Nicht jedes Unternehmen der Wohlfahrtspflege oder der Gesundheitswirtschaft verfügt über eine eigene IT-Abteilung. Viele mittlere und kleine Unternehmen sowie kirchliche Einrichtungen beauftragen externe Dienstleister mit Betrieb, Wartung und Pflege ihrer Informationstechnik. Haftungsrechtlich müssen dabei verschiedene Punkte beachtet werden. Frank Schultz, Abteilungsleiter und Spezialist für IT-Risiken unserer Unternehmensgruppe, weist in dieser Folge unserer Cyber-­Serie darauf hin.

Externe Dienstleister sind für viele Unternehmen der Sozial- und Gesundheitswirtschaft notwendig. Die Bandbreite der Dienstleistungen reicht von der Datensicherung in der Cloud bis hin zur kompletten Verwaltung der IT-Systeme.
 

Wer haftet im Schadenfall?

Auch wenn der Auftrag zur Pflege der IT-Landschaft an einen Dienstleister erteilt wurde, die Verantwortung für den ordnungsgemäßen Betrieb der Anlagen und für den Datenschutz bleibt beim Auftraggeber. Es ist ein Trugschluss zu glauben, dass man mit der Arbeit auch das Risiko delegiert habe.

Laut Datenschutz-Grundverordnung (DS-GVO) ist für die Sicherheit der Daten die datenerhebende Stelle verantwortlich. Folgerichtig muss sie dafür sorgen, dass eine externe Auftragsverarbeitung die Daten genauso schützt, wie sie es selbst vornehmen würde. Der Auftraggeber sollte deshalb überprüfen, ob der gewählte Dienstleister die Vorgaben erfüllen kann und wird.

Im Schadenfall steht ebenfalls zunächst derjenige im Fokus, der die Daten erhoben hat, selbst wenn der Schaden extern verursacht worden ist. Der Auftraggeber darf sich deshalb nicht zufriedengeben, wenn ihn sein IT-Dienstleister mit dem Hinweis beruhigen will, er sei ja haftpflichtversichert. Zum einen ist nicht klar, ob die Deckungssumme seiner Versicherung ausreicht. Zum anderen haben wir in vielen Dienstleistungsverträgen unserer Kunden, die sie uns zur Prüfung vorgelegt haben, Haftungsnachteile für unsere Kunden identifiziert.

Oftmals haften IT-Dienstleister vertraglich erst dann, wenn sie grob fahrlässig gehandelt haben. Unterhalb dieser Schwelle hat der Auftraggeber keine Möglichkeit, seinen Dienstleister in Regress zu nehmen. Außerdem muss er vor Gericht beweisen, dass der Vertragspartner tatsächlich grob fahrlässig gehandelt hat. In manchen Fällen wird von Seiten der IT-Dienstleister eine Haftung sogar generell ausgeschlossen – beispielsweise, wenn fehlerhafte Updates installiert werden. Auch Zertifizierungen, die der IT-Spezialist eventuell vorweist, treffen allerhöchstens eine Aussage über seine Qualifikation, nicht aber über die Frage, in welchem Umfang er haftet.

Jeder, der Daten durch einen Dritten verarbeiten lässt, muss bei demjenigen, dem die Daten gehören (also Kunden, Patienten, Klienten etc.), eine Einwilligungserklärung einholen. Aber auch diese Einwilligungserklärung stellt ihn nicht von der Haftung frei.
 

Fazit

Für ein Unternehmen ist es ratsam, selbst Vorkehrungen zur Risikominimierung zu treffen und das Restrisiko auf eine Versicherung zu verlagern. Der Versicherer prüft, ob die Ansprüche berechtigt sind, reguliert den Schaden oder wehrt unberechtigte Forderungen ab. Außerdem übernimmt der Versicherer auch Regressforderungen gegenüber dem externen Dienstleister.

Unsere Unternehmensgruppe hat dafür exklusive Konzepte entwickelt, die auf die Bedürfnisse der Unternehmen in der Wohlfahrtspflege und Gesundheitswirtschaft zugeschnitten sind. Sie können auf die jeweilige Risikosituation angepasst werden – entweder als individuelle Modullösung oder als Rundumschutz.

Frank Schultz
frank.schultz@ecclesia-gruppe.de