Es mehren sich Fälle, in denen Sich Unternehmen nach einem Datenschutzvorfall – z.B. mit Verschlüsselungstrojanern – versuchen, bei ihren internen oder externen IT-Dienstleistern schadlos zu halten; dies kann ohne entsprechende Vorarbeiten und vertieftes technisches und rechtliches Know-how zumeist nicht gelingen:
- Für die Risiken eröffneter Remote-Zugriffe beispielsweise ist ausschließlich das Unternehmen selbst verantwortlich. Die Implementierung eines Risiko-Früherkennungsverfahrens inkl. Datenschutzkonzept ist wesentlicher Bestandteil der „Corporate Governance“. Grundsätzlich gehört dazu auch, die Anforderungen an die Sicherheit der Zugriffe schon im Vorfeld genau zu spezifizieren und dem Dienstleister dementsprechende Vorgaben – im Remotebeispiel etwa zu überwachten Einzelsessions – zu stellen.
- Es ist vom Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, das kritische Cyber-Assets identifiziert und managt, Maßnahmen zur Angriffsprävention und -erkennung betreibt, und ein Business Continuity Management (BCM) implementiert hat. Zwar ist grundsätzlich zwischen den Anforderungen an ein Datenschutzmanagementsystem (DSMS) und an ein Informationssicherheits-managementsystem (ISMS) zu unterscheiden. Eine Anforderung des DSMS ist es jedoch, die Grundzüge eines ISMS abzubilden. Das Unternehmen hat ein DSISMS zu etablieren, indem Maßnahmen zur Sicherstellung der Verfügbarkeit, Vertraulichkeit und Integrität nach Art. 32 DSGVO getroffen sind.
- Die Pflicht zur Vornahme einer regelmäßigen – bei kritischen Infrastrukturen sogar permanenten – Risikoprüfung ergibt sich aus Art. 24 Abs. 1 DSGVO. Auch nach § 62 Abs. 1 Satz 1 BDSG hat der Verantwortliche für die Einhaltung der Datenschutzbestimmungen Sorge zu tragen und soll sich gerade nicht durch Zwischenschaltung dritter Dienstleister seiner datenschutzrechtlichen Verantwortung entziehen können.
- Das dahinterstehende ganzheitliche Konzept kann im Lichte der DSGVO vereinfacht als Datenschutz durch Datensicherheit formuliert werden.
Die Rechtsprechung bestätigt diese aus der Organisationshoheit herrührende Letztverantwortung – sie verbleibt grundsätzlich beim Unternehmen (gerade auch als Kunde oder Auftraggeber der IT-Dienste Dritter), insbesondere auch in Fällen, in denen originäre Aufgaben „outgesourct“ werden. Eine zuverlässige IT-Sicherheit in Bezug auf Unternehmensdaten gehört hiernach zu den unternehmerischen Selbstverständlichkeiten; im Grundsatz besteht keine Delegierbarkeit der Haftung durch Outsourcing. Maßgebend ist hier die Funktionsherrschaft über den Datenverarbeitungsvorgang als entscheidendes Kriterium für die Kontrolle über technische Systeme.
Ist jedoch im Einzelfall eine Haftung des IT-Dienstleisters zu bejahen, müsste über § 254 BGB (Mitverschulden) nach dem jeweiligen Anteil der Verursachungsbeiträge gefragt werden. Die Obergerichte sind hier streng. So sieht etwa das Oberlandesgericht Hamm ein schuldhaftes, elementares Sicherheitsversäumnis, das zu einem Alleinverschulden (ohne Mithaftung der IT-Servicefirma) führt, als gegeben an, wenn eine Datenvollsicherung nicht mindestens wöchentlich erfolgt.