Firmen haften für virenverseuchte E-Mails
Die Zeitschrift iX berichtet in Ausgabe 6/2004 über Haftungsfragen von Unternehmen im E-Mail-Verkehr. Das Credo dabei lautet: IT-Risikomanagement ist oberste Firmenpflicht! Ein Auszug aus der Pressemitteilung des Heise-Verlages hierzu verdeutlicht die Sachlage:
Auch wer unwissentlich elektronisches Ungeziefer verbreitet, kann dafür haftbar gemacht werden. Dies gilt vor allem für Unternehmen, da sie in besonderem Maße zur Sicherung der eigenen IT-Anlagen verpflichtet sind […].
Elektronische Schädlinge werden nicht selten automatisch über ahnungslose Dritte verbreitet. Da in diesen Fällen der eigentliche Versender weder vorsätzlich handelt noch ein vertragliches Verhältnis zwischen ihm und dem Empfänger besteht, kann man eine solche Haftung ebenso ausschließen wie die Strafbarkeit eines solchen Handelns. Doch auch wer fahrlässig handelt und dadurch andere schädigt, haftet dafür unter Umständen zivilrechtlich auf Schadensersatz.
So zum Beispiel wenn Firmen kontaminierte E-Mails an Privatpersonen verschicken. Dabei spielt es keine Rolle, ob die Unternehmen vom Virenbefall Kenntnis hatten oder nicht. „Dieser Rechtspflicht entgeht nur, wer nachweisen kann, ausreichende und tagesaktuelle Vorkehrungen gegen Virenbefall und -verbreitung durch entsprechende Soft- und Hardware getroffen zu haben“, erklärt Joerg Heidrich, iX-Autor und Justiziar des Heise Zeitschriften Verlags.
Unternehmen sind in der Bundesrepublik per Gesetz zu einem IT-Risikomangement und zur Schaffung sicherer Netzwerkinfrastrukturen verpflichtet. Dabei reicht eine technische Infrastruktur mit Firewalls und Antivirus-Software allein nicht aus. Vielmehr müssen die organisatorischen Maßnahmen des Betriebes diesen Schutzzielen entsprechen. Das gilt insbesondere für Mitarbeiter von EDV-Abteilungen, die sich stets über aktuelle Entwicklungen informieren und in der Lage sein müssen, auf diese zu reagieren.
Im reinen B2B-Bereich gelten derartige Verpflichtungen sowohl für das versendende als auch für das empfangende Unternehmen. Anders bei Privatpersonen: Hier besteht eine gesetzliche Verpflichtung zu einem Selbst- und Drittschutz nur sehr eingeschränkt. Allenfalls in Einzelfällen, in denen ein besonders leichtfertiger Verstoß gegen Sicherheitsgebote erfolgt, kann man von einem Mitverschulden ausgehen. (ur)
Mehr dazu in iX 6/2004.