Gerne wird auf Seminaren, Workshops oder etwa in den Medien das Thema IT-Sicherheit mit folgendendem Spruch eingeleitet: "IT-Sicherheit ist auch Chefsache".

Nur, der Spruch "IT-Sicherheit ist Chefsache" kann auch in einem bösartigeren Sinn verstanden werden, nämlich dass auch der Chef für die IT-Sicherheit seinen Kopf hinhalten muss. Gerade dieser Aspekt der IT-Sicherheit soll Thema dieses eBooks sein.

"IT-Sicherheit wird zur Chefsache"

Hinsichtlich der Beschäftigung des Chefs mit der IT-Sicherheit seines Betriebes gibt es zwei Möglichkeiten. Entweder kümmert sich die Geschäftsführung bereits präventiv um die Belange der IT-Sicherheit, oder aber die IT-Sicherheit wird spätestens beim Eintritt eines Schadensfalls zur Chefsache und zwar in dem Sinne, dass dem Unternehmen wegen mangelnder IT-Sicherheit ein enormer Schaden entsteht und insoweit gar eine mögliche persönliche Haftung der Geschäftsführung bzw. des Vorstandvorsitzes in Frage kommt.

Das Thema "IT-Sicherheit" geht also keineswegs nur Computer-Spezialisten an, sondern hat absolute unternehmerische Relevanz. Unternehmen, die der IT-Sicherheit nur wenig Beachtung finden, handeln grob fahrlässig und werden mittlerweile auch seitens der Gerichte als schlicht "blauäugig" bezeichnet. Dazu im Folgenden ein recht anschaulicher Fall, den das OLG Hamm erst im Jahre 2003 zu entscheiden hatte. Hier wird besonders deutlich, welche rechtlichen Konsequenzen sich aus einer derartigen Blauäugigkeit für ein Unternehmen ergeben.

OLG Hamm - Mangelnde Datensicherung bei Unternehmen? Selber schuld!

1. Sachverhalt

Ein Reiseunternehmen hatte Probleme mit seinem Server und beauftragte einen Computer-Reparaturdienst, nach dem Grund für eine bestimmte Fehlermeldung zu suchen. Der Angestellte des Reparaturdienstes wollte daraufhin eine Festplatte austauschen und erkundigte sich vorher, ob die betreffenden Daten gesichert sei. Dies bejahte das Reiseunternehmen und es kam, wie es kommen musste: Bei der Vorbereitung des Festplattenaustausches kam es zu einem Absturz des Servers mit der Folge, dass zahlreiche Geschäftsdaten gelöscht wurden.

2. Problemstellung

Das Reiseunternehmen hatte seine Daten noch nicht einmal monatlich gesichert, so dass Teile der Daten tatsächlich unwiederbringlich gelöscht waren. Das Reisebüro verklagte nun den Computer-Reparaturdienst auf Zahlung von Schadensersatz mit der Begründung, dass der Reparaturdienstleister bei den Arbeiten an der Festplatte nicht sachgemäß vorgegangen sei und dabei das System zerstört oder beschädigt habe. Es sei jedenfalls nicht genügend Sorge für eine hinreichende Datensicherung vor diesen Arbeiten getragen worden. Dazu sei der Reparaturdienst aber verpflichtet gewesen.

Das Gericht hatte nun zu entscheiden, in wessen Verantwortungsbereich die Datensicherung fällt.

3. Lösung

Das OLG Hamm (Urteil vom 01.12.2003, 13 U 133/03) fand deutliche Worte: Das OLG Hamm legte dem Reiseunternehmen zur Last, dass dieses nicht für eine zuverlässige Sicherheitsroutine gesorgt, sondern diese vielmehr grob vernachlässigt habe. So habe der nach dem Absturz festgestellte Stand der Komplettsicherung dem Stand vier Monate vor den Wartungsarbeiten entsprochen! Dies sei "grob fahrlässig, ja blauäugig, so das OLG Hamm. Schließlich habe eine Sicherung der Unternehmensdaten "täglich zu erfolgen, eine Vollsicherung mindestens einmal wöchentlich.

Das Gericht legte noch nach: Selbst wenn dem Angestellten eine Pflichtverletzung im Sinne der Wahrnehmung seiner Controllerpflichten vorzuwerfen wäre, bliebe es dabei, dass dem Reiseunternehmen eine Alleinschuld am entstanden Datenverlust und damit am finanziellen
Schaden vorzuwerfen wäre.

4. Haftungsproblematik der Beteiligten

Die nun schon vielfach zitierte "Blauäugigkeit" kann für den jeweiligen IT-Verantwortlichen in einem Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Folgen haben:

• So ist die Geschäftsleitung nach dem am 27.04.1998 in Kraft getretenen Kontroll- und Transparenzgesetz (KonTraG) verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren (ausführlich dazu unten). Schenkt die Geschäftsleitung der Gefahr einer fehlenden Datensicherung keine Beachtung, so ist in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, auch deren Verhalten als grob fahrlässig zu bezeichnen.

• Natürlich kann sich auch der unmittelbare IT-Verantwortliche aus dem Arbeits- bzw. Anstellungsvertrag haftbar machen. Es muss heutzutage zudem jedem klar sein, dass Pflichtverletzungen im Bereich der IT-Sicherheit arbeitsrechtliche Abmahnungen und im Wiederholungsfall gar Kündigungsfolgen nach sich ziehen können.

5. Fazit

Bei unzureichenden Datensicherungsmaßnahmen spielt es keine Rolle, wie diletantisch etwaige Wartungsarbeiten vorgenommen werden. Das Risiko des Datenverlusts tragen in diesen Fällen ausschließlich derart "blauäugige" Unternehmen bzw. die jeweiligen Verantwortliche.