• Ellipsis Newsletter / Ausgabe 06 / Juli 2014

    Windows XP nach Support-Ende - Rechtliche Risiken

    Ein rechtliches Risiko für Geschäftsführer, CIO und IT-Dienstleister

Im Auftrag von Microsoft Deutschland haben die Rechtsanwälte von SKW Schwarz ein Whitepaper erstellt, welches einige rechtliche Risiken nennt, die Unternehmen treffen können, wenn sie veraltete IT-Systeme verwenden, deren Support ausgelaufen ist. Im vorliegenden Fall wird dies anhand des Betriebssystems Windows XP verdeutlicht.

Trotz des allgemeinen weltweiten Support-Endes für das Betriebssystem Windows XP im April 2014 hatten zu diesem Zeitpunkt 27 Prozent aller Unternehmen immer noch nicht auf ein neues Betriebssystem umgestellt - frei nach dem Motto "never change a running system". Weitere Gedanken sind zudem häufig:

1. "Solange keine Fehler sichtbar sind, ist alles in Ordnung."
2. "Wo im Gesetz steht, dass ich ein aktuelles Betriebssystem brauche?"
3. "IT ist allein Sache des IT-Leiters, das betrifft den Geschäftsführer nicht."
4. "Dem Geschäftsführer/Aufsichtsrat kann nichts passieren."
5. "Wir sind doch versichert."
6. "Das ist Kundensache, dem Reseller/IT-Servicepartner kann das egal sein."

1. "Solange keine Fehler sichtbar sind, ist alles in Ordnung."

Bei veralteter, nicht mehr unterstützter Software drohen Datenverluste und Manipulationen. Offensichtliche Fehler werden im Alltag nicht auftreten - extern läuft alles wie immer, jedoch mit der Zeit immer weniger intern durch bisher nicht erkannte Sicherheitslücken. Diese finden windige Hacker auf jeden Fall. Ohne Support können über Schnittstellen nach außen (z. B. Webshops) oder an das System gekoppelte Standardprogramme schnell "Infiltrationen" stattfinden und dann sind Kundendaten oder interne Dokumente in Gefahr. Zudem steigt das Risiko von Systemausfällen, wenn durch die fehlenden Updates aktuelle Anwendungssoftware zukünftig nicht mehr fehlerfrei arbeiten kann, da Kompatibilitätsprobleme auftauchen werden.

2. "Wo im Gesetz steht, dass ich ein aktuelles Betriebssystem brauche?"
Dieses Gesetz gibt es nicht, aber... Wenn personenbezogene Daten verwaltet werden, greift die Beachtung des Datenschutzes. Dieser ist im § 9 Bundesdatenschutzgesetz (BDSG) geregelt. Darin verlangt der Gesetzgeber ausdrücklich die Einhaltung des aktuellen Standes der Technik, wenn es um Maßnahmen der IT-Sicherheit geht. Finanz- und Versicherungsunternehmen unterliegen zudem dem § 25a Kreditwesenkontrollgesetz und damit einer besonderen organisatorischen Pflicht zur Einhaltung eines angemessenen und wirksamen Risikomanagements. Des Weiteren muss ihnen vom Wirtschaftsprüfer eine sorgfältige und risikogerechte IT-Organisation bescheinigt werden, da ansonsten das Testat für den Jahresabschluss verweigert werden muss.
Der Reputationsverlust durch  Datenverluste, die auch bei Nicht-Finanzdienstleistern auftreten und operative Einschränkungen verursachen können, ist nur durch finanziellen Aufwand bei den betroffenen Partnern wieder gut zu machen. Dabei greift auch der § 42a BDSG, wonach eine Anzeigepflicht für personenbezogene Datenverluste besteht.

3. "IT ist allein Sache des IT-Leiters, das betrifft den Geschäftsführer nicht."
Doch. Nach § 91 Abs. 2 AktG und § 43 Abs. 1 GmbHG ist eine sorgfältige und gesetzeskonforme Unternehmensführung nach Maßgabe eines ordentlichen und gewissenhaften Kaufmanns vorgeschrieben, die für AG-Vorstände und GmbH-Geschäftsführer gilt. Nach Auffassung der Gerichte ist sie auch auf alle Geschäftsführungen sämtlicher Unternehmensformen auszuweiten. Diese sorgfältige Unternehmensführung impliziert daher auch IT-Risikovorsorge zur Abwehr von Gefährdungspotenzial, welches über diesen Kanal in das Unternehmen eindringen kann. Der Geschäftsführer muss nicht der Ausführende sein, trägt aber zusammen mit der Geschäftsführung die Verantwortung für die Gesetzestreue.

4. "Dem Geschäftsführer/Aufsichtsrat kann nichts passieren."
Finanzielle Verluste, bspw. durch Bußgeldzahlungen aufgrund unzureichend gesicherter IT, können dem Geschäftsführer als Verstoß gegen die Pflicht der guten Unternehmensführung unmittelbar und persönlich zur Last gelegt werden. IT-Leiter und weitere Mitarbeiter mit Verantwortung für die IT sind jedoch damit nicht von der Schweigepflicht entbunden, wenn sie unmittelbare Sicherheitsrisiken diesbezüglich feststellen. Sie haften als verantwortliche Mitarbeiter im Rahmen der Begrenzungen des Arbeitsrechts persönlich für die rechtzeitige und vollständige Risiko-Information an die Geschäftsführung.

5. "Wir sind doch versichert."
Da in diesem "XP-Fall" lange und ausführlich über das nahende Support-Ende berichtet wurde, kann eine grob fahrlässige Sorgfaltspflicht-Unterlassung unterstellt werden. Damit greift dann auch nicht die Haftpflichtversicherung des Geschäftsführers, die sog. D&O (Directors & Officers) Versicherung, weil in den Standard-Klauseln häufig grobe Fahrlässigkeit ausgeschlossen ist.

6. "Das ist Kundensache, dem Reseller/IT-Servicepartner kann das egal sein."
Wenn der Hersteller einer Software den Support für dieses Produkt einstellt, gerät der Reseller bzw. IT-Servicepartner des Unternehmens, welchem er diese Lösung inkl. Service verkauft hat, unweigerlich in einen Vertragsbruch mit seinem Kunden, da er seinen Wartungsvertrag nicht mehr erfüllen kann. Diese Situation kann sich noch verschärfen, wenn er nur reaktiv auf Kundenanfragen agiert. Eine vertragliche Nebenpflicht besagt, dass der Kunde aktiv auf bestehende Sicherheitslücken und Risiken hinzuweisen ist. Wird vom Kunden der Rat missachtet, dass aus Sicherheitsgründen eine Ablösung von Windows XP anzuraten ist, kann der Servicepartner aufgrund eingetretener negativer Auswirkungen von der Haftung verschont werden. Wichtig ist dabei, dass eine ausreichende Dokumentation der aktiven und umfassenden Beratung vorhanden ist.

(Zusammenfassung des kostenlosen SKW-Whitepapers, erhältlich unter:
download.microsoft.com/download/A/C/0/AC08C69E-D318-48C4-A5C3-313E4E29C4C4/Windows_XP_nach_Support_Ende_Ein_rechtliches_Risiko_fuer_Geschaeftsfuehrer.pdf


Nach oben