Unsicherheit bei der IT-Haftung oder: Wie dumm darf man sein?
Trotz vieler nationaler und internationaler Normen ist es nicht gelungen, die Rechtsunsicherheit bei den Haftungsrisiken in der IT zu beseitigen. Den Gesetzgebern fallen zudem immer neue Haftungsvarianten ein.
Schadenersatzforderungen wegen Vertragsverletzung, wegen unerlaubter Handlung, Verletzung von Sorgfaltspflichten oder fahrlässigen Handelns ist die eine Sache, dahinschmilzender Versicherungsschutz, weil der Versicherer nicht wahllos Summen ausschütten mag, eine andere. Und neuerdings kommt auch noch die Störerhaftung dazu – das alles macht die Rechtsfindung für die IT-Haftung nicht einfacher.
Um so wichtiger ist es, eine Balance zwischen Gebrauchstauglichkeit der IT und Sicherheitsmechanismen zu finden und diese auch zu kommunizieren. Dabei geht es darum, einige zentrale Fragen zu klären: Wie dumm darf ich sein? Wie erreicht ein Unternehmen die Einhaltung der Gesetze? Und wie reagieren Gerichte auf komplexe IT-Probleme, wenn Klagen kommen?
Oft werden Vorgänge, die zum Schaden führen, als eine Art höhere Gewalt oder als unglückliche Zufälle dargestellt. “Für Zufall kann keiner was”, differenziert Wilfried Reiners, Anwalt bei der auf IT-Fragen spezialisierten Kanzlei PRW aus München. “Für Zufall gibt es keinen rechtlich Verantwortlichen, dafür aber für Vorhersehbarkeit.”
Als vor einiger Zeit wegen des kompletten Ausfalls der Abfertigungscomputer zwölf innerdeutsche Lufthansa-Flüge gestrichen werden mussten, wurde irgendwann gefragt, ob man den Ausfall hätte vorhersehen und vermeiden können. “Der Ausfall war kein Zufall, es war ein fehlendes Update”, konstatiert Reiners. “Solche Ausfälle sind das Produkt einer eingeschränkten menschlichen Erkenntnis. Der Ausfall einer EDV-Anlage ist in der Regel kein Zufall, denn er ist absehbar, vorhersehbar und berechenbar.”
Dummheit schützt vor Strafe nicht
Es gilt also der Grundsatz ‘Kein Vorsprung durch Rechtsbruch’ – was soviel heißt: wer sich dumm stellt, ist vor der Strafe nicht gefeit. Rechtlich geht es bei solchen Fällen meist um die Fahrlässigkeit eines Mitarbeiters oder des IT-Administrators. Es kommt dabei immer darauf an, wem man die Schuld in die Schuhe schieben kann. Nehmen wir als Beispiel: Ein Angestellter hat einen Anhang geöffnet, der mit Schadsoftware beladen war, die für Datenverlust gesorgt hat, könnte man ihn wegen Verletzung der Sorgfaltspflicht in die Haftung nehmen.
Andererseits: Einen Mitarbeiter als, sagen wir, geschädigter Kunde zu verklagen, wäre nicht unbedingt ein Vorteil. Das Gehalt des Angestellten ist in der Regel nicht allzu hoch, viel herauszuholen ist da nicht. Abgesehen davon mangelt es häufig an ausreichenden Weisungen von oben, wofür die Geschäftsleitung letztlich verantwortlich ist.
Die andere Möglichkeit wäre, sich an die IT-Abteilung zu richten, die es zugelassen hat, dass der Angestellte überhaupt den Anhang öffnen konnte. Wenn sich der Administrator geschickt verhält und die sicher nach oben an die Chefetage gestellten Anträge nach mehr Budget für die IT-Abteilung sowie deren Ablehnung sorgfältig gesammelt hat, dann ist wieder die Unternehmensleitung in der Pflicht. Gegen das Unternehmen ist meistens mehr herauszuholen, und dann haftet der Chef auch in der Regel noch mit seinem Privatvermögen, das oftmals das des Angestellten um ein Vielfaches übersteigt.