Mehr Einfluss, mehr Risiko

Vorbei sind die Zeiten, in denen ein CIO ausschließlich IT-Projekte verantworten musste. Sein Aufgabenspektrum hat sich erweitert. Heute hat er bei Entscheidungen für das Business die Finger im Spiel. Er muss Probleme lösen, die nicht zwangsläufig technischer Natur sind. Wie ist es vor diesem Hintergrund um seine persönliche Haftung bestellt?

Ein paar Grundregeln

Eines vorweg: Unternehmen sind gesetzlich keineswegs verpflichtet, einen CIO zu bestellen. Schon aus diesem Grund gibt es keine ausdrücklichen Regeln für die Haftung eines CIO. Stattdessen gelten auch für den CIO die allgemeinen Vorschriften aus dem Aktien- und dem GmbH-Gesetz. Dabei werden keine maßgeblichen Unterschiede zwischen Vorstandsmitgliedern und GmbH-Gesellschaftern gemacht: Die Regelungen sind entweder identisch oder lassen sich entsprechend anwenden.

Ist der CIO Vorstand einer AG oder Gesellschafter einer GmbH, so hat er damit auch die Verpflichtung, die Vermögensinteressen der Gesellschaft wahrzunehmen. Er muss Maßnahmen ergreifen, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, frühzeitig erkannt (und gebannt) werden.

Dabei ist grundsätzlich der Sorgfaltsmaßstab eines "ordentlichen Geschäftsmanns" beziehungsweise eines "ordentlichen und gewissenhaften Geschäftsleiters" anzuwenden. Im Streitfall muss der Vorstand beziehungsweise Gesellschafter selbst nachweisen, dass er sorgfältig gehandelt hat. Von dieser Beweislastverteilung darf auch nicht im Vertrag abgewichen werden.

Ist ein CIO hingegen nur leitender Angestellter, gelten diese Gesetze nicht. Bei Fragen der Pflichtverletzung orientiert man sich dann am Inhalt des Arbeitsvertrags. Es ist sicher tröstlich, zu wissen, dass ein CIO nur persönlich haftbar gemacht werden kann, wenn er sich echte Schnitzer erlaubt. Juristen sprechen hier von grober Fahrlässigkeit oder Vorsatz. Andererseits zieht bereits die hierarchische Stellung des CIO eine erhöhte Sorgfaltspflicht nach sich. Deshalb darf er sich in seinen Ergebnissen eigentlich auch keine größeren Ausrutscher erlauben als seine Chefs, die Vorstände oder Gesellschafter.

Auch gegenüber einem externen Unternehmen, also einem Auftraggeber, muss ein CIO grundsätzlich geradestehen. Rechtlich gesehen wirken Haftungsausschlüsse aber meist zugunsten der Angestellten und Vertreter des Unternehmens.

Also gilt: Sobald der CIO schludert, also nicht mehr wie ein ordentlicher Geschäftsmann arbeitet beziehungsweise von arbeitsvertraglichen Verpflichtungen abweicht, begibt er sich in die Gefahr der persönlichen Haftung.

Drei Stolpersteine

Nun gibt es für den CIO zahlreiche Möglichkeiten, in die Haftungsfalle zu tappen. Je umfangreicher seine Verantwortlichkeit, desto größer wird die Gefahr. Erschwerend kommt hinzu, dass sich in den meisten Unternehmen die Aufgabenbereiche eines CIO immer weiter ausdehnen. Die drei wichtigsten und gefahrenträchtigsten Bereiche, derer sich der CIO bewusst sein muss, sind im Folgenden kurz beschrieben:

1. Lizenz-Management

Die Beschaffung geeigneter Software und das richtige Management der Lizenzen zählen zum Brot-und-Butter-Geschäft des CIO. Daher ist auch hinlänglich bekannt, welche Haftungsfolgen beispielsweise eine Unterlizenzierung nach sich ziehen kann: Ein solcher Verstoß gegen das Urheberrechtsgesetz begründet nicht nur Schadensersatzansprüche der Rechteinhaber, sondern kann auch eine strafrechtliche Verfolgung nach sich ziehen.

Der CIO muss aber auch immer peinlich genau darauf achten, nicht zu viele oder zu umfangreiche Lizenzen zu unterhalten. Denn auch die Überlizenzierung stellt eine Pflichtverletzung dar, sofern daraus für das Unternehmen unnötige Ausgaben erwachsen.

Alles zum Lizenz-Management
Zu viele Lizenzen kosten unnötig Geld, zu wenige bringen juristischen Ärger. Das ewige Kreuz mit dem Lizenz-Management.

1. Bestimmen Sie einen Verantwortlichen
Der erste Schritt zu einem funktionierenden Lizenz-Management ist nicht der Kauf eines entsprechenden Werkzeugs, gibt Aagon zu bedenken. Viel wichtiger sei es, einen verantwortlichen und verantwortungsbewussten Lizenz-Manager zu berufen, der die notwendigen Prozesse im Unternehmen etabliert, laufend überprüft und - in Zusammenarbeit mit der Geschäftsleitung - anpasst.

2. Konsolidieren Sie Ihre Software
Je weniger vielfältig die Softwareprogramme in einem Unternehmen, desto einfacher das Management der jeweiligen Lizenzen. Selbstverständlich dürfe die Konsolidierung nicht zu Lasten der Produktivität gehen, warnt Aagon. Doch allein die Beschränkung beispielsweise auf ein PDF-Tool erspare der Systemadministration und dem Support schon viel Arbeit.

3. Zentralisieren Sie die Beschaffung
Software sollte im Unternehmen grundsätzlich von einer zentralen Stelle aus beschafft werden, empfiehlt Aagon. So könne sie auch nicht über Umwege wie Spesenabrechnungen in das Unternehmen gelangen. Zudem habe nur ein zentraler Software-Beschaffer die Möglichkeit, zu prüfen, ob dafür noch freie Lizenzen im vorhanden sind oder ob eventuell auch eine alternative Software in Frage kommt. Unnötig zu erwähnen, dass Verwaltung und Kontrolle der Lizenznachweise und Datenträger auf diese Weise deutlich vereinfacht werden.

4. Achten Sie auf korrekte Lizenzierung
Die hohe Kunst besteht darin, die für die jeweilige Unternehmenssituation beste Lizenzform zu wählen. Das sei nicht immer die mit dem günstigsten Preis, mahnt Aagon - und nennt dazu ein Beispiel: Bei Microsoft Office- seien manche Unternehmen versucht, statt einer Volumenlizen die günstigeren Home&Business-Lizenzen zu kaufen.

5. Integrieren Sie das Lizenz- in das Client-Management
Zu einem einheitlichen Prozess für die Beschaffung gehört auch ein zentral gesteuerter Prozess für die Installation. Der lässt sich am besten mit einem professionellen Client-Management-System (CMS) umsetzen. Dessen Inventarisierungsfunktion liefert regelmäßig aktuelle Daten über jede im Unternehmen installierte Software, die das Lizenz-Management dann in Form einer Lizenzbilanz oder eines Compliance-Checks mit den hinterlegten Lizenzpaketen abgleichen kann.

6. Weisen Sie Open-Source- und Gebrauchtsoftware gesondert aus
Der Einsatz von Open-Source-Software oder Shareware in Unternehmen kann durchaus kostenpflichtig sein. Unternehmen, die beispielsweise die Datenbank MySQL einsetzen, vergessen häufig, dass hierfür im kommerziellen Umfeld eine Lizenzpflicht besteht. Der Lizenz-Manager muss deshalb auch die Lizenzbedingungen von Open-Source-Software prüfen und ausweisen. Ähnliches gilt für gebrauchte Software: Auch hier empfiehlt es sich, die Lizenzen gesondert auszuweisen - zumal die Rechtslage noch unklar ist. So lässt sich das Risiko einer potentiellen Nachlizenzierung besser bewerten.

7. Bewahren Sie Lizenznachweise und Datenträger sicher auf
Im Büro des Anwenders oder gar in dessen Home Office haben Lizenznachweise und Datenträger nichts verloren, konstatiert Aagon. Alle mit einer Lizenz verbundenen Unterlagen sollten zentral und an einem sicheren, feuergeschützten Ort aufbewahrt werden, zu dem nur autorisierte Personen Zugang haben.

8. Sensibilisieren Sie Ihre Mitarbeiter
Jedem muss klar sein, dass und warum Lizenz-Management für das Unternehmen, also auch für seinen eigenen Job wichtig ist. Eigentlich sollte dieses Wissen per se verhindern, dass Mitarbeiter selbst Software mitbringen und auf ihren Rechnern installieren - wofür das Unternehmen gegebenenfalls haftet. Ein verantwortlicher Umgang mit dem Unternehmenswert Softwarelizenzen muss aber auch "von oben" gelebt werden.

9. Schließen Sie Betriebs- und Mitarbeitervereinbarung
Aagon rät jedem Unternehmen, eine Betriebsvereinbarung und/oder Mitarbeitervereinbarung für die private Nutzung des Arbeitsplatz-PCs und des Internet abzuschließen. Augrund der aktuellen Rechtslage in Deutschland hält die Unternehmensberatung eine unpopuläre Maßnahme für sinnvoll: Die private Nutzung des PCs und des Internets sollte strikt untersagt sein.

10. Lassen Sie Ihren Lizenzstatus zertifizieren
Wer sein Lizenz-Management allein oder mit Hilfe eines Partners in Ordnung gebracht hat, kann sich dessen Korrektheit von den großen Softwareherstellern zertifizieren lassen. Beispielsweise bestätigt ein Zertifikat von Microsoft, dass aus Sicht des Herstellers das Lizenz-Management des Kunden effektiv aufgestellt und das Unternehmen korrekt lizenziert ist. Mit einem solchen Zertifikat ist der Kunde dann für ein Jahr vor Lizenz-Audits des ausstellenden Anbieters sicher.

2. Datenschutz

Zum Verantwortungsbereich des CIO zählt nicht nur die reibungslose elektronische Kommunikation über die Unternehmens-IT. Vielmehr muss ihm dabei auch bewusst sein, dass bestimmte Inhalte (beispielsweise beim Einsatz privater Endgeräte für Unternehmenszwecke) geschützt sind, sprich: vom Arbeitgeber nicht eingesehen werden dürfen. Alles anschauen darf er lediglich dann, wenn der Arbeitgeber die E-Mail- und Internet-Nutzung explizit nur zu Geschäftszwecken erlaubt.

Genehmigt aber das Unternehmen private Internet-Nutzung ausdrücklich, oder duldet es sie stillschweigend, wird es damit zum Diensteanbieter im Sinne des Telekommunikationsgesetzes (TKG). Folglich findet das Fernmeldegeheimnis Anwendung, und eine Prüfung, wann der einzelne Arbeitnehmer welche Internet-Seiten aufgerufen hat, ist datenschutzrechtlich unzulässig.

Dasselbe gilt für E-Mails: Wenn die private Nutzung des dienstlichen E-MailAccounts gestattet ist und sich dienstliche nicht von privaten Mails unterscheiden lassen, ist eine Einsicht in die Kommunikation verboten.

Datenschutzrechtliche Vorschriften spielen in der CIO-Praxis auch dann eine Rolle, wenn IT-Services an externe Dienstleister ausgelagert werden. Das IT-Outsourcing wird immer häufiger in Form von Cloud-Computing-Services betrieben. In diesem Zusammenhang muss der (mit-)verantwortliche CIO wissen, dass hier in der Regel eine Auftragsdatenverarbeitung gemäß Paragraf 11 Bundesdatenschutzgesetz (BDSG) vorliegt. Das heißt, der Cloud-Provider wird als verlängerter Arm des Unternehmens tätig. Das Unternehmen bleibt aber die verantwortliche Stelle für personenbezogene Mitarbeiter- und/oder Kundendaten.

Der CIO muss darauf achten, dass beim Cloud-Anbieter ein angemessenes Datenschutzniveau gewährleistet ist. Dies ist (nur) unproblematisch, wenn die Cloud sich ausschließlich im EU/EWR-Raum befindet. Zukunftssicher und empfehlenswert ist derzeit also eine deutsche oder europäische Cloud. Von US-amerikanischen oder anderen Anbietern sollte dagegen Abstand genommen werden, um Verstöße gegen das BDSG und daraus resultierende Schadensersatz- oder Bußgeldpflichten zu vermeiden.

3. Datensicherheit

Auch das Thema Datensicherheit sollte die CIOs interessieren. Der IT-Verantwortliche muss schon bei der Beschaffung der Soft- und Hardware die individuellen Sicherheitsbedürfnisse im Blick haben. Je nach Kontext sollte er Produkte oder Lösungen wählen, die einerseits sicher genug sind und andererseits keine unnötigen Hürden vor der Nutzungsfreundlichkeit aufstellen. Als Anhaltspunkt und zur Absicherung von Entscheidungen bieten sich hier die einschlägigen DIN-Normen (insbesondere ISO/IEC 20000 und 27000er-Reihe) oder die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) an.

Datensicherheit erfordert auch die Schulung von Mitarbeitern: Je nach Art der verarbeiteten Daten sollte auf starke Verschlüsselung und sichere Zugangskontrolle geachtet werden. Idealerweise bekommen die Mitarbeiter Verhaltensanweisungen für den Fall, dass Daten verloren gehen. Seien es Smartphones, die im Zug liegen bleiben, Telefongespräche über Unternehmensinterna in der Öffentlichkeit oder der unbedachte Download von Dateien - solche Unfälle lassen sich am effektivsten durch regelmäßige Sensibilisierung verhindern. Je nach Art und Wichtigkeit der Daten lässt sich dieses Thema auch ausdrücklich im Arbeitsvertrag regeln.

Vorsicht vor der Schatten-IT

Die dringendste Aufgabe für den CIO ist die, seinen Zuständigkeitsbereich so klar wie möglich abzustecken. Denn je größer das Unternehmen, desto weniger kann der CIO gleichzeitig strategisch und operativ tätig werden. In diesem Fall sollte er klar festlegen, welche Tätigkeiten an wen delegiert werden können.

Empfehlenswert kann es sein, den CIO auch gegenüber Lieferanten explizit als Ansprechpartner für IT-Fragen zu benennen. Wichtig wird das vor allem, wenn eine andere Fachabteilung eigenmächtig eine Software beschaffen will, die nicht den Anforderungen entspricht. Denn für alles, was in seinem Zuständigkeitsbereich liegt, ist der CIO verantwortlich und kann entsprechend haftbar gemacht werden. Unwissenheit oder Nichtentscheiden schützt nicht vor der Haftung.

Die rechtliche Grauzone

Oft sind Aufgabenbereiche allerdings nicht klar abgrenzbar. Beispielsweise führen Budgetkürzungen im IT-Bereich häufig dazu, dass nicht die relevanteste oder sicherste (sprich: aus CIO-Sicht emfehlenswerteste) Hard- und Software angeschafft wird, sondern schlicht die billigste.

Viele Firmen bedienen sich auch einer Open-Source-Software (OSS) als der günstigsten Lösung. Hier schwingt ebenfalls ein latentes Haftungsrisiko mit: Erstens sind in solchen Fällen meist Abstriche an der Funktionalität zu machen. Und zweitens steht bei einem Ausfall der Software oft kein sofortiger Support zur Verfügung. Last, but not least müssen in jedem Fall die Lizenzbedingungen der OSS eingehalten werden, um einen Verstoß gegen das Urheberrechtsgesetz zu vermeiden.

Wegen Innovationsdruck und technischer Neuentwicklungen neigen CIOs häufig dazu, ihre IT in Windeseile zu verändern oder verbessern. So können unausgereifte Lösungen entstehen. Zudem wird vielleicht nicht mehr die erforderliche Sorgfalt beobachtet, was immer Haftungsrisiken birgt.

Wachsende Gefahr

Generell wächst die rechtliche Grauzone mit der Verantwortung eines CIO. Je enger er in unternehmerische Entscheidungsprozesse einbezogen wird, desto größer wird die Gefahr der persönlichen Haftung.

Das gilt umso mehr, wenn der CIO nicht mehr nur im betriebswirtschaftlichen Bereich tätig ist, sondern - wie es zunehmend der Fall ist - auch bei der Produktion mit im Boot sitzt. Je größer seine Verantwortung für das Geschäft des Unternehmens, desto massiver wird naturgemäß auch die Gefahr, dass der CIO Fehler macht.

Die 10 CIO-Prioritäten für 2014
Der CIO muss sich 2014 um den Mehrwert der IT für das Unternehmen kümmern. Das ist seine persönliche Aufgabe und Herausforderung, meint Luis Praxmarer von der Experton Group.

1. Aufbau von Innovationsteams
In fast allen Unternehmen steht das Thema Innovation ganz oben auf der Agenda. Die IT muss funktionsübergreifende Teams aufbauen, um alle Innovationsbereiche aktiv angehen zu können: also Innovationen bei Produkten, Prozessen und Geschäftsmodellen. Fast 75 Prozent der Verantwortlichen auf der Geschäftsseite sehen die IT nicht als Innovationsführer, und noch mehr sprechen den IT-Experten die dafür erforderlichen Qualifikationen ab.

2. Business Prozess Know-how, Self-Service, TCE
Entwicklung von Geschäftsprozesswissen; Geschäftsprozess-Masterplan, Self-Service, Total Customer Experience (TCE); Total Customer Experience

3. BI, Big Data, Enterprise Performance Management
Business Intelligence steht auf der Prioritätenliste schon eine ganze Weile ganz oben. Die Implementierung schreitet allerdings nach wie vor relativ schleppend voran und erfolgt meist auf isolierte Weise für einzelne Applikationen. Jetzt steht mit dem Schritt auf die nächste Ebene die Implementierung eines Enterprise-Performance-Management-Konzepts an. Angesichts der zunehmenden Datenmenge aus vielen unterschiedlichen Quellen bieten "Big Data" Konzepte vielen Unternehmen einen exzellenten Mehrwert.

4. Industrie 4.0, Branchen-Trends, IT als Produkt
Der vierten industriellen Revolution, kurz Industrie 4.0, bescheinigt die Experton Group enormes Potenzial und dies obwohl es von der Regierung initiiert wurde. Laut Wiki ist Industrie 4.0 ein Zukunftsprojekt in der Hightech-Strategie der Bundesregierung, mit dem die Informatisierung der klassischen Industrien, wie z.B. der Produktionstechnik, vorangetrieben werden soll.

5. Workspace of the Future - Mobility
Nicht mehr der Arbeitsplatz steht im Mittelpunkt sondern der Arbeitsraum. Wer hat noch einen festen Arbeitsplatz im herkömmlichen Sinn? Ja, es werden noch viele in den nächsten Jahren sein, aber eben schon lange nicht mehr alle. Es kommt zu einer radikalen Verschiebung durch die Mobilität, die wir heute mit dem Einsatz von ICT erreicht haben. Der "Bring-your-own-Device"-Ansatz (BYOD) hat zu allerlei Kontroversen geführt. Doch Tatsache ist: BYOD wird nicht mehr zu unterbinden sein.

6. Social Business, Strategie & Richtlinien
Social Collaboration bedeutet Dezentralisierung der Organisation und des internen Kommunikationsstils. Bei der externen Kommunikation und geschäftlichen Ausrichtung wird oft vom Social Enterprise / Social Business gesprochen, auch wenn das mit "sozial", verantwortungsvollen Investitionen oder Achtsamkeit eigentlich nichts zu tun hat. Wir alle wissen ja, wie sich durch die sozialen Medien der Kommunikationsstil zwischen Menschen und Organisationen verändert hat. Das muss bei der übergreifenden ICT-Strategie bedacht werden, und die IT-Organisation ist gefordert, entsprechende Empfehlungen für das Unternehmen aufzusetzen.

7. Dynamic Infrastructure dem Business anpassen (Cloud!)
Cloud Computing als neue IT-Architektur des Jahrzehnts, ermöglicht mehr Flexibilität und Business-Fokus für die IT-Strategie. In den meisten Unternehmen gibt es inzwischen eine stabile IT-Umgebung und auch die Effizienz wurde in den vergangenen Jahren gesteigert. Eine agile IT ist allerdings in den meisten Fällen noch nicht umgesetzt worden. Agilität bedeutet, die sehr schnelle Anpassung der Ausgaben und Ressourcen an sich verändernde Märkte.

8. Security & Datenschutz (Cloud, BYOD, Mobility)
Cloud Computing, BYOD und Mobility werden immer wichtiger. Damit sind Sicherheit und Datenschutz ein Muss und eine unabdingbare Voraussetzung. Das Thema Identitätsmanagement nimmt ja bereits seit einiger Zeit eine hohe Priorität ein. Bei der Implementierung vieler Cloud-Lösungen spielt es nun eine ganz entscheidende Rolle. Es muss ein Cloud-Framework aufgebaut werden, das auch die Themen Single-Sign-On, Provisionierung, Verrechnung und Sicherheit adressiert. Das Thema Datenschutz hat und hatte insbesondere in Deutschland immer schon einen sehr hohen Stellenwert und muss natürlich all diese neuen Lösungen mit beinhalten.

9. Skill Analyse & HRM-Strategie
In der Mehrheit der Unternehmen liegt bei der IT-Qualifikation der Fokus zu 90 Prozent darauf, die Systeme am Laufen zu halten. Es geht also um Skills wie Management des IT-Betriebs, Helpdesk, Infrastrukturmanagement, Desktops und mobile Endgeräte und Anwendungsunterstützung. IT-Architekten und Geschäftsprozess-Spezialisten sind dagegen dünn gesät. Anders ausgedrückt, die meisten Skills sind in Bereichen vorhanden, die bereits heute oder spätestens in nächster Zukunft Standard sind und dem Unternehmen keine Wettbewerbsdifferenzierung bieten.

10. Sourcing Strategie überarbeiten (Commodity/Value)
Insgesamt 80 Prozent des Server-basierten Computings wird bis zum Jahr 2020 ausgelagert sein. Es gilt, diesen Trend zu verstehen und sich entsprechend vorzubereiten, zu entscheiden, was Standard ist und was dem Unternehmen einen Mehrwert bringen kann. Auch wenn die Rechenzentren regelmäßig aufgerüstet wurden, sind viele doch nicht in der Lage, moderne Strom- und Kühlungsbedarfe zu erfüllen.