IT Haftungscheck

Nutzt Ihr Unternehmen noch Software, die keine Sicherheitsupdates mehr erhält? Dann haften Sie persönlich.

Warum dieser Check existiert

Ich bin seit über 30 Jahren im IT-Maschinenraum unterwegs — als Entwickler, Datenarchitekt, Projektleiter und als IT-Leiter mit 300 Usern. Ich kenne die Perspektive der Geschäftsführung. Und ich kenne die Realität in kleinen und mittleren Unternehmen: SQL Server 2014 läuft noch, weil „er ja funktioniert“. Office 2016 ist auf jedem zweiten Rechner. Der Exchange Server bekommt seit Monaten keine Updates mehr.

Das Problem: Seit der DSGVO ist „läuft doch“ keine zulässige IT-Strategie mehr.

Artikel 32 der Datenschutz-Grundverordnung verlangt, dass technische Maßnahmen zum Schutz personenbezogener Daten dem „Stand der Technik“ entsprechen. Software ohne Sicherheitsupdates erfüllt diesen Standard nicht — und die Geschäftsführung haftet persönlich dafür (§ 43 GmbHG).

Ein Unternehmen in Niedersachsen musste 65.000 € Bußgeld zahlen, weil es eine seit Jahren veraltete Webshop-Software einsetzte. Die Datenschutzbehörde wurde erst durch eine Datenpanne darauf aufmerksam — aber die Lücke bestand schon lange vorher.

Was dieser Check für Sie tut

Unser IT-Haftungscheck prüft in wenigen Minuten, ob Ihre eingesetzte Software noch vom Hersteller unterstützt wird. Sie wählen Ihre Produkte und Versionen aus — das Tool gleicht sie automatisch mit aktuellen Herstellerdaten ab und zeigt Ihnen auf einen Blick:

🟢 Grün — Aktiver Support mit Sicherheitsupdates. Kein Handlungsbedarf.

🟡 Gelb — Nur noch eingeschränkter Support oder das Support-Ende naht. Planung empfohlen.

🔴 Rot — End of Life erreicht. Keine Sicherheitsupdates mehr. Konkretes Haftungsrisiko.

Auf Wunsch erhalten Sie einen kostenlosen PDF-Report mit der vollständigen Bewertung, den relevanten Rechtsgrundlagen und konkreten Handlungsempfehlungen — direkt per E-Mail.

1 Software eingeben

2 Ergebnis

3 Report anfordern

4 Fertig

Welche Software setzen Sie ein?

Wählen Sie die Software-Produkte und Versionen aus, die in Ihrem Unternehmen im Einsatz sind.

Produkt

Version

Rechtlicher Hintergrund: Warum veraltete Software ein Haftungsrisiko ist

DSGVO Art. 32 — Sicherheit der Verarbeitung

Die DSGVO verpflichtet jedes Unternehmen, das personenbezogene Daten verarbeitet, zu technischen und organisatorischen Maßnahmen, die dem Stand der Technik entsprechen. Das betrifft Kundendaten, Mitarbeiterdaten, Lieferantendaten — praktisch jedes Unternehmen.

Software, für die der Hersteller keine Sicherheitsupdates mehr bereitstellt, gilt nicht mehr als Stand der Technik. Bekannte Sicherheitslücken bleiben offen und machen Systeme anfällig für Angriffe wie SQL-Injection, Ransomware oder Datendiebstahl.

§ 43 GmbHG — Persönliche Geschäftsführerhaftung

Die Pflicht zur ordnungsgemäßen und gesetzeskonformen Unternehmensführung liegt bei der Geschäftsleitung — nicht bei der IT-Abteilung, nicht beim Datenschutzbeauftragten und nicht beim externen IT-Dienstleister. Geschäftsführer, die veraltete IT-Systeme wissentlich oder fahrlässig weiterbetreiben, verletzen ihre Sorgfaltspflicht und haften im Schadensfall persönlich.

Art. 83 DSGVO — Bußgelder

Bei Verstößen gegen die technischen Schutzanforderungen der DSGVO drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für KMU sind die tatsächlichen Beträge niedriger, aber selbst fünfstellige Bußgelder können für ein kleines Unternehmen existenzbedrohend sein.

NIS2-Richtlinie — Verschärfung ab 2025

Die europäische NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen und sieht eine ausdrückliche persönliche Haftung der Geschäftsleitung für IT-Sicherheitsmängel vor. Betroffen sind Unternehmen in kritischen und wichtigen Sektoren mit mehr als 50 Mitarbeitern oder über 10 Millionen Euro Umsatz.

Konkrete Beispiele: Aktuelle End-of-Life-Termine

SQL Server 2014: Extended Support endete am 9. Juli 2024. Erweiterte Sicherheitsupdates (ESU) sind kostenpflichtig bis Juli 2027 — danach endgültig ohne Schutz.

SQL Server 2016: Extended Support endet im Juli 2026. Danach sind keinerlei Sicherheitspatches mehr verfügbar.

Office 2016 / Office 2019: Mainstream-Support für Office 2016 endete bereits 2020, Extended Support im Oktober 2025.

Windows 10: Support-Ende am 14. Oktober 2025. Danach keine Sicherheitsupdates mehr für die weltweit noch am häufigsten eingesetzte Windows-Version.

Häufige Einwände und warum sie nicht schützen

„Die Software läuft doch einwandfrei.“ Funktionsfähigkeit ist nicht gleichbedeutend mit Sicherheit. Eine Software kann technisch laufen und trotzdem bekannte Sicherheitslücken enthalten, die aktiv ausgenutzt werden.

„Wir haben eine Firewall und einen Virenscanner.“ Perimeterschutz ersetzt nicht die Pflicht, die eingesetzte Software auf aktuellem Stand zu halten. Datenschutzbehörden prüfen im Schadensfall das Gesamtkonzept — nicht einzelne Komponenten.

„Das Upgrade ist zu teuer.“ Implementierungskosten sind ein zulässiger Abwägungsfaktor nach Art. 32 DSGVO. Allerdings reicht „zu teuer“ allein nicht als Begründung, wenn die Risiken für Betroffene hoch sind und die Software seit Jahren keine Updates mehr erhält.

„Unser IT-Dienstleister hätte uns doch informiert.“ Die Verantwortung verbleibt bei der Geschäftsleitung. Ein externer Dienstleister hat allenfalls eine Hinweispflicht — die Umsetzung und Kontrolle ist und bleibt Aufgabe der Geschäftsführung.

Was Sie tun können

Bestandsaufnahme durchführen — Nutzen Sie den Check oben, um einen Überblick zu bekommen.
Prioritäten setzen — Rote Produkte zuerst, dann gelbe. Nicht alles auf einmal.
Dokumentieren — Halten Sie schriftlich fest, welche Maßnahmen Sie wann ergriffen haben. Im Ernstfall zählt die Nachweisbarkeit.
Fachliche Unterstützung holen — Bei Migrationen von Datenbanken (SQL Server, Access) und der Aktualisierung von IT-Infrastruktur unterstütze ich KMU in Norddeutschland seit drei Jahrzehnten.

👉 Kostenloses Erstgespräch vereinbaren

Über den Autor

Sönke Schäfer ist Geschäftsführer der SeSoft GmbH in Sierksdorf (Ostholstein) und arbeitet seit über 30 Jahren als IT-Berater und Datenarchitekt für den Mittelstand. Als ehemaliger IT-Leiter mit Verantwortung für 300 Anwender kennt er beide Seiten: die strategische Perspektive der Geschäftsführung und die technische Realität im Serverraum. Unter dem Namen „Datenschäfer“ unterstützt er Unternehmen in Schleswig-Holstein und Norddeutschland bei der Modernisierung und Absicherung ihrer IT-Landschaft.

Schwerpunkte: Microsoft SQL Server, Access, Power Platform, Prozessautomatisierung, IT-Sicherheit für KMU.

Quellen und weiterführende Informationen

DSGVO Art. 32 — Sicherheit der Verarbeitung · Verordnung (EU) 2016/679, Artikel 32 · https://dsgvo-gesetz.de/art-32-dsgvo/

DSGVO Art. 83 — Allgemeine Bedingungen für die Verhängung von Geldbußen · Verordnung (EU) 2016/679, Artikel 83 · https://dsgvo-gesetz.de/art-83-dsgvo/
§ 43 GmbHG — Haftung der Geschäftsführer · Gesetz betreffend die Gesellschaften mit beschränkter Haftung · https://www.gesetze-im-internet.de/gmbhg/__43.html
NIS2-Richtlinie · Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau · https://eur-lex.europa.eu/eli/dir/2022/2555
Bußgeld wegen veralteter Software · Landesbeauftragte für Datenschutz Niedersachsen, Tätigkeitsbericht · https://www.datenschutzberater.nrw/blog-dsgvo-bussgeld-wegen-veralteter-software-im-online-shop/
Microsoft SQL Server End of Support · Microsoft Learn · https://learn.microsoft.com/de-de/sql/sql-server/end-of-support/sql-server-end-of-support-overview
End-of-Life-Datenbank für Software-Produkte · endoflife.date (Open Source, community-gepflegt) · https://endoflife.date/
Compliance-Pflichten der Geschäftsleitung · Heuking Kühn Lüer Wojtek, Fachbeitrag · https://www.heuking.de/de/news-events/newsletter-fachbeitraege/artikel/compliance-pflichten-der-geschaeftsleitung-in-bezug-auf-datenschutz-und-datensicherheit-1.html
Datenschutz und IT-Sicherheit sind Chefsache · Rechtsanwalt Dr. Oliver Daum · https://www.anwalt-daum.de/unternehmen-datenschutz-it-sicherheit/

Hinweis: Dieser IT-Haftungscheck dient der Sensibilisierung und allgemeinen Information. Er ersetzt keine individuelle Rechtsberatung und keine IT-Sicherheitsprüfung im Sinne eines Audits. Die Support-Daten werden automatisiert aus öffentlichen Quellen (endoflife.date, Herstellerangaben) bezogen und nach bestem Wissen aufbereitet. Für die Aktualität und Vollständigkeit der Daten übernehmen wir keine Gewähr. Bei konkretem Beratungsbedarf wenden Sie sich bitte an einen Fachanwalt für IT-Recht oder Datenschutzrecht.