Wer haftet, wenn es passiert ist?

RA Tobias Jlke bei der Roadshow Initiative-SHannover, den 08.08.2013

Seite 2WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Typischer Fall

Webseite / Online-Shop mit Standardsoftware

Aufwendige Anpassung(zustzliche Funktionen, Layout)

2 Jahre keine (Sicherheits-)Updates der Software sonst stndig neue Anpassungen ntig

Folge: Gravierende Sicherheitslcken

Seite 3WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

und dann

Kunde (Grafikdesigner) ruft an. Er hat sich einen Virus auf Ihrer Webseite eingefangen. Alle Daten gelscht.

Droht mit:

Schadensersatz

Rechtsanwalt

Gefngnis

Seite 4WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Verantwortlichkeit

Sind Sie fr die Handlungen und Taten desHackers verantwortlich?

Nein!

Aber fr die Sicherheit Ihrer Webseite! sog. Verkehrssicherungspflicht

Seite 5WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Verkehrssicherungspflicht

Grundsatz:

Inhaber einer Gefahrenquelle muss alles ihm Zumutbare unternehmen, um naheliegende Schden fr Dritte zu vermeiden

Das heit:

Regelmige Sicherheitsupdates

Server

Webseite (Skripte)

Anti-Virus-Software auf Server

Firewall

Teilnahme an Initiative-S

Delegation dieser Pflichten kaum mglich!

Seite 6WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Schden

Hohe Schden mglich

Beispiel Stuxnet: wohl ber 1.000 Uran-Zentrifugen zerstrt

Typische(re) Schden:

Schadensersatz fr Verlust wichtiger Daten

Kosten fr Virusbeseitigung

Vermgensschden ( Entgangener Gewinn)

Imageschaden

Seite 7WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Mitverschulden

Keine Anti-Virus-Software

Keine einheitliche Rechtsprechung

Im Ergebnis liegt Mitverschulden wohl vor, wenn keine Schutzmanahmen getroffen werden Nutzer muss Schaden anteilig selbst tragen

Sicherungskopien / Backups

Nutzer muss Schaden anteilig selbst tragen

Seite 8WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Haftung anderer Beteiligter

Webhoster

Unternehmen

Webagentur

Webhoster:

Zurverfgungstellung eines sicheren Servers ist vertragliche Nebenpflicht

Regelmige Sicherheitsupdates fr Server-Software

Webagentur:

Je nach vertraglicher Ausgestaltung

Ggf. Regressansprche mglich Aber: Eigene Haftung gegenber Nutzer bleibt!

Seite 9WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Haftung der Geschftsfhrung

Geschftsfhrung hat Pflicht zum Risikomanagement:

Der Vorstand hat geeignete Manahmen zu treffen, insbesondere ein berwachungssystem einzurichten, damit den Fortbestand der Gesellschaft

gefhrdende Entwicklungen frh erkannt werden.

Dazu gehren auch Risiken der IT bzw. die IT-Sicherheitz.B. Management der Sicherheitsupdates, Patches usw.

Bei Versto:

Persnliche Haftung des Geschftsfhrers / Vorstands!

Seite 10WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Datenschutzrechtliche Konsequenzen

Bei Diebstahl sensibler personenbezogener Daten(z.B. Bankverbindung, Gesundheitsdaten): Datenschutzpranger(Informationspflicht Betroffene und Aufsichtsbehrde)

Folge:Gravierender ImageschadenDatenschutzrechtliche Prfung durch Aufsichtsbehrde (ggf. Bugelder)

Seite 11WER HAFTET, WENN ES PASSIERT IST?

Tobias Jlke

08.08.2013

Versicherbarkeit

Vermgensschden oft nur eingeschrnkt von Betriebshaftpflichtversicherung umfasst

Neue Angebote: IT-HaftpflichtversicherungDas Rundum-Sorglospaket fr Bits und Bytes

Aber: Imageschden bleiben

Vielen Dank fr Ihre Aufmerksamkeit!

KSB INTAX

Lerstrae 10-12, D-30175 Hannover

Tobias Jlke

T +49 (0) 511.854 04-979

tobias.juelke@ksb-intax.de

Sekretariat: Evelin Feltz

T +49 (0) 511.854 04-36

F +49 (0) 511.854 04-960

www.ksb-intax.de