LEGALIT.de

Teilen

Unternehmensdaten und die Funktionsfähigkeit des betrieblichen IKT-System sind ständige potenzielle Opfer einer unübersehbaren Zahl unterschiedlichster Schadprogramme, die u.a. auf die Vernichtung von Daten und Ausspähung von Passwörtern ausgerichtet und geeignet sind, erhebliche Schäden zu verursachen.

So weit ist das ist mittlerweile unternehmerisches Allgemeinwissen…

Auch wenn das entsprechende Risikopotenzial – meist in Abhängigkeit von Größe und Gegenstand des Unternehmens – recht unterschiedlich eingeschätzt wird, ist doch den meisten Verantwortlichen klar, dass sie sich und ihre IKT gegen derartige Angriffe schützen müssen. Übrigens nicht nur gegen Angreifer von außen, sondern insbesondere auch gegen unzulässige interne Zugriffe durch Mitarbeiter.

Was allerdings weniger bekannt ist: Die nachlässige Handhabung des eigenen Schutzes – etwa durch fehlende Einrichtung oder mangelhafte Aktualisierung von Antivirensoftware und Firewalls kann Haftungsansprüche Dritter auslösen.

Denn die allgemeine sog. Verkehrssicherungspflicht gilt auch im Internet:

Wer eine Gefahrenlage geschaffen hat, ist – so die Rechtsprechung – dazu verpflichtet, im Rahmen des Zumutbaren dafür Sorge zu tragen, dass dadurch keine Schädigungen Dritter verursacht werden.

Dementsprechend sind Unternehmen, die das Internet nutzen verpflichtet, die notwendigen und zumutbaren Vorkehrungen zu treffen, damit nicht über ihre Firmenrechner Schadsoftware oder andere unerwünschte Inhalte weiterverbreitet oder diese gar unbemerkt „gekapert“ und zu Angriffen auf andere Computer missbraucht werden.

Ein häufiges – noch eher harmloses - Szenario sind etwa z.B. E-Mails mit Werbebotschaften, sich von selbst an alle im Adressbuch gespeicherten Kontakte versenden.

Natürlich haftet für Derartiges in erster Linie der direkte Verursacher. Den wird der Geschädigte aber in aller Regel nicht ausfindig machen können. Oder nur an Orten, die eine Rechtsverfolgung wenig aussichtsreich erscheinen lassen.

In dieser Situation ist die Inanspruchnahme desjenigen naheliegend, dessen Rechner missbraucht wurde und der die notwendigen Schutzmaßnahmen unterlassen hat:

Grundsätzlich ist hier zunächst der Betrieb einer Firewall zu verlangen, mit deren Hilfe der Datenfluss vom und zum IKT-System überwacht wird.

Eine Firewall allein wird den Sorgfaltsanforderungen allerdings regelmäßig nicht genügen können, da mit ihr ein bereits erfolgter Befall von Schadprogrammen nicht festgestellt und gegebenenfalls unschädlich gemacht werden kann. Hierfür bedarf es zusätzlich eines Antivirenprogramms.

Wer bereits diese Minimalanforderungen nicht erfüllt, haftet ohne Weiteres.

Die Verpflichtung ausreichende Vorkehrungen zu treffen, damit vom eigenen Computer keine Gefahren für die Systeme Dritter ausgehen, ist jedoch keine einmalige Angelegenheit sondern muss fortlaufend erfüllt werden. Dementsprechend sind Antivirenprogramme bzw. die Firewall in regel- und zweckmäßigen Abständen zu aktualisieren, um dem Vorwurf nicht ausreichender Sicherheitsvorkehrungen begegnen zu können.

Da die Durchführung der Aktualisierungen im Streitfall nachzuweisen sein wird, ist zudem dringend anzuraten, die durchgeführten Maßnahmen durchgängig mit Hilfe entsprechend vollständiger Logfiles protokollieren zu lassen.