alle Vorgänge – insbesondere jegliche die Risikovorsorge betreffenden Hinweise an die Geschäftsleitung – schriftlich dokumentieren. Aus der Datenschutzgrundverordnung (DSVGO) und dem Bundesdatenschutzgesetz (BDSG) können sich zudem gesetzliche Verpflichtungen zur Risikobewertung und -vorsorge ergeben.

Arbeitnehmer

Arbeitnehmer (auch IT-verantwortliche Arbeitnehmer) müssen die betrieblichen Vorschriften für die IT-Nutzung beachten, wie etwa

• Geheimhaltungsvorschriften (z. B. Passwörter, Kundenadressen, Prozessabläufe etc.),
• Schutzvorschriften (z. B. Verbot der Änderung und Deaktivierung von Firewall- und...