— aber wer haftet, wenn sie gehackt wird?
Warum der SQL Server 2014 in Ihrem Serverraum ein persönliches Risiko für die Geschäftsführung ist
und wie Sie in 3 Minuten Klarheit bekommen.
Ich sage es direkt: Dieser Beitrag wird unbequem.
Nicht, weil ich Ihnen etwas verkaufen will. Sondern weil ich seit über 30 Jahren in IT-Abteilungen von KMU unterwegs bin — als Entwickler, als Projektleiter, als IT-Leiter mit 300 Usern. Und weil ich weiß, wie es hinter den Kulissen aussieht.
Der SQL Server 2014 läuft seit zehn Jahren zuverlässig. Office 2016 ist auf der Hälfte der Rechner installiert. Der Exchange Server bekommt „irgendwann“ ein Update. Der IT-Dienstleister hat nichts gesagt. Also wird schon alles in Ordnung sein.
Ist es nicht.
Was sich geändert hat
Seit der DSGVO ist IT-Sicherheit kein technisches Thema mehr. Es ist ein rechtliches. Artikel 32 der Datenschutz-Grundverordnung verlangt, dass die technischen Maßnahmen zum Schutz personenbezogener Daten dem „Stand der Technik“ entsprechen.
Software, für die der Hersteller keine Sicherheitsupdates mehr liefert, ist nicht mehr Stand der Technik. Das ist keine Interpretationsfrage. Das ist die Rechtsauffassung der Datenschutzbehörden — und sie haben es bereits durchgesetzt.
Ein Unternehmen in Niedersachsen setzte eine Webshop-Software ein, die seit 2014 veraltet war. Der Hersteller hatte ausdrücklich davor gewarnt, die alte Version weiterzubetreiben. Nach einer Datenpanne prüfte die Landesdatenschutzbehörde — und verhängte 65.000 Euro Bußgeld.
Nicht gegen den IT-Dienstleister. Nicht gegen den Softwarehersteller. Gegen das Unternehmen.
Wen es trifft
Die Verantwortung für die Einhaltung der DSGVO liegt bei der Geschäftsleitung. Nicht bei der IT-Abteilung. Nicht beim Datenschutzbeauftragten. Nicht beim externen Systemhaus.
Das ergibt sich aus § 43 GmbHG (Sorgfaltspflicht der Geschäftsführer) und aus der DSGVO selbst: Der „Verantwortliche“ im Sinne des Datenschutzrechts ist das Unternehmen — vertreten durch die Geschäftsführung.
Ich sage das nicht, um Angst zu machen. Ich sage das, weil ich es in der Praxis erlebe: Geschäftsführer, die davon ausgehen, dass „die IT“ sich darum kümmert. IT-Leiter, die seit Monaten auf ein Budget für das Upgrade warten. Und Dienstleister, die nur das machen, was im Vertrag steht — nicht mehr.
Am Ende zeigt jeder auf den anderen. Und die Behörde zeigt auf die Geschäftsführung.
Die Zeitbombe tickt konkret
Wer heute noch eines dieser Produkte im Einsatz hat, betreibt Software ohne vollständigen Hersteller-Support:
SQL Server 2014 — Extended Support endete im Juli 2024. Erweiterte Sicherheitsupdates (kostenpflichtig) laufen bis Juli 2027, danach ist endgültig Schluss.
SQL Server 2016 — Extended Support endet im Juli 2026. Das ist in wenigen Monaten. Danach: keine Patches mehr, auch nicht gegen kritische Schwachstellen.
Office 2016 — Extended Support endete im Oktober 2025. Wer es noch nutzt, arbeitet ohne Sicherheitsnetz.
Windows 10 — Support-Ende am 14. Oktober 2025. Die weltweit noch am häufigsten eingesetzte Windows-Version wird dann nicht mehr geschützt.
Und das sind nur die Microsoft-Produkte. Dasselbe gilt für veraltete PHP-Versionen auf dem Webserver, für WordPress-Installationen ohne Updates, für Warenwirtschaftssysteme, die seit Jahren nicht angefasst wurden.
Was der IT-Leiter schon weiß
Wenn Sie IT-Leiter oder Admin sind, lesen Sie gerade vermutlich nickend mit. Sie wissen das alles. Sie haben es vielleicht sogar schon angesprochen.
Dieser Beitrag ist Ihre Munition.
Leiten Sie ihn an Ihre Geschäftsführung weiter. Oder noch besser: Schicken Sie den Link zum IT-Haftungscheck. Drei Minuten, keine Registrierung für die Vorschau, Ampelsystem, das auch Nicht-Techniker verstehen.
Manchmal braucht es eine externe Quelle, damit ein interner Hinweis ernst genommen wird. Das ist keine Schwäche — das ist Kommunikationsstrategie.
Was der Geschäftsführer tun kann
Die gute Nachricht: Niemand erwartet, dass Sie über Nacht alles upgraden. Was die DSGVO und die Gerichte erwarten, ist ein nachvollziehbarer Plan und dokumentierte Maßnahmen.
Schritt 1: Bestandsaufnahme. Welche Software läuft in welcher Version? Unser IT-Haftungscheck macht das in drei Minuten — mit automatischem Abgleich gegen aktuelle Herstellerdaten.
Schritt 2: Priorisieren. Rote Ampel zuerst. Systeme, die personenbezogene Daten verarbeiten, haben Vorrang. Der SQL Server mit der Kundendatenbank vor dem Entwickler-Laptop mit altem Office.
Schritt 3: Dokumentieren. Halten Sie schriftlich fest, was Sie wann geprüft haben und welche Maßnahmen geplant sind. Im Ernstfall zählt der Nachweis, dass Sie Ihrer Sorgfaltspflicht nachgekommen sind.
Schritt 4: Umsetzen. Ob Sie intern migrieren oder sich externe Unterstützung holen — Hauptsache, es passiert. Und zwar bevor die nächste Datenschutz-Meldung auf dem Tisch liegt.
Der IT-Haftungscheck
Ich habe ein kostenloses Tool gebaut, das genau diesen ersten Schritt erleichtert:
Sie wählen Ihre eingesetzten Software-Produkte und Versionen aus. Das Tool gleicht sie in Echtzeit mit den Herstellerdaten ab und zeigt Ihnen pro Produkt eine Ampel: Grün, Gelb, Rot.
Die Vorschau sehen Sie sofort, ohne Anmeldung. Wer den vollständigen PDF-Report mit Rechtsgrundlagen und Handlungsempfehlungen möchte, kann ihn sich kostenlos per E-Mail zuschicken lassen.
Kein Verkaufsgespräch. Kein Abo. Einfach Klarheit.
Und wenn Sie danach merken, dass der SQL Server migriert werden muss oder die Access-Datenbank ein Upgrade braucht — dann wissen Sie, wo Sie mich finden.
Über den Autor
Sönke Schäfer ist Geschäftsführer der SeSoft GmbH in Sierksdorf (Ostholstein) und arbeitet seit über 30 Jahren als IT-Berater und Datenarchitekt für den Mittelstand. Als ehemaliger IT-Leiter kennt er beide Seiten: die strategische Verantwortung der Geschäftsführung und die technische Realität im Serverraum. Unter dem Namen „Datenschäfer“ unterstützt er KMU in Schleswig-Holstein und Norddeutschland bei der Modernisierung und Absicherung ihrer IT.
👉 Kostenloses Erstgespräch vereinbaren
Quellen: DSGVO Art. 32 (Sicherheit der Verarbeitung) · § 43 GmbHG (Haftung der Geschäftsführer) · Art. 83 DSGVO (Geldbußen) · NIS2-Richtlinie (EU) 2022/2555 · Microsoft SQL Server End of Support (Microsoft Learn) · LfD Niedersachsen, Tätigkeitsbericht (Bußgeld veraltete Webshop-Software) · endoflife.date (Open-Source-Datenbank für Software-Lebenszyklen)
