Minenfeld CIO-Haftung

Wofür kann ein CIO persönlich zur Rechenschaft gezogen werden? Wie weit reicht seine Haftung, wo endet sie? Und wie können CIOs überhaupt ihren Job meistern, wenn sie die rechtlichen Folgen ihres Tuns nicht mehr überblicken?

Vor dem Hintergrund häufiger Restrukturierungen und den damit zusammenhängenden wechselnden Zuständigkeiten scheint das Stopfen rechtlicher Risikoquellen für den CIO eine fast unlösbare Aufgabe. Vor allem dann, wenn der IT-Sparzwang gültige Rechtsnormen, Sicherheitsanforderungen und Compliance-Gebote aushebelt. Wenn der Manager für solche Verstöße auch noch persönlich haftet, wird die Sache blitzschnell brandheiß. CIOs müssen versuchen ihr Haftungsrisiko bewusst zu minimieren. Keine leichte Sache, wenn man bedenkt, dass die rechtlichen Anforderungen sich immer weiter ausdifferenzieren.
Eins steht jedenfalls fest: Mehr denn je muss der Chief Information Officer (CIO) oder IT-Leiter mögliche Gefahrenpunkte frühzeitig erkennen, um nicht in die persönliche Haftungsfalle zu tappen. Denn die Folgen wiegen schwer. Die Palette möglicher Ahndungen reicht von horrenden Geldbußen bis hin zur fristlosen Kündigung. Und am Ende ist nicht nur das Image des CIOs, sondern auch das des Arbeitgebers ruiniert.

Das Risiko minimieren – aber wie?

Fest steht: jeder CIO muss wissen, wann er handeln und welche Sicherheitsschotten er einziehen muss, damit es ihm nach einem unbewussten Rechtsverstoß nicht gleich persönlich an den Kragen geht.

Eine erste Antwort liefert bereits der Anstellungsvertrag, denn je nach Beschäftigungsverhältnis sieht das Gesetz für CIOs unterschiedliche Haftungsarten vor. Ein wesentliches Kriterium ist dabei, ob der Chief Information Officer als Mitglied der Geschäftsleitung oder als leitender Angestellter agiert. Denn einen CIO, der seiner Tätigkeit als Arbeitnehmer nachgeht, treffen andere Pflichten, als denjenigen, der als Organ einer größeren Gesellschaft seine Verpflichtungen erfüllt. Ist der CIO ein Arbeitnehmer, sind zwei Haftungskonstellationen denkbar: Zum einen steht der IT-Leiter haftungsrechtlich gegenüber seinem Arbeitgeber in der Verantwortung. Zum anderen kann er potentiell dem Auftraggeber des Arbeitgebers haften. Beispielsweise wenn es um einen externen Service Provider geht. Hier gilt der Grundsatz, dass Arbeitnehmer, die im Rahmen ihrer Tätigkeit einen Schaden bei einem Dritten verursachen, nur in dem Umfang in Anspruch genommen werden können, wie auch der Arbeitgeber. Das heißt im Klartext: Sofern der Arbeitgeber nicht haftet, haftet auch der CIO nicht. Anders sieht es aus, wenn die Geschäftsleitung aufgrund eines Fehlers haftbar gemacht wird, und der CIO eine Teilschuld trägt. In diesem Fall kann nicht ausgeschlossen werden, dass der IT-Manager ebenfalls zur Kasse gebeten wird.

Transparenz schafft Sicherheit

Um solchen Szenarien, wie sie in der Praxis schon oft vorgekommen sind, vorzugreifen, sollte der CIO von Anfang an absolute Transparenz seiner Tätigkeiten gegenüber der Geschäftsleitung schaffen. Bei jeder IT-Initiative, etwa bei der Einführung einer neuen Software müssen sämtliche regulatorischen Rahmenbedingungen bestmöglich eingehalten und alle Schritte umfassend dokumentiert werden. Nur so lässt sich die operative Sicherheit erhöhen. Erst wenn das Aufgabenspektrum und die Informationsflüsse transparent sind und Nachweise dazu vorliegen, z.B. per Protokoll, bestehen gute Chancen, Schaden von der eigenen Person abzuwenden. Daher sollte die Geschäftsführung eher zu viel als zu wenig über die aktuellen Projekte informiert werden.

Obendrein ist die von Grund auf saubere Dokumentation deutlich kosteneffizienter als der Versuch, die nötigen Unterlagen erst im Nachhinein und auf Nachfrage mühsam zusammenzutragen. Aber bei aller gebotenen Sorgfaltspflicht sollte die Nachweisverwaltung dennoch nicht ausufern.

Lizenzverstöße – definitiv kein Kavaliersdelikt

So weit, so gut. Aber wie verhindert der CIO, dass Business-Entscheidungen als fataler Haftungsboomerang auf ihn zurückschlagen? Das kann sehr schnell geschehen, beispielsweise dann, wenn trotz knapper IT-Budgets der Kauf neuer Software-Lizenzen ansteht. Die Versuchung, unlizensierte Programme einzusetzen, liegt nahe. Doch wer ihr erliegt, spielt mit dem Feuer. Nach § 99 UrhG ziehen Lizenzverstöße unweigerlich eine persönliche Haftung nach sich, wenn der Lizenzeinsatz zum Aufgabenbereich des verantwortlichen CIOs gehört. Ob der IT-Manager dabei als Geschäftsführer oder Angestellter fungiert, spielt keine Rolle. Einem Urteil des OLG Karlsruhe zufolge begründet schon die reine Kenntnis des Einsatzes nicht ordnungsgemäßer lizenzierter Software die persönliche Haftung (Urteil vom 23. April 2008 – 6 U 180/06). Tritt dieser Fall ein, muss der verantwortliche Geschäftsführer unverzüglich aktive Maßnahmen ergreifen, um eine illegale Softwarenutzung zu verhindern. Dabei reicht das schlichte Verteilen eines Merkblatts zur Softwarenutzung keinesfalls aus, um den Verantwortlichen zu entlasten. Wie das OLG unmissverständlich klärte, muss durch geeignete Maßnahmen sichergestellt sein, dass auf den Computern eines Unternehmens nur lizenzierte Software installiert und eingesetzt wird.

Regelkonformität als Haftungsrisiko

Eine weitere Risikoquelle neben der Haftung für Lizenzverstöße sind Fehler beim Datenschutz und bei der IT-Sicherheit. In beiden Fällen kann der CIO persönlich zur Verantwortung gezogen werden. Welche Tücken und drastischen Konsequenzen bei datenschutzwidrigen Handlungen drohen, zeigt ein heftig diskutiertes Urteil des Arbeitsgerichts Berlin. Konkret ging es um die Frage, ob die Veranlassung datenschutzwidriger Maßnahmen einen Grund für eine außerordentliche Kündigung des Beschäftigungsverhältnisses darstellt (ArbG Berlin, Urteil vom 18.2.2010 – 38 Ca 12879/09). Die Richter entschieden dass die Kündigung eines leitenden Angestellten aus dem Bereich “Compliance” aufgrund von ihm veranlasster Überwachungsmaßnahmen oder eines Datenabgleichs zulässig ist, wenn der Arbeitnehmer objektiv rechtswidrig, also unter Verstoß gegen Datenschutzvorschriften, gehandelt hat und subjektiv um die Rechtswidrigkeit wusste. Eine vergleichbare Ausgangslage ergibt sich für CIOs, die die “IT-Compliance” verantworten. Bei der Klärung der Haftungsfrage wird es darauf ankommen, ob der betreffende CIO juristisch ausgebildet ist und deshalb hätte wissen müssen, dass bestimmte Maßnahmen rechtswidrig sind.

Damit nicht genug. Der IT-Leiter kann nicht nur für die Wahrung der Regelkonformität, sondern auch für Sicherheit der Informationstechnologie persönlich zur Rechenschaft gezogen werden. Aus rechtlicher Sicht ist das haftungsrelevante Aufgabenfeld des CIO jedenfalls eindeutig definiert: Er muss sich ausnahmslos um die regelmäßige Aktualisierung des Datensicherungskonzepts, um die Absicherung der IT-Systeme und Datenbanken, und ausreichende Sicherheitsstandards, um regelmäßige Virenscans und – Beseitigungen sowie um zeitnahe Updates der Antivirussoftware kümmern. Weitgehend ausschließen lässt sich ein persönliches Haftungsrisiko nur dann, wenn der CIO nachweislich alle erforderlichen Sorgfaltspflichten eingehalten hat. Als Bewertungsgrundlagen dienen hierfür häufig technische Standards, wie beispielsweise ISO-Normen oder Grundschutznormen des BSI.

Weil absehbar ist, dass die rechtlichen Daumenschrauben künftig noch weiter angezogen werden und das Aufgabenspektrum des CIO im gleichen Maße wächst, wird die latente Gefahr des persönlichen Haftungsrisikos eher steigen als schwinden. Aber das ist noch lange kein Grund zur Panik. Hilfestellung kann ein effektives Risiko-Kontroll-System geben, das in engem Schulterschluss mit Rechtsexperten und Geschäftsführung aus einem unkalkulierbaren ein kalkulierbares Risiko macht.