Im Netzwerk treibt ein Virus sein Unwesen, in den Postfächern verschickt ein Wurm lustige E-Mails und die Mitarbeiter lassen gerne mal Datenträger mit 10.000 sensiblen Kundendaten in öffentlichen Verkehrsmitteln zurück. Sind Fälle wie diese ausreichend für die zuständige Gewerbeaufsicht die Ausübung des Gewerbes zu untersagen?
Grundsätzlich ist eine Untersagungsverfügung nach § 35 Abs. 1 GewO möglich, soweit der Gewerbetreibende unzuverlässig ist und wenn andere Mittel zur Gefahrenabwehr bei vernünftiger Abwägung aller Gesichtspunkte vom öffentlichen, aber auch privaten Interesse aus nicht mehr vertretbar sind (BVerwG GewArch 1966, 202, 203).
Nach ständiger Rspr. ist gewerberechtlich unzuverlässig, wer nach dem Gesamteindruck seines Verhaltens keine Gewähr dafür bietet, dass er sein Gewerbe in Zukunft ordnungsgemäß, dh. gemäß des Gesetzes und der Sitten, ausüben wird (BVerwG GewArch 1971, 200, 201). Die Unzuverlässigkeit muss sich aus in der Vergangenheit eingetretenen Tatsachen ergeben. Aufgabe der Behörde ist es zu beurteilen, ob die Tatsachen auf eine Unzuverlässigkeit des Gewerbetreibenden in der Zukunft schließen lassen (vgl. BVerwGE 24, 38, 40). Da es sich bei der Unzuverlässigkeit um einen unbestimmten Rechtsbegriff handelt, der somit vom Gericht voll überprüfbar ist, (Brüning, BeckOK GewO, § 35, Rn. 24) und der § 35 GewO keine Definition oder Regelbeispiele enthält, sind von der Rechtsprechung eine Reihe von Fallgruppen von Tatsachen anerkannt: wie Straftaten und Ordnungswidrigkeiten, mangelnde wirtschaftliche Leistungsfähigkeit, Steuerschulden, Verletzung sozialversicherungsrechtlicher Verpflichtungen, Geisteskrankheit, Trunksucht, Verwahrlosung u.a., vlg. Brüning, BeckOK GewO, § 35, Rn. 23.
Als Fallgruppe für mangelhafte IT-Sicherheit könnte eine weitere anerkannte, nämlich mangelnde Sachkunde in Betracht kommen.
Mangelnde Sachkunde ist das Fehlen von Fachkenntnissen. Unzuverlässigkeit kann angenommen werden, wenn nach der allgemeinen Lebenserfahrung die fachliche Fähigkeit des Gewerbetreibenden für eine ordnungsgemäße Gewerbeausübung unerlässlich ist. Die Rspr. verstand darunter Fälle, in denen ein Gewerbe ohne die gesetzlich vorausgesetzte Berufszulassung, bspw. eine Meisterprüfung, ausgeübt wurde.
Im Hinblick auf IT-Sicherheit ist dieser Ausnahmetatbestand denkbar für Gewerbetreibende, die IT-Sicherheitskonzepte entwerfen oder IT-Sicherheitslösungen anbieten (Reinhard/Pohl/Capellaro, IT-Sicherheit und Recht, S. 257, Rn. 539).Verfügt der Gewerbetreibende über unzureichende Sachkenntnis, wobei dies, in restriktiver Anwendung dieser Fallgruppe, nur beim vollständigen Fehlen von praktischer oder theoretischer Vorbildung gegeben ist (eda.). Ferner müsste die unzureichende Absicherung der Informationstechnologie des Unternehmens zu Schäden für die Allgemeinheit führen. Nicht ausreichend sind Schäden, die bspw. von erhöhten Wartungs- und Reparaturkosten im Unternehmen, Serverausfällen und Softwareproblemen innerhalb des Unternehmens verursacht werden. Verstöße gegen das Datenschutzrecht, wie die Preisgabe von Kundendaten oder das „Abhandenkommen“ von Datenträgern, die Weiterverbreitung von Viren und Würmen genügen für die Annahme der Unzuverlässigkeit.
Eine (Voll-)Untersagung ist jedoch nur ultima ratio zur Gefahrenabwehr, wenn die Gefährdung nicht durch mildere Mittel abgewendet werden kann, wie bspw. durch Kontrollen, Abmahnungen oder Bußgeld (vgl. auch Heckmann, MMR 2006, 280, 283).
Wie eingangs skizziert, kann mangelnde IT-Sicherheit im Unternehmen auf das Gewerberecht Auswirkungen haben, wenn dabei die Allgemeinheit gefährdet wird. Nach dieser Fallgruppe dürfen sich in erster Linie Hard- und Softwarehersteller und Dienstleister im IT-Sicherheitssektor angesprochen fühlen, da stets Branchenbezug erforderlich ist. Softwarehersteller mit wenig IT-Sicherheitsbezug sind daher weniger von dieser Fallgruppe betroffen. Für diese und andere Gewerbetreibende kommt eher eine neue Fallgruppe in Betracht, nämlich Nachlässigkeit bei der IT-Sicherheit als eigene Fallgruppe (dazu morgen bei ReH..Mo in Teil II).