Haben Sie eigentlich alle Zugangsdaten?
PNC durfte aktuell einen Fall begleiten, der einige Fragen aufgeworfen hat. In diesem Artikel geht es nicht um die Suche nach der Schuldfrage, sondern um die Aufarbeitung, was einerseits rechtens ist und andererseits von Endkunden verlangt bzw. gefordert werden kann.
Was war passiert..?
Ein kleines Unternehmen wandte sich an einen IT-Betreuer, der sich jahrelang um deren IT kümmerte. Man baute immer mehr Vertrauen zum IT-Dienstleister auf und dieser sorgte dafür, dass alles gut lief und Probleme kurzfristig gelöst werden konnten. Man ließ den IT-Betreuer werken und vertraute ihm voll und ganz. Über die Zeit der Zusammenarbeit traten allerdings Vorkommnisse auf, die das blinde Vertrauen in Frage stellten und man begann sich über die Verrechnung von Leistungen zu unterhalten. Diskussionen entstanden, Zahlungen wurden zurückgehalten - kurzum, die Situation zwischen den beiden Geschäftspartnern wurde zusehends angespannter.
Eines Tages wurden vom IT-Betreuer die geschäftskritischen Cloud-Services (M365 Mailservices) abgedreht und somit der Geschäftsbetrieb des Kunden lahmgelegt. Zu dem Zeitpunkt wurde PNC zu Hilfe gerufen, um die Wogen zu glätten und möglichst kurzfristig für einen reibungslosen Weiterbetrieb zu sorgen.
Und hier geht die echte Story los
Um die Verwaltung eines Microsoft 365 Mandanten übernehmen zu können, sind Zugangsdaten erforderlich, die auch mit den entsprechenden Berechtigungen ausgestattet sind. Konkret ging es im aktuellen Fall um die Betreuung von zwei Microsoft 365 Umgebungen, über die die Endkunden sämtlichen Email-Verkehr abgewickelt haben. Wie es bei den meisten Geschäftsbeziehungen zwischen Endkunden und IT-Betreuern im KMU-Umfeld üblich ist, wird der IT-Betreuer mit der Einrichtung, Inbetriebnahme und Verwaltung von IT-Umgebungen beauftragt. Meist werden keine ausführlichen Vertragswerke dafür ausgearbeitet, sondern die Ziele werden auf Zuruf formuliert. Grundsätzlich ist das auch in Ordnung und der Endkunde muss sich auf die Qualifikation und die rechtskonforme Umsetzung durch den IT-Partner verlassen können. So mindestens wäre die allgemein gültige Annahme nach gutem alten Hausverstand.
Die rechtliche Betrachtung
Sämtliche rechtliche Betrachtungen in diesem Artikel wurden unter Zuhilfenahme von künstlicher Intelligenz erstellt und mit unseren befreundeten Anwälten besprochen. Für absolute Rechtssicherheit wenden Sie sich aber bitte an Ihre Rechtsberatung oder gerne auch an unsere Partner-Anwälte, die Sie detailliert dazu beraten können.
Eigentümer eines Mandanten
Grundsätzlich gehört das System / der Tenant dem Endkunden. Im konkreten Fall ist hier die EU Datenschutzgrundverordnung (EU-DSGVO) anzuwenden, die klar regelt, dass der Endkunde als Auftraggeber der wirtschaftliche und rechtliche "Herr des Systems" ist und somit auch als "Verantwortlicher" aus rechtlicher Sicht gilt.
Der IT Dienstleister hingegen ist als Auftragsverarbeiter ein Erfüllungsgehilfe und darf keinesfalls wie ein Eigentümer agieren. Wartungs- und Betreuungsaufgaben können über entsprechende Vereinbarungen vom Verantwortlichen an den Auftragsverarbeiter ausgelagert werden.
Herausgabe von Zugangsdaten – rechtliche Einordnung
a) Vertragliche Haupt- und Nebenpflichten
Auch wenn es nicht explizit im Vertrag steht (oder es keinen Vertrag gibt), es besteht regelmäßig eine Nebenpflicht zur Herausgabe von Zugangsdaten. Diese ergibt sich aus:
- Vertragserfüllung
- Treu und Glauben
- Zweck des IT Systems (Nutzbarkeit durch den Kunden)
👉 Vergleichbare juristische Bewertung:
Die Verpflichtung zur Herausgabe kann sich auch ohne explizite Vereinbarung ergeben.
b) Entscheidender Maßstab: Vertragszweck
Gerichte prüfen:
- Wozu wurde das System gebaut/verwaltet?
- Muss der Kunde eigenständig darauf zugreifen können, um den Zweck zu erfüllen?
👉 Wenn JA (fast immer bei M365): ➡️ Zugang muss ermöglicht werden
Andernfalls:
- entsteht ein unzulässiger „Vendor Lock-in“
- kann als vertragswidrig gewertet werden
Was passiert, wenn der IT-Betreuer Zugriff verweigert?
Zivilrechtliche Konsequenzen
1. Vertragsverletzung
- Nichtherausgabe = Verletzung der Leistungspflichten
- mögliche Ansprüche des Kunden:
- Herausgabeklage (Zugangsdaten)
- Vertragsauflösung
- Schadenersatz
2. Schadenersatz
Wenn ein Schaden entsteht (z. B.:
- Stillstand Betrieb
- kein Zugriff auf E-Mail / Daten
- Fristversäumnisse )
👉 dann:- voller Schadenersatz möglich
Die Blockade von Passwörtern kann wirtschaftliche Schäden verursachen, der IT-Betreuer kann somit ersatzpflichtig werden.
3. Wettbewerbs- / sittenwidriges Verhalten
In Extremfällen: „Geiselnahme“ des Systems → kann als unlauter oder sittenwidrig bewertet werden
Strafrecht (nur in Extremfällen)
Strafrechtlich relevant wird es nur bei zusätzlichen Umständen, z. B.:
- unbefugter Zugriff
- Datenmanipulation
- Sabotage
Relevante Normen:
- widerrechtlicher Zugriff auf IT-Systeme
- Datenmissbrauch
👉 z. B. Zugriff mit Passwörtern im strafbaren Kontext sanktioniert
➡️ Reine Verweigerung ist normalerweise kein Strafdelikt – sondern zivilrechtlich zu lösen.
Rein rechtlich betrachtet sind Zugangsdaten keine "Sache" im klassischen Sinne, daher wird die Anwendung von § 246 StGB (Unterschlagung) nicht möglich sein. Stattdessen werden derartige Vergehen eher als "Daten- oder Computersabotage", "Verhinderung von Zugriff" oder als Vertragsverletzung / Untreue aus zivilrechtlicher Sicht eingeordnet.
Nach österreichischem Recht können hier die § 126c StGB Missbrauch von Computerprogrammen oder Zugangsdaten, § 118a StGB Widerrechtlicher Zugriff auf ein Computersystem oder §126b StGB Störung der Funktionsfähigkeit eines Computersystems zur Bewertung herangezogen werden.
Admins sollten sich also genau überlegen, ob sie Zugangsdaten für sich behalten - das Gesetz spricht hier eine ziemlich klare Sprache:
§ 126b 1 (1) StGB sagt:
Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
4. Speziell bei M365 / Cloud
Hier ist die Lage besonders eindeutig, Kontrolle besteht technisch in mehreren Ebenen:
- Tenant (Entra / Azure AD)
- Global Admins
- Domain (DNS)
- Billing
👉 Wer diese kontrolliert, bestimmt faktisch den Zugriff
→ rechtlich sollte das immer der Kunde sein
5. Wann könnte der IT-Betreuer im Recht sein?
Nur in Ausnahmefällen:
- Offene Rechnungen (Zurückbehaltungsrecht – aber eingeschränkt!)
- Vertragsvereinbarung (z. B. „Managed only“-Modell)
- Sicherheitsgründe (sehr eng auszulegen)
👉 Aber wichtig: ➡️ Kein „totaler Zugangsentzug“ dauerhaft zulässig
Bekannte Fälle
Sollten Sie selbst betroffen sein, ist etwas Sorge durchaus angebracht und man sollte möglichst schnell professionelle Unterstützung aus technischer, aber auch aus rechtlicher Sicht hinzuziehen.
| Fall | Kurz-Info | Details | Konsequenzen |
| Terry Childs (San Francisco, 2008) | Ein Netzwerk-Administrator verweigerte die Herausgabe von Passwörtern für das städtische Netzwerk. Die Stadt war 12 Tage ohne administrativen Zugriff auf die eigene Infrastruktur. |
https://www.govtech.com/security/Former-San-Francisco-Network-Admin-Terry.html | Verurteilung zu 4 Jahren Haftstrafe, ca. 1.4 Mio US$ Schaden für die Wiederherstellung |
| Pflichtverletzung im Arbeitsverhältnis | IT-Mitarbeiter verweigerte Herausgabe von Betriebsdaten und Passwörtern |
https://www.arbeitsrechtsiegen.de/artikel/arbeitnehmerhaftung-schadensersatz-wegen-verweigerter-herausgabe-von-passwoertern/ | Schadenersatzforderungen |
| IT-Admin sperrte alle Zugänge | Administrator sperrte nach Suspendierung alles Systeme |
https://dev.ua/en/news/sysadmin-pomstyvsia-robotodavtsiu-znyshchyvshy-infrastrukturu-na-200000-sud-vidpravyv-ioho-u-viaznytsiu-1751541449 | Haftstrafe, 200.000 US$ Schaden |
Diese Beispiele verdeutlichen: Der Zugriff auf IT‑Systeme ist ein kritischer Machtfaktor – und dessen Missbrauch kann sowohl strafrechtliche als auch wirtschaftliche Konsequenzen in Millionenhöhe verursachen.
Was also sollte sichergestellt sein?
Stellen Sie sich den Notfall vor. Wenn Sie beispielsweise von einem Einzelunternehmer im IT-Bereich betreut werden, dann stellen Sie sicher, dass Sie im Notfall alle Zugangsdaten haben oder bekommen können. Es reicht nicht aus, die Zugangsdaten am Anfang der Geschäftsbeziehung abzulegen und darauf zu hoffen, dass diese im Fall der Fälle funktionieren und gültig sind. Üblicherweise ändern sich diese Daten im Laufe der Zeit und müssen immer wieder auf Stand gebracht werden.
Wenn der Einzelunternehmer aus welchem Grund auch immer ausfallen sollte und nicht mehr greifbar ist, bestehen nahezu keinerlei Möglichkeiten, an die Zugangsdaten von bestehenden Systemen zu kommen und somit ist Ihr Unternehmen in ernsthafte operative Gefahr gebracht. Sollten Sie NIS2 betroffen sein, so ist dies ein absolutes NoGo - in einem Business Continuity Plan muss hier klar definiert sein, wie Sie sicherstellen, dass Ihr Unternehmen in jedem Fall problemfrei weiterbetrieben werden kann.
Unabhängig von NIS2 (steht übrigens für Netzwerk- und Informationssicherheitsrichtlinie) sollte es natürlich in Ihrem ureigensten Interesse liegen, Ihr Unternehmen jederzeit voll betriebsfähig und uneingeschränkt durch technische Probleme zu führen.
Im konkreten Fall hätte von Anfang an sichergestellt werden sollen, dass folgende Rahmenbedingungen durch den IT-Betreuer umgesetzt werden. Der Endkunden hätte folgende Rechte bzw. Rollen bekommen müssen:
- Global Admin im M365
(das heißt, der Endkunde sollte jederzeit über einen eigenen administrativen Zugang verfügen oder mindestens in seiner Dokumentation diesen finden) - Owner der Domain
Der Endkunde muss als Eigentümer der Domain eingetragen sein. Dies kann auch jederzeit über die Abfrage bei öffentlichen Diensten, wie https://www.whois.com/whois kontrolliert werden. Hier ist das erste Personen-Objekt der Eigentümer der Domain - und hier müssen die Eigentümer-Daten aufscheinen. - Vertragsinhaber bei Microsoft
Der Microsoft-Mandant muss auf den Endkunden direkt ausgestellt werden. Wenn Sie sich in Ihren M365 Mandanten einloggen (https://admin.microsoft.com), dann sehen Sie in der Titelleiste rechts oben den Namen Ihres Unternehmens. Bei Unklarheiten lassen Sie sich von Ihrem IT-Betreuer zeigen, was eingetragen ist.
Der IT Dienstleister hätte lediglich delegierte Rechte (GDAP mit eigenem Admin-User) bekommen sollen, jedoch keine alleinige Hoheit.
Was Sie von PNC erwarten können...
Als PNC verpflichten wir uns natürlich zur Einhaltung aller rechtlichen Vorgaben. Darüber haben wir folgende Standard-Prozesse umgesetzt, die für alle unsere Geschäftsbeziehungen gelten:
Customer Site Specific Documentation (CSSD)
Wir dokumentieren sämtliche Zugänge in einer internen Configuration Management Database (CMDB). Als Kunde haben Sie jederzeit die Möglichkeit, einen aktuellen Status der Dokumentation abzurufen. Dieser wird dann verschlüsselt übermittelt.
Definierte Ansprechpartner & Rollen
Da die CSSD auch Zugangsdaten beinhalten kann, die nicht für alle Mitarbeiter eines Kunden bestimmt sind, besteht die Möglichkeit, bei PNC Ansprechpartner mit gewissen Rollen hinterlegt werden. Grundsätzlich ist die Geschäftsführung eines Unternehmens berechtigt, alle Zugangsdaten jederzeit abzurufen. Soll dieses Recht z. B. auch an einen IT-Beauftragten übergeben werden, so ist das vorab bei PNC zu hinterlegen. Bitte achten Sie darauf, dass beispielsweise persönliche Zugangsdaten der Geschäftsführung in dieser Dokumentation enthalten sein können. Diese würden bei entsprechender Delegation der Rechte zum Abruf der Dokumentation ebenfalls übermittelt werden.
Bitte wenden Sie sich vertrauensvoll an die Spezialisten der PNC um konkrete Wünsche und Anforderungen mit uns zu besprechen und den besten Weg gemeinsam für Ihre Zwecke zu finden.
Es grüßt herzlichst,
Alexander Beck
