Sparen auf Teufel komm´ raus - das ist nicht immer die beste Idee. Denn manchmal wird diese Redewendung bittere Realität. In Teufels Küche kommt ein Unternehmen vor allem dann, wenn der IT-Sparzwang gültige Rechtsnormen, Sicherheitsanforderungen und Compliance-Gebote aushebelt. Brandheiß wird die Sache, wenn der verantwortliche Manager für solche Verstöße auch noch persönlich haftet.
"CIOs stehen heute täglich im Feuer und müssen ihr Haftungsrisiko bewusst minimieren", warnen Armin Strauss und Hartmut Jaeger. Wie die Geschäftsleitungsmitglieder bei der PA Consulting Group betonen, ist das "kein einfacher Spagat". Denn die klammen Budgets würden den CIO häufig in rechtliche Grauzonen zwingen: "So ist das Stopfen aller Risikoquellen eine fast unlösbare Aufgabe." Das gelte umso mehr, je schwieriger es werde, die ständig weiter ausdifferenzierten rechtlichen Anforderungen im Blick zu behalten.
Eins steht jedenfalls fest: Mehr denn je muss der Chief Information Officer oder IT-Leiter mögliche Gefahren frühzeitig erkennen, am besten sogar vorausahnen. Sonst tappt er nur zu leicht in die persönliche Haftungsfalle.
Die Folgen wiegen schwer. So reicht die Palette der eventuellen Ahndungen von horrenden Geldbußen bis zur fristlosen Kündigung. Und am Ende ist nicht nur das Image des CIO, sondern auch das des Arbeitgebers ruiniert.
Das Risiko verringern - aber wie?
Damit es dem CIO nach einem unbewussten Rechtsverstoß nicht gleich persönlich an den Kragen geht, muss er sich die Frage stellen, wann er handeln und welche Sicherheitsschotten er einziehen muss. Eine erste Antwort liefert der Anstellungsvertrag. Je nach Beschäftigungsverhältnis sieht das Gesetz unterschiedliche Haftungsarten vor. Ein wesentliches Kriterium ist dabei, ob der CIO als Mitglied der Geschäftsleitung oder als leitender Angestellter agiert.
"Einen CIO, der seiner Tätigkeit als Arbeitnehmer nachgeht, treffen andere Pflichten als denjenigen, der das als Organ einer größeren Gesellschaft tut", erläutert Rechtsanwalt Thomas Jansen von der Wirtschaftskanzlei DLA Piper. Ist der CIO ein Arbeitnehmer, so sind zwei Haftungskonstellationen denkbar, führt Jansen weiter aus: Zum einen stehe der IT-Leiter haftungsrechtlich gegenüber seinem Arbeitgeber in der Verantwortung. Zum anderen könne er gegenüber dem Auftraggeber des Arbeitgebers haften, also beispielsweise gegenüber einem externen Service-Provider.
Für den zweiten Fall gilt folgender Grundsatz: Arbeitnehmer, die im Rahmen ihrer Tätigkeit einen Schaden bei einem Dritten verursachen, können nur im selben Umfang in Anspruch genommen werden wie ihr Arbeitgeber. Das heißt im Klartext: Sofern der Arbeitgeber nicht haftet, haftet auch der CIO nicht.
Anders sieht es aus, wenn die Geschäftsleitung aufgrund eines Fehlers haftbar gemacht wird und den CIO eine Teilschuld trifft. "In diesem Fall kann nicht ausgeschlossen werden, dass der IT-Manager ebenfalls zur Kasse gebeten wird", warnt Jansen.
Transparenz schafft Sicherheit
Diese Konstellation ist nicht aus der Luft gegriffen, sondern kann im Handumdrehen drückende Realität werden. Deshalb raten die PA-Consulting-Geschäftsführer Strauss und Jaeger jedem CIO zu absoluter Transparenz gegenüber der Geschäftsleitung. Bei einer IT-Initiative, etwa bei der Einführung einer neuen Software, sollte er sämtliche regulatorischen Rahmenbedingungen bestmöglich einhalten und alle Schritte umfassend dokumentieren: "Nur so lässt sich die operative Sicherheit erhöhen." Der CIO müsse nicht nur sein Umfeld transparent halten, sondern auch Nachweise führen, zum Beispiel per Protokoll: "Dann besteht eine gute Chance, Schaden von der eigenen Person abzuwenden."
Wie wichtig es ist, interne Gremien regelmäßig einzubinden, weiß auch Bernd Neumann (Name von der Redaktion geändert). Der Group CIO eines großen Handelskonzerns agiert nach eigenen Worten "bei allen Entscheidungen nach bestem Wissen und Gewissen". Alles werde dokumentiert und die Geschäftsführung "eher zu viel informiert als zu wenig".
Vorsatz oder Fahrlässigkeit?
Die Manager-Haftung im IT-Bereich ist ein Minenfeld. Für das Verhältnis von Arbeitgeber und Arbeitnehmer hat die Rechtsprechung mit dem "innerbetrieblichen Schadensausgleich" ein Haftungssystem entwickelt, das die Interessen beider Parteien gerecht ausgleichen soll. Thomas Jansen von DHL Piper fasst die wesentlichen Punkte zusammen:
-
Grundsätzlich gilt, dass der Arbeitnehmer je nach vorliegender Fahrlässigkeit unterschiedlich stark in Anspruch genommen werden kann.
-
Eine unbeschränkte Haftung besteht für Arbeitnehmer in der Regel bei "grob" fahrlässigem Verhalten und immer bei Vorsatz.
-
Bei "leichtester" Fahrlässigkeit ist die Haftung des Arbeitnehmers ausgeschlossen.
-
Im Falle eines Verhaltens, das zwischen leichtester und grober Fahrlässigkeit liegt, also bei "mittlerer" Fahrlässigkeit, wird eine Abwägung vorgenommen; sie sieht in der Regel eine 50-prozentige Haftung des Arbeitnehmers vor.
-
Generell gilt aber für den innerbetrieblichen Schadensausgleich, dass die Haftung des Arbeitnehmers aus Billigkeitsgründen gemildert werden kann.
Anders verhält es sich hinsichtlich der Haftung gegenüber dem Auftraggeber des Arbeitgebers. Hier nutzen dem CIO oft die zwischen dem Arbeitgeber und dem Auftraggeber vereinbarten Haftungsbeschränkungen oder -ausschlüsse, so Jansen.
-
In der Praxis wurden zwischen dem Auftraggeber und dem Arbeitgeber des CIO oft Klauseln vereinbart, die die Haftung auf grobe Fahrlässigkeit und Vorsatz beschränken.
-
Falls der Arbeitgeber aufgrund der vereinbarten Haftungserleichterung nicht haftet, kommt auch der CIO ungeschoren davon. Er kann sich in der Regel auf diese Vereinbarung berufen.
-
Das gilt selbst dann, wenn sich die Klauseln nirgendwo als in den Allgemeinen Geschäftsbedingungen (AGB) des Arbeitgebers befinden.
Was aber, wenn er sich bei einer Entscheidung einmal nicht über die rechtlichen Konsequenzen im Klaren ist und die Gefahr einer persönlichen Haftung besteht? "Dann binde ich je nach Aufgabenstellung die interne Revision oder andere Organisationseinheiten zur Prüfung des rechtlichen Sachverhalts ein. Dabei dokumentiere ich nicht nur die Dinge, die ich entscheide, sondern gerade auch die, die ich nicht entscheide."
Eine von Grund auf saubere Dokumentation ist zudem deutlich kosteneffizienter als der Versuch, die nötigen Unterlagen erst im Nachhinein und auf Nachfrage zusammenzutragen. Doch bei aller gebotenen Sorgfaltspflicht sollte die Nachweisverwaltung auch nicht ausufern. Der CIO markiert die Grenze: "Keinesfalls darf ein übersensibler Umgang mit potenziellen Haftungsrisiken die Handlungsfähigkeit lähmen." Schließlich sei der IT-Verantwortliche immer noch ein Business-Partner, sprich: "Er muss mit seiner Arbeit auf die Unternehmensziele einzahlen."
Lizenzverstöße werden teuer
Aber wie verhindert der CIO, dass Business-Entscheidungen als Haftungs-Bumerang auf ihn zurückschlagen? Das kann sehr schnell geschehen - beispielsweis wenn der Kauf neuer Softwarelizenzen ansteht, das Budget dafür aber knapp bemessen ist. Hier sind viele Unternehmen versucht, unlizenzierte Programme einzusetzen. Aber wer dieser Verockung erliegt, spielt mit dem Feuer.
Nach Paragraf 99 des Urheberrechtsgesetzes (UrhG) ziehen Lizenzverstöße unweigerlich eine persönliche Haftung nach sich, sofern der Lizenzeinsatz zum Aufgabenbereich des verantwortlichen CIOs gehört. Ob der IT-Manager dabei als Geschäftsführer oder Angestellter fungiert, spielt keine Rolle. Einem Urteil des Oberlandesgerichts (OLG) Karlsruhe zufolge (23. April 2008 - 6 U 180/06) begründet schon die reine Kenntnis vom Einsatz nicht ordnungsgemäßer lizenzierter Software die persönliche Haftung.
Tritt dieser Fall ein, so muss der verantwortliche Geschäftsführer unverzüglich aktive Maßnahmen ergreifen, um eine illegale Softwarenutzung zu verhindern. Das schlichte Verteilen eines Merkblatts zur Softwarenutzung reicht keinesfalls aus, um den Verantwortlichen zu entlasten. Wie das OLG Karlsruhe unmissverständlich klärte, muss "durch geeignete Maßnahmen" sichergestellt sein, dass auf den Computern eines Unternehmens nur lizenzierte Software installiert und eingesetzt wird.
Selbstschutz vor Business-Entscheidung
Für CIO Neumann steht deshalb das Prinzip Selbstschutz ganz klar über dem Prinzip Business-Entscheidung. Und das zieht er auch in der Praxis durch. Zur Nagelprobe kam es, als er für sein Unternehmen Lizenzen einkaufen wollte, ohne dass dafür Geld vorhanden war: "Ich wusste, wenn die Softwarelizenzen nicht in ausreichender Menge vorhanden sind, hafte ich persönlich. Da habe ich mit Kündigung gedroht." Bewusst illegal zu handeln kam für ihn nicht in Frage.
Neben der Haftung für Lizenzverstöße sind auch Fehler beim Datenschutz und bei der IT-Sicherheit für den CIO tückisch. In beiden Fällen kann er persönlich zur Verantwortung gezogen werden. Welche drastischen Konsequenzen bei datenschutzwidrigem Handeln drohen, zeigt ein heftig diskutiertes Urteil des Arbeitsgerichts (ArbG) Berlin.
Konkret ging es um die Frage, ob die Veranlassung datenschutzwidriger Maßnahmen Grund für eine außerordentliche Kündigung des Beschäftigungsverhältnisses ist (18. Februar 2010 - 38 Ca 12879/09). Die Richter entschieden, dass die Kündigung eines leitenden Angestellten aus dem Bereich Compliance aufgrund der von ihm veranlassten Überwachungsmaßnahmen beziehungsweise eines rechtswidrigen Datenabgleichs zulässig sei. Das gelte immer dann, wenn der Arbeitnehmer zum einen objektiv rechtswidrig, also unter Verstoß gegen Datenschutzvorschriften gehandelt habe und zum anderen subjektiv um die Rechtswidrigkeit wusste.
Eine vergleichbare Ausgangslage ergibt sich für CIOs, die Aufgaben in der IT-Compliance verantworten. Dazu Flemming Moos, Fachanwalt für Informationstechnologierecht bei DLA Piper: "Bei der Klärung der Haftungsfrage wird es darauf ankommen, ob der betreffende CIO juristisch ausgebildet ist und deshalb hätte wissen müssen, dass bestimmte Maßnahmen rechtswidrig sind."
Nicht nur für die Wahrung der Regelkonformität, sondern auch für die Sicherheit der Informationstechnik kann der IT-Leiter persönlich zur Rechenschaft gezogen werden. Aus rechtlicher Sicht ist das haftungsrelevante Aufgabenfeld des CIO eindeutig definiert. Er muss sich genau um die folgenden Punkte kümmern:
-
Regelmäßige Aktualisierung des Datensicherungskonzepts,
-
Absicherung der IT-Systeme und Datenbanken,
-
Vorhandensein ausreichender Sicherheitsstandards,
-
regelmäßige Viren-Scans und Beseitigung eventueller Viren sowie
-
zeitnahe Updates der Antivirussoftware.
Weitgehend ausschließen kann der CIO ein persönliches Haftungsrisiko nur dann, wenn er nachweislich alle erforderlichen Sorgfaltspflichten erfüllt hat. Als Bewertungsgrundlage dienen hier häufig technische Standards, beispielsweise ISO-Normen oder die Grundschutznormen des BSI. Wenn sich der CIO seiner Sache nicht ganz sicher ist, so empfehlen die PA-Consulting-Experten Strauss und Jaeger ein Risiko-Assessment, das die Lücken aufdeckt. Ein solches Assessment sollte aufgrund der kontinuierlich verschärften Rechtsvorgaben ihrer Ansicht nach sogar regelmäßig erfolgen.
Kontrolle ist der beste Schutz
Tatsächlich ist absehbar, dass die rechtlichen Damenschrauben künftig weiter angezogen werden. Zudem wächst das Aufgabenspektrum des CIO im gleichen Maß. Folglich wird die latente Gefahr der persönlichen Haftung eher steigen als schwinden. Für Strauss und Jaeger ist das noch lange kein Grund zur Panik. Die von ihnen vorgeschlagene Lösung liegt in einem effektiven Risikokontroll-System, das "in engem Schulterschluss mit Rechtsexperten und Geschäftsführung" entwickelt wird: "Es macht aus einem unkalkulierbaren ein kalkulierbares Risiko."
IT-Chef Neumann hat ein persönliches, praxisbewährtes "Selbstschutzinstrumentarium", mit dem er die Gefahren auf ein verträgliches Maß einzudämmen hofft und im Zweifel auf der sicheren Seite ist. Beispielsweise wendet er stets das Vier-Augen-Prinzip an, lässt Verträge ab 10.000 Euro grundsätzlich archivieren und veranlasst Regelungen zu Vertretungen und Unterschriftenhöhen.
Besonders wachsam sollten CIOs nach Neumanns Auffassung sein, wenn andere Fachbereiche Hardware und Software einkaufen: "Schafft die Marketing-Abteilung eigenmächtig eine Software an, ohne die entscheidenden Funktionen zu kennen und beim Kauf zu beachten, wird es problematisch." Begeht sie dabei einen Compliance-Verstoß, sei der CIO "dran". Denn er trage die Verantwortung - obwohl er den Einkaufsprozess überhaupt nicht im Griff gehabt habe.
Diesen Brandherd tritt Neumann mit einer ebenso einfachen wie wirksamen Vorsichtsmaßnahme aus: "Ich habe mit allen regionalen Lieferanten vereinbart, dass sie nur noch Bestellungen annehmen, die direkt über mich gesteuert werden."
Der Beitrag stammt von der ChannelPartner-Schwesterzeitschrift Computerwoche.