IT Security-Rechtsprechung
Gerade auch die Rechtsprechung unterstreicht, dass eine zuverlässige IT-Sicherheit in Bezug auf betriebskritische Daten zu den unternehmerischen Selbstverständlichkeiten im Zeitalter digitaler Datenverarbeitung gehört. Aus der inländischen Rechtsprechung, bei der zumeist Haftungstatbestände im Zusammenhang mit dem Verlust betriebswichtiger oder dem fahrlässigen Bruch der Vertraulichkeit geheimhaltungsbedürftiger Daten Anlass für – auch persönliche (Managerhaftung) – Schadensersatzansprüche waren, sind insbes. die folgenden Aussagen von besonderer Relevanz für die Unternehmenspraxis:
- Die Rechtsprechung sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an. Unternehmenskritische – und insbes. auch beweiserhebliche – Dokumente müssen aus Gründen der Rechtssicherheit und Beweisführung vorgehalten werden. Wird dies nicht ermöglicht, kann ein Prozess bereits unter bloßen Beweislastgesichtspunkten wegen „Beweisfälligkeit“ verloren gehen.
- Ein Outsourcing der IT-Sicherheit genügt grundsätzlich nicht, das delegierende Unternehmen und dessen Management zu Lasten beauftragter IT-Unternehmen (wie z.B. Cloud-Provider oder IT-Wartungsfirmen) zu „exkulpieren“, also aus der haftungsrechtlichen Verantwortung für den Schutz und die Sicherheit seiner Daten und Systeme zu nehmen. Dies kann sogar gelten bei einem Verschulden des externen IT-Dienstleisters bei einem Datenverlust, wenn das den Auftrag erteilende Unternehmen die Konsequenzen dieses Verlusts durch unzuverlässige Desaster- und Backup-Strategien mit verursacht hat. Der Mitverschuldensanteil kann hier bis zu 100 %, also bis zur Vollhaftung des Unternehmens für den entstandenen Datenverlust und damit den hierdurch verursachten finanziellen Schaden, führen.
- Zu beachten ist in diesem Kontext auch die Beweislastumkehr, wonach in Fällen, in denen streitig ist, ob die zuständigen Mitglieder des Managements die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, diese zu ihrer Exkulpation die alleinige Beweislast trifft.
- Was das Desaster-Management anbelangt, verlangt die Rechtsprechung als allgemeine Schutz- und Sorgfaltspflicht, dass regelmäßig und zuverlässig zeitgemäße, lückenlose Datensicherungsroutinen im Bereich Produktivsystem, Archivsystem und Backup eingesetzt werden. Dies dürfen auch externe Fachpersonen – wie etwa mit Wartung und Support beauftragte IT-Firmen oder Rechenzentrumsbetreiber, die im Wege der Auftragsdatenverarbeitung mit den Daten des Unternehmens arbeiten – ohne besondere Erkundigungspflicht als Selbstverständlichkeit voraussetzen. Umgekehrt sind aber diese beauftragten Dritten wiederum im Zweifel auch ohne ausdrückliche Vereinbarung zu Datensicherungsmaßnahmen wie insbesondere Backups verpflichtet, wenn die Verarbeitung von Unternehmensdaten zu ihrem Vertragspflichtenkreis gehört. Weiter werden zum unternehmerischen IT-Schutzpflichtenkreis revisionssichere Archivierungsprozesse gezählt, Firewalls, Filter- und Überwachungssysteme, eine Verschlüsselung jedenfalls bei besonders sensitiven Daten sowie eben auch ein Kontinuitätsmanagement, das einen Wiederanlauf nach Wiederherstellung von System und Daten im Schadensfall gewährleistet.
- Organisatorisch sind geeignete IT-Unternehmens- und Datenschutzrichtlinien sowie eine entsprechende Einweisung und Schulung der Mitarbeiter erforderlich.
- Das Fehlen eines IT-Sicherheitskonzepts berechtigt ein Unternehmen folgerichtig dazu, den mit einem Vorstandsmitglied geschlossenen Anstellungsvertrag außerordentlich und mit sofortiger Wirkung zu kündigen bzw. bei Mängeln in der Dokumentation eines Früherkennungssystems in Bezug auf dem Unternehmen drohende Risiken einen wichtigen Grund zu sehen, der zur Anfechtbarkeit des Beschlusses über die Haftungsentlastung des gesamten Vorstands führt.
Gerade auch Unternehmen mit effektiver Geschäftstätigkeit in UK und den USA sehen sich der besonderen Bedeutung (und erheblichen Sanktionsfolgen) eines lückenlosen und beweissicheren Dokumentmanagement ausgesetzt. Dementsprechend wurden die Zivilprozessordnungen beispielsweise im UK in 2010 ergänzt um Regelungen zur elektronischen Bereitstellung. Dasselbe gilt für Ergänzungen im US-Zivilprozessrecht im Jahre 2006. Im Zuge dieser Entwicklungen wurden zugleich neue Sanktionen für Vertraulichkeits- und Datenschutzverletzungen implementiert.
Zusammengefasst etabliert die Rechtsprechung zunehmend – und vor dem Hintergrund von Regelwerken mit Ausstrahlungswirkung in andere Wirtschaftsbereiche (wie etwa dem Sarbanes-Oxley-Act oder den Baseler Eigenkapitalübereinkünften) – allgemeine Sorgfaltspflichten für eine effektive, zeitgemäße IT-Sicherheit. Es lässt sich die Tendenz ersehen, eine Vorlage von Daten, auch wenn diese bereits vor langer Zeit in großen, gegebenenfalls auch externen oder auch internationalen (Backup-) Speichern abgelegt wurden und entsprechend schwer verfügbar gemacht werden können, für ein laufendes Gerichtsverfahren in einer „beweisfesten“ Form zu verlangen, wobei diese Verpflichtung besteht unabhängig von gegebenenfalls höherer Gewalt oder etwaigem Fremdverschulden. Dies bedingt ggf. den Einsatz zeitgemäßer IT-Systeme, die starke Indizien für Beweissicherheit – und damit letztlich Rechtssicherheit – liefern.