Ohne Firewall kein Kredit?

Gesetz verpflichtet nicht zu sicherer EDV

Entgegen weit verbreiteter Auffassungen bestehen derzeit keine direkten gesetzlichen Vorgaben dafür, wie ein Unternehmen seine EDV-Sicherheitseinrichtungen ausgestalten muss. Es existieren lediglich Spezialvorschriften, zum Beispiel im Atomrecht. In der Praxis allerdings gibt es gute Gründe, mit dem Blick auf die Rechtsprechung gewisse Standards aus eigenem Interesse einzuhalten.

Infrastrukturen entweder in die Obhut von Spezialisten zu geben oder sie permanent zu überprüfen.

Die Kunden eines Rechenzentrums zum Beispiel, das Millionen von Datenspeicherungen, Veränderungen und Transaktionen für einen Kunden abwickelt, werden auf jeden Fall vertraglich auf garantierten Verfügbarkeitskorridoren bestehen. Unter diesen Umständen steht der Anbieter auch ohne gesetzliche Vorschriften, die die Form der Sicherheitsmaßnahmen beschreiben, in der Pflicht. Ist das System nämlich abweichend vom vertraglich vereinbarten Umfang von 99,5 Prozent uneingeschränkter Verfügbarkeit für einen gewissen Zeitraum nur zu 98 Prozent verfügbar, gilt bereits, dass eine garantierte vertragliche Leistung nicht erbracht werden konnte. Der Betreiber des Rechenzentrums wird in diesem Fall unabhängig von der Frage, ob er die Unterschreitung schuldhaft oder nicht schuldhaft herbeigeführt hat, für den entstandenen Schaden haften. Da sich Schäden wie entgangener Gewinn schwer nachweisen lassen, gehen Unternehmen in der Praxis außerdem dazu über, bei Unterschreitung von garantierten Verfügbarkeitswerten Vertragsstrafen in gestaffelter Höhe zu vereinbaren, die vergleichsweise einfach durchzusetzen sind. Ein Rechenzentrumsbetreiber kann seinen Kunden beispielsweise nicht mehr durch die kurze Aussage "wird bestritten" zu umfangreichen Beweisversuchen nötigen, die im Regelfall nie vollständig gelingen.