Die rechtlichen Aspekte der IT-Sicherheit, Teil 1

Haftungsfragen rund um die IT-Sicherheit

08.02.2010
Von 
Renate Oettinger ist Diplom-Kauffrau Dr. rer. pol. und arbeitet als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche sind Wirtschaft, Recht und IT. Zu ihren Kunden zählen neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer.

3.) Verkehrssicherungspflichten

Zum besseren Verständnis der Haftungssystematik ist die obergerichtliche Rechtsprechung des Bundesgerichtshofes (BGH) zu den Verkehrssicherungspflichten sowie die Vorgaben des KonTraG für ein verbindliches Risikomanagement zu betrachten. Der BGH spricht im Rahmen der Haftungssystematik von Verkehrssicherungspflichten:

"Wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen."

Die Kommunikationsvorgänge in Intranet und Internet eröffnen vielfältige Gefahren, sind also Gefahrenquellen im Sinne der Verkehrssicherungspflichten. Diese Verkehrssicherungspflichten bestehen im Wesentlichen aus:

- Organisationspflichten bezüglich betrieblicher (technischer) Abläufe und

- Aufsichtspflichten des Arbeitgebers gegenüber seinen Mitarbeitern.

Eine 100%ige Sicherheit kann im Rahmen der Verkehrssicherungspflichten nicht verlangt werden, aber Maßnahmen nach der Verkehrserwartung, die wirtschaftlich zumutbar sind. Auch die vertraglichen Schutzpflichten orientieren sich an den Verkehrssicherungspflichten.

Die Verkehrssicherungspflichten ergeben sich aus einer Vielzahl gesetzlicher und vertraglicher Bestimmungen sowie der Rechtsprechung. Hier einige Beispiele:

- Besondere Verschwiegenheitsverpflichtung und eine strafbewehrte Garantenstellung für besonders sensible Daten

-- bei Amts-, Berufs- und Privatgeheimnissen, § 203 StGB

-- bei Geschäfts- und Betriebsgeheimnissen, § 17 UWG

-- Garantenstellung nach § 13 StGB: Straftaten können auch durch Unterlassen von Sicherungsmaßnahmen, Verletzung von Sorgfaltspflichten begangen werden (Garantenstellung des Compliance-Officers nach BGH-Entscheidung vom 17.07.09)

- § 9 BDSG plus Anlage - Die Vorschrift enthält die Grundsätze ordnungsgemäßer Datenverarbeitung, also Vorgaben für die technisch-organisatorische Datensicherheit. Es ist ein technisches Sicherheitskonzept zu entwickeln, das Unbefugten Zugriff auf personenbezogene Daten verhindert. Im Einzelnen bedeutet dies:

-- Zutrittskontrolle - räumliche, physische Sicherung

-- Authentifizierung

-- Zugangskontrolle - Passwort, Firewall

-- Festplattenverschlüsselung

-- Zugriffskontrolle - effektive, rollenbasierte Rechteverwaltung

-- Weitergabekontrolle - Datensicherung, Verschlüsselung

-- Verfügbarkeitskontrolle - Virenschutz, Backup, sichere Archivierung