Das Zertifikat IT-Sicherheit abgeschlossen, kann es aber nicht einhalten

Sehr geehrter Ratsuchender,

vielen Dank für Ihre Anfrage, die ich wie folgt beantworte:

Wenn Sie als freiberuflicher Ingenieur im Bereich Web- und Softwareentwicklung IT-Sicherheitsdienstleistungen anbieten, ist dies grundsätzlich zulässig. Allerdings müssen Sie die beworbenen Leistungen auch tatsächlich erbringen können. Das bedeutet: Sie dürfen keine Fähigkeiten oder Sicherheitsstandards zusichern, die Sie aufgrund Ihrer gesundheitlichen Einschränkungen objektiv nicht gewährleisten können. Andernfalls drohen zivilrechtliche Haftungsrisiken, falls ein Kunde nachweisen kann, dass zugesicherte Sicherheitsstandards nicht eingehalten wurden.

Eine zivilrechtliche Klage droht insbesondere dann, wenn Sie vertraglich bestimmte IT-Sicherheitsstandards zusichern und diese nicht einhalten - letztlich wie bei allen anderen vertraglichen Verpflichtungen, die nicht erfüllt werden. In diesem Fall kann der Kunde Schadensersatz verlangen. Die Haftung richtet sich nach den allgemeinen Regeln des Vertragsrechts (§§ 280 ff. BGB). Es ist daher zu empfehlen, in Ihren Verträgen und Angeboten klar und realistisch zu formulieren, welche Sicherheitsleistungen Sie tatsächlich erbringen können und welche nicht. Eine pauschale Angabe „IT-Sicherheit" ohne nähere Spezifizierung birgt das Risiko, dass Kunden weitergehende Sicherheitsmaßnahmen erwarten, als Sie tatsächlich leisten können. Auf der anderen Seite kann es für die Andere Seite natürlich schwieriger sein, konkrete Leistungen zu fordern, wenn diese eben nur "schwammig" formuliert sind.

Das unbefugte Eindringen in fremde IT-Systeme und das Ausspähen von Daten ist strafbar (§§ 202a, 202b, 202c StGB). Der sogenannte „Hacker-Paragraph" (§ 202c StGB) betrifft insbesondere die Vorbereitungshandlungen, wie das Herstellen oder Verbreiten von Hacking-Tools. Strafbar ist jedoch nur das unbefugte Handeln – also ohne Einwilligung des Systembetreibers.

In den letzten Jahren gab es intensive Diskussionen und Gesetzesinitiativen, um die Arbeit von White-Hat-Hackern zu entkriminalisieren. Ein Referentenentwurf der Bundesregierung aus November 2024 sah vor, dass das Aufspüren von Sicherheitslücken und deren Meldung an die Verantwortlichen künftig nicht mehr strafbar sein soll, sofern dies in guter Absicht und zur Verbesserung der Sicherheit geschieht. Ob und wann diese Reform insbesondere nach dem Bruch der Ampelkoalition in Kraft tritt, ist jedoch völlig offen. Bis dahin gilt weiterhin: Ohne ausdrückliche Erlaubnis des Systembetreibers ist das Testen fremder Systeme strafrechtlich äußerst heikel, auch wenn es im Interesse der Sicherheit geschieht.

Ich wünsche Ihnen viel Erfolg!

Mit freundlichen Grüßen

Arnd-Martin Alpers
Rechtsanwalt