Kategorien
Cybercrime Blog IT-Sicherheit

Haftung der Geschäftsführung für IT-Sicherheitslücken

Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar?

In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile meines Vortrags vor.

Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.

Haftung & IT-Sicherheit bei Software

Ein echtes eigenes Haftungsrecht im Bereich der IT-Sicherheit gibt es derzeit gar nicht. Das bedeutet man muss die bereits bestehenden und teilweise seit Jahrzehnten gefestigten rechtlichen Grundlagen samt zugehöriger Rechtsprechung auf Haftungsfragen der IT-Sicherheit übertragen und versuchen entsprechend anzuwenden.

Zu betonen ist dabei schon jetzt, dass es zwar ein IT-Sicherheitsgesetz gibt, dass auch von großem medialem Echo begleitet wird. Dieses Gesetz ist aber kein tatsächliches eigenes Gesetz, sondern vielmehr ein sogenanntes „Artikel-Gesetz“, mit dem bereits bestehende Regelungen schrittweise angepasst worden sind. Im Fokus der bisherigen Bestrebungen des Gesetzgebers steht dabei weniger die eigentliche Haftung als vielmehr die Unterstützung im Umgang mit Sicherheitslücken sowie die Schaffung von Kompetenzen bei Behörden.

Wenn die Haftung bei Belangen zur IT-Sicherheit eine Rolle spielt, bedeutet dies damit, dass man sich im Kern auf einige rechtliche Bereiche konzentrieren kann, die im Weiteren dann dargestellt werden, bevor dann exemplarisch auf ausgewählte spannende Fragen eingegangen wird:

  • Vertragliche Vereinbarungen
  • Gesetzliche Schuldverhältnisse
  • Datenschutzrecht
  • Produkthaftungsrecht

Vertragliche Vereinbarungen

Während vertragliche Vereinbarungen im Bereich der IT-Sicherheit geradezu unter „blauem Himmel“ stattgefunden haben, dabei vorwiegend durch die hergebrachte AGB-Kontrolle geprägt waren, zeichnet sich ab dem 1. Januar 2022 die erste ernsthafte Regulierung durch die neu geschaffenen „Verträge über digitale Produkte“ ab, die grundsätzlich nur für Vertragsverhältnisse für Verbraucher gelten. Allerdings wurde, wie am Beispiel smarter Geräte gezeigt wird, das Kaufrecht allgemein ab 2022 so angepasst, dass mangelnde Sicherheit bei sämtlichen Kaufverträgen einen Sachmangel begründet.

Gesetzliche Schuldverhältnisse

Bei den gesetzlichen Schuldverhältnissen soll es bei einer Konzentration auf die Fragen der Haftung für unerlaubte Handlungen entsprechend § 823 BGB verbleiben, da sich hier die derzeit wesentlichen Probleme ergeben: durch diese Norm wird ein zweigleisiger Schutz geboten; zum einen schützt der erste Absatz, die sogenannten absoluten Rechtsgüter, wozu insbesondere Leben, Körper, Gesundheit und Freiheit zählen, aber auch das Eigentum.

Daneben besteht ein Schadensersatz-Anspruch (Abs.2), wenn gegen ein Gesetz verstoßen wird, das ausdrücklich den Schutz eines anderen bezweckt. Zum weiteren Verständnis essenziell ist, zu wissen, dass der Haftungsmaßstab dabei gerade nicht nur vorsätzliches Verhalten beschreibt – sondern auch ein fahrlässiges, was auch nur leichte Fahrlässigkeit umfasst. Das bedeutet, dass ohne gesonderte zusätzliche vertragliche Vereinbarung jegliches auch nur leicht fahrlässiges Fehlverhalten zu einer Haftung führen kann.

Hier bedeutsam ist dann ergänzend auch noch, dass das fahrlässige Fehlverhalten nicht nur in einem aktiven Tun, also dem bewussten Handeln in Missachtung von Sorgfaltspflichten vorliegt, sondern dass vielmehr auch durch ein Unterlassen, also etwa dem Ignorieren von vorgegebenen oder zu erwartenden Sorgfaltspflichten vorliegen kann, womit die weiteren – exemplarisch aufzuzählenden – Regelungen relevant werden bei der Frage, ob alle Sorgfaltspflichten erfüllt wurden. Dabei dürfte allgemeinen Pflichten der IT-Sicherheit im Rahmen der Verkehrssicherungspflicht besondere Bedeutung zukommen, was bisher durchaus unterschätzt wird.

Gehobene Bedeutung hat hierbei ein Verstoß gegen Normen des Strafrechts, etwa bei einer fahrlässigen Körperverletzung oder gar Tötung, wie sie zuletzt bei dem geglückten Hackerangriff einer Universität (Düsseldorf) samt Uniklinikum aufgetreten ist. Dieses, zu vertiefende, Beispiel verdeutlicht zugleich in tragischer Weise, wie nicht nur Angreifer, sondern auch Opfer einer „Cyberattacke“ gemeinsam im strafrechtlichen Fokus stehen können: Denn wer eine „Cyberattacke“ erst durch die Missachtung gängiger Sicherheitsstandards ermöglicht, handelt nicht nur zivilrechtlich, sondern auch strafrechtlich, fahrlässig. Dass dies nicht zwingend zu einer Strafbarkeit führen muss, wohl aber zu einer solchen führen kann, wird in einer beispielhaften Betrachtung ausgeführt werden.

Datenschutzrechtliche Regelungen

Bei den datenschutzrechtlichen Regelungen ist selbstverständlich zuvorderst die DSGVO zu nennen. So ist dann Art. 82 DSGVO die unmittelbare Rechtsgrundlage, um immateriellen Schadensersatz bei Verstößen gegen datenschutzrechtliche Grundsätze zu erhalten, wobei dann hier auch Art. 25 DSGVO hineinspielt, der Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen vorsieht. Wie darzustellen ist, handelt es sich hierbei eher um einen „zahnlosen Tiger“, der allerdings gravierend in die Frage fahrlässigen Verhaltens hineinspielen kann.

In diesem Zusammenhang sind auch die besonderen Pflichten für Anbieter von Telemedien darzustellen, vorher geregelt in § 13 Abs.7 TMG und wortgleich inzwischen übernommen in § 19 Abs. 4 TTDSG. Der Fahrlässigkeitsmaßstab wird hier eng zu prüfen sein, was zu Haftungsproblemen in Vorständen führen kann.

Produkthaftungsrecht

Im Bereich des Produkthaftungsrechts ist in aller Kürze der aktuelle Streitstand zur Erfassung von Software darzustellen, der eher willkürlich zwischen Software auf körperlichen Datenträgern und digital vertriebener Software unterscheidet. Dieser Aspekt soll vorwiegend im Hinblick auf das zu reformierende EU-Produkthaftungsrecht angesprochen werden. Dieses wird nach hiesiger Analyse zu einer Verschärfung der Problematik bei Software führen, Unternehmen die Software entwickeln oder vertreiben sollten sich frühzeitig um die eigene Haftung kümmern. Auch bei Lieferketten-Angriffen und Dienstleister-Angriffen wie Solarwinds wird man in Zukunft mit einer gravierenden Haftungsproblematik rechnen dürfen.

Haftung der Verantwortlichen bei Opensource-Software

Haftet man als verantwortlicher Diensteanbieter, nur weil man Opensource-Software einsetzt? Sicherlich nicht, wie ich schon zu Log4J klargestellt hatte! Auch die Tatsache, dass Opensource-Software häufig ehrenamtlich gepflegt wird und zugleich zunehmend eingesetzt wird, ist kein erhöhtes Sicherheitsrisiko, der frei zugängliche und jederzeit prüfbare Quellcode dürfte ein solches „Minus“ immer auffangen. Allerdings treffen Verantwortliche, je nach eigener Rolle, sehr eigene Pflichten, wer etwa Software entwickelt und dabei auf Opensource-Software einsetzt, sollte auf Standard-Tools wie OSS-Fuzz oder Sonarqube setzen, ersteres wurde gerade auch auf Log4J ausgerichtet. Insoweit ist daran zu erinnern, dass seit dem 1.1.22 die Sicherheit im Allgemeinen zum Kriterium für Mangelfreiheit (im Kaufrecht) wurde, was die Pflichten nochmals erhöht.

Insgesamt gilt: Grundsätzlich kommt eine Haftung in Betracht, auch wenn man die Sicherheitslücke nicht verantwortet hat, sondern die Software „nur“ einsetzt. Je nach eigener Rolle steigern sich die eigenen Pflichten, mindestens eine Beobachtungs- und Updatepflicht wird man in jedem Fall haben. Die Updatepflicht im geschäftlichen Verkehr ergibt sich dabei, nach altem wie neuen Recht, erst einmal als vertragliche Nebenpflicht bei einer derart gravierenden Lücke – gegenüber Verbrauchern ist sie seit dem 1.1.22 sogar im Gesetz kodifizierte Hauptpflicht.

Cyberausfälle als Risikotreiber in der Wirtschaft: Rechtsanwalt Ferner zur Haftung bei IT-Sicherheit

Das Allianz Risk Barometer 2022 macht deutlich, dass die Cybersicherheit ganz oben auf der Liste der Gefährdungen des laufenden Betriebes steht – und damit dann auch die Frage der Haftung des Vorstandes für Versäumnisse!

Exemplarische rechtliche Fragen zur IT-Sicherheit

Die Updatepflicht

Durch die schon angesprochene Reform im BGB wurde durch den neu geschaffenen § 327f BGB erstmals ausdrücklich klargestellt, dass – nicht näher definierte – „Sicherheitsaktualisierungen“ eine für die vorgesehene Nutzungsdauer, unabhängig vom Vertragstyp, geschuldete Leistung ist. Die Lieferung solcher Aktualisierungen wird über den neuen § 327e BGB Teil des juristischen Mangelbegriffs.

Die Existenz von Software-Updates prägt also zukünftig mit die Frage, wann ein Mangel einer Software vorliegt. Vollkommen offen ist derzeit, ob und inwieweit diese, für Vertragsverhältnisse zu Verbrauchern vorgesehene, Regelung auch in vertragliche (Streit-)Fragen zwischen Unternehmern hineinspielt. Dabei bietet es sich an, bei Fragen der Auslegung von Verträgen auch zwischen Unternehmern die im Gesetz vorgesehenen Definitionen eines Mangels bei digitalen Gütern zumindest ergänzend heranzuziehen, wobei beachtlich ist, dass das Gesetz insoweit auch ausdrücklich die Merkmale der Kompatibilität und Interoperabilität bei der Frage des Mangels heranzieht. Insoweit steht die neue Gesetzesfassung in Einklang mit der bisherigen Rechtsprechung, die speziell an den Beispielen gesetzlicher Veränderungen und auch dem Auftreten von Sicherheitslücken darzustellen ist.

Untersuchung von Software auf Sicherheitslücken zulässig

Dargelegt wird von mir des Weiteren, dass die selbstständige Analyse von Software hinsichtlich Softwaremängel und speziell Sicherheitsprobleme zulässig ist, insbesondere weder Geschäftsgeheimnisschutzgesetz noch Urheberrechtsgesetze einem Reverse Engineering zum Zweck der Prüfung der IT-Sicherheit im Wege stehen. Diese Rechtsprechung wurde zuletzt vom EUGH nochmals leicht vertieft, insgesamt rechne ich damit, dass Reverse-Engineering in Zukunft eher mehr als weniger zulässig sein wird – zugleich aber in extremen Situationen sogar zur Pflicht werden kann, im Maßnahmenkatalog beim Einsatz veralteter oder älterer Software.

Pflicht zu PenTesting?

Eine allgemeine Pflicht zur Durchführung eines Penetration Testing gibt es derzeit nicht, sie ergibt sich zumindest nicht unmittelbar aus den aktuellen rechtlichen Vorgaben.

Meine rechtliche Analyse kommt aber zu dem Ergebnis, dass sich gerade in einem risikoträchtigen Umfeld, speziell dort, wo in erheblichem Umfang mit sensiblen Daten agiert wird, die mittelbare Notwendigkeit der Durchführung eines PenTest ergeben wird, um den gehobenen Sorgfaltspflichten zur Vermeidung eines Fahrlässigkeitsvorwurfs zu begegnen; aber auch um gehobenen Anforderungen der DSGVO zu genügen.

Konkrete Meldepflicht bei Sicherheitslücke

Es gilt der Grundsatz, dass eine Sicherheitslücke für sich noch keine datenschutzrechtliche Meldeverpflichtung auslöst!

Andererseits liegt alleine in der Existenz einer Sicherheitslücke im Fall der Verwendung betroffener Software eine Verletzung der Vorgaben zur Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO. Wenn dann Anzeichen hinzutreten, dass die Schwachstelle ausgenutzt wurde und personenbezogene Daten betroffen sind, wird eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO vorliegen, da derart kompromittierte IT-Systeme selten „nicht zu einem Risiko“ für die Rechte und Freiheiten der davon betroffenen Personen führen dürften (so auch die klare Einschätzung des BayLDA zu LOG4J).

Hiermit einher geht eine umfassende Dokumentationspflicht hinsichtlich der Feststellungen, ob ein Risiko für die betroffenen Personen besteht oder nicht (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO).

IT-Sicherheit bei smarten Geräten

Smarte Geräte, die im Kern auf Software basieren, waren in meine Betrachtung einzubeziehen, da sie die Sicherheitsfrage im Zivilrecht seit 2022 demonstrieren: Durch das Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen steht eine erste gesetzliche Regelung vor der Türe, die bei teilweise digitalen Geräten einen konkreten Sachmangel-Begriff definiert in § 475b BGB sowie – ganz neu – den allgemeinen Sachmangel im Kaufrecht um Aspekte der Sicherheit erweitert.

Ich betone insoweit, dass der Verkäufer zukünftig im Kaufrecht ganz allgemein mit einer unmittelbaren Haftung bei Sicherheitsproblemen konfrontiert sein wird.

Verhaltensregeln für Arbeitnehmer

Es gibt tatsächlich unmittelbare Konsequenzen für Arbeitnehmer – so kann sich nicht nur für Arbeitgeber die arbeitsrechtliche Pflicht ergeben, Weiterbildungsmaßnahmen anzubieten; spiegelbildlich dazu ergibt sich für Arbeitnehmer die Pflicht, solche Fortbildungen in Anspruch zu nehmen, soweit dies für die eigene Tätigkeit notwendig ist. Im Zuge der arbeitsrechtlichen Pflichten müssen Arbeitnehmer darüber hinaus jegliches Verhalten unterlassen, das zu Beeinträchtigungen der IT-Sicherheit des Arbeitgebers führen kann, der Arbeitgeber wird im Gegenzug Hilfen anbieten müssen, damit der Arbeitnehmer weiß, was von ihm erwartet wird.

Hinzu kommt, dass die Gefährdung der Rechtsgüter Dritter zugleich eine Gefährdung der wirtschaftlichen Interessen des Arbeitgebers ist – was wiederum in die innerbetrieblichen Fürsorgepflichten hineinspielt. Abschließend wird an ausgewählten Beispielen darzulegen sein, wie Arbeitnehmer mit Anweisungen von Arbeitgebern umgehen müssen, bei denen Bedenken hinsichtlich der rechtlichen Wirksamkeit aufkommen – ein Arbeitnehmer muss Anweisungen nicht befolgen, wenn diese sehenden Auges zur Verletzung Rechtsgüter Dritter führen.

Haftung der Geschäftsleitung für Mängel der IT-Sicherheit

Es ist zu konstatieren, dass Vorstandsmitglieder nicht zwingend denselben Verkehrssicherungspflichten unterliegen wie ihr Unternehmen selbst. Ihre Haftung wird im Außenverhältnis durch ihren jeweiligen Zuständigkeitsbereich rechtlich begrenzt sein; darüber hinaus dort, wo die faktische Einwirkungsmöglichkeit aufhört.

Eine über die Ressortzuständigkeit hinausgehende Verantwortlichkeit von Organmitgliedern ist nur im Ausnahmefall anzunehmen, der etwa bei erheblichen Qualitätsmängeln anzunehmen sein kann. Daneben besteht ein möglicherweise massiv unterschätztes Risiko originärer zivilrechtlicher Haftung für Geschäftsführer, wenn tatsächlich eine strafrechtliche Relevanz im Raum steht – hier könnte, was herauszuarbeiten und an einem Fall exemplarisch zu belegen ist – die Kombination aus § 823 Abs.2 BGB in Verbindung mit § 14 StGB und der verletzten Norm, wie einer fahrlässigen Tötung, ein direkter Durchgriff auf den Geschäftsführer, der Sicherungsmaßnahmen unterlassen hat, existieren.

Wie zu erläutern ist, wäre in einem solchen Fall mit der BGH-Rechtsprechung nur durch geeignete Compliance-Maßnahmen vorzubeugen. Andernfalls bestehen existenzbedrohende und nicht zu eliminierende Haftungsrisiken.

Haftung der Geschäftsführung für IT-Sicherheitslücken - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

Verständnis von IT-Sicherheit

Wer sich mit Haftung und IT-Sicherheit in Vorstand und Geschäftsführung auseinandersetzt, muss fordern, dass ein grundlegendes Verständnis der IT-Sicherheit vorhanden sein muss. Diese Forderung wird zu Recht immer lauter.

Ein Vorstand kann Risiken und Gegenmaßnahmen nicht sinnvoll bewerten, wenn er gar kein Verständnis der Problematik hat. Allerdings geht es nicht darum, dass man im Detail verstanden hat, wie etwa eine SQL-Injection funktioniert oder man dies gar selber umsetzen kann. Vielmehr geht es darum, dass „Vokabeln“ sitzen, man rudimentär verstanden hat, was zumindest übliche Angriffsszenarien sind und man versteht, was hierzu übliche Verhaltensweisen sind.

Haftung der Geschäftsführung für IT-Sicherheitslücken - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

Mögliche Szenarien einer Haftungsbegrenzung

Die Begrenzung der aufgezeigten Haftung ist möglich und wird im Vortrag in wenigen ausgewählten Beispielen aufgezeigt. Zuvorderst ist immer an vertragliche Vereinbarungen zu denken, die letztlich aber einer rigiden gerichtlichen Kontrolle durch die Vorgaben zulässiger AGB-Klauseln im BGB unterliegen.

Kurz wird dabei aufgezeigt, warum im Zweifelsfall grundsätzlich von allgemeinen Geschäftsbedingungen auszugehen sein wird und gerade nicht von individuell ausgehandelten Vertragsklauseln; hiernach wird dargestellt, warum sinnvollerweise die sich damit ergebende Lücke zwingend durch den Abschluss geeigneter Cyberversicherungen zu schließen ist. Ebenso, warum dies aus Sicht der Geschäftsleitung zwingend ist, um eine persönliche Haftung – selbst bei geeigneter gewählter Rechtsform – im „Fall der Fälle“ zu vermeiden.

Haftung der Geschäftsführung für IT-Sicherheitslücken - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

Im Szenario einer Haftungsbegrenzung muss auch thematisiert werden, ob es nicht Aufgabe der Unternehmensleistung ist, die – bei Kapitalgesellschaften ohnehin zwingend zu bildenden – Rücklagen zum Teil in Bitcoin zu bilden. Der Gedanke ist, dass wenn günstig Bitcoin eingekauft werden, diese letztlich einer Wertsteigerung unterliegen und im Fall von Ransomware dann zur Verfügung stehen, wobei die zwischenzeitlich eingetretene Wertsteigerung dann teilweise kompensatorischen Effekt hat.

Bei der Frage, ob eine solche Lösegeldzahlung eine eigene Strafbarkeit begründet, vertrete ich die Auffassung, dass hier eine Strafbarkeit im Raum steht, die erst im Einzelfall, durch zielgerichtete Verhandlungsführung und Schadensmanagement, beseitigt werden kann. Wer auf ersten Zuruf sofort zahlt macht sich nach meiner Analyse strafbar (hierzu folgt ein eigener Artikel). Ein juristisch begleitetes Vorgehen verhindert insoweit eine Strafbarkeit des Vorstands bzw. der Geschäftsführung, etwa wegen Terrorismusfinanzierung oder Geldwäsche.

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Auf Strafverteidigung & Wirtschaftsstrafrecht spezialisiert übernehmen wir ausschließlich Strafverteidigungen, Ordnungswidrigkeiten und Strafvollstreckungssachen.
Rechtsanwalt Jens Ferner ist als Fachanwalt für Strafrecht und Fachanwalt für IT-Recht Ihr Profi in Strafverteidigung, speziell in Cybercrime, Wirtschaftsstrafrecht und Arbeitsstrafrecht sowie bei Unternehmens-Bußgeldern