IT-Haftpflicht

Die Frage nach der Notwendigkeit einer IT-Haftpflicht für Verbraucher und Unternehmen wird hier thematisiert. Grundlegend stellt sich hier aber auch die Frage, wie eine Verortung von Haftung definiert ist.

In der Europäischen Union wie auch in Deutschland gelten diesbezügliche Rechtsbezüge. So ist in Deutschland das Bürgerliche Gesetzbuch, BGB, eine wesentliche Grundlage:

In § 823 geht es um die Schadensersatzpflicht:

"...(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet..."

Anmerkung: Damit steht im Grunde auch jeder in der Pflicht, der internetfähige Geräte nutzt!

Hierzu bereits die Empfehlung zur Privathaftpflicht von Stiftung Warentest / Finanztest-Grundschutz-Empfehlung:

"...Die Entschädigungshöhe für Schäden bei Datenaustausch und Internetnutzung sollte bei mindestens 50 000 Euro liegen...!"

https://www.test.de/Private-Haftpflichtversicherung-Voller-Schutz-und-Geld-gespart-1131533-5408953/
 

https://www.test.de/Vergleich-Haftpflichtversicherung-4775777-4777905/

Die Datenschutzgrundverordnung und jüngst das Urteil des EuGH betreffend der Verwendung von Cookies werfen das Licht auf einen Teilaspekt. Die im www erfassten und profilierten gigantischen Datenmengen und die dahinter eingesetzten Technologien unter Einsatz z.B. von KI werden hier nur teilweise erfasst, z.B. der Einsatz von Chatbots oder die zunehmende virtuelle Assistenzsysteme (Avatare) am Arbeitsplatz mit Cloudanbindungen.

Restriktionen wie eine Risiko-Folgen-Abschätzung oder ein TOM-Verzeichnis dienen hier als Sicherungs- und Sicherheitselemente, können aber nicht die Transmission aller vernetzten Geräte, Daten und Technologien an Hersteller und indirekt Staaten, deren gesamte Erfassung bewerten, filtern, verhindern. Ein enfacher Blick in zentrale Datenschnittstellen und die Erfassung von Datenabläufen wie in einem Router zeigt dies direkt auf.

Betrachtet man das Spektrum der Technologien, der rasanten Fortschritte der Vernetzung und insbesondere der Maßgaben um die Entwicklungen von künstlicher Intelligenz, ist hier eine Abgrenzung kaum möglich.

Wie soll ein System, bzw. lokales privates oder Unternehmsnetzwerk gehärtet und abgesichert werden gegen Angriffe von innen und außen, wenn durch die Vielzahl an Technologien sich bei der Erfassung von Profilen ein genauerer Daten-Abdruck erschließen lässt, als es der Einzelne vermuten lässt?

Für kritische Infrastrukturen wie z.B. Telekommunikationsunternehmen, bestehen hier Strategien und Rechtsgrundlagen:

https://www.kritis.bund.de/SubSites/Kritis/DE/Rechtsrahmen/IT-SiG_node.html

In diesem Zusammenhang werden seit 2004 auch sogenannte "LÜKEX"-Übungen, Tests kritischer Infrastrukturen abgehalten - z.B. auch gegen Cyber-Angriffe:

https://crisis-prevention.de/innere-sicherheit/quo-vadis-luekex.html

https://www.innenministerkonferenz.de/IMK/DE/termine/to-beschluesse/2017-12-07_08/anlage-zu-top-34.pdf

Mitteilung vom BSI-Präsidenten Herrn Arne Schönbohm im Interview mit dem Gesamtverband der deutschen Versicherer GDV e.V.:

"Jedes Unternehmen wird ständig angegriffen" und "Manchmal fragen wir uns, was denn noch passieren muss, damit Unternehmen endlich wach werden...?"

https://www.gdv.de/de/themen/news/-jedes-unternehmen-wird-staendig-angegriffen--43098

Übersicht:

1. Empfehlungen zur IT-Haftpflicht
2. Grundsätzlicher Zusammenhang: Verantwortung und Haftungsabgrenzung
3. Anmerkung zu Ehrenamtlichen
4. Kein Haus auf die schwächsten Pfeiler bauen
5. Zur Behauptung, dass einige Betriebssyteme nicht von Schadsoftware heimgesucht werden
6. Worauf können Sie sich als Kunde verlassen?
7. Zusammwirken von Faktoren und Weiterentwicklung
8. Wie kommt es zu milliardenschweren Wirtschaftsschäden?
9. Verantwortlichkeiten und Obliegenheitspflichten als Kunden von Providern und Versicherern
10. IT-Haftpflichtversicherung für Verbraucher und Unternehmen.
11. Deshalb ist letztlich eine IT-Haftung, eine IT-Haftpflichtversicherung  sinnvoll
12. Bedenken Sie: "Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht...!"
13. Wahl des Providers

1. Empfehlungen zur IT-Haftpflicht

Sie haben bereits eine Haftpflichtversicherung? Dann prüfen Sie, ob eine IT-Haftpflicht enthalten ist, als Unternehmen prüfen Sie zusätzlich, ob hier auch eine Haftung bei Datenschutzverletzungen enthalten ist? Fragen Sie hier bei Haftpflichtversicherungen oder bei Ihrem bestehenden Haftpflichtversicherer nach!

Im Digitalisierungsprozess ist jeder in der (Mit-)Verantwortung ist, gleich ob privat oder im Unternehmen...!

Eine IT-Haftpflicht ist daher eine sinnvolle Ergänzung, da bereits selbst in Privathaushalten viele internetfähige Geräte vorhanden sind, angefangen vom Router bis zu mobilen Endgeräten. Ihr(e) Provider für den DSL- und Mobilfunk weisen in deren Verträgen und AGB´s hierzu auch auf Ihre Obliegenheiten und Konsequenzen bei Pflichtverletzungen und zur Haftung hin!

2. Grundsätzlicher Zusammenhang: Verantwortung und Haftungsabgrenzung!

Zur Haftungsabgrenzung nach deutschem Recht ist eine IT-Haftpflichtversicherung unter Einschluss des Datenschutzes daher ein elementarer Bestandteil für jedes Unternehmen als auch Verbraucher.

Insbesondere für Unternehmen ergibt sich hier aus der Risikoabdeckung eine besondere wirtschaftliche Bedeutung. So ist z.B. der Einschluss auch eine Rückdeckung sehr sinnvoll, wenn beim Blick auf die Haftungsbedingunen in den AGB´s der Provider hier bereits von Haftungsgrenzen von 12.500,- € der Fall ist.

Für den einzelnen Verbraucher stellt sich die Frage nach individueller Haftung. Abzusehen ist auch hier durch die Iot-Vernetzung, dass Lücken in Technik und Netzwerk, auch Unkenntnis, fatale Auswirkungen auf sich selbst und Dritte (...Arbeitsplatz, Familie, Freunde, Bekannte, etc.) haben kann, z.B. durch Identitätsdiebstahl. Weil man ja nur dachte, außer einem selbst benutzt ja niemand den eigenen Computer, Smartphone, Tablet...!

Hinweise vom BSI zum Internet der Dinge:

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Internet-der-Dinge-Smart-leben/Smart-Home/smart-home_node.html

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Wegweiser_Checklisten_Flyer/Brosch_A6_Internet_der_Dinge.pdf

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Infizierte-Systeme-bereinigen/Infektionsbeseitigung-bei-smarten-Haushaltsgeraeten/infektionsbeseitigung-bei-smarten-haushaltsgeraeten_node.html

Zu über 80 % wird unsere Gesellschaft von Klein- und Mittelständischen Betrieben geführt, in den denen die Mitbürger beschäftigt sind. Millionen von Bürgern sind zudem in Vereinen und gemeinnützigen Einrichtungen engagiert oder als Mitglieder registriert. All diese Menschen sind auch über privat und beruflich vernetzt, Im Verein, im Unternehmen - und dort durch die Methodik des "BYOD - Bring your own device" mit der IT u.a. von Servern vernetzt.

3. Anmerkung zu Ehrenamtlichen:

Insbesondere bei gemeinnützig Engagierten besteht hier häufig eine Diskrepanz zur Haftungsdeckung. Obwohl gesellschafts- und vereinstragender Pfeiler, ist hier i.d.R. keine Haftungsdeckung durch eine Privathaftpflicht angezeigt, siehe AGB´s in den Verträgen! In Hessen gibt es hier eine subsidäre Haftungs- und Unfallversicherung durch das Land Hessen. Eine Haftungsklärung insbesondere in Sachen IT-Haftpflicht ist hier allen Vereinsverantwortlichen angeraten. Auch, weil die DSGVO hier keine Unterschiede hinsichtlich Verantwortung macht und gerade Vereinen und gemeinnützigen Einrichtungen Kapital, Technik und Know-how für adäquate IT-Sicherheit und Datenschutz fehlen.

Dies erscheint jedoch nur tragbar, wenn die technischen Rahmenbedingungen hier einen gesicherten Umgang zulassen. Dazu gehört neben dem Einsatz von qualifizierter und zertifizierter Technik eben auch das Wissen um die eingesetzten Technologien als auch die Verantwortung hierfür. Und dies fängt bei der Entwicklung an (Stichwort Produkthaftung), setzt sich durch adäquaten Support fort (Auslieferung aktueller Firmware und Updates der Hersteller) als auch durch die Kenntnis und Verantwortung des Nutzers.

Und große Konzerne? Die sind natürlich umringt von KMU´s, die als Zulieferer und Dienstleister große Unternehmen stützen.

4. Würden Sie so ein Haus bauen, bei dem die schwächsten Pfeiler das Gerüst Ihres Hauses stellen...?

Deshalb ist es essentiell, dass die Digitalisierung Zivilgesellschaft braucht!

https://www.bosch-stiftung.de/sites/default/files/documents/2019-01/Summary_Digitalisierung_braucht_Zivilgesellschaft.pdf

BfDI - Bundesbeauftrate für den Datenschutz und die Informationsfreiheit:

https://www.bfdi.bund.de/DE/Home/home_node.html

5. Fragwürdige Behauptung...!

Fragwürdig erscheint gleichfalls die Behauptung von Herstellern oder allgemein statuierte Formulierungen zur Sicherheit geschlossener Systeme. Im Falle ein Verbindung ans Internet ist dies obsolet. Zur Behauptung, dass einige Betriebssysteme von Schadsoftware nicht heimgesucht werden:

"...

Es wird oft behauptet, dass einige Betriebssysteme von Schadsoftware nicht heimgesucht werden. Dieses so zu behaupten, ist falsch. Hierfür muss auch die Denkweise der Täter bedacht werden. Diese wollen mit Ihrer Schadsoftware in der Regel eine breite Masse erreichen. Dafür werden letztendlich Betriebssysteme genutzt, die entsprechend am meisten verbreitet sind. Weniger verbreitete Betriebssysteme sind weniger rentabel für die Täter. Dies bedeutet aber nicht, dass es dafür keine Schadsoftware gibt. Auch dort wurden bereits in der Vergangenheit mehr oder weniger erfolgreiche Angriffe registriert und es ist sehr wahrscheinlich, dass das Augenmerk der Täter zunehmend auch auf solche Betriebssysteme gelegt wird, die derzeit einen Boom erleben. Dieses kann auch auf die Betriebssysteme der derzeitigen Smartphones bezogen werden. So gibt es aktuelle schon zahlreiche Schadprogramme für z.B. Android-Smartphones. Weiterhin sollten Sie auch bedenken, dass Ihr Betriebssystem vielleicht nicht so stark durch Schadsoftware angegriffen wird, wie ein Windows-System, Sie jedoch als Überträger/Weiterverbreiter (z.B. Anhang in einer Mail) von Schadsoftware fungieren könnten..."

Quelle:

https://www.polizei-praevention.de/themen-und-tipps/basisschutz-empfehlungen/computer

Weitere Informationen zum Basisschutz und Empfehlungen in Sachen Internetkriminalität des LKA-Niedersachsen auf:

https://www.polizei-praevention.de/themen-und-tipps/basisschutz-empfehlungen

Dabei spielt auch eine tragende Rolle, inwiefern hier der Gesetzgeber nur getestete Geräte und Technologien zulässt, die der Digitalisierungswandel, die Revolution 4.0, hervor bringt. Allein sich auf die Verantwortung oder Apelle an Unternehmen auszurichten, greift zu kurz.

Auch, weil der Innovationsdruck und das Wirtschaftlichkeitsprinzip von Entwicklung und Vermarktung dem nicht standhalten können. Die Revolution 4.0 mit intransparenten Strategien der Hersteller, Märkte und Staaten macht nicht Halt vor digitalen Staatsgrenzen, zunehmend  weniger vor den realen. Dabei geht es auch um Interessenkonflikte, wie es sich aktuell im Fall Huawei zeigt:

https://www.pcwelt.de/news/Wem-gehoert-Huawei-eigentlich-die-Antwort-10642232.html

Die Frage richtet sich stärker nach dem Potenzial und der Macht der Software und ihrer Intelligenz, die sich globale Maßgaben erschließt. Wie oben beschrieben, u.a. zum Artikel "Spionage 4.0", stehen hier unmittelbar grundlegende Fragen zu Lösungswegen an.

Moderne Computersysteme, Smartphones und Tablets enthalten bionische Computerchips, neuromorphe Hardware mit künstlicher Intelligenz an Board z.B. von Smartphones und Tablets. Dies wirft Fragen auf, wie z.B. KI gefiltert wird, die auf dem Gerät aktiv ist, Daten verarbeitet und sendet? Das KI zur Abwehr in Sicherheitstechnik genutzt wird, darauf weisen Hersteller wie z.B. Avira, GData und Sophos hin.

Neuromorphe Hardware:

https://www.iis.fraunhofer.de/de/ff/kom/iot/embedded-ml/neuromorphic.html

Bionische Prozessoren:

https://www.apple.com/de/iphone-xs/a12-bionic/

6. Worauf können Sie sich als Kunde verlassen?

Wie sicher sind die Technologien unter Einsatz von KI, mittels derer unkrontollierbar global am Markt agiert wird? Und: Welche Haftungsrisiken ergeben sich daraus, wenn der Anwender hier zu einem kommerzialisierten Produkt gewandelt wird?

Denn nichts ist wirklich kostenlos in der digitalen Welt: Private Daten im Tausch für Dienste und Technik!

Ein Ansatz ist hier die Datenschutzgrundverordnung. Doch wer kontrolliert und erfasst letztlich die Datenströme, die sich zusammengesetzt aus den Informationen der IoT-Technologien zu eindeutigen Profilen erfassen lassen?

7. Zusammenwirken von Faktoren und Plädoyer für Weiterentwicklung...?

Aufgrund der vorgenannten Aspekte ist daher nicht ein Faktor wie Datenschutz oder IT-Sicherheit für sich alleine entscheidend, sondern das Zusammenwirken von Technik, Sicherheit, datenschutzrechtlichen, versicherungstechnischen, gesellschaftlichen und persönlichen Erfordernissen, die kontinuierlich in einem Gesamtkontext fortentwickelt werden. Hier ist Gesellschaft und Politik insgesamt gefordert.

Ein Plädoyer u.a. für Pluralismus, Meinungsvielfalt, gesellschaftlichen Schutz und Fortentwicklung, Wissenschaft, Kognition, Empathie, Soziologie! Was würde all diese informelle und technologische Macht in nur einer Hand - ob Mensch oder Maschine - bedeuten?

Das "Denken" nicht aus der Hand zu geben, nicht moderner Technik blind zu vertrauen, sondern verantwortungsvollen Umgang zu führen, gerade an der Schwelle, wo Technik zunehmend in unser Bewusstsein drängt, beeinflusst und dies verändert...

8. Und wie kommt es zu milliardenschweren Wirtschaftsschäden...?

Wie umfassend Wirtschaftsschäden sind, weist z.B. die Bitkom-Studie von 2018 aus: 43 Milliarden Euro Wirtschaftsschaden im 2-Jahres-Zeitraum (!) - Dokumentation über Cyberangriffe:

https://www.bitkom.org/sites/default/files/file/import/Bitkom-PK-Wirtschaftsschutz-Industrie-13-09-2018-2.pdf

Ergänzend wird hier Bezug genommen zu dem Artikel "Spionage 4.0" - Seiten 53-59 der Handelsblattausgabe vom 3./.4./5.Mai 2019:

Hinweise von Harvard-Professorin Shoshana Zuboff i.S. „Überwachungskapitalismus“ und Wirtschaftsprofessorin Sarah Spiekermann zur digitalen Ethik,

Philosophieprossorin Lisa Herzog der TU München zur Verantwortung bei der Entwicklung von künstlicher Intelligenz.

"...Übrigens sind auch solche Leute, die wegen der Dumpfheit ihres Bewusstseins ohne Bedürfnis und ohne Anlage zur Philosophie sind, darum doch nicht ohne eine Art von Philosophie, von System religiöser oder andrer Art: denn sie sind doch Menschen und bedürfen als solche einer Metaphysik: aber sie haben eben das erste beste festgehalten und sind meistens sehr hartnäckig in dessen Behauptung, weil, wenn sie es fahren ließen, dies ihnen die Notwendigkeit auflegen würde, zu denken, zu forschen, zu lernen: was sie eben vorzüglich scheuen und daher sehr froh sind, so etwas ein für allemal zu haben, was sie jeder Arbeit dieser Art überhebt..."

Arthur Schopenhauer (1788 - 1860), deutscher Philosoph

9. Verantwortlichkeit und Obliegenheitspflichten als Kunde von Providern und Versicherungen

Hier geht es um die Verantwortlichkeit und Obliegenheitspflichten von Kunden von Providern und Telekommunikationsunternehmen, gleich ob privat oder Unternehmer: Den Stand der Technik und allgemein anerkannte Sicherheitsmaßgaben zu beachten, wie den Umgang mit Passwörtern.

Konkrete Maßgaben und Erfordernisse zur Verantwortung und Obliegenheitspflichten der Kunden zur IT-Sicherheit, Datenschutz und Stand der Technik werden von Providern und Telekommunikationsunternehmen in den jeweiligen AGB´s aufgeführt. Damit ist die grundsätzliche Verpflichtung der Kunden zur fortlaufenden eigenen Überprüfung der ans Internet angeschlossenen Geräte datiert. Es resultiert daraus auch kein Selbstverständnis, dass einmal ans Internet angeschlossene und konfigurierte Geräte auch dauerhaft sicher sind. Allein die Tatsache, dass Hersteller internetfähiger Geräte nicht immer oder auch zeitnah Updates bereitstellen, bedingt immer wieder eine Sicherheitsüberprüfung. Konfiguration und Passwortsicherheit.sind maßgeblich für Iot-Sicherheit - und liegen eben auch in der Verantwortung der Nutzer.

10. IT-Haftpflichtversicherung für Verbraucher und Unternehmen.

Auch IT-Haftpflichtversicherer weisen daraufhin, dass der Kunde, bzw. Versicherungsnehmer Obliegenheitspflichten hinsichtlich dem Stand der Technik und allgemein anerkannten Sicherheitsmaßgaben zu beachten hat wie den z.B. Umgang mit Passwörtern.

Auch liegt es im Interesse des Versicherers und dessen Kunden, dass hier sowohl die Beitragshöhe als auch der Umfang der versicherten Risiken abwägbar und kalkulierbar ist.

11. Deshalb ist letztlich eine IT-Haftung, eine IT-Haftpflichtversicherung  sinnvoll - gleich ob es sich um einen Endkunden (Verbraucher) handelt oder ein Unternehmen!

Aus den vorgannten Punkten zu Auszügen aus den AGB´s bekannter Provider und den Auszügen aus den Haftungsbedingungen von einem bekannten Haftpflichtversicherer ist die Analogie zur MItverantwortung und Beachtung von Obliegenheiten aller Kunden der Provider und Haftpflichtversicherer ergänzend ersichtlich.

Sie haben bereits eine Haftpflichtversicherung? Dann prüfen Sie, ob eine IT-Haftpflicht enthalten ist, als Unternehmen prüfen Sie zusätzlich, ob hier auch eine Haftung bei Datenschutzverletzungen enthalten ist.

12. Bedenken Sie:

"Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht...!"

https://www.spiegel.de/wirtschaft/unternehmen/cyberangriffe-so-gefaehrdet-ist-die-deutsche-wirtschaft-a-1178050.html

13. Wichtige Gründe des Webservice Schmitz für die Wahl von IONOS (1und1) als Provider:

IT-Sicherheit und Datenschutz für Webseitenbetreiber und Webseitenbesucher.

Informationen unter:

https://www.ionos.de/sicherheit

https://www.ionos.de/digitalguide/server/sicherheit/was-ist-cybersicherheit/

https://www.ionos.de/tools/website-check

https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock/

https://www.ionos.de/domains/domain-guard

https://www.ionos.de/digitalguide/server/sicherheit/was-ist-dns-hijacking/

https://www.ionos.de/digitalguide/server/sicherheit/dns-spoofing/

https://www.ionos.de/digitalguide/domains/domainverwaltung/url-hijacking-was-ist-das-eigentlich/

https://www.ionos.de/digitalguide/server/knowhow/dnssec-signierte-namensaufloesung/

https://www.ionos.de/tools/ssl-check

https://www.ionos.de/digitalguide/websites/webseiten-erstellen/wie-stelle-ich-meine-seite-auf-ssl-und-https-um/

https://www.ionos.de/digitalguide/websites/online-recht/impressum-im-internet-was-gilt-es-zu-beachten/

https://www.ionos.de/digitalguide/websites/online-recht/mehr-nutzervertrauen-dank-datenschutzerklaerung/

Mailarchivierung: "...Für geschäftliche E-Mails und ihre Dateianhänge gilt deshalb eine Pflicht zur rechtssicheren und revisionssicheren E-Mail-Archivierung...!"

https://www.ionos.de/office-loesungen/email-archivierung-bk

Eine fehlende SSL-Verschlüsselung von Webseiten ist eine Datenschutzverletzung. Hiervon betroffen sind auch Kontaktformulare...!

Insbesondere für Unternehmen besteht eine kostspielige Abmahngefahr und zudem Reputationsverlust. Maßgaben sind im Telemediengesetz und der DSGVO datiert. Infos auch unter: Webseite verschluesseln

https://www.deutsche-handwerks-zeitung.de/firmen-webseiten-ssl-verschluesselung-ist-pflicht/150/3101/360639

https://www.e-recht24.de/news/abmahnung/10648-kontaktformular-verschluesselung-abmahnung.html

Beachten Sie auch die Maßgaben zu Ihren Cookies auf Ihrer Webseite, hier zum Urteil des EuGH vom 01.10.19:

"...Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird...!"

https://www.cookiebot.com/de/aktive-einwilligung-und-der-fall-von-planet49/

Urteil des EuGH zur Einwilligung in Cookies:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf