Haftung für Viren

Haftung für Computerviren?

 

Wer kennt das nicht: Man öffnet am Montagmorgen die Mailbox, und über das Wochenende hat ein Virus oder Wurm zugeschlagen? Neben dem üblichen Spam ist der Account darüber hinaus verstopft mit sinnlosen E-Mails unterschiedlichster Fake-Absender (was so weit gehen kann, dass man Mails von sich selbst erhält).

 

Gegen die Manipulation von Absenderadressen lässt sich in technischer Hinsicht wenig ausrichten. Nicht selten sind die Reaktionen der „Adressaten“ jedoch umso heftiger: E-Mails, die eine Viruswarnung auslösen und die unter falscher Absenderadresse an Geschäftspartner oder Dritte gesendet werden, können nämlich die unliebsame Folge haben, dass man irrtümlich als tatsächlich Verantwortlicher für die Viren- und Spamverbreitung angesehen wird. Dies kann eine bestehende Geschäftsbeziehung belasten, aber auch Dritte zu Gegenreaktionen wie beispielsweise einer Abmahnung veranlassen. Der Umstand, dass in der Vergangenheit deutsche Gerichte sogar einstweilige Verfügungen wegen unbefugter Zusendung von Spam – und allein schon auf Grund der ausgedruckten Mailadresse – gegen den vermeintlichen Absender erlassen haben, macht die Situation noch tückischer.

 

Dies wirft die Frage nach der Haftung für die – insbesondere vorsatzlose – Verbreitung von Computerviren auf. Der Virenprogrammierer selbst ist naturgemäß ohne weiteres in der straf- und zivilrechtlichen Haftung, wenn er das Virus startet. Gleiches gilt für den mit Schädigungsvorsatz weiterversendeten Adressaten virenverseuchter Daten. Handelt dieser Absender im Rahmen einer unternehmerischen Organisation, kommt ferner eine Zurechnung des schädigenden Verhaltens auf seinen Arbeitgeber in Betracht, und zwar ohne dass dem Vorgesetzten oder der Geschäftsleitung das schadensträchtige Tun bekannt sein müsste.

 

Dies gilt prinzipiell sogar bei bloß fahrlässiger Beschädigung von Daten durch das Öffnen oder die Weiterversendung der Virendatei durch den ahnungslosen Nutzer. Hier haftet der Arbeitgeber ggf. unter dem Aspekt des Organisationsverschuldens, da jeder Unternehmer seine Mitarbeiter in Bezug auf Sicherheitsrisiken durch Internetnutzung schulen und überwachen muss. Diese  zivilrechtliche, insbesondere auf Schadensersatz gerichtete Haftung greift selbst bei einfacher Fahrlässigkeit, d. h. wenn also überhaupt keine Organisationsrichtlinien aufgestellt oder aber deren Einhaltung nicht hinreichend überwacht wurde, wonach Mitarbeiter beispielsweise bestimmte E-Mails und deren Anhänge nicht (oder nicht vor Rücksprache mit der EDV-Abteilung) öffnen dürfen, oder wenn die EDV-Abteilung keine hinreichenden Vorkehrungen zur Vermeidung der Weiterleitung von Viren getroffen hat.

 

Der Schaden kann von der Ersatzleistung für die Vernichtung oder unbefugte Verbreitung wichtiger betriebseigener oder Kundendaten bzw. für die Verletzung gesetzlicher Geheimhaltungspflichten oder Betriebsgeheimnisse bis hin zu Ordnungsgeldern oder Geldstrafen wegen Verstoßes gegen straf- und datenschutzrechtliche Vorschriften gehen. Die Schadensquellen sind dabei mannigfaltig: Es geht beispielsweise um den Verlust, die Beschädigung oder die fehlende Verfügbarkeit betriebswichtiger Daten, die Inanspruchnahme von Speicherplatz und den durch die Schadensanalyse und Schadensbeseitigung provozierten Aufwand an personellen, sachlichen und finanziellen Mitteln. Es geht weiterhin um Regresspflichten gegenüber den eigenen Vertragspartnern oder gegenüber Dritten, die mit den virenverseuchten E-Mails in Berührung gekommen sind und dadurch Schäden erlitten haben. Es geht aber gleichermaßen um organisatorische Abwehrmaßnahmen und um Einbußen der EDV-Effizienz durch verunsicherte Anwender.

 

Was viele Unternehmen nicht wissen, ist das Bestehen entsprechender Rechtspflichten zur Risikovorsorge. So verlangt etwa das KonTraG ein IT-Risikomanagement, und durch das Bundesdatenschutzgesetz (BDSG) sind dem Unternehmer gesetzliche Verpflichtungen zur Gewährleistung und Überwachung einer hinreichend sicheren IT-Infrastruktur, auch in Bezug auf Viren, Würmer und Trojaner auferlegt, um personenbezogene Daten, die das Unternehmen speichert, zu schützen. Durch Viren und Würmer werden nämlich häufig interne Daten an andere Adressaten verschickt. Der Schaden durch die unbefugte Weitergabe solcher Daten an Dritte ist über § 7 BDSG in unbegrenzter Höhe ausgleichspflichtig. Das tückische an dieser Vorschrift ist die Beweislastumkehr, die zur Folge hat, dass das Verschulden des Unternehmers, dessen Daten nach Außen gelangt sind, zunächst einmal vermutet wird. Aus dieser Haftung kann sich der Unternehmer nur dann entlasten, wenn er zweifelsfrei seine eigene Unschuld an der Kompromittierung der Daten beweisen kann. Im Fall von Bundesbehörden kann die Haftung nach § 8 BDSG sogar bei erwiesener Unschuld bis zu einer Höhe von 130.000,- Euro greifen.

 

Zum Erfordernis technischer Sicherheit – Firewalls, Content-/Spamfilter, Virus-Shields – müssen also auch noch die entsprechenden innerorganisatorischen Schutzvorkehrungen hinzukommen. Neben einer Risikoanalyse und einem fortgesetzten IT-Risikomangement (einschließlich der erforderlichen Nutzer- und Security-Policies) sind also die einzelnen Nutzer regelmäßig über die Risiken zu informieren und in die Verhaltensrichtlinien, die zur Abwehr entsprechender Gefahren aufgestellt sind, einzuweisen und fortlaufend zu schulen.

Dabei ist es wichtig, die EDV-Abteilung technisch wie organisationsrechtlich fortlaufend auf dem aktuellsten Stand zu halten und ihren Mitarbeitern entsprechende arbeitsvertragliche Pflichten aufzuerlegen. Ein Beispiel mag dies dokumentieren: Bei Erscheinen eines neuen Virus gibt es zwar zumeist noch keine Patches der Hersteller von Antiviren-Software. Der Fahrlässigkeitsvorwurf der EDV-Abteilung greift jedoch, sobald der Virus bekannt geworden ist und die Hersteller das geeignete Produkt anbieten. Der Unternehmer ist mithin für die fortlaufende Aktualität des Virenschutzes verantwortlich. Er kann seine Verantwortlichkeit auch nicht auf die Mitarbeiter abwälzen. Vielmehr kommt es zu einer Zurechnung des Verschuldens der einzelnen Mitarbeiter auf den Unternehmer, wenn diese nicht hinreichend informiert und insbesondere das IT-Securtiy-Mangement des Unternehmens lückenhaft ist.

 

Fazit: Erst die Kombination aus technischer Infrastruktur und organisationsrechtlichem Risikomanagement, wenn man so will das ganzheitliche Sicherheitskonzept, bietet also weitest möglichen Schutz gegen eine haftungsrechtliche Inanspruchnahme.

 

RA Dr. Jens Bücking

 

esb Rechtsanwälte

Stuttgart Berlin Hamburg Leipzig Dresden