CIO-Haftung: Wer schludert, haftet

CIO-Haftung

Vorbei sind die Zeiten, in denen ein CIO ausschließlich IT-Projekte verantworten muss. Sein Aufgabenradius hat sich längst erweitert. Heute hat er auch bei Business-Entscheidungen die Finger im Spiel. Da geht es um Problemlösung, die nicht immer technischer Natur ist. Was das für die Haftung eines CIOs bedeutet, hat Dr. Thomas Jansen von der Wirtschaftskanzlei DLA Piper zusammengetragen.

Nur grobe Schnitzer werden bestraft

Sicherlich ist es tröstlich zu wissen, dass ein CIO nur persönlich haftbar gemacht werden kann, wenn er sich grobe Schnitzer erlaubt. Die Juristen sprechen hier von grober Fahrlässigkeit oder Vorsatz. Da aber bereits die hierarchische Stellung zu erhöhter Sorgfalt führt, darf sich ein CIO in seinen Ergebnissen trotzdem keine größeren Ausrutscher erlauben als seine Chefs, die Vorstände oder Gesellschafter.

Geht es  nicht um die interne Haftung gegenüber dem eigenen sondern einem externen Unternehmen, also einem Auftraggeber, muss ein CIO grundsätzlich auch diesem gegenüber gerade stehen. Rechtlich gesehen ist es allerdings so, dass Haftungsausschlüsse zwischen Unternehmen und Auftraggeber meist zugunsten der Angestellten und Vertreter des Unternehmens wirken.

Insgesamt kann man daher festhalten: Sobald der CIO schludert und nicht mehr wie ein ordentlicher Geschäftsmann arbeitet beziehungsweise von arbeitsvertraglichen Verpflichtungen abweicht, begibt er sich in die Gefahr der Haftung.

Wo und ab wann es für den CIO brenzlig werden kann

Für den CIO gibt es zahlreiche Möglichkeiten, in die Haftungsfalle zu tappen – je umfangreicher seine Verantwortlichkeit, desto größer die Gefahr. Erschwerend kommt hinzu, dass in den meisten Unternehmen die Aufgabenbereiche des CIO immer weitreichender werden. Die wichtigsten und gefahrenträchtigsten Bereiche, derer sich der CIO bewusst sein muss, sind:

  • Lizenzmanagement

Geeignete Software zu beschafften und das richtige Management der Lizenzen zählt mittlerweile zum Brot und Butter-Geschäft des CIO. Daher ist auch bereits bekannt, welche Haftungsfolgen beispielsweise eine Unterlizensierung nach sich ziehen kann. Dieser Verstoß gegen das Urheberechts-Gesetz begründet nicht nur Schadensersatzansprüche der Rechteinhaber, sondern kann auch eine strafrechtliche Verfolgung nach sich ziehen. Zudem muss der CIO immer peinlich genau darauf achten, nicht zu viele oder zu umfangreiche Lizenzen zu unterhalten. Denn auch diese Überlizenzierung stellt eine Pflichtverletzung dar, wenn dadurch für das Unternehmen unnötige Ausgaben fällig werden.

  • Datenschutz

Zur Verantwortung des CIO zählt nicht nur die reibungslose elektronische Kommunikation über die Unternehmens-IT. Vielmehr muss ihm dabei auch bewusst sein, dass bestimmte Inhalte der Kommunikation (z.B. beim Einsatz privater Endgeräte für Unternehmenszwecke) geschützt sind und vom Arbeitgeber nicht eingesehen werden dürfen. Alles eingesehen darf nur, wenn der Arbeitgeber die E-Mail- und Internetnutzung explizit nur zu Geschäftszwecken erlaubt.

Erlaubt das Unternehmen private Internet-Nutzung ausdrücklich oder duldet es stillschweigend, gilt es als Diensteanbieter im Sinne des Telekommunikationsgesetzes (“TKG”). In der Konsequenz findet das Fernmeldegeheimnis Anwendung auf die Internetnutzung. Dann ist eine Prüfung, wann der einzelne Arbeitnehmer welche Internetseiten aufgerufen hat, datenschutzrechtlich unzulässig. Dasselbe gilt für die Email-Nutzung: Wenn die private Nutzung des dienstlichen Email-Accounts gestattet ist und sich dienstliche nicht von privaten Emails unterscheiden lassen, ist eine Einsicht in die Kommunikation generell verboten.

Datenschutzrechtliche Vorschriften spielen in der CIO-Praxis auch dann häufig eine Rolle, wenn IT-Services an externe Dienstleister ausgelagert werden. Das IT-Outsourcing wird immer häufiger in der Form von Cloud Computing Services betrieben. In diesem Zusammenhang muss der (mit-)verantwortliche CIO wissen, dass ein solches Cloud-Computing in der Regel eine Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (“BDSG”) darstellt. Das heißt, der Cloud-Provider wird als verlängerter Arm des Unternehmens tätig. Das Unternehmen bleibt hingegen die verantwortliche Stelle für personenbezogene Mitarbeiter- und/oder Kundendaten und muss keine Einwilligung der Betroffenen für diesen Vorgang einholen.

Außerdem muss auch der CIO beachten, dass bei dem Cloud-Anbieter ein angemessenes Datenschutzniveau gewährleistet ist. Dies ist unproblematisch, wenn die Cloud sich ausschließlich im EU/EWR-Raum befindet.

Für CIOs, die Cloud-Services in Anspruch nehmen wollen, gilt daher derzeit: Zukunftssicher und empfehlenswert ist nur eine deutsche oder europäische Cloud. Von US-amerikanischen oder anderen Anbietern sollte Abstand genommen werden, um Verstöße gegen das BDSG und daraus resultierende Schadensersatz- oder Bußgeldpflichten zu vermeiden.

  • Datensicherheit

Auch das Thema Datensicherheit sollte CIOs interessieren. Um seinen Pflichten als “ordentlicher Geschäftsmann” (GmbH-Gesellschafter), “gewissenhafter Geschäftsleiter” (AG-Vorstand) beziehungsweise aufgrund der arbeitsvertraglichen Sorgfaltspflichten (Angestellter) gerecht zu werden, muss der CIO schon bei der Beschaffung der Soft- und Hardware je nach Einsatzgebiet die individuellen Sicherheitsbedürfnisse im Blick haben. Je nach Kontext sollte er Produkte oder Lösungen wählen, die einerseits sicher genug sind und andererseits keine unnötigen Hürden an die Nutzungsfreundlichkeit stellen. Als Anhaltspunkt und zur Absicherung von Entscheidungen bieten sich hier die einschlägigen DIN-Normen  (insbesondere ISO/IEC 20000 und 27000er-Reihe) oder die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Referenz an.

Datensicherheit beschränkt sich bei ihm aber nicht nur auf das Einrichten der Geräte, sondern erfordert auch die Schulung von Mitarbeitern: Je nachdem, welche Art von Daten verarbeitet wird, sollte auf hohe Verschlüsselung und sichere Zugangskontrolle geachtet werden. Idealerweise brauchen die Mitarbeiter dann auch Verhaltensanweisungen, falls Daten verloren gehen.

Seien es Smartphones, die im Zug liegengelassen werden, Telefongespräche über Unternehmensinterna in der Öffentlichkeit oder der unbedachte Download von Dateien: Solche Unfälle können am effektivsten durch regelmäßige Schulungen und Sensibilisierung verhindert werden. Je nach Art und Wichtigkeit der Daten kann es sich auch empfehlen, diese Themen ausdrücklich im Arbeitsvertrag zu regeln.

Klares Aufgabenspektrum grenzt Haftungsrisiken ein

Die dringendste Aufgabe für den CIO ist, seinen Zuständigkeitsbereich so klar wie möglich abzustecken. Denn je größer das Unternehmen, desto weniger kann der CIO gleichzeitig strategisch und operativ tätig werden. In diesem Fall sollte er klar festlegen, welche Tätigkeiten an wen delegiert werden können. Es kann auch empfehlenswert sein, zusätzlich zur internen Aufgabenverteilung gegenüber Lieferanten den CIO explizit als Ansprechpartner für IT-Fragen zu benennen. So wird verhindert, dass eine andere Fachabteilung wie zum Beispiel Marketing beispielsweise eigenmächtig eine CRM-Software beschafft, die nicht den Anforderungen entspricht.

Für alles, was in seinem Zuständigkeitsbereich liegt, ist der CIO verantwortlich und kann dementsprechend haftbar gemacht werden. Unwissenheit oder Nichtentscheiden schützt vor Haftung nicht.

Wenn äußere Umstände CIOs in die rechtliche Grauzone zwingen

Oft sind Aufgabenbereiche nicht glasklar abgrenzbar, Zuständigkeiten nicht wirklich geregelt und äußere Umstände zwingen zu schnellem Handeln. Beispielsweise führen Budgetkürzungen im IT-Bereich häufig dazu, dass nicht die relevanteste oder sicherste Hard- und Software angeschafft wird, sondern schlicht die billigste.

Viele Firmen bedienen sich hier einer Open Source Software als günstigste Lösung. Hier schwingt ein latentes Haftungsrisiko mit, denn erstens müssen meistens Abstriche bei der Funktionalität gemacht werden. Zweitens steht bei einem Ausfall der Software kein sofortiger Support zur Verfügung. In jedem Fall müssen daher die Lizenzbedingungen der Open Source Software eingehalten werden, um einen Verstoß gegen das UrhG zu vermeiden.

Bei allem Innovationsdruck und technologischen Neuentwicklungen neigen CIOs häufig dazu ihre IT in Windeseile zu verändern oder verbessern. Das kann dazu führen, dass unausgereifte Lösungen entstehen und die erforderliche Sorgfalt, die immer Haftungsrisiken birgt, nicht mehr eingehalten wird. Generell wächst die rechtliche Grauzone mit der zunehmenden Verantwortung eines CIO. Je weiter er in unternehmerische Entscheidungsprozesse einbezogen wird, desto eher vergrößert sich die Gefahr der persönlichen Haftung. Das heißt, der CIO wird nicht mehr nur im betriebswirtschaftlichen Bereich tätig, sondern hat zunehmend auch in der Produktion seine Finger im Spiel. Er wird also in immer mehr Entscheidungsprozesse einbezogen und hat eine immer größere Verantwortung.  Dies vergrößert naturgemäß die Gefahr, Fehler zu machen.