Die Gewerbeaufsichtsbehörde die Ausübung eines Gewerbes untersagen, wenn der Gewerbebetreibende unzuverlässig ist (vgl. Teil I). Als neue Fallgruppe könnte mangelhafte IT-Sicherheit per se hinzutreten. IT-Sicherheit wird gem. § 2 Abs. 2 BSIG als
Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten
definiert (vertiefend vgl. Heckmann, MMR 2006, 280, 281).
In der Rechtsprechung und Literatur ist diese Fallgruppe bisher nicht etabliert. Ausnahmefälle wie schwere Lärmbelästigung und Duldung des Rauschgifthandels (Landmann/Rohmer, Kommentar GewO, § 35, Rn. 61) verdeutlichen, dass der § 35 GewO bezweckt, die Allgemeinheit vor Gefahren einer nicht ordnungsgemäßen Gewerbeausübung zu schützen. IT-Sicherheit kann solche Gefahren verursachen. Von der neuen Fallgruppe wäre die Selbstgefährdung oder -schädigung des Gewerbetreibenden für Vermögenswerte des Unternehmens nicht umfasst, vgl Teil I. Voraussetzung ist vielmehr die Fremdgefährdung. Mangelhafte IT-Sicherheit wäre damit als Tatsache für die Begründung von Unzuverlässigkeit annehmbar, soweit eine Gefährdung der Allgemeinheit droht.
Im Unterschied zur vorgenannten Fallgruppe der fehlenden Sachkenntnis (vgl. Teil I) kommt es hier nicht auf den Branchenbezug im engeren Sinne an. Die Fallgruppe ist also nicht ausschließlich auf IT-Sicherheitsdienstleister anwendbar, sondern auf jedes Unternehmen, auch konventioneller Art, dass über IuK- Technik verfügt.
IT-Sicherheit als Fallgruppe wäre bspw. einschlägig, wenn sich ein Gewerbebetrieb ohne jegliche Sicherheitsvorkehrungen als Quelle von Viren und Würmen, evt. sich auch als Teil eines Botnetzwerkes, erweist und damit Dritte, also Mitbewerber, Lieferanten und Abnehmer beeinträchtigt. Ein einmaliger Sicherheitsverstoß wird noch nicht für die Unzuverlässigkeit ausreichen, da gerade die Feststellung für die Wahrscheinlichkeit künftiger Verstöße erforderlich ist (BVerwG GewArch 1975, 385, 387). Kommt es jedoch zu einer wiederholten Verbreitung von Viren und anderen Schädlingen an einen größeren Kreis an Geschädigten, ist der Fall anderes gelagert. Eine wichtige Rolle für die Bewertung spielt der Umfang der im Betrieb eingesetzten Informationstechnologie (Reinhard/Pohl/Capellaro, IT-Sicherheit und Recht, S. 258, Rn. 540). Demnach sind an den Betreiber einer Sozial Networking Plattform, eines Online-Shops oder eines privatrechtlichen Dienstleisters, der für die öffentliche Hand tätig wird, strengere Anforderungen zu stellen, als an einen konventionell Gewerbetreibenden, der einen kleinen Internetauftritt hat. Letztlich kommt es dabei immer darauf an, im welchem Umfang eine Gefahr für die Allgemeinheit zu befürchten ist und welche Schäden zu erwarten sind.
Sollte die Rechtsprechung dieser Fallgruppe zum Durchbruch verhelfen, gibt es für alle Beteiligten des Wirtschaftslebens einen Grund mehr IT-Sicherheit zur Chefsache zu machen. Nichtsdestotrotz können sich Gewerbetreibende schon jetzt darauf einstellen, dass krasse Verstöße gegen Datenschutzrecht, die Verbreitung gefährlicher Viren und andere Extremfälle, die auf mangelnde IT-Sicherheit zurückzuführen sind, Ausnahmefälle sind, die auch ohne eine etablierte Fallgruppe bemühen zu müssen, Unzuverlässigkeit begründen können. Im Ergebnis ist damit die Pflicht zur IT-Sicherheit schon jetzt nicht mehr aus dem Gewerberecht wegzudenken.