Internetrecht

eco stellt Initiative S vor – RA Solmecke zur Haftung eines Unternehmens für die unbemerkte Verbreitung von Schadsoftware

Heute wird der eco Verband im Phantasialand in Brühl seine Initiative S vorstellen. Dabei handelt es sich um einen neuen Service, mit dem kleine und mittelständische Unternehmen die Sicherheit ihrer Webseite kostenlos und dauerhaft überprüfen lassen können. Die Nutzung ist denkbar einfach: es muss lediglich der Link zur jeweiligen Internetseite eingegeben werden, den Rest übernimmt der Service von selbst. Befindet sich schädlicher Code in der Webseite, wird der Unternehmer unverzüglich darüber informiert. Bei der Produktvorstellung wird Rechtsanwalt Christian Solmecke anwesend sein und die rechtlichen Risiken von unsicheren Webseiten beleuchten. Hier eine Zusammenfassung des Vortrages:

Wer Schadsoftware weiterverbreitet, kann sowohl bei sich selbst, als auch bei anderen erhebliche Schäden anrichten. Hardwareschäden, Löschung oder Veränderung von Daten, Preisgabe von sensiblen Kundendaten oder Zerstörung der IT-Infrastruktur – die Liste der möglichen Schäden ist lang. Dabei spielt es für die Frage der Haftung kaum eine Rolle, ob die schädigenden Programme absichtlich oder unbemerkt in Umlauf gebracht wurden. Auch die Reputation des verbreitenden Unternehmens kann in Mitleidenschaft gezogen werden. Wer Viren, Trojaner und Co. verbreitet, gefährdet bestehende Geschäftsbeziehungen zu Kunden oder anderen Unternehmen.

Wann haftet der Unternehmer?

Der Unternehmer haftet für die Verbreitung von Schadsoftware, wenn er seine ihm obliegenden Verkehrssicherungspflichten (§ 823 BGB) verletzt. Diese resultieren daraus, dass der Unternehmer, der die Herrschaft über eine Gefahrenquelle ausübt, alles ihm zumutbare unternehmen muss, um Schädigungen anderer zu vermeiden. Ein mit Schadsoftware infizierter PC oder ein infiziertes Netzwerk sind aufgrund der drohenden Schäden als potentielle Gefahrenquelle anzusehen. In den Fällen, in denen sich die Schadsoftware nicht automatisch weiterverbreitet, sondern erst durch eine vom Versender veranlasste Übertragung, resultiert die Verkehrssicherungspflicht aus der Schaffung einer besonderen Gefahrenlage aus vorangegangenem Tun.

Kann der Unternehmer seine Haftung ausschließen oder auf Dritte abwälzen?

Die Möglichkeiten, eine Haftungsreduzierung zu erreichen, sind sehr begrenzt. Ein vertraglicher Haftungsausschluss (z.B. in der Fußnote einer E-Mail oder im Impressum), der ohnehin nur gegenüber Kunden oder Geschäftspartnern möglich wäre, ist nur unter engen Voraussetzungen zulässig. Der Haftungsausschluss müsste sich ausdrücklich auch auf deliktische Ansprüche erstrecken und dürfte nur die Haftung für leicht fahrlässig verursachte Sachschäden ausschließen.

Auch eine Abwälzung der Verkehrssicherungspflichten auf Dritte ist kaum möglich. Für Fehler der Arbeitnehmer haftet der Unternehmer, da er für die Organisation des Unternehmens verantwortlich ist (sog. Organisationsverschulden). Die Verkehrssicherungs-pflichten auf den Provider abzuwälzen ist nur dann möglich, wenn der Provider ordnungsgemäß ausgewählt wurde, seine Pflichten hinsichtlich des Schutzes vor Schadsoftware eindeutig im Vertrag definiert wurden und die Einhaltung dieser Pflichten durch den Unternehmer überwacht wird. Fazit: der Unternehmer hat kann sich seiner Verkehrssicherungspflichten nicht komplett entledigen; eine Übertragung auf Dritte ist kaum möglich.

Welche Pflichten hat der Unternehmer konkret?

Stellt sich also die Frage, was der Unternehmer konkret tun muss, um seine Verkehrssicherungspflichten zu erfüllen. An erster Stelle steht hier die Einrichtung und laufende Aktualisierung eines geeigneten Virenschutzprogramms sowie einer Firewall. Auch ein internes Risikomanagement ist erforderlich. Gegebenenfalls muss der Unternehmer hierbei auf die Leistungen einer EDV-Fachbetriebs zurückgreifen, soweit er selbst nicht über die entsprechenden Kenntnisse und Ressourcen verfügt. Die EDV-Abteilung ist sowohl technisch als auch organisatorisch immer auf dem neuesten Stand zu halten. Dies umfasst auch die Schulung der Mitarbeiter sowie die Aufstellung interner Verhaltensrichtlinien (sog. security policys) zum sicheren Umgang mit der IT.

Auch andere Gesetze erlegen dem Unternehmer Verpflichtungen auf. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet die Unternehmen, für eine sichere IT-Infrastruktur zu sorgen. Für Defizite in diesem Bereich können Vorstände und Geschäftsführer unter Umständen haftbar gemacht werden. Das Bundesdatenschutzgesetz verpflichtet Unternehmen dazu, durch entsprechende Vorkehrungen zu verhindern, dass personenbezogene Daten verändert, gelöscht, ausgespäht oder weitergeleitet werden. Die Verletzung dieser Pflicht führt zu einem Schadensersatzanspruch des Betroffenen.

Fazit

Im Hinblick auf die unbemerkte Verbreitung von Schadsoftware über das Netzwerk des Unternehmers besteht ein erhebliches Haftungsrisiko. Da es kaum Möglichkeiten der Haftungsreduzierung oder –abwälzung gibt und erhebliche finanzielle Schäden drohen, ist ein optimaler Schutz gegen Schadsoftware unerlässlich.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.