Zum Hauptinhalt springen

Betriebe haften bei IT-Missbrauch

Von Andrea Möchel

Wirtschaft
Cyber-Spione: Fehlende interne Sicherheitssysteme machen ihnen die Arbeit leicht.
© fotolia

Unternehmer müssen für effektive IT-Policy sorgen.

Wien. Wie weit geht die Verantwortung des Arbeitgebers, wenn ein Mitarbeiter das firmeneigene EDV-System zum Ausspionieren eines Konkurrenten missbraucht? Haftet das Unternehmen für den Missbrauch auch dann, wenn dieser ohne seinen Auftrag, ja sogar ohne seine Kenntnis erfolgt? Über diese Fragen hatten die Richter des Obersten Gerichtshofs kürzlich zu entscheiden. Auslöser für den folgenreichen Richterspruch war ausgerechnet der Kleinkrieg zweier heimischer Boulevard-Blätter.

Zur Vorgeschichte: Ein Redakteur eines bunten Tagesblättchens hatte - laut Urteil aus eigener Initiative und ohne Wissen der Medieninhaberin - versucht, durch "Erraten" von Passwörtern in das interne EDV-System der "Kronen-Zeitung" einzudringen. Die (vergeblichen) Hacking-Versuche wurden bemerkt und das Unternehmen anhand der genutzten IP-Adresse als Urheber des Angriffs identifiziert. Als Möchtegern-Passwort-Knacker konnte schließlich ein Redakteur überführt werden. Dessen Arbeitgeber wandte ein, die Versuche, auf das System der Klägerin zuzugreifen, habe dieser ohne Rücksprache mit Geschäftsführung und Chefredaktion durchgeführt. Weiters sei der Angreifer umgehend gekündigt worden. Der Konkurrent klagte den Arbeitgeber des Cyber-Spions trotzdem wegen Besitzstörung auf Unterlassung. Der Streit ging durch mehrere Instanzen, bis der OGH nun endgültig gegen die beklagte Partei entschied.

"Aufgrund der Zurverfügungstellung des Computers und der faktischen Einflussmöglichkeiten des Arbeitgebers betrachtet der OGH die Medieninhaberin als ,mittelbare Störerin‘, der eine Unterlassungsverpflichtung zukommt", erläutert Michael Krenn, Rechtsexperte der Arge Daten, den höchstrichterlichen Spruch.

Als Besitzstörung zu werten

Die Obersten Richter entschieden zudem erstmalig, dass die Störung fremder IT-Systeme neben der strafrechtlichen Komponente auch als Besitzstörung zu werten ist. Der Klägerin steht daher ein Unterlassungsanspruch gegen unbefugtes Eindringen in ihr IT-System zu.

"Laut OGH seien die von der Rechtsprechung zur Besitzstörung entwickelten Grundsätze auch auf die vorliegende Konstellation zu übertragen", erläutert Krenn.

Der Grund: Es sei anerkannt, dass ein derartiger Unterlassungsanspruch sich auch gegen denjenigen richten könne, der die Störung nur mittelbar veranlasst habe. Das Medienunternehmen war somit haftbar, insbesondere auch deshalb, "weil das versuchte Eindringen für die Zwecke des Medienunternehmens erfolgt ist, und dieses dem Mitarbeiter den Computer mit der entsprechenden IP-Adresse zur Verfügung gestellt hat", stellte der OGH fest.

Die Folge: Handelt der unmittelbare Störer im Interesse oder im Verantwortungsbereich eines Dritten, so wäre dem Gestörten mit der Entfernung des unmittelbaren Störers nur wenig geholfen. "Der bloße Umstand, dass der Redakteur nicht mehr bei der Konzerngesellschaft der Beklagten beschäftigt ist, führt noch nicht zum Wegfall der Wiederholungsgefahr (...) durch andere Mitarbeiter", präzisieren die Höchstrichter in ihrem Spruch.

Erschwerend komme hinzu, dass "die beklagte Partei weder ihre übrigen Mitarbeiter aufgefordert hat, vergleichbare Rechtsverstöße zu unterlassen, noch entsprechende Aufklärungsmaßnahmen gesetzt hat."

Ein Urteil mit weitreichenden Folgen. Fehlende interne Sicherheits- und Kontrollmaßnahmen innerhalb des Betriebes können demnach rasch zu hohen zivil- und strafrechtlichen Verpflichtungen führen. Das Haftungsrisiko für Unternehmer bei IT-Missbrauch durch eigene Mitarbeiter steigt dadurch enorm. Krenn: "Schon der Umstand, dass der Arbeitgeber sich seine Mitarbeiter aussuchen kann, ihnen die Arbeitsressourcen übergibt, ein Weisungs- und Kontrollrecht hat und die Mitarbeiter letztlich in seinem Interesse tätig werden, führt zu dessen Verantwortlichkeit für rechtswidrige Eingriffe."

Abhilfe durch Internet-Policy

Abhilfe schafft hier nur ein wirksames internes Sicherheitssystem, das derartige Fälle verhindert. Unternehmen sollten daher eine sogenannte Internet-Policy verabschieden, bei der die Mitarbeiter zu gewissen Handlungsweisen verpflichtet werden und anhand derer dokumentiert werden kann, dass die Verantwortlichkeit für regelwidriges Handeln nicht beim Unternehmen, sondern beim einzelnen Mitarbeiter liegt.

Bleibt die Frage, ob sich die Beurteilung des OGH nur auf Arbeitsverhältnisse beschränkt oder ob auch Betreiber von Internet-Cafés oder Eltern, die ihren Kindern einen Internetzugang ermöglichen, künftig mit derartigen Haftungsfragen konfrontiert werden. Die Höchstrichter haben sich dazu in ihrem Urteil (noch) nicht geäußert. Krenn: "Hier hat der OGH ein ganz neues Feld in der Auseinandersetzung zur freien Internetnutzung eröffnet."