IT-Haftungsbereich:
Datenschutz und -sicherheit

Die Vorschriften zur Datensicherheit sind EU-weit in der Datenschutz-Grundverordnung (DSGVO) geregelt. Demnach benötigen Betriebe seit dem 25. Mai 2018 stets einen Datenschutzbeauftragten, welcher für die ordnungsgemäße Verarbeitung der persönlichen Informationen zuständig ist. In der Regel sitzt dieser Verantwortliche in der IT-Abteilung des Unternehmens.

Wer jedoch keinen IT-Bereich innerhalb seiner Firma hat, nimmt oftmals die Hilfe von außen durch IT-Dienstleister in Anspruch. Hierbei ist unbedingt ein Vertrag zur Auftragsdatenverarbeitung (ADV) zu schließen, aus welchem hervorgehen muss, dass – wenngleich die externe Stelle mit den Daten arbeitet – das beauftragende Unternehmen selbst verantwortliche Stelle für das Einhalten der DSGVO-Vorschriften bleibt.

Vor der Zusammenarbeit mit IT-Dienstleistern ist daher immer zu prüfen, ob diese den Vorgaben der DSGVO tatsächlich gerecht werden. So sollten diese bestimmte Zertifizierungen vorweisen können, zum Beispiel gemäß der ISO 27001, 27002 und 1802. Diese zeichnen den Anbieter als zuverlässig aus, welcher die Vorgaben der DSGVO einhält.

Wer persönliche Mitarbeiter- und Kundeninformationen mittels eines Cloud-Services verwalten möchte, sollte besondere Vorsicht bei der Auswahl des Anbieters walten lassen, denn viele davon besitzen ihre Rechenzentren im Ausland. Eine Verarbeitung personenbezogener Daten von EU-Bürgern ist in ausländischen Rechenzentren allerdings nur dann erlaubt, wenn dort auch ein zur EU-Regelung vergleichbarer Datenschutz besteht. Im Fall von US-amerikanischen Cloud-Anbietern ist dies jedoch stark umstritten. Werden die Daten dennoch dorthin ausgelagert, können aufgrund der Fahrlässigkeit hohe Sanktionen die Folge für das verantwortliche Unternehmen sein.

Mit Einführung der DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“ (DSGVO Art. 82 Abs. 1). Das bedeutet, dass auch einzelne Führungskräfte und IT-Leiter als Verantwortliche in die Pflicht genommen werden können, für Schadenersatzzahlungen aufzukommen.

Werden im Unternehmen Sicherheitslücken offenbar, fordert die DSGVO ebenfalls hohe Sanktionen. So ist in Art. 83 Abs. 4 von mindestens 10 Millionen Euro oder zwei Prozent des „gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ der Firma die Rede.

Unternehmen können zusätzlich zur üblichen Betriebshaftpflichtversicherung eine IT-Haftpflicht-Versicherung abschließen, um die Haftungsrisiken im IT-Bereich deutlich zu reduzieren. Diese deckt nämlich auch spezifische Risiken eines IT-Anbieters in Bezug auf den Datenschutz, wie zum Beispiel die Haftung für bestimmte „Schäden aus dem Austausch, der Übermittlung und der Bereitstellung elektronischer Daten“.

Hierbei sollten allerdings die Konditionen der Versicherungen genau betrachtet werden. So ist es ratsam, eine zu wählen, welche keine Einschränkungen bei der Deckung für Folgeschäden wie Umsatz- und Gewinnausfall oder Datenrekonstruktion macht.