Mit der fortschreitenden Digitalisierung und den damit einhergehenden Compliance-Anforderungen rückt die Managerhaftung zunehmend in den Fokus. Ein besonders kritischer Aspekt sind Cyberrisiken, die für Unternehmen eine erhebliche Bedrohung darstellen. Neben den klassischen Risiken der Digitalisierung, wie Datenschutzverstöße und IT-Sicherheitslücken, sind es vor allem Cyberangriffe, die sowohl Unternehmen als auch ihre Führungskräfte vor immense Herausforderungen stellen.
„Managerhaftung bei Digitalisierung und Compliance“ weiterlesenBußgelder im AI-Act: Ein Überblick über das Sanktionsregime der KI-VO
Der AI-Act oder auch die KI-VO, die neue Verordnung der Europäischen Union zur Regulierung von Künstlicher Intelligenz, sieht strenge Regelungen vor, die den sicheren und ethischen Einsatz von KI-Systemen gewährleisten sollen. Ein zentrales Element dieser Verordnung sind die hohen Bußgelder, die bei Verstößen gegen die Vorschriften drohen. Doch wie genau sieht das Sanktionsregime in der Praxis aus, und welche zusätzlichen Maßnahmen können Mitgliedstaaten ergreifen?
„Bußgelder im AI-Act: Ein Überblick über das Sanktionsregime der KI-VO“ weiterlesenAuskunft über die vom Arbeitgeber verarbeiteten personenbezogenen Daten
Im vorliegenden Fall hat das Landesarbeitsgericht Baden-Württemberg (9 Sa 73/21) ein bedeutendes Urteil zu datenschutzrechtlichen Ansprüchen eines Arbeitnehmers gefällt. Der Kläger forderte die Entfernung einer Abmahnung aus seiner Personalakte und Auskunft über die von seinem Arbeitgeber verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO. Diese Entscheidung wirft wichtige Fragen zur Auslegung der DSGVO und deren Anwendung im Arbeitsrecht auf.
„Auskunft über die vom Arbeitgeber verarbeiteten personenbezogenen Daten“ weiterlesenPost-Quantum Kryptographie und rechtliche Fragestellungen des IT-Sicherheitsrechts
IT-Sicherheitsrecht bei der Post-Quantum Kryptographie – die Welt der Kryptographie steht vor einer Revolution: Mit den Fortschritten in der Quantencomputertechnologie rücken Fragen nach der Sicherheit aktueller kryptographischer Systeme in den Vordergrund. Dieser Artikel beleuchtet die Post-Quantum-Kryptographie und die damit verbundenen rechtlichen Herausforderungen im Bereich des IT-Sicherheitsrechts. Im Dezember 2023 wurde in diesen Beitrag eine aktuelle Studie des BSI aufgenommen.
Hinweis: Wir beschäftigen uns in unserer Kanzlei mit Rechtsfragen des Quantum-Computings, RA Jens Ferner beherrscht zudem die simulierte Quanten-Programmierung via Qiskit.
„Post-Quantum Kryptographie und rechtliche Fragestellungen des IT-Sicherheitsrechts“ weiterlesenCyberversicherung muss auch zahlen, wenn nicht alle Sicherheitsupdates installiert waren
Das Landgericht Tübingen (4 O 193/21) konnte zur Eintrittspflicht einer Cyber-Versicherung feststellen, dass allein der Umstand, dass nicht alle Server mit aktuellen Sicherheitsupdates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt lässt. Jedenfalls dann nicht, wenn der Cyber-Angriff unter Ausnutzung einer bekannten Windows-Schwachstelle (hier: „Pass-the-Hash„) erfolgte und dadurch die Erlangung von Microsoft-Administratorenrechten für alle Server möglich war.
Denn: Die insoweit in Rede stehende Verletzung einer Anzeigepflicht ist weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für die Feststellung oder den Umfang der Leistungspflicht ursächlich (Ausnahme: arglistiges Verhalten des Versicherungsnehmers). Die Entscheidung verdeutlicht zugleich, wie wichtig die richtige juristische Handhabe des Schadensfalls ist. Dabei droht eine erhebliche Haftung für die Geschäftsleitung. Update: Die Entscheidung ist angeblich beim OLG Stuttgart (7 U 262/23) in der Berufung.
„Cyberversicherung muss auch zahlen, wenn nicht alle Sicherheitsupdates installiert waren“ weiterlesenHaftung der Geschäftsführung für IT-Sicherheitslücken
Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar? In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile des Vortrags zur Haftung des Vorstands bei IT-Sicherheitslücken vor.
Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.
„Haftung der Geschäftsführung für IT-Sicherheitslücken“ weiterlesenUnterlassungserklärung von juristischer Person und Geschäftsführer – trotzdem nur eine Vertragsstrafe
Hinsichtlich gerichtlicher Unterlassungsgebote hat der Bundesgerichtshof schon 1991 festgestellt, dass bei Unterlassungsgeboten zu unterscheiden ist: Wenn der Vollstreckungsschuldner eines Unterlassungsgebots ausschließlich eine juristische Person ist, dann ist bei einer schuldhaften Zuwiderhandlung einmal das Ordnungsgeld gegen die juristische Person und die ersatzweise bestimmte Ordnungshaft sodann gegen das Organmitglied festzusetzen, das schuldhaft gegen das Verbot verstoßen hat (BGH, I ZR 218/89).
Im Januar 2012 hat der Bundesgerichtshof (I ZB 43/11) diese Rechtsprechung verfeinert und festgestellt, dass ein Unterlassungsgebot, dass sich sowohl an juristische Person als auch Organ richtet (also etwa GmbH und Geschäftsführer) bei einem Verstoss nur ein Ordnungsgeld der juristischen Person nach sich zieht. Erweitert wurde das dann vom BGH (I ZR 210/12) im Jahr 2014 zu einem Grundsatz.
Markenrechtsverletzung durch GmbH: Keine Unterlassungserklärung des Geschäftsführers?
Haftet der Geschäftsführer einer juristischen Person für eine Markenrechtsverletzung? Diese Frage war lange umstritten, inzwischen gibt es aber einige Entscheidungen, die durchaus wegweisend sind. Grundsätzlich gilt nunmehr wohl, dass der Geschäftsführer nicht mehr „blind“ neben der juristischen Person in Anspruch zu nehmen ist.
„Markenrechtsverletzung durch GmbH: Keine Unterlassungserklärung des Geschäftsführers?“ weiterlesen
Designrecht: Zur Haftung des Geschäftsführers
Das Oberlandesgericht Düsseldorf (I-20 U 162/10) hat sich zur Haftung des Geschäftsführers im Designrecht geäußert und festgestellt, dass im Designrecht (wie im Urheberrecht und anders als im Wettbewerbsrecht) die grundsätzliche Haftung des Geschäftsführers über die Störerhaftung bei Verletzungshandlungen der GmbH im Raum steht:
Es kann dahinstehen, ob die nunmehrige Rechtsprechung des Bundesgerichtshofs, wonach eine persönliche Haftung des Geschäftsführers für unlautere Wettbewerbshandlungen der von ihm vertretenen Gesellschaft nur noch besteht, wenn er daran entweder durch positives Tun beteiligt war oder wenn er die Wettbewerbsverstöße auf Grund einer nach allgemeinen Grundsätzen des Deliktsrechts begründeten Garantenstellung hätte verhindern müssen (BGH, GRUR 2014, 883 Rn. 17 – Geschäftsführerhaftung), auf das Kennzeichenrecht übertragen werden kann. Der Grund für geänderte Rechtsprechung, die Aufgabe der Störerhaftung im Lauterkeitsrecht (BGH, a. a. O. Rn. 15), gilt für Designrecht nicht, weshalb einiges dafür spricht, dass es insoweit bei den hergebrachten Grundsatz verbleibt, dass Geschäftsführer darüber hinaus auch dann – als Störer – für Verstöße der Gesellschaft haftet, wenn er von ihnen Kenntnis hatte und es unterlassen hat, sie zu verhindern (BGH, a. a. O. Rn. 15).
Urheberrecht: Störerhaftung des Geschäftsführers
Seit einiger Zeit wird die „Störerhaftung“ im Wettbewerbsrecht nicht mehr angewendet, was weitreichende Auswirkung auf die frühre angenommene Haftung des Geschäftsführers hat. Diese Rechtsprechung wollte nun jemand im Urheberrecht für sich vor dem OLG Köln (6 U 57/14) in Anspruch nehmen und scheiterte erwartungsgemäß:
Soweit der Beklagte zu 2) sich darauf beruft, nach der neueren Rechtsprechung des Bundesgerichtshofs könne eine Haftung der Organe einer juristischen Person nicht mehr ohne weiteres angenommen werden (BGH, GRUR 2014, 883 – Geschäftsführerhaftung), so übersieht er, dass diese Entscheidung die Haftung für Wettbewerbsverstöße betrifft und damit begründet worden ist, die weitergehende Haftung sei früher mit der Störerhaftung begründet worden, die seit einiger Zeit im Wettbewerbsrecht nicht mehr angewendet werde (Fritzsche, LMK 2014, 362609). Auf den Bereich des Urheberrechts – in dem die Störerhaftung nach wie vor angewendet wird, da hier, anders als im Wettbewerbsrecht, die Verletzung absoluter Rechte in Rede steht (BGH, GRUR 2012, 304 Tz. 49 – Basler Haar-Kosmetik) – lässt sich die Entscheidung daher nicht übertragen.