Lade Inhalt...

Außervertragliche Haftung bei mangelhafter IT-Sicherheit

Legislative Handlungsoptionen zur Verbesserung des IT-Sicherheitsniveaus von Produkten und Diensten

von Markus Andrees (Autor:in)
©2019 Dissertation XXII, 310 Seiten

Zusammenfassung

Seit Jahren beklagen Experten ein geringes Niveau der IT-Sicherheit. Zahlreiche Störfälle haben mittlerweile das öffentliche Bewusstsein dafür geschärft, dass mangelhafte IT-Sicherheit ein ernsthaftes Risiko darstellt. Ob das geltende Recht diesem Risiko angemessen begegnet, ist Gegenstand von Diskussionen, an die der Autor anknüpft. Unter der Prämisse einer präventiven Wirkung von Haftungsnormen geht er der Frage nach, inwieweit das außervertragliche Haftungsrecht Hersteller und Diensteanbieter zu ausreichenden IT-Sicherheitsmaßnahmen verleitet. Zugleich arbeitet er legislative Handlungsoptionen zur Erhöhung des IT-Sicherheitsniveaus aus. Dabei liegt der Fokus auf einer Ausdehnung von Haftungsnormen sowie der Einführung von Pflichten zur Meldung von IT-Sicherheitslücken.

Inhaltsverzeichnis

  • Cover
  • Titel
  • Copyright
  • Herausgeberangaben
  • Ãœber das Buch
  • Zitierfähigkeit des eBooks
  • Vorwort
  • Inhaltsverzeichnis
  • 1. Kapitel: Einführung
  • I. Faktischer Rahmen: Vernachlässigung der IT-Sicherheit
  • II. Politischer Rahmen: Streben nach Verbesserung
  • III. Forschungsgegenstand: IT-Sicherheit im Haftungsrecht
  • 1. Forschungsgegenstand in sachlicher Hinsicht
  • 2. Forschungsgegenstand in personeller Hinsicht
  • IV. Ziel der Arbeit: Fortentwicklung des Haftungsrechts zur Verbesserung des IT-Sicherheitsniveaus
  • 1. Theoretische Grundlage
  • 2. Abstraktheit der Prüfung
  • 3. Zwischenergebnis
  • V. Grenzen der Arbeit
  • VI. Gang der Darstellung
  • 2. Kapitel: Zum Inhalt von IT-Sicherheit
  • I. § 2 Abs. 2 BSIG als Quelle für IT-Sicherheit
  • 1. Historischer Hintergrund der Definition im BSIG
  • 2. Gesetzgeberischer Wille bei Verabschiedung des BSI-Errichtungsgesetzes
  • 3. Bedeutungszuweisung im BSI-Gesetz
  • 4. Zwischenergebnis
  • II. Inhalt von IT-Sicherheit gemäß § 2 Abs. 2 BSIG
  • 1. Bestimmung von Sicherheitsstandards
  • 2. Schutzgut der Sicherheitsstandards
  • 3. Schutzziele der Sicherheitsstandards
  • 4. Umsetzung der Sicherheitsstandards
  • 5. Zusammenspiel der Elemente in einem Handlungskonzept
  • III. Inhaltlicher Wandel von IT-Sicherheit
  • 1. Möglichkeit der inhaltlichen Fortentwicklung
  • 2. Erweiterung der Schutzgüter
  • 3. Erweiterung der Schutzziele
  • 4. IT-Sicherheit als Mindestsicherheit
  • 5. Zwischenergebnis
  • IV. Fazit
  • 3. Kapitel: Zur präventiven Wirkung des Haftungsrechts in Bezug auf die IT-Sicherheit
  • I. Voraussetzung der präventiven Wirkung
  • II. Präventive Wirkung spezieller Einstandspflichten
  • 1. Sektor Informationstechnik und Telekommunikation
  • 2. Sektor Energie
  • 3. Sektor Transport und Verkehr
  • 4. Sektor Gesundheit
  • 5. Sektor Wasser und Ernährung
  • 6. Sektor Finanz- und Versicherungswesen
  • 7. Zwischenergebnis
  • III. Präventive Wirkung allgemeiner Einstandspflichten
  • 1. § 823 Abs. 1 BGB: Gewährleistung von IT-Sicherheit als Verkehrssicherungspflicht
  • 2. § 823 Abs. 2 BGB: Schutzgesetze zur Gewährleistung von IT-Sicherheit
  • 3. § 82 DSGVO: Datenschutzrechtliche Pflicht zur Gewährleistung von IT-Sicherheit
  • 4. § 1 ProdHaftG: Produkthaftungsrechtliche Pflicht zur Gewährleistung von IT-Sicherheit
  • 5. Zwischenergebnis
  • IV. Fazit
  • 1. Punktuelle IT-Sicherheitspflichten in Spezialgesetzen
  • 2. Generelle IT-Sicherheitspflichten in allgemeinen Gesetzen
  • 3. Prinzipiell umfassende präventive Wirkung des Haftungsrechts
  • 4. Kapitel: Zur Reichweite der präventiven Wirkung des Haftungsrechts
  • I. Differenzierter Rechtsgüterschutz der Einstandspflichten
  • II. Präventive Wirkung hinsichtlich des Schutzes von Leben, Körper und Gesundheit
  • III. Präventive Wirkung hinsichtlich des Schutzes von Sachen
  • 1. Physische Beschädigung einer anderen Sache
  • 2. Physische Beschädigung des IT-spezifischen Produkts selbst
  • 3. Löschung und Manipulation von Informationen
  • 4. Beeinträchtigung der Nutzung eines Gegenstandes
  • 5. Reichweite der präventiven Wirkung in Bezug auf Sachen
  • IV. Präventive Wirkung bezüglich des Schutzes sonstiger Interessen
  • 1. Präventive Wirkung hinsichtlich des Schutzes des Vermögens
  • 2. Präventive Wirkung hinsichtlich des Schutzes immaterieller Interessen
  • 3. Reichweite der präventiven Wirkung bezüglich sonstiger Interessen
  • V. Gesetzesänderungen zur Ausweitung der präventiven Wirkung
  • 1. Verbesserung des IT-Sicherheitsniveaus im Hinblick auf extern gespeicherte Daten
  • 2. Verbesserung des IT-Sicherheitsniveaus im Hinblick auf Nutzungsbeeinträchtigungen von Sachen
  • 3. Verbesserung des IT-Sicherheitsniveaus im Hinblick auf immaterielle Beeinträchtigungen
  • 4. Handlungsempfehlungen zur Ausdehnung der Reichweite
  • VI. Fazit
  • 1. Umfassende präventive Wirkung des Haftungsrechts
  • 2. Partielle präventive Wirkung des Haftungsrechts
  • 3. Modifikationen zur Ausdehnung der präventiven Wirkung des Haftungsrechts
  • 5. Kapitel: Zur Intensität und Effektivität der präventiven Wirkung des Haftungsrechts
  • I. Intensität der präventiven Wirkung
  • 1. Intensität in Anbetracht des Verhaltens Dritter
  • 2. Drittbezug von IT-Sicherheitspflichten
  • 3. Verschuldensvorwurf bei Handeln Dritter
  • 4. Ausnutzen mangelhafter IT-Sicherheit als höhere Gewalt
  • 5. Bewertung der Intensität der präventiven Wirkung
  • II. Effektivität der präventiven Wirkung
  • 1. Effektivität in Anbetracht abstrakter Verhaltensanforderungen
  • 2. Grundsätzliche Akzeptanz von Rechtsunsicherheit
  • 3. Einfluss richterlicher Konkretisierungen auf die Effektivität
  • 4. Bewertung der Effektivität der präventiven Wirkung
  • III. Gesetzesänderungen zur Erhöhung der Effektivität
  • 1. Erhöhung der Effektivität mittels einer Gefährdungshaftung
  • 2. Erhöhung der Effektivität durch Gefahren-Informationsdienst
  • 3. Handlungsempfehlung zur Erhöhung der Effektivität
  • IV. Fazit
  • 1. Gewährleistung hoher Intensität durch Wertungsabhängigkeit
  • 2. Minderung der Effektivität durch Wertungsabhängigkeit
  • 3. Legislative Änderungen zur Stärkung der Effektivität
  • 6. Kapitel: Zusammenfassung und Bewertung
  • I. Zusammenfassung wesentlicher Ergebnisse
  • II. Abschließende Bewertung
  • 1. Ausdehnung der Reichweite der präventiven Wirkung
  • 2. Stärkung der Effektivität der präventiven Wirkung
  • 3. Fazit
  • Literaturverzeichnis
  • Anhang: Verzeichnis der Online-Quellen

←XXII | 1→

1. Kapitel: Einführung

Aus der Nische in den Mittelpunkt: das Thema IT-Sicherheit hat in jüngster Zeit einen bemerkenswerten Aufschwung in der öffentlichen Wahrnehmung erfahren. Aufsehenerregende Vorfälle wie der komplexe Angriff auf das Netz des Bundestages,1 die großflächigen Störungen von Anschlüssen der Telekom,2 das Abhandenkommen von Unmengen personenbezogener Daten aus Cloud-Angeboten,3 die stundenlange Nichterreichbarkeit populärer Webdienste aus den USA4 oder die weltweite Infizierung von Computersystemen mit Ransomware5 haben Schwächen unserer digitalisierten und vernetzten Gesellschaft eindrucksvoll vor Augen geführt. Das Thema IT-Sicherheit ist dadurch in das Zentrum intensiver Diskussionen gerückt.

In den Debatten zeigt sich sowohl auf politischer Ebene als auch innerhalb von Wissenschaft und Praxis eine weitgehende Übereinstimmung, dass die IT-Sicherheitslage in Deutschland verbessert werden muss.6 Uneinigkeit besteht hingegen darüber, wie genau Mängel bezüglich der IT-Sicherheit beseitigt werden sollen. Diskutiert wird in diesem Zusammenhang unter anderem darüber, neue Haftungsregeln einzuführen, damit auch das Haftungsrecht zu einer Verbesserung der IT-Sicherheitslage beiträgt.7

←1 | 2→

An diese Diskussion knüpft die folgende Arbeit an. Sie analysiert, ob und inwieweit das geltende Haftungsrecht fortzuentwickeln ist, um einen sinnvollen Beitrag zur Verbesserung der IT-Sicherheit zu leisten. Wie genau dabei vorgegangen wird und auf welche Aspekte sich die Arbeit konzentriert, wird nach einem kurzen Überblick über die faktischen und politischen Rahmenbedingungen des Themas dargestellt.

I. Faktischer Rahmen: Vernachlässigung der IT-Sicherheit

Es klingt beunruhigend, was das Bundesamt für Sicherheit in der Informationstechnik (BSI) Jahr für Jahr in seinen Lageberichten zur IT-Sicherheit veröffentlicht. So wird beispielsweise bemängelt, dass IT-Sicherheit im Spannungsfeld von Innovation, Globalisierung und Komplexität oft zu kurz komme.8 Die IT-Risikolage wird regelmäßig als „angespannt“9 oder „kritisch“10 bewertet. Festzustellen sei, dass die Bedrohungslage an Komplexität zugenommen habe und Gefahren an Intensität hinzugewonnen hätten.11 Gerade die Verwundbarkeit des alltäglichen Lebens durch Cyberangriffe sei mittlerweile durch viele Fälle deutlich geworden.12

Die obere Bundesbehörde, die vielfältige Aufgaben im Zusammenhang mit IT-Sicherheit wahrnimmt und deren fachliche Expertise unbestreitbar ist,13 ist nicht die einzige mahnende Stimme bezüglich der IT-Sicherheitslage. Unabhängige Studien zeichnen ein ähnliches Bild. Sie belegen, dass in vielen unternehmerischen Branchen Defizite hinsichtlich der IT-Sicherheit vorhanden sind.14 In ←2 | 3→der Wirtschaft selbst schätzen laut Umfragen ebenfalls viele Unternehmen die Situation so ein, dass das Thema IT-Sicherheit große Herausforderungen für sie mit sich bringt.15

Die kritikwürdige IT-Sicherheitslage ist die Kehrseite der dynamischen Fortentwicklung von Informationstechnik. Deren Resultate sind aus unserem Alltag kaum noch wegzudenken und erlangen immer größere Bedeutung.16 Ein Blick auf die Trends der Geschäftswelt unterstreicht diese Annahme: Industrie 4.0, Big Data, Cloud Computing, Smart Technologies oder Internet der Dinge – in enormer Geschwindigkeit entwickeln und verbreiten sich unter diesen Oberbegriffen neuartige Geschäftsmodelle. Unternehmen kommen an einer Auseinandersetzung mit diesen Themen kaum mehr vorbei, wenn sie auf dem Markt Erfolg haben wollen.17

Die im Rahmen der technischen Fortentwicklung entstehenden Produkte und Dienste zeichnen sich im Wesentlichen dadurch aus, dass Informationstechnik immer stärker in die Geschäftsprozesse bzw. in die jeweiligen Angebote eingebunden wird und untereinander eine intensivere Vernetzung stattfindet.18 Wesentlicher Faktor für die Vernetzung ist das Internet als globales Kommunikationsnetz. Durch den verstärkten IT-Einsatz werden wiederum Unmengen an Informationen generiert, verarbeitet und übermittelt, die ihrerseits weitere unternehmerische Tätigkeiten bedingen oder verstärken.

Bei der Entwicklung dieser Produkte und Dienste sind Funktionalität und Wirtschaftlichkeit die dominierenden Handlungsanreize, während die IT-Sicherheit geringere Priorität genießt.19 So sorgt beispielsweise die Steuerung ←3 | 4→von Produkten und Diensten über das Internet, die aus Gründen der Funktionalität begrüßenswert ist, für Einfallstore, die manipulative Eingriffe Dritter begünstigen.20 Zudem hat die aus wirtschaftlichen Gründen sinnvolle Idee der Vernetzung den Nachteil, dass bei einer Störung oder bei einem Ausfall eines IT-Systems negative Auswirkungen bei vernetzten Dritten auftreten. Die eingangs genannten und zahlreiche weitere in den Medien veröffentlichte Vorfälle können in diesem Zusammenhang als eindrückliche Beispiele für mangelhafte IT-Sicherheit angeführt werden.21

II. Politischer Rahmen: Streben nach Verbesserung

Dass die Lage der IT-Sicherheit im Ganzen nicht optimal ist, schätzen nicht nur Experten aus Wissenschaft und Praxis so ein.22 Auch auf Ebene der politischen Entscheidungsträger hat sich die Erkenntnis durchgesetzt, dass die Gefährdungslage hoch ist und gesetzgeberisches Handeln erfordert. Zur Verbesserung der IT-Sicherheitslage wurde etwa im Jahr 2015 das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (kurz: IT-Sicherheitsgesetz) verabschiedet.23 Es handelt sich dabei um ein Artikelgesetz, das kein neues Regelwerk schafft, sondern verschiedene bestehende Gesetze modifiziert.24 Mit der gleichen Zielsetzung wurde auf europäischer Ebene im Jahr 2016 die „Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“25 (kurz: NIS-Richtlinie) verabschiedet.

Der deutsche und der europäische Gesetzgeber haben sich in diesem Rahmen dazu entschieden, die Optimierung der IT-Sicherheitslage durch weitgehend übereinstimmende branchenspezifische Pflichten für bestimmte Unternehmen zu erreichen. Ohne an dieser Stelle genauer auf die Details eingehen zu wollen,26 ←4 | 5→kann festgestellt werden, dass die IT-Sicherheitslage insbesondere durch zwei Maßnahmen verbessert werden soll: Zum einen müssen Betreiber kritischer Infrastrukturen erhebliche IT-Sicherheitsvorfälle melden. Diese Meldungen sollen dazu beitragen, dass ein umfassendes Lagebild entsteht und schneller und effektiver Maßnahmen gegen Sicherheitsrisiken eingeleitet werden.27 Zum anderen werden bestimmte Unternehmen verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer Informationstechnik zu implementieren. Diese müssen sich am Stand der Technik orientieren und sollen so ein hohes Sicherheitsniveau garantieren.28

Auf politischer Ebene wurde jedoch bereits bei der Verabschiedung des IT-Sicherheitsgesetzes klargestellt, dass dies nur ein erster Schritt auf dem Weg zum Ziel einer verbesserten IT-Sicherheitslage sein könne.29 IT-Sicherheit sei eine Daueraufgabe, die nicht durch einmaliges gesetzliches Tätigwerden den rechtlichen Rahmen auf die Höhe der Zeit bringe.30 Zumindest in dieser Bewertung stimmten die Oppositionsparteien mit der parlamentarischen Mehrheit überein. Auch wenn sie die durch das IT-Sicherheitsgesetz eingeführten Maßnahmen ablehnten, zeigten sie durch die Aufstellung eines alternativen Forderungskatalogs, dass sie ebenfalls eine Regulierung befürworten, um für mehr IT-Sicherheit zu sorgen.31

Insofern lässt sich ein parteiübergreifendes Streben nach einer Verbesserung der IT-Sicherheitslage feststellen. Aufgrund dieser weitreichenden politischen Übereinstimmung ist über kurz oder lang mit weiteren Gesetzesvorschlägen zu rechnen, die zur Optimierung der IT-Sicherheitslage beitragen sollen. Äußerungen von Politikern verschiedener Parteien legen nahe, dass dabei auch die Frage der Haftung für mangelhafte IT-Sicherheit zur Debatte gestellt wird.32

←5 | 6→

III. Forschungsgegenstand: IT-Sicherheit im Haftungsrecht

In dem aufgezeigten Spannungsfeld zwischen faktischen Defiziten im Bereich der IT-Sicherheit und dem politischen Willen, diese zu beseitigen, ist diese Arbeit angesiedelt. Sie widmet sich mit dem Haftungsrecht einem Rechtsgebiet, das in der bisherigen Diskussion über die Verbesserung des IT-Sicherheitsniveaus zwar immer wieder anklingt, aber bisher kaum vertieft behandelt wurde.33

1. Forschungsgegenstand in sachlicher Hinsicht

In sachlicher Hinsicht konzentriert sich die folgende Arbeit auf das außervertragliche Haftungsrecht, das verstanden wird als die Gesamtheit der Normen, die einen Anspruch auf Schadensersatz begründen.34 Ausschlaggebend für diese Wahl ist die Annahme, dass die praktische Bedeutung der außervertraglichen haftungsrechtlichen Regeln im Zusammenhang mit der Thematik der IT-Sicherheit in naher Zukunft zunehmen dürfte. Dafür gibt es im Wesentlichen zwei Gründe.

Zum ersten sorgen die eingangs dargestellten Entwicklungen der IT im Zusammenspiel mit der Ubiquität des Haftungsrechts für einen Bedeutungszuwachs dieses Rechtsgebiets. Der Anwendungsbereich des außervertraglichen Haftungsrechts ist unbeschränkt. Während bislang existierende IT-sicherheitsrelevante Regelungen (wie etwa auch diejenigen im IT-Sicherheitsgesetz) ausdrücklich nur bestimmte Adressatenkreise betreffen, muss sich grundsätzlich jeder, der IT entwickelt, herstellt oder einsetzt, mit der Thematik der Haftung und folglich auch mit der Haftung aufgrund mangelhafter IT-Sicherheit befassen.35 Zudem ist gerade keine vertragliche Sonderverbindung nötig, sodass jeder Geschädigte potentiell gegen einen die IT-Sicherheit vernachlässigenden Schädiger vorgehen kann. Aufgrund der steigenden Vernetzung und der vermehrten Einbindung von Informationstechnik in Alltagsprodukte besteht vor diesem ←6 | 7→Hintergrund ein berechtigter Anlass, individuelle Haftungsrisiken genauer zu prüfen. Denn diese Trends bergen die Gefahr, dass mangelhafte IT-Sicherheit tatsächlich vermehrt Schäden bei Dritten auslöst, die durch Sicherheitsmaßnahmen bei der Entwicklung, Herstellung und Anwendung der Informationstechnik hätten verhindert werden müssen.

Zum zweiten resultiert aus der Struktur dieses Rechtsgebietes ein weiterer Grund dafür, dass dessen Bedeutung voraussichtlich zunehmen wird. Beim außervertraglichen Haftungsrecht handelt es sich nicht um eine isolierte Materie. Vielmehr wirken sich Vorschriften aus anderen Bereichen stark aus. Insbesondere wird regelmäßig das haftungsauslösende schuldhafte Verhalten unter Rückgriff auf Normen anderer Rechtsbereiche begründet.36 Vor diesem Hintergrund kann es dazu kommen, dass Gesetzesänderungen, wie etwa durch das IT-Sicherheitsgesetz, bestehende Haftungsmaßstäbe verschieben und neue Haftungsrisiken schaffen.37

2. Forschungsgegenstand in personeller Hinsicht

Im Rahmen der Auseinandersetzung mit dem außervertraglichen Haftungsrecht soll der Blick allerdings nur auf bestimmte Akteure gerichtet werden: Hersteller und Diensteanbieter, deren Produkte und Dienste IT-spezifisch sind, sollen im Zentrum dieser Arbeit stehen.

Mit IT-spezifischen Produkten und Diensten sind im Folgenden solche gemeint, die ihre bestimmungsgemäßen Zwecke und Zielvorgaben nur unter Einsatz informationstechnischer Systeme, Komponenten und Prozesse vollständig erfüllen können. Sie lassen sich also dadurch charakterisieren, dass Beeinträchtigungen der verarbeiteten Informationen oder der zur Informationsverarbeitung eingesetzten Systeme, Komponenten oder Prozesse unmittelbar zu einer Einschränkung der zu erwartenden Funktionalität bzw. Leistung der Produkte oder Dienste führen. Die Definition ist bewusst weit formuliert, um unterschiedliche Akteure wie etwa Hersteller von vernetzten Produkten ebenso in die Arbeit einzubeziehen wie Anbieter von Cloud-Services oder Versorgungsunternehmen, die bei ihrer Leistungserbringung vom IT-Einsatz abhängig sind.

Aus dem Fokus der Arbeit ausgenommen sind damit trotz der weiten Definition Hersteller bzw. Anbieter von Produkten oder Diensten, für deren Entstehung oder Durchführung der Einsatz von Informationstechnik nur ein reines Hilfsmittel ist. Es handelt sich bei diesen Akteuren lediglich um Nutzer ←7 | 8→von Informationstechnik, für deren Produkte bzw. Dienste Informationstechnik nicht direkt erforderlich ist und deren Einfluss auf IT-Sicherheitsmaßnahmen auch nur beschränkt ist. Ein Hersteller von Lebensmitteln wird nicht etwa dadurch zum Hersteller eines IT-spezifischen Produkts, weil es ohne informationstechnische Geräte nicht hergestellt werden kann bzw. weil Fehlfunktionen der Informationstechnik sich negativ auf die Produktqualität auswirken können. Ebenso wenig erbringt ein Anwalt einen IT-spezifischen Dienst, weil er zur Erbringung seiner Leistung auf elektronische Informationsverarbeitung angewiesen ist. In beiden Fällen wirkt sich eine Beeinträchtigung der Informationstechnik nur mittelbar in einem Produkt bzw. Dienst aus.

Der Fokus auf Hersteller und Anbieter IT-spezifischer Produkte und Dienste resultiert aus pragmatischen Erwägungen. Sie sind diejenigen, die für ihre Geschäftsmodelle Informationstechnik (weiter-)entwickeln und einsetzen. Sie sind damit zugleich diejenigen, die in erster Linie die Sicherheit der Produkte und Dienste beeinflussen können. Umgekehrt sind die Hersteller und Diensteanbieter aus Sicht der Geschädigten die naheliegenden Adressaten, wenn es zu Schäden kommt. Auch wenn nicht verkannt werden darf, dass in vielen Fällen dritte Personen Mängel der IT-Sicherheit ausnutzen und Schäden herbeiführen, ist regelmäßig festzustellen, dass Produzenten und Diensteanbieter den Schaden hätten verhindern können. Sie sind zudem leichter bestimmbar und verfügen regelmäßig auch über eine ausreichende Haftungsmasse, sodass aus Sicht der Geschädigten ein Vorgehen gegen sie vielversprechend erscheint.

IV. Ziel der Arbeit: Fortentwicklung des Haftungsrechts zur Verbesserung des IT-Sicherheitsniveaus

Das konkrete Ziel der Arbeit besteht darin, das außervertragliche Haftungsrecht im Lichte des übergeordneten Ziels der Verbesserung des IT-Sicherheitsniveaus zu untersuchen und fortzuentwickeln. Zu diesem Zweck wird zunächst ermittelt, inwieweit das geltende außervertragliche Recht überhaupt dazu geeignet ist, das IT-Sicherheitsniveau zu steigern. Die Ausarbeitung soll dann aufzeigen, wo legislative Maßnahmen ansetzen sollten, um das Haftungsrecht so zu modifizieren, dass es einen sinnvollen Beitrag zum Anstieg des IT-Sicherheitsniveaus leistet. Im Ergebnis sollen konkrete Handlungsoptionen des Gesetzgebers erörtert werden, die dem dargestellten politisch-gesellschaftlichen Anliegen gerecht werden.

←8 |
 9→

1. Theoretische Grundlage

Der grundlegende theoretische Ansatz dafür, dass das außervertragliche Haftungsrecht ein Mittel ist, um das übergeordnete Ziel eines höheren IT-Sicherheitsniveaus zu fördern, entstammt dem Sinn und Zweck des Haftungsrechts.

Nach traditioneller Ansicht liegt der Zweck haftungsrechtlicher Regelungen im Ausgleich von Schäden.38 Da sich diese Zweckbestimmung in Zweifelsfällen über das Bestehen eines Schadensersatzanspruchs als „Leerformel“39 erweist und sie keine Hilfestellung für die Lösung konkreter Fälle leistet,40 wird sie zusätzlich unter Rückgriff auf das Gerechtigkeitsprinzip inhaltlich angefüllt. Der Ausgleich von Schäden soll demnach in gerechter Weise erfolgen, wobei der Aspekt der Gerechtigkeit aus funktionaler Sicht in den Vordergrund rückt.41 An der Auffassung, die Funktion des außervertraglichen Haftungsrechts bestehe in der Herbeiführung eines gerechten Schadensausgleichs, lässt sich nicht zweifeln. Es handelt sich um die grundlegende Aufgabe dieser Regelungen.42

Die Funktion des Haftungsrechts erschöpft sich jedoch nicht in diesem Zweck. Gerade weil trotz Verweises auf die Gerechtigkeit die Inhaltsleere der Ausgleichsfunktion nicht vollständig beseitigt wird, gibt es zahlreiche weitere Vorschläge für die Funktion des Haftungsrechts.43 Weit verbreitet ist in dem Zusammenhang der Verweis auf die Präventionsfunktion.44 Ihr zufolge soll das Haftungsrecht dazu beitragen, das Verhalten der von Haftungsnormen betroffenen Akteure in eine gesellschaftlich akzeptierte Richtung zu lenken und so vorbeugend den Eintritt ungewollter Resultate zu verhindern.45

Die präventive Funktion ist nicht nur in der Lehre weitgehend akzeptiert, sondern findet auch in der Rechtsprechung Niederschlag.46 Zudem zeigt die ←9 | 10→Gesetzgebungshistorie, dass Haftungsregeln mit dem Ziel verabschiedet werden, das Verhalten der Normadressaten zu lenken. So heißt es in der Begründung zum Entwurf des UmweltHG: „Wie alle Haftungsvorschriften soll auch das Umwelthaftungsrecht einen gerechten Schadensausgleich […] herbeiführen. Darüber hinaus dient es aber auch der Verhinderung von Schäden. Das Risiko künftiger Schadensersatzleistungen soll den [E];inzelnen zu einem vorsichtigen, schadensvermeidenden Verhalten veranlassen.“47

Speziell auf diese dem Haftungsrecht zugewiesene Funktion stützt sich die folgende Arbeit. Es wird davon ausgegangen, dass die Aussicht, für Schäden aufgrund mangelhafter IT-Sicherheit einstehen zu müssen, Hersteller und Diensteanbieter zur Umsetzung von IT-Sicherheitsmaßnahmen verleitet. Inwieweit diese Annahme in der Praxis zutrifft, soll genauso geklärt werden wie die Frage, inwiefern ein sinnvoller Beitrag zur Verbesserung des IT-Sicherheitsniveaus durch eine Stärkung der verhaltenslenkenden Wirkung des Haftungsrechts geleistet werden kann.

2. Abstraktheit der Prüfung

Aus der soeben genannten Zielvorgabe folgt zugleich die Entscheidung für eine abstrakte Perspektive im Rahmen dieser Arbeit. Eine Verpflichtung eines Herstellers oder Anbieters von IT-spezifischen Produkten bzw. Diensten zur Leistung von Schadensersatz lässt sich abschließend nur unter Berücksichtigung sämtlicher Umstände des Einzelfalles feststellen. Es soll im Folgenden jedoch nicht um konkrete Einzelfälle gehen, sondern um eine ganzheitliche Bewertung des Umgangs des außervertraglichen Haftungsrechts mit mangelhafter IT-Sicherheit von IT-spezifischen Produkten und Diensten. Nur diese höhere Abstraktionsstufe ermöglicht eine Aussage darüber, ob die etablierten Rechtsgrundlagen angesichts der eingangs skizzierten Entwicklungen im geschäftlichen Umfeld ihre Wirkung noch wie vorgesehen entfalten können oder ob sie im Hinblick auf das Neue anzupassen sind.48 Um Vorschläge zur Fortentwicklung des Rechts zu unterbreiten, die einen sinnvollen Beitrag zur Verbesserung des IT-Sicherheitsniveaus leisten, ist also eine von konkreten Einzelfällen losgelöste Auseinandersetzung mit den außervertraglichen Haftungsgrundlagen erforderlich.

←10 | 11→

3. Zwischenergebnis

Das Ziel der folgenden Arbeit ist damit festgelegt. Sie soll das außervertragliche Haftungsrecht mit Blick auf die IT-Sicherheit von IT-spezifischen Produkten und Diensten untersuchen und fortentwickeln. Leitgedanke dabei ist, die haftungsrechtlichen Regelungen im Lichte der Präventionsfunktion so zu modifizieren, dass sie einen sinnvollen Beitrag zur Verbesserung des IT-Sicherheitsniveaus leisten.

V. Grenzen der Arbeit

Um den Rahmen dieser Arbeit nicht zu weit auszudehnen, sollen bestimmte Fragestellungen, die im Zusammenhang mit dem Forschungsgegenstand stehen, nicht bearbeitet werden.

Auf eine erste thematische Grenze ist aus Klarstellungsgründen hinzuweisen. Sie ist logische Folge des gewählten Forschungsgegenstandes. Vertragliche Ansprüche auf Schadensersatz werden in dieser Arbeit nicht behandelt. Dieser Ausschluss ist angebracht, weil häufig keinerlei vertragliche Beziehungen zwischen Geschädigten und Herstellern oder Anbietern IT-spezifischer Produkte oder Dienste existieren.49 Dort wo doch Verträge bestehen, fehlt es wiederum häufig am Verschulden der Vertragspartei, die als Zwischenhändler bzw. Intermediär in der Regel kaum Einfluss auf die IT-Sicherheit nehmen kann. Das vertragliche Haftungsrecht weist aufgrund dieser inhärenten Anwendungsbeschränkungen nicht dasselbe Potenzial zur Verbesserung des IT-Sicherheitsniveaus auf wie das außervertragliche Haftungsrecht.

Zum zweiten wird die Frage der Haftungsausfüllung im Kontext dieser Arbeit nicht detailliert betrachtet. Angesichts der Vielfalt möglicher Anspruchsgrundlagen im außervertraglichen Haftungsrecht empfiehlt es sich, den Schwerpunkt allein auf die Haftungsbegründung zu legen. In welchem Umfang einzelne Schadenspositionen ersetzt werden, bleibt also offen.

Schließlich ist eine dritte thematische Grenze zu ziehen. Im Rahmen der Arbeit soll die Frage der Beweisbarkeit der schuldhaften Verursachung von Schäden außen vor bleiben. Dass es sich dabei um ein Problem für den von der Darlegungs- und Beweislast betroffenen Geschädigten handelt, ist nicht abzustreiten.50 Dieses Hindernis ist jedoch eher auf prozessualer Ebene zu verorten ←11 | 12→und darüber hinaus kein unmittelbares, IT-sicherheitsspezifisches Phänomen. Auch in anderen technisch geprägten Schadenskonstellationen besteht die Nachweisproblematik.51 Eine Auseinandersetzung mit dieser Problematik empfiehlt sich losgelöst vom inhaltlichen Kontext des Forschungsgenstandes. Im Folgenden soll es dagegen ausschließlich um eine materiell-rechtliche Beurteilung des Einflusses des außervertraglichen Haftungsrechts auf die IT-Sicherheit von IT-spezifischen Produkten und Diensten gehen.

VI. Gang der Darstellung

Die Prüfung des geltenden Rechts auf dessen Bedarf nach Modifikationen, die unter Anknüpfung an die präventive Wirkung des Haftungsrechts das IT-Sicherheitsniveau in sinnvoller Weise erhöhen, soll durch eine aufeinander aufbauende Vorgehensweise vorgenommen werden. Daraus ergibt sich für diese Arbeit eine Gliederung in vier auf die Einleitung folgende, übergeordnete Kapitel, deren wichtigste Erkenntnisse neben einer abschließenden Bewertung der gesetzgeberischen Handlungsoptionen in einem finalen Kapitel zusammengefasst werden.

Im 2. Kapitel erfolgt eine grundlegende Auseinandersetzung mit dem materiellen Inhalt von IT-Sicherheit. Diese ist erforderlich, weil nur im Wissen um die Bedeutung des abstrakten Rechtsbegriffs IT-Sicherheit der Einfluss des geltenden Rechts auf das IT-Sicherheitsniveau festgestellt werden und sinnvolle Vorschläge zur Verbesserung des Niveaus unterbreitet werden können. Es geht also in diesem Teil der Arbeit darum, IT-Sicherheit greifbar zu machen und dadurch einen Maßstab für die rechtliche Analyse herauszuarbeiten.

Im 3. Kapitel wird unter Rückgriff auf die zuvor gewonnenen Erkenntnisse über den Inhalt von IT-Sicherheit eine Bestandsanalyse des geltenden außervertraglichen Haftungsrechts vorgenommen. Es wird untersucht, in welchem Umfang spezialgesetzliche und allgemeine Haftungsgrundlagen präventiv auf die Gewährleistung von IT-Sicherheit hinwirken. In diesem Zusammenhang wird der Fokus insbesondere darauf gerichtet, inwiefern jüngere gesetzgeberische Modifikationen mit Bezug zur IT-Sicherheit, nämlich das IT-Sicherheitsgesetz, die Umsetzungsnormen zur NIS-Richtlinie und auch die DSGVO, die präventive Wirkung des außervertraglichen Haftungsrechts beeinflussen. Das Ziel des Kapitels besteht darin, aufzuzeigen, inwieweit Hersteller IT-spezifischer Produkte und Anbieter IT-spezifischer Dienste in Anbetracht der Haftungsregeln ←12 | 13→prinzipiell zu einem Verhalten verleitet werden, welches förderlich im Sinne eines hohen IT-Sicherheitsniveaus ist.

Im 4. Kapitel wird die Reichweite der im vorangehenden Teil ausgearbeiteten präventiven Wirkung detaillierter betrachtet. Es wird analysiert, inwieweit das außervertragliche Haftungsrecht einen Anreiz dazu vermittelt, sich so zu verhalten, dass typische negative Folgen mangelhafter IT-Sicherheit in der Praxis vermieden werden. In diesem Zusammenhang sollen insbesondere die Konsequenzen des abgestuften Rechtsgüterschutzes im geltenden Recht aufgezeigt werden. Zudem wird untersucht, inwiefern die jüngsten gesetzgeberischen Modifikationen mit ihren Maßnahmen zur Verbesserung der IT-Sicherheit sich im haftungsrechtlichen Kontext auswirken. Daran anknüpfend wird erörtert, ob und inwieweit es zur Verbesserung des IT-Sicherheitsniveaus erforderlich ist, die Reichweite des außervertraglichen Haftungsrechts auszudehnen.

Das 5. Kapitel wird sich schließlich mit der Intensität und Effektivität der präventiven Wirkung des außervertraglichen Haftungsrechts befassen. Zum einen soll geprüft werden, ob einem intensiven Anreiz zur Umsetzung von IT-Sicherheitsmaßnahmen die Tatsache entgegensteht, dass häufig ein eigenverantwortlich handelnder Dritter den Zustand mangelhafter IT-Sicherheit ausnutzt und es erst dadurch zu einem Schaden kommt. Zum anderen soll eine Auseinandersetzung mit der Frage erfolgen, wie wirkungsvoll die Produzenten und Diensteanbieter über die haftungsrechtlichen Regelungen zur Umsetzung von IT-Sicherheitsmaßnahmen verleitet werden. Je nach Ergebnis dieser Untersuchungen sind verschiedene Modifikationen des Rechts zu diskutieren. Denn nur wenn aufgrund der präventiven Wirkung des Haftungsrechts ein möglichst intensiver und zugleich effektiver Impuls zur Gewährleistung von IT-Sicherheit gesetzt wird, resultiert daraus ein hohes IT-Sicherheitsniveau.

Abschließend wird im 6. Kapitel ein Fazit gezogen. Dafür werden die wesentlichen Erkenntnisse der vorangegangenen Kapitel noch einmal thesenartig dargestellt. Daran anknüpfend folgt eine komprimierte Vorstellung und Bewertung der herausgearbeiteten Handlungsempfehlungen für den Gesetzgeber. Sie beinhalten konkrete Vorschläge, inwiefern das geltende außervertragliche Haftungsrecht fortzuentwickeln ist, um dadurch einen sinnvollen Beitrag zur Verbesserung des IT-Sicherheitsniveaus zu leisten.

←13 | 14→

1 Kühl/Caspari, auf: Zeit.de, Was wir über den Angriff auf den Bundestag wissen (Verlinkungen zu Online-Veröffentlichungen sind in einem separaten Quellenverzeichnis im Anhang der Arbeit ausgewiesen).

2 Agenturmeldung, auf: Zeit.de, Hinweise auf Hackerangriff verdichten sich.

Details

Seiten
XXII, 310
Jahr
2019
ISBN (PDF)
9783631787762
ISBN (ePUB)
9783631787779
ISBN (MOBI)
9783631787786
ISBN (Hardcover)
9783631787212
DOI
10.3726/b15538
Sprache
Deutsch
Erscheinungsdatum
2019 (April)
Schlagworte
Präventionsfunktion Gefährdungshaftung Dateneigentum Meldepflicht Update-Pflicht Vermögensschaden Stand der Technik
Erschienen
Berlin, Bern, Bruxelles, New York, Oxford, Warszawa, Wien, 2019. XXII, 309 S.

Biographische Angaben

Markus Andrees (Autor:in)

Markus Andrees hat Rechtswissenschaften mit Schwerpunkt im Informations-, Telekommunikations- und Medienrecht an der Westfälischen Wilhelms-Universität Münster sowie der Universität Oslo studiert. Im Anschluss war er als wissenschaftlicher Mitarbeiter am Institut für Informations-, Telekommunikations- und Medienrecht in Münster tätig. Sein Referendariat hat er im Bezirk des Oberlandesgerichts Hamm absolviert.

Zurück

Titel: Außervertragliche Haftung bei mangelhafter IT-Sicherheit
book preview page numper 1
book preview page numper 2
book preview page numper 3
book preview page numper 4
book preview page numper 5
book preview page numper 6
book preview page numper 7
book preview page numper 8
book preview page numper 9
book preview page numper 10
book preview page numper 11
book preview page numper 12
book preview page numper 13
book preview page numper 14
book preview page numper 15
book preview page numper 16
book preview page numper 17
book preview page numper 18
book preview page numper 19
book preview page numper 20
book preview page numper 21
book preview page numper 22
book preview page numper 23
book preview page numper 24
book preview page numper 25
book preview page numper 26
book preview page numper 27
book preview page numper 28
book preview page numper 29
book preview page numper 30
book preview page numper 31
book preview page numper 32
book preview page numper 33
book preview page numper 34
book preview page numper 35
book preview page numper 36
book preview page numper 37
book preview page numper 38
book preview page numper 39
book preview page numper 40
334 Seiten