Categories: Management

Unsicherheit bei der IT-Haftung oder: Wie dumm darf man sein?

Schadenersatzforderungen wegen Vertragsverletzung, wegen unerlaubter Handlung, Verletzung von Sorgfaltspflichten oder fahrlässigen Handelns ist die eine Sache, dahinschmilzender Versicherungsschutz, weil der Versicherer nicht wahllos Summen ausschütten mag, eine andere. Und neuerdings kommt auch noch die Störerhaftung dazu – das alles macht die Rechtsfindung für die IT-Haftung nicht einfacher.

Um so wichtiger ist es, eine Balance zwischen Gebrauchstauglichkeit der IT und Sicherheitsmechanismen zu finden und diese auch zu kommunizieren. Dabei geht es darum, einige zentrale Fragen zu klären: Wie dumm darf ich sein? Wie erreicht ein Unternehmen die Einhaltung der Gesetze? Und wie reagieren Gerichte auf komplexe IT-Probleme, wenn Klagen kommen?

Oft werden Vorgänge, die zum Schaden führen, als eine Art höhere Gewalt oder als unglückliche Zufälle dargestellt. “Für Zufall kann keiner was”, differenziert Wilfried Reiners, Anwalt bei der auf IT-Fragen spezialisierten Kanzlei PRW aus München. “Für Zufall gibt es keinen rechtlich Verantwortlichen, dafür aber für Vorhersehbarkeit.”

Als vor einiger Zeit wegen des kompletten Ausfalls der Abfertigungscomputer zwölf innerdeutsche Lufthansa-Flüge gestrichen werden mussten, wurde irgendwann gefragt, ob man den Ausfall hätte vorhersehen und vermeiden können. “Der Ausfall war kein Zufall, es war ein fehlendes Update”, konstatiert Reiners. “Solche Ausfälle sind das Produkt einer eingeschränkten menschlichen Erkenntnis. Der Ausfall einer EDV-Anlage ist in der Regel kein Zufall, denn er ist absehbar, vorhersehbar und berechenbar.”

Dummheit schützt vor Strafe nicht

Es gilt also der Grundsatz ‘Kein Vorsprung durch Rechtsbruch’ – was soviel heißt: wer sich dumm stellt, ist vor der Strafe nicht gefeit. Rechtlich geht es bei solchen Fällen meist um die Fahrlässigkeit eines Mitarbeiters oder des IT-Administrators. Es kommt dabei immer darauf an, wem man die Schuld in die Schuhe schieben kann. Nehmen wir als Beispiel:  Ein Angestellter hat einen Anhang geöffnet, der mit Schadsoftware beladen war, die für Datenverlust gesorgt hat, könnte man ihn wegen Verletzung der Sorgfaltspflicht in die Haftung nehmen.

Andererseits: Einen Mitarbeiter als, sagen wir, geschädigter Kunde zu verklagen, wäre nicht unbedingt ein Vorteil. Das Gehalt des Angestellten ist in der Regel nicht allzu hoch, viel herauszuholen ist da nicht. Abgesehen davon mangelt es häufig an ausreichenden Weisungen von oben, wofür die Geschäftsleitung letztlich verantwortlich ist.

Die andere Möglichkeit wäre, sich an die IT-Abteilung zu richten, die es zugelassen hat, dass der Angestellte überhaupt den Anhang öffnen konnte. Wenn sich der Administrator geschickt verhält und die sicher nach oben an die Chefetage gestellten Anträge nach mehr Budget für die IT-Abteilung sowie deren Ablehnung sorgfältig gesammelt hat, dann ist wieder die Unternehmensleitung in der Pflicht. Gegen das Unternehmen ist meistens mehr herauszuholen, und dann haftet der Chef auch in der Regel noch mit seinem Privatvermögen, das oftmals das des Angestellten um ein Vielfaches übersteigt.

Page: 1 2

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

6 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

7 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago