Unternehmer haften bei IT-Missbrauch durch eigene Mitarbeiter

Ein jüngst veröffentlichtes OGH-Urteil erhöht das Haftungsrisiko für Unternehmer bei IT-Missbrauch durch eigene Mitarbeiter.

Was war geschehen? Ein stellvertretender Ressortleiter eines Medienunternehmens hatte im Zuge eigener Recherchen für einen etwaigen Artikel durch das Raten von Passwörtern versucht in das E-Mail-System eines anderen Unternehmens einzudringen, um Zugriff auf E-Mails zu erlangen. Das versuchte Eindringen wurde bemerkt und das Medienunternehmen anhand der genutzten IP-Adresse als Urheber des Angriffs identfiziert. Der Angriff konnte betriebsintern dem stellvertretenden Ressortleiter zugeordnet werden.

Bis zum Letzturteil war es ein langer und wechselvoller Weg. Hatte das Erstgericht die Schadens-Haftung des Medienunternehmens zunächst bejaht, wurde diese Entscheidung vom Berufungsgericht aufgehoben, so dass der OGH ins Spiel kam.

Besitzstörerhaftung für Unternehmen

Der OGH wiederum stellte fest, dass es sich hier um keinen Schadensanspruch  sondern um einen Unterlasssungsanspruch gegen unbefugtes Eindringen in ein EDV-System (Besitzstörung) handelte. Obwohl der Mitarbeiter aus eigenem Antrieb und selbstverantwortlich gehandelt hatte, richtete sich der Unterlassungsanspruch an das Unternehmen als mittelbaren Störer. Das Medienunternehmen war somit haftbar, insbesondere auch deshalb, weil das versuchte Eindringen für die Zwecke des Medienunternehmens erfolgt sei und dieses dem Mitarbeiter den Computer mit der entsprechenden IP-Adresse zur Verfügung gestellt habe. Dazu kam, dass es das Medienunternehmen (vermutlich) unterlassen hatte, seine übrigen Mitarbeiter aufzufordern, vergleichbare Rechtsverstöße zu unterlassen.

Fazit für Unternehmer

Das Haftungsrisiko für Unternehmer bei IT-Missbrauch durch eigene Mitarbeiter steigt. Zudem ist bei einem üblichen Streitwert von 35.000.- Euro auch das Kostenrisiko in einem etwaigen Rechtstreit nicht unbeachtlich. Auch wenn der Mitarbeiter auf eigene Faust handelt, haftet der Unternehmer schon für den Versuch des unbefugten Eindringen in ein EDV-System als Mitstörer. Zur Risikominimierung sind entsprechende Anweisungen und Aufklärungsmaßnahmen für Mitarbeiter zur Vermeidung eines potentiellen IT-Missbrauchs empfehlenswert. Eine weitere Aufgabe für den Datenschutzbeauftragten.

Links

Entscheidungstext des OGH-Urteils (6Ob126/12s) im Original: