leowolfert - Fotolia
Haftungsfrage IT-Sicherheit: Wie ist der Stand?
Mangelhafte IT-Sicherheit stellt ein Haftungsrisiko für das verantwortliche Unternehmen dar. Doch auch Security-Anbieter tragen Verantwortung. Wie steht es um ihre Haftung?
Welche Folgen eine mangelhafte IT-Sicherheit für das verantwortliche Unternehmen haben kann, zeigt unter anderem die Datenschutz-Grundverordnung (DSGVO/GDPR). Neben den möglichen Sanktionen und Bußgeldern im Fall einer Datenschutzverletzung kommt auch eine Haftung in Frage. So behandelt Artikel 82 DSGVO die Haftung und das Recht auf Schadenersatz. Unter anderem heißt es dort:
- Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
- Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Ist die Sicherheit der Verarbeitung, die dem Unternehmen und im Rahmen der Auftragsverarbeitung dem Dienstleister obliegt, mangelhaft und kommt es dadurch zu einer Datenschutzverletzung, liegt also eine mögliche Haftung vor.
Doch was ist, wenn Unternehmen und Dienstleister alle erforderlichen IT-Sicherheitsmaßnahmen ergriffen haben, also die IT-Lösungen beziehungsweise die IT-Sicherheitslösungen selbst mangelhaft waren, ohne Verschulden des Anwenderunternehmens? Kann dies nachgewiesen werden, entfällt die Haftung für das Unternehmen beziehungsweise den Auftragsverarbeiter. Doch was ist mit dem IT-Anbieter und dem IT-Sicherheitsanbieter?
IT-Sicherheit muss wirksam sein, um zu schützen
Bereits durch bewährte Basismaßnahmen, unter anderem die konsequente Anwendung risikoangemessener, wirksamer und aktueller Sicherheitsprodukte und Standards, kann eine Vielzahl von Cyberangriffen mit vertretbarem Aufwand abgewehrt werden, so die Leitlinien der Cyber-Sicherheitsstrategie des Bundes. Sicherheitsprodukte müssen risikoangemessen eingesetzt werden, dies ist in der Verantwortung des jeweiligen Unternehmens beziehungsweise eines damit beauftragten Dienstleisters. Doch Sicherheitsprodukte müssen auch aktuell und wirksam sein.
Mit der Aktualität meint die Cybersicherheitsstrategie den Stand der Technik, dessen Einhaltung auch zum Beispiel die Datenschutz-Grundverordnung fordert. Das Anwenderunternehmen beziehungsweise der Dienstleister des Unternehmens müssen aktuelle Lösungen einsetzen, die dem Stand der Technik entsprechen. Der IT-Sicherheitsanbieter beziehungsweise allgemein der IT-Anbieter muss allerdings auch den Stand der Technik implementieren, wenn er ein neues Produkt auf den Markt bringt.
Insbesondere muss die angebotene IT-Sicherheitslösung auch für den Schutzzweck und im Rahmen der versprochenen Leistung wirksam sein. Bekanntlich gibt es hier aber immer wieder Probleme, also Mängel in der zugesagten Schutzwirkung einer IT-Sicherheitslösung.
Die Frage der Produkthaftung bei IT-Sicherheit
Mängel in Produkten können viele Ursachen haben, auch und gerade in der IT und in der IT-Sicherheit, bei der zunehmend Lösungen im Rahmen von Technologiepartnerschaften entwickelt werden. Die Frage der IT-Sicherheit in der Lieferkette wird auch adressiert in einer Position des Digitalverbandes Bitkom zu Öffentlichen Aufträgen: Risiko und Haftung der Unternehmen müssten im Verhältnis zu ihren tatsächlichen Einwirkungsmöglichkeiten stehen. Bieter könnten nicht für Unternehmen haften, die sich tief in ihrer Lieferkette befinden und auf die sie keinen Einfluss hätten.
Der Verband TeleTrust fordert zudem: „Die haftungsrechtliche Verantwortung für Sicherheitsmängel bei digitalen Produkten und Dienstleistungen muss eindeutig geregelt werden.“ Ebenso sagt der Bundesverband IT-Sicherheit TeleTrust: „Unsichere IT stellt einen Sachmangel und Schlechtleistung dar. Es bedarf einer konsequenten Anwendung von Sanktionen und Haftungsregelungen bei unsicherer IT.“ Begrüßenswert sei ebenso die Absicht, das Produktsicherheitsrecht zu novellieren und für verbrauchernahe Produkte die IT-Sicherheit unter anderem durch die Einführung einer „gewährleistungsähnlichen Herstellerhaftung“ zu erhöhen.
„Die Anforderungen an die Produktsicherheit müssen klarer geregelt werden“, sagt auch Marion Steiner, Sachverständige vom BISG – Bundesfachverband der IT-Sachverständigen und -Gutachter e.V., mit Blick auf die Gefahr aus dem Internet der Dinge.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich schon seit Jahren mit den Haftungsfragen in der IT-Sicherheit, die das BSI so zusammenfasst:
- Wer muss welche Maßnahmen in welchem Umfang ergreifen?
- Wer haftet in welchem Umfang für verwirklichte Risiken?
- Wer muss im Streitfall welche Tatsachen wie beweisen?
Eine Studie des BSI und der Universität Göttingen (Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären) kam unter anderem zu dem Schluss, dass für IT-Hersteller vor allem die produktbezogenen Sicherungspflichten des Produkthaftungs- und des Produktsicherheitsrecht einschlägig seien. Allerdings offenbarten sich hier erhebliche Defizite.
Im Rahmen des Projekts „Digitale Gesellschaft: smart & sicher“ unter Beteiligung des BSI wurde unter anderem eingefordert:
- Wir fordern eine angemessene Produkthaftung (…).
- Zur Durchsetzung der Produkthaftung fordern wir eine ausreichende organisatorische und personelle Ausstattung entsprechender öffentlicher Stellen.
- Wichtig ist unter anderem, dass mit Sicherheits-Updates, die im Rahmen der Produkthaftung verpflichtend sind, keine qualitativen Änderungen einhergehen, die Nutzerinnen und Nutzer möglicherweise ablehnen (beispielsweise ungewollte Datenweitergabe).
- Wir fordern vom Staat, das Thema Haftung und IT-Sicherheit kontinuierlich weiter zu verfolgen, um auch bisher noch nicht bedachte Möglichkeiten zu identifizieren und umzusetzen.
Wie geht es mit der Produkthaftung bei IT-Sicherheit weiter?
Auch die EU-Kommission setzt sich im Rahmen ihrer Cybersicherheitsstrategie mit Haftungsfragen im Bereich der IT-Sicherheit auseinander. Sowohl national als auch auf EU-Ebene ist das Thema Haftung bei IT-Sicherheit in der Diskussion und Bearbeitung. Für IT-Anwender, IT-Anbieter und auch für IT-Sicherheitsanbieter ist es wichtig, diesen Prozess nun genau im Auge zu behalten.
Der Verband der Internetwirtschaft eco hat im Juli 2018 Leitlinien (PDF) aus eigener Sicht für die weitere Diskussion vorgestellt, darunter:
- Es bedarf vorab einer Klärung, wo exakt Haftungsbedarfe und -lücken zu verorten sind und wie diese sinnvoll durch die Zuordnung von Verantwortlichkeit oder neue Haftungsregime adressiert werden können.
- Eine Haftungsregelung in Verbindung mit einem Gütesiegel muss mit Erleichterungen bei der Haftung zwingend verbunden sein. Ansonsten fällt der objektive Mehrwert eines Gütesiegels weg.
- Bei Regelungen zur Beweislastumkehr ist darauf zu achten, dass diese auch für Hersteller und Anbieter erfüllbar ist. Entscheidend ist hier neben dem Adressaten die Frage, unter welchen Voraussetzungen sie entfällt.
- Allgemeine Auflagen und Regelungen für Haftung sollten erfüllbar, nachvollziehbar und verhältnismäßig sein – produktspezifische technische Anforderungen sind nicht hilfreich.
- Bereichsspezifischen Regeln muss Rechnung getragen werden. Es darf keinen Widerspruch zwischen bereichsspezifischen Haftungsregeln und allgemeinen Haftungsregeln für IT-Sicherheit geben. Das Zusammenwirken der verschiedenen Regime darf nicht dazu führen, dass die Verantwortung einseitig bei der IT-Branche verortet wird.
- IT-Sicherheit stellt eine komplexe Herausforderung dar. Um sie herzustellen, müssen alle Beteiligten Verantwortung übernehmen. Gleichzeitig bleiben aber immer Restrisiken bestehen. Haftungsregelungen sollten solche systemischen Risiken nicht adressieren, da dies mittel- bis langfristig im Rahmen der Digitalisierung zu einer pauschalen Benachteiligung von IT führen wird. Insbesondere bei der Herleitung von Kausalitäten und Folgeschäden sollte daher behutsam vorgegangen werden.
Wir werden das Thema weiter beobachten und darüber berichten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!