Freitag, 28.11.2014
IT-Sicherheit

Maxkabakov_Thinkstock_Getty Images

Stolperstein IT-Sicherheit: Bei Verlust der Daten haften Unternehmer möglicherweise.

Recht & Steuern
Sicherung von Unternehmensdaten

IT-Sicherheit: Bei Datenverlust droht Haftung

Eben noch ein umfangreiches Dokument bearbeitet, und plötzlich sind die Daten weg – für Unternehmen ein Problem. Denn Datensicherheit ist rechtlich verpflichtend.


Verloren gegangene Daten sind im privaten Bereich ärgerlich und es ist oft zeitraubend, sich diese wieder zu beschaffen. Für Unternehmen hat ein Datenverlust meist noch schwerwiegendere Folgen: Einerseits können wichtige Dateien unwiederbringlich verloren gehen und stehen dem Unternehmen damit nicht mehr zur Verfügung. Doch häufig noch kritischer ist die zweite Sorte des Datenverlustes: Die Daten sind zwar nicht unbedingt weg, aber möglicherweise in die Hände unbefugter Dritter geraten. Beide Konstellationen können juristisches Ungemach bedeuten. Denn IT-Sicherheit ist nicht fakultativ. Je nach Inhalt der Daten gibt es vielfältige rechtliche Pflichten, diese angemessen zu schützen. Diese Regeln gelten grundsätzlich für Großkonzerne wie für kleine und mittelständische Unternehmen.

Datenschutzrecht auf dem Vormarsch

Jens Nebel, LL.M.

Rechtsanwalt Jens Nebel, LL.M. ist Fachanwalt für IT-Recht und Partner bei Kümmerlein Rechtsanwälte & Notare in Essen.

Viele Daten beinhalten direkt oder indirekt eine Aussage über natürliche Personen, zum Beispiel eine E-Mail, die eine entsprechende Äußerung ihres Absenders dokumentiert. Damit fallen derartige Daten in den Anwendungsbereich des Datenschutzrechts. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes treffen.

Gemäß Nr. 7 der Anlage zu § 9 des Bundesdatenschutzgesetzes (BDSG) gehören dazu Maßnahmen zum Schutz der Daten gegen zufällige Zerstörung oder Verlust (sogenannte Verfügbarkeitskontrolle). Jedes Unternehmen benötigt somit ein Datensicherungskonzept, das – auch in kleinen Unternehmen – wenigstens stichpunktartig schriftlich dokumentiert sein sollte. Zu diesem Konzept gehören beispielsweise regelmäßige Datensicherungen und ein geeigneter Zugriffsschutz, etwa durch passwortgesicherte Benutzerkonten für die IT-Systeme. Wer hier „auf Lücke“ setzt, kann ein böses Erwachen erleben. Denn geraten die Daten in unbefugte Hände, kann dies sowohl Bußgelder bis zu 300.000 Euro, Unterlassungs- und Schadensersatzansprüche der Betroffenen auslösen. Hinzu kommt möglicherweise die Pflicht, sich selbst bei den zuständigen Datenschutzbehörden anzuzeigen (sogenannte Security Breach Notification, § 42a BDSG).

Compliance: Unternehmensdaten schützen

Aber auch losgelöst vom Personenbezug kann Datenverlust teuer zu stehen kommen. Handelt es sich etwa um Daten, die im Rahmen einer Vertraulichkeitsvereinbarung von einem anderen Unternehmen bezogen wurden, kann der Datenverlust empfindliche Vertragsstrafen oder Schadensersatzforderungen auslösen. Wenn unternehmenseigene Daten abhanden kommen, ist das ebenfalls problematisch: Denn die Unternehmensleitung ist gesetzlich verpflichtet, kaufmännische Sorgfalt walten zu lassen. Geraten etwa wertvolle Betriebsgeheimnisse in die Hände des Wettbewerbers, weil bei der Datensicherheit beide Augen zugedrückt wurden, macht sich der Geschäftsführer oder Vorstand möglicherweise gegenüber der Gesellschaft schadensersatzpflichtig. Deshalb sollten Vorgaben dazu existieren und auch umgesetzt werden, wie Daten angemessen vor Verlust oder Abhandenkommen geschützt werden.

Datensicherheit mit Augenmaß

Trotz der hohen Anforderungen, die an die Sicherung von Daten gestellt werden, ist gerade für kleine und mittelständische Unternehmen eine Botschaft wichtig: Rechtlich sind nur angemessene Maßnahmen verpflichtend. In welchem Umfang und in welcher Intensität das Thema Datensicherheit angegangen wird, hängt damit immer vom konkreten Risiko und der Gesamtsituation im Unternehmen ab. Häufig stellt sich bereits nach kurzer Analyse heraus, dass den rechtlichen Anforderungen mit einiger Sicherheit genüge getan werden kann, wenn die schon existierenden Maßnahmen und Strukturen einmal geordnet erfasst und aktualisiert werden. Hilfestellungen sind vielfach kostenlos erhältlich, etwa in Form der IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI).