Der CIO als Know-How-Wächter

Gerade in hart umkämpften Märkten wie dem Verlagsgeschäft, aber auch im wettbewerbsintensiven Technologieumfeld scheint geistiges Eigentum ein begehrtes Gut zu sein. Und da das geistige Eigentum meist in Form von Daten entwendet wird – wie aktuelle Beispiele bei AMD oder dem Wall Street Journal zeigen, kann es gerade für den CIO ganz schnell brandheiß werden.

Der CIO kann aber nur dann konkrete Gefahrenpunkte identifizieren, wenn er weiß, wie IT und IP (“Intellectual Property”) miteinander verbunden sind.

Was verantwortet der CIO?

Eigentlich erfasst geistiges Eigentum – oder kurz IP – nur die rechtliche Beziehung zwischen Personen und immateriellen Gütern. Die Wirtschaft versteht unter IP dagegen die Firmengeheimnisse, gewerblichen Schutzrechte, Urheberrechte und sonstiges Know-How des Unternehmens. Der wirksame Schutz dieser Daten und Dokumente ist bei modernen Unternehmen nicht nur wichtig für deren Wettbewerbsposition, sondern sichert vielmehr auch ihre komplette Existenz. IP umfasst daher, neben rechtlichen, ebenso wirtschaftliche Aspekte.

Zu großen Teilen hängt der Bestand des geistigen Eigentums von der IT-Sicherheit ab, für die der CIO verantwortlich ist. Er muss gewährleisten, die geistigen Schätze des Unternehmens zu hüten und die damit zusammenhängenden Gesetze und Bestimmungen einzuhalten.

Einfach ist das nicht, denn es gibt keine gesetzliche Vorschrift, die Unternehmen zur Einrichtung eines CIO verpflichtet, oder dessen Aufgabenbereich sauber definiert. Der Paragraf 91 des Aktiengesetzes (AktG) schreibt vor, dass ein Vorstand geeignete Maßnahmen treffen muss, um frühzeitig Entwicklungen zu erkennen, die die Aktiengesellschaft gefährden könnten. Gleichzeitig besteht die Pflicht zur Buchführung, die heute nicht mehr ohne IT betrieben werden kann. Diese Anforderungen sind auch auf andere Unternehmensformen übertragbar. Am sinnvollsten erscheint es daher, die gesamte “IT-Compliance” einem CIO mit zentraler Verantwortung zu übertragen. Konkret bedeutet das, dass er jeweils unter Beachtung der Datensicherheit, vor allem für die elektronische Buch- und Aktenführung, Lizenzmanagement, Einrichtung und Wartung der Kommunikationsmittel zuständig ist.

Und wenn es keinen CIO im Unternehmen gibt, ist es möglich, die IT-Compliance auf verschiedene Unternehmensbereiche aufzuteilen. Die Gesamtverantwortung trägt dabei grundsätzlich immer die Unternehmensleitung. Ist unklar, wer zuständig ist, und aus diesem Grund für die Gesellschaft oder für Dritte ein Schaden entsteht, kann dem Unternehmen ein Organisationsverschulden angelastet werden und der Vorstand gemeinschaftlich haften. Fest steht: ab einer gewissen Unternehmensgröße können die Verpflichtungen zum Risikomanagement und zu angemessener Revision einfach nur durch einen zentralen CIO vernünftig erfüllt werden.

Warum sollten CIOs, die IT-Compliance ernst zu nehmen?

Häufig sind sie innerhalb einer Aktiengesellschaft gleichzeitig Vorstandsmitglieder und schon deswegen gesetzlich verpflichtet, die Vermögensinteressen der Gesellschaft wahrzunehmen. Eine zivilrechtliche Schadenersatzpflicht kann bereits bei leichter Fahrlässigkeit entstehen. Das GmbH-Gesetz und das AktG stellen dafür ab auf die “Sorgfalt eines ordentlichen Geschäftsmannes” bzw. des “ordentlichen und gewissenhaften Geschäftsleiters”. Damit ist aber noch nicht viel Klarheit gewonnen, weshalb dieser Sorgfaltsbegriff vor allem durch den Arbeitsvertrag und die Aufgaben im Einzelfall konkretisiert wird. Gute Anhaltspunkte sind hier DIN-Normen sowie die ISO/IEC 20000 und 27000er-Reihe, aber auch Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Ein CIO muss sich bewusst sein, dass seine Aufgaben ihn zu besonderer Sorgfalt verpflichten und er im Zweifel zumindest Rat einholen muss. Mit einer D&O Versicherung kann er Haftungsrisiken auch nur eingeschränkt begegnen, da generell Ordnungswidrigkeiten nicht abgedeckt werden und für AG-Vorstände eine Selbstbeteiligung zwingend vorgeschrieben ist.

Ist ein CIOs hingegen „normaler Arbeitnehmer“, haftet er grundsätzlich erst ab mittlerer Fahrlässigkeit persönlich. Weil aber auch hier bereits die CIO-Stellung zu erhöhten Sorgfaltsanforderungen führt, gibt es im Ergebnis keine großen Unterschiede zu Vorständen oder Gesellschaftern. Das mag für die Haftung nicht ausschlaggebend sein, wohl aber für das Unternehmensimage oder auch best practice-Regeln wie z.B. ITIL.

Was muss ein CIO konkret schützen?

Vor dem Hintergrund einer digitalisierten Arbeitswelt ist der Datenschutz eine der größten Risikoquellen für den CIO. Tagtäglich passieren Hacker-, Wirtschaftsspionage-Angriffe oder Mitarbeiter klauen Unternehmensdaten. Im Rahmen der IT-Sicherheit ist es die Kernaufgabe des CIO, das zu verhindern, indem er die bestehende IT-Architektur sowie die Integration neuer Software und Hardware kontinuierlich schützt und überwacht.
Neben der Datensicherheit, also dem Know-How-Schutz, sollte er ebenfalls den Schutz personenbezogener Daten im Hinterkopf haben: Sie dürfen grundsätzlich nur weitergegeben werden, wenn eine Einwilligung des Betroffenen vorliegt.

Der Datenverlust durch einen Mitarbeiter geschieht am häufigsten, sei es beim Arbeitgeberwechsel oder durch unachtsamen Umgang. Nach einer aktuellen Studie im Auftrag des IT-Sicherheitsanbieters Symantec lässt die Hälfte aller Mitarbeiter Unternehmensdaten auf diese Weise mitgehen. Die Studie fand auch heraus, dass 62 Prozent der Befragten Arbeitsdokumente nicht besonders behandeln oder schützen, sondern auch auf privaten Geräten oder online speichern. Um diesem laxen Verhalten in Bezug auf das kostbare Unternehmenswissen beizukommen, sollte ein CIO klare und verständliche Regeln für den Umgang mit Unternehmensdaten aufstellen und Mechanismen einrichten, um zu gewährleisten, dass diese auch eingehalten werden.

Geht es um „BYOD“ muss dem CIO ein Spagat gelingen: er muss die mobile Sicherheitsanforderungen auf der einen Seite sicherstellen, auf der anderen die Produktivitätsvorteile der Mitarbeiter unterstützen. Mit zunehmender Mobilität der Mitarbeiter erhöht sich auch das Gefahrenpotential.

In diesem Fall kann er das geistige Eigentum nur durch zusätzliche Vereinbarungen zum richtigen Umgang mit Firmendaten schützen. Es muss klar sein, welche Daten abgerufen oder gespeichert werden dürfen und ob beispielsweise Dritte zur Gerätenutzung berechtigt sind. Diese Regeln als sollten Teil einer umfassenden Strategie zum sicheren, verantwortungsvollen Umgang mit dem Firmen Know-How erarbeitet werden. BYOD kann auch die Installation von Notfallfunktionen wie Fernlöschung oder Remote-Block erforderlich machen. Der CIO muss außerdem prüfen, ob andere Lizenzen erforderlich werden.

Überlizensierung unterschätzt

Dass eine Unterlizensierung Schadenersatzansprüche auslösen und sogar strafrechtlich verfolgt werden kann, ist bekannt. Nur wenige wissen, dass auch eine Überlizenzierung gravierende Folgen haben kann: Wenn ein CIO als Vorstandsmitglied juristisch bezeichnet „mindestens billigend“ in Kauf nimmt, dass Gesellschaftsvermögen für nicht benötigte Lizenzen ausgegeben wird, kann das eine strafbare Untreue darstellen. Zwar wird diese Schwelle zum Strafrecht nur selten überschritten werden, doch neben möglichen Straftatbeständen gibt es im Aktiengesetz Vorschriften, die den CIO in solchen Fällen zum Schadenersatz verpflichten.

Mit dem richtigen Umfang der Lizenzierung ist es aber nicht getan. Die Bilanzierungsvorschriften des Handelsgesetzbuches verpflichten auch zur Dokumentation von immateriellen Vermögenswerten, was ausdrücklich auch Lizenzen beinhaltet. Der CIO muss also insgesamt für ein ausreichendes, ökonomisches Lizenzmanagement und für dessen Dokumentation sorgen.

Tipp: Kennen Sie das Who is Who der IT-Industrie? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de