Das Risiko verringern - aber wie?
Damit es dem CIO nach einem unbewussten Rechtsverstoß nicht gleich persönlich an den Kragen geht, muss er sich die Frage stellen, wann er handeln und welche Sicherheitsschotten er einziehen muss. Eine erste Antwort liefert der Anstellungsvertrag. Je nach Beschäftigungsverhältnis sieht das Gesetz unterschiedliche Haftungsarten vor. Ein wesentliches Kriterium ist dabei, ob der CIO als Mitglied der Geschäftsleitung oder als leitender Angestellter agiert.
"Einen CIO, der seiner Tätigkeit als Arbeitnehmer nachgeht, treffen andere Pflichten als denjenigen, der das als Organ einer größeren Gesellschaft tut", erläutert Rechtsanwalt Thomas Jansen von der Wirtschaftskanzlei DLA Piper. Ist der CIO ein Arbeitnehmer, so sind zwei Haftungskonstellationen denkbar, führt Jansen weiter aus: Zum einen stehe der IT-Leiter haftungsrechtlich gegenüber seinem Arbeitgeber in der Verantwortung. Zum anderen könne er gegenüber dem Auftraggeber des Arbeitgebers haften, also beispielsweise gegenüber einem externen Service-Provider.
Für den zweiten Fall gilt folgender Grundsatz: Arbeitnehmer, die im Rahmen ihrer Tätigkeit einen Schaden bei einem Dritten verursachen, können nur im selben Umfang in Anspruch genommen werden wie ihr Arbeitgeber. Das heißt im Klartext: Sofern der Arbeitgeber nicht haftet, haftet auch der CIO nicht.
Anders sieht es aus, wenn die Geschäftsleitung aufgrund eines Fehlers haftbar gemacht wird und den CIO eine Teilschuld trifft. "In diesem Fall kann nicht ausgeschlossen werden, dass der IT-Manager ebenfalls zur Kasse gebeten wird", warnt Jansen.