Coming soon ... IT Summit by heise

Sorgfaltspflichten beim IT-Einsatz

Mit Brandschutzmauer, Anwalt und EDV-Tresor

Von Sabine Philipp

Die Informatik im Betrieb soll einerseits optimalen Datenverkehr gewährleisten, muss ihn andererseits aber eifersüchtig kontrollieren. Das betrifft nicht nur die Rechteverwaltung, sondern Grundsätzliches: Im Prinzip soll überhaupt nichts aus dem Firmennetzwerk hinaus, was nicht in fremde Hände gehört, und umgekehrt auch nichts hinein, was möglicherweise Schaden anrichtet. Und damit nicht genug: Auch das WWW hat inzwischen eine Menge juristischer Ecken und Kanten bekommen, an denen man sich beim eigenen Web-Auftritt oder als Newsletter-Versender empfindlich stoßen kann.

In der Verantwortung stehen dann nicht nur Database Administrator oder CIO, sondern, je nach Gesellschaftsform, auch Vorstand und Geschäftsführer. Auch wenn Sie die IT-Abteilung outsourcen, bleibt Ihnen eine ganze Reihe von Pflichten erhalten.

Piratensoftware kapert die Firmenrechner

Nichts verbreitet sich schneller als ein neuer Virus. Sorgen Sie also immer für eine sichere Firewall und für die neuesten Virenschutzupdates. Und schärfen Sie Ihren Mitarbeitern ein, bei Mails von Unbekannten vorsichtig zu sein. Vor allem, wenn sie interessante Anhänge wie den neuesten Harry-Potter-Bildschirmschoner versprechen.

Wichtig: Diese Übersicht dient lediglich der Orientierung und ersetzt keinesfalls die fach­männische Beratung durch Rechts­experten. Die Inhalte wurden sorg­fältig recherchiert, dennoch sind Ab­weichungen vom tat­sächlichen Sach­verhalt nicht auszuschließen.

Ist der Virus oder Wurm erst einmal im Haus, kann er sich über Ihren Server lustig weiter verbreiten – und belästigt unter Umständen Ihre Kunden. Das ist nicht nur peinlich. Wenn Sie nicht alles Menschenmögliche getan haben, um sich zu schützen, müssen Sie für den Schaden zahlen. Natürlich haftet in erster Linie der Verfasser der Schadenssoftware. Da man den aber so gut wie nie zu fassen bekommt, sind aber erst mal diejenigen dran, die den Virus verbreiten.

Haftung, Sorgfalt und Fahrlässigkeit
Wer es Computerverbrechern allzu leicht macht, muss für den Schaden haften (§ 276 BGB). Vorstände können nach dem Aktiengesetz (§ 93 Abs. 2 AktG) persönlich zur Kasse gebeten werden. Für Geschäftsführer einer GmbH kann der § 43 Abs. 1 GmbHG teuer werden.

Erschwerend kommt hinzu, dass drahtlose Netzwerke immer beliebter werden – auch bei Hackern. Leider vernachlässigen die Nutzer oft die simpelsten Sicherheitsvorkehrungen. Schützen Sie sich unbedingt mit dem Verschlüsselungsstandard WPA; WEP ist heute viel zu unsicher. (Darmstädter Studenten haben den Code innerhalb einer Minute geknackt.) Ohne Sicherheitsvorkehrung könnte jeder über Ihren Zugang ins Internet gehen – und kriminell werden. Die Zeche zahlt dann der Inhaber des Internet-Anschlusses, wie das Landgericht Hamburg in seinem Urteil vom 26. 07. 2006 verkündet hat.

Persönliches bleibt unter Verschluss

Nach dem Bundesdatenschutzgesetz (§ 9 BDSG) müssen Sie die Daten Ihrer Kunden besonders schützen. Wenn Schindluder damit getrieben wird, kann man Sie nach § 7 BDSG sogar zu Schadensersatz verdonnern – außer, Sie haben die „gebotene Sorgfalt“ beachtet. Falls Sie mindestens zehn Mitarbeiter haben, die Kundendaten automatisch verarbeiten, z.B. mit einer Software, müssen Sie noch einen Datenschutzbeauftragten berufen. Der achtet dann als Anwalt der Betroffenen darauf, dass nichts nach außen gerät.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.
Es ist einfach verschwunden!
Nicht immer ist es Bosheit von außen, die Ihre Daten gefährdet. Abstürze und Systemfehler sind nach wie vor für einen Großteil der Informationsverluste verantwortlich. Kritisch ist das in jedem Fall, besonders aber, wenn es die Finanzbuchhaltung trifft und Sie damit gegen die Aufbewahrungsfristen und die Mitwirkungspflicht im Rahmen der GoBD verstoßen. Eine verlässliche Backup-Lösung ist daher unbedingt wichtig.

Rechtsanwälte, Ärzte oder andere Vertrauenspersonen bekommen es darüber hinaus mit dem Strafrecht (§ 203 StGB) zu tun, wenn Vertrauliches in die falschen Hände gerät.

Schotten Sie also solche Daten besonders gut vom Netz ab. Am einfachsten geht das, indem Sie sie auf einer separaten Partition des Systems lagern, auf der es keinen Internet-Zugang gibt. Und die wird dann doppelt und dreifach geschützt.

Serie: Datenschutz
Teil 1 erklärt, wann Unter­nehmen einen Be­auf­tragten für den Daten­schutz brau­chen und wa­rum ex­terne Pro­fis oft die bes­sere Wahl sind. Teil 2 setzt aus­einander, wie Be­triebs­rat und Mit­arbeiter am besten mit­spielen und was in den Ver­fahrens­plänen stehen muss. Teil 3 geht das The­ma von der an­deren Sei­te an und fragt, was der Wirt­schafts­prüfer bei der Kon­trolle zu Ge­sicht be­kommen darf. Teil 4 stellt ein Schutz­klassen­system vor und be­trachtet Daten­schutz und EDV-Com­pliance als Wett­bewerbs­vorteil.

Öffentliches muss sauber sein

Behalten Sie auf Ihrer Website Forum, Gästebuch und Weblog immer gut im Auge. Denn sobald Sie entdecken, dass ein Nutzer einen anderen beleidigt, müssen Sie den Beitrag löschen. Sonst kann der Geschädigte auf Unterlassung klagen, wie der Bundesgerichtshof in Karlsruhe in seinem Urteil vom 27. März 2007 festgestellt hat. Am besten richten Sie eine Zugangskontrolle ein. Denn wer sich vorher ausweisen muss, wird nicht so schnell ausfällig.

Überhaupt gilt für alle journalistischen Texte auf Ihrer Website der Staatsvertrag für Rundfunk und Medien. Der besagt, dass sie ordentlich recherchiert und von Werbung klar unterscheidbar sein müssen. Jeder, der sich falsch von Ihnen dargestellt fühlt, darf eine Gegendarstellung verlangen. Selbstverständlich gilt auch im Netz das Urheberrecht. Distanzieren Sie sich bei Verlinkungen von den Inhalten der fremden Seiten. Sonst kann man Sie am Ende für die illegalen Inhalte verantwortlich machen. Ein solcher so genannter Disclaimer schützt allerdings nicht bei Vorsatz.

Jede kommerzielle Internet-Seite braucht außerdem ein Impressum mit vollem Namen, ebenso wie Geschäftsmails, E-Mail-Werbung und Newsletter. Halten Sie sich lieber daran, sonst können Sie ins Visier von professionellen Abmahnern geraten.

Fazit: Sicherheitskonzept regelmäßig prüfen

Achten Sie schon beim Kauf Ihrer Hard- und Software und dem Entwurf der Netzwerkarchitektur auf ein durchgängiges Sicherheitskonzept. Denken Sie stets daran, was alles schief gehen kann, und ergreifen Sie aktiv Maßnahmen dagegen. Sorgen Sie für regelmäßige Virenschutzupdates und überlegen Sie sich einen Plan B für den Notfall. Überprüfen Sie regelmäßig die Systeme mit Checklisten, fixieren Sie Verantwortlichkeiten schriftlich und stellen Sie rasche und eindeutigen Kommunikationswege für den Ernstfall sicher. Es ist immer besser, ein paar Minuten länger über die Sicherheit nachzudenken, als sich hinterher jahrelang zu ärgern.

Nützliche Links