09/12/2025
Hand aufs Herz: Wer betreut Ihre IT?
Ist es ein zertifiziertes Systemhaus mit Vertretungsregelung oder – wie so oft in Österreich, jemanden der „sich halt gut mit Computern auskennt“?
Wir beobachten einen gefährlichen Trend: Immer mehr Unternehmen vertrauen ihre digitale IT-Infrastruktur samt Dienstleistungen jemanden an, die weder über notwendige Zertifizierungen noch über Backup-Ressourcen verfügt. Was viele Geschäftsführer, Ärzte, Notare und Anwälte dabei übersehen: Sie als Auftraggeber haften selbst.
Hier sind drei Gründe, warum die Zusammenarbeit mit nicht qualifizierten IT-Personal für Sie zum existenziellen Risiko wird:
1. Die Haftungsfalle: „Auswahlverschulden“
Viele Unternehmer glauben, sie könnten die Verantwortung für IT-Sicherheit einfach „auslagern“. Das ist ein Trugschluss. Wenn Sie einen Dienstleister beauftragen, der erkennbar nicht qualifiziert ist (fehlende Zertifikate, keine Referenzen, Dumpingpreise), handeln Sie grob fahrlässig und trifft Sie dadurch die Haftung.
• Österreich (\S 1315 ABGB): Wer sich einer „untüchtigen Person“ bedient, haftet für die Schäden, die diese verursacht, wenn die Untüchtigkeit bekannt war oder hätte bekannt sein müssen. Wenn Ihr IT-Betreuer sensible Daten verliert, haften Sie gegenüber Ihren Kunden.
• Deutschland (\S 831 BGB / Verkehrssicherungspflicht): Auch hier gilt: Wer Sorgfaltspflichten bei der Auswahl missachtet, haftet für das Organisationsverschulden.
• DSGVO (Art. 28): Sie sind gesetzlich verpflichtet, nur solche Auftragsverarbeiter zu nutzen, die hinreichend Garantien für den Schutz der Daten bieten. Unternehmen ohne Strukturen und ohne Sicherheitskonzepte bietet diese Garantie nicht.
2. Gehilfenhaftung: Aber auch bei der Beauftragung einer nicht unbedingt erkennbar unqualifizierter Person kann Sie eine Haftung treffen. Bei der sogenannten „Gehilfehaftung“ haften Sie für Fehler von Personen, die Sie einsetzen, wie für eigene.
3. Der „Bus-Faktor“: Wenn der Einzelkämpfer ausfällt
Was passiert, wenn Ihr IT-Betreuer krank wird, einen Unfall hat oder sein Gewerbe plötzlich aufgibt?
Gerade in Kanzleien oder Ordinationen bedeutet das oft: Kein Zugriff auf Teile der Systeme, Patientenakten, keine Fristenkontrolle, Stillstand.
Das Problem: Sie können sich nicht darauf berufen, dass „der IT-Mann nicht erreichbar war“. Als Unternehmer müssen Sie organisatorisch vorsorgen. Ein Ausfall ohne Notfallplan wird vor Gericht oft als Organisationsverschulden gewertet.
4. Besondere Gefahr für Berufsträger (Ärzte, Notare, Rechtsanwälte)
Für Berufe, die der Verschwiegenheitspflicht unterliegen, ist die Lage besonders brisant. Werden Patientendaten oder Klientenakte durch eine Sicherheitslücke (z. B. fehlende Patch-Management-Kompetenz des Dienstleisters) veröffentlicht, drohen nicht nur DSGVO-Strafen, sondern allenfalls auch empfindliche Schadensersatzansprüche.
Ausblick: Cyber Security Act & NIS-2 (2024–2026)
Der Gesetzgeber zieht die Daumenschrauben an. Mit der Umsetzung der NIS-2-Richtlinie und dem kommenden Cyber Resilience Act (EU) werden Geschäftsführer künftig persönlich haftbar gemacht, wenn sie die Cyber-Security in der Lieferkette (Supply Chain) vernachlässigen.
Das bedeutet: Ab spätestens 2025/2026 müssen Sie nachweisen, dass auch Ihr IT-Dienstleister sicher arbeitet. Ein nicht ausreichend zertifiziertes Unternehmen wird diese Compliance-Anforderungen kaum erfüllen können.
Unser Rat: Vertrauen Sie auf zertifizierte Kompetenz
Sparen Sie nicht an der falschen Stelle. IT-Sicherheit ist heute keine „Nebenbei-Aufgabe“ mehr, sondern ein Fundament Ihres Unternehmens.
Setzen Sie auf Partner, die:
• Nachweisbare Qualifikationen und Zertifizierungen besitzen.
• Vertretungsregelungen und Ausfallsicherheit garantieren.
• Die aktuelle Rechtslage in DACH (D-A-CH) kennen und umsetzen.
Lassen Sie uns gerne prüfen, ob Ihre aktuelle IT-Betreuung den gesetzlichen Anforderungen standhält.
Kurzcheck: Ist Ihr IT-Dienstleister ein Risiko?
[ ] Gibt es eine vertraglich geregelte Stellvertretung bei Krankheit/Urlaub?
[ ] Kann der Dienstleister rechtlich anerkannte Zertifikate (IT-Berufsausbildung mit Abschluss, Security-Prüfungen, nachweislich geprüfte Ausbildung für den EU-Datenschutz, geprüfter Cyber-Risk Experte, ITIL Experts, etc.) vorweisen?
[ ] Gibt es eine Berufshaftpflichtversicherung des IT-Dienstleisters für Vermögensschäden?
Haben Sie eine Frage mit NEIN beantwortet? Dann besteht Handlungsbedarf.
Gerne können Sie mit einem unsere Experten des BOM Business Organisation Management GmbH Teams einen unverbindlichen Beratungstermin vereinbaren. +43 7755 7165-0 bzw. [email protected]
Unsere Stärken sind in der Beratung, Planung und Umsetzung von wirtschaftliche und kostengünstige
