Geschäftsführer haften für Datenmissbrauch bei Ende des Gerätesupports

Millionen von Windows 10-Rechnern packen das Upgrade auf Windows 11 nicht und müssen ersetzt werden. Der Weiterbetrieb birgt für Geschäftsführer Risiken, ebenso die Verschrottung der Altgeräte. Wie man sich vor dem Regress am privaten Geldbeutel schützt.

Datenträger wie etwa Festplatten oder elektronische Speichermedien müssen in der Regel physisch vernichtet werden, um sicher zu gehen, dass sich die gespeicherten Daten nicht doch wieder herstellen lassen. Geschäftsführer sollten sich die Datenlöschung von einem Dienstleister bestätigen lassen, rät Mammut Deutschland. (Bild: AfB gemeinnützige GmbH)

Wie viel Zeit deutsche Geschäftsführer mit der Absicherung potenzieller Haftungsrisiken verbringen wäre einmal eine Studie wert. Die üblichen 2-Tages-Seminare, die zu diesem Thema angeboten werden, reichen wohl nur aus, um die offensichtlichsten Pflichten gewissenhafter Unternehmensführung zu behandeln. Der Gesetzgeber freilich ersinnt immer mehr Auflagen, die zur Haftungsfalle führen können. Sehr zur Freude der Juristerei, Wirtschaftsprüfer und sonstiger Beraterzunft des Managements. Gelegentlich packt aber ich die IT-nahe Zunft die Haftungskeule raus und droht mit dem GAU: dem Regress am privaten Geldbeutel eines Geschäftsführers. Man kennt das von Cybersicherheitsunternehmen. Oder der Mammut Deutschland GmbH.

Daten- und Aktenvernichtung über zertifizierte Partnerbetriebe ist das Geschäft der Mammut Deutschland. Die Mittelstandskooperation mit Sitz in Hamburg ruft aus aktuellem Anlass Geschäftsführern ihre kaufmännischen Pflichten in Gewissen. Die Schlagzeile: "Windows 10: Chefs haften privat für Datenschutz nach Support-Ende".

Im Oktober 2025 stellt Microsoft keine Updates für dieses Betriebssystem mehr zur Verfügung, und da Millionen von alten PCs den Umstieg auf Windows 11 technisch nicht schaffen, müssen Unternehmen in neue Hardware investieren. Tun sie das nicht und der alte PC eines Mitarbeiters wird durch einen Hackerangriff kompromittiert, so dass dem Unternehmen ein Schaden entsteht, könnte der Chef womöglich mit seinem Privatvermögen haften, warnt Mammut Deutschland.

Er haftet womöglich auch, wenn Altgeräte zwar ersetzt werden, die Daten auf Windows 10-Rechnern aber nicht ordnungsgemäß gelöscht werden. In fremden Händen könnten beispielsweise Login-Daten zu Datenbanken oder auf dem Gerät gespeicherte sensible Dokumente einem Unternehmen finanziell schaden.

"Wer ein Unternehmen leitet, muss dafür sorgen, dass die Daten sicher verarbeitet werden und vor unbefugtem Zugriff geschützt sind", sagt Klaus Dräger, Geschäftsführer bei Mammut Deutschland. "Veraltete Software einzusetzen und damit zu riskieren, dass schützenswerte Daten wegen einer Sicherheitslücke im Betriebssystem aus der Firma abfließen, könnte gegen die Sorgfaltspflichten verstoßen, die von einem Geschäftsführer erwartet werden und die das Gesetz vorschreibt."

Verstößt ein Geschäftsführer gegen diese Pflichten und kommt es deshalb zu einem finanziellen Schaden für das Unternehmen, haftet er laut GmbH-Gesetz (§ 43) unbegrenzt mit dem gesamten Privatvermögen, so Mammut Deutschland. Sollten besonders sensible Informationen, wie Forschungsdaten, Baupläne oder personenbezogene Daten abfließen, könne der Schaden "schnell in die Millionen gehen".

Zudem warnt Mammut Deutschland von eine Beweislastumkehr: Geschäftsführer müssen darlegen, dass sie sich nichts zur Last legen lassen müssen, wenn sie mit dem Vorwurf konfrontiert werden, dass sie ihre Pflichten vernachlässigt haben. Leichte Fahrlässigkeit, wie ein zu spät aktualisiertes Betriebssystem, kann dafür schon ausreichen. "Geschäftsführer sind gut beraten, wenn sie frühzeitig organisieren, dass die vom Supportende betroffenen Geräte ersetzt werden", so Dräger.

Nachweise der Löschung oder Vernichtung von Datenträgern anfordern

Es reiche nicht aus, die Altgeräte beim Recyclinghof oder im Handel wieder abzugeben. Die Datenträger, etwa Festplatten oder elektronische Speichermedien, müssten in der Regel physisch vernichtet werden, um sicher zu gehen, dass sich die gespeicherten Daten nicht doch wieder herstellen lassen, so der Daten- und Aktenvernichter aus Hamburg. Dafür müssten die Datenträger aus den Geräten ausgebaut und separat zerstört werden. Verbaute Akkus gelten sogar als Gefahrgüter, die nicht ohne weiteres mit anderen Abfällen entsorgt werden dürfen. Die übrige Elektronik, ohne Datenträger, sowie das Gehäuse lassen sich dagegen separat erfassen und recyclen.

Wer sich als Geschäftsführer für den Fall der Fälle absichern möchte, sollte sich bestätigen lassen, welche Datenträger mit welcher Seriennummer wie vernichtet worden sind, rät Mammut Deutschlanf. Im besten Fall erfassen die Betriebe bereits bei der Beschaffung von Laptops, PCs und Mobiltelefonen, wann die Geräte gekauft worden sind, welche Seriennummern die Datenträger haben und wann sie entsorgt worden sind.

"Viele Unternehmen beauftragen IT-Dienstleister damit, ihre Mitarbeiter mit den benötigten Arbeitsmitteln auszustatten", erklärt Mammut-Chef Dräger. "Wichtig ist, dass in diesem Fall genau vereinbart wird, was mit den ausgetauschten Geräten passieren soll. Sonst fällt dem Geschäftsführer das Problem doch wieder vor die Füße."