CIO-Verantwortung

Wann haftet der IT-Chef?

14.03.2011
Wofür kann ein IT-Chef persönlich zur Rechenschaft gezogen werden? Wie weit reicht seine Haftung und wo endet sie? Wir geben Antworten.
Unter Umständen haftet der CIO persönlich.
Foto: Ljupco Smokovski - Fotolia.com

Sparen auf Teufel komm´ raus - das ist nicht immer die beste Idee. Denn manchmal wird diese Redewendung bittere Realität. In Teufels Küche kommt ein Unternehmen vor allem dann, wenn der IT-Sparzwang gültige Rechtsnormen, Sicherheitsanforderungen und Compliance-Gebote aushebelt. Brandheiß wird die Sache, wenn der verantwortliche Manager für solche Verstöße auch noch persönlich haftet.

"CIOs stehen heute täglich im Feuer und müssen ihr Haftungsrisiko bewusst minimieren", warnen Armin Strauss und Hartmut Jaeger. Wie die Geschäftsleitungsmitglieder bei der PA Consulting Group betonen, ist das "kein einfacher Spagat". Denn die klammen Budgets würden den CIO häufig in rechtliche Grauzonen zwingen: "So ist das Stopfen aller Risikoquellen eine fast unlösbare Aufgabe." Das gelte umso mehr, je schwieriger es werde, die ständig weiter ausdifferenzierten rechtlichen Anforderungen im Blick zu behalten.

Eins steht jedenfalls fest: Mehr denn je muss der Chief Information Officer oder IT-Leiter mögliche Gefahren frühzeitig erkennen, am besten sogar vorausahnen. Sonst tappt er nur zu leicht in die persönliche Haftungsfalle.

Die Folgen wiegen schwer. So reicht die Palette der eventuellen Ahndungen von horrenden Geldbußen bis zur fristlosen Kündigung. Und am Ende ist nicht nur das Image des CIO, sondern auch das des Arbeitgebers ruiniert.

Das Risiko verringern - aber wie?

Damit es dem CIO nach einem unbewussten Rechtsverstoß nicht gleich persönlich an den Kragen geht, muss er sich die Frage stellen, wann er handeln und welche Sicherheitsschotten er einziehen muss. Eine erste Antwort liefert der Anstellungsvertrag. Je nach Beschäftigungsverhältnis sieht das Gesetz unterschiedliche Haftungsarten vor. Ein wesentliches Kriterium ist dabei, ob der CIO als Mitglied der Geschäftsleitung oder als leitender Angestellter agiert.

"Einen CIO, der seiner Tätigkeit als Arbeitnehmer nachgeht, treffen andere Pflichten als denjenigen, der das als Organ einer größeren Gesellschaft tut", erläutert Rechtsanwalt Thomas Jansen von der Wirtschaftskanzlei DLA Piper. Ist der CIO ein Arbeitnehmer, so sind zwei Haftungskonstellationen denkbar, führt Jansen weiter aus: Zum einen stehe der IT-Leiter haftungsrechtlich gegenüber seinem Arbeitgeber in der Verantwortung. Zum anderen könne er gegenüber dem Auftraggeber des Arbeitgebers haften, also beispielsweise gegenüber einem externen Service-Provider.

Für den zweiten Fall gilt folgender Grundsatz: Arbeitnehmer, die im Rahmen ihrer Tätigkeit einen Schaden bei einem Dritten verursachen, können nur im selben Umfang in Anspruch genommen werden wie ihr Arbeitgeber. Das heißt im Klartext: Sofern der Arbeitgeber nicht haftet, haftet auch der CIO nicht.

Anders sieht es aus, wenn die Geschäftsleitung aufgrund eines Fehlers haftbar gemacht wird und den CIO eine Teilschuld trifft. "In diesem Fall kann nicht ausgeschlossen werden, dass der IT-Manager ebenfalls zur Kasse gebeten wird", warnt Jansen.

Transparenz schafft Sicherheit

Diese Konstellation ist nicht aus der Luft gegriffen, sondern kann im Handumdrehen drückende Realität werden. Deshalb raten die PA-Consulting-Geschäftsführer Strauss und Jaeger jedem CIO zu absoluter Transparenz gegenüber der Geschäftsleitung. Bei einer IT-Initiative, etwa bei der Einführung einer neuen Software, sollte er sämtliche regulatorischen Rahmenbedingungen bestmöglich einhalten und alle Schritte umfassend dokumentieren: "Nur so lässt sich die operative Sicherheit erhöhen." Der CIO müsse nicht nur sein Umfeld transparent halten, sondern auch Nachweise führen, zum Beispiel per Protokoll: "Dann besteht eine gute Chance, Schaden von der eigenen Person abzuwenden."

Vorsatz oder Fahrlässigkeit?

Die Manager-Haftung im IT-Bereich ist ein Minenfeld. Für das Verhältnis von Arbeitgeber und Arbeitnehmer hat die Rechtsprechung mit dem "innerbetrieblichen Schadensausgleich" ein Haftungssystem entwickelt, das die Interessen beider Parteien gerecht ausgleichen soll. Thomas Jansen von DHL Piper fasst die wesentlichen Punkte zusammen:

Anders verhält es sich hinsichtlich der Haftung gegenüber dem Auftraggeber des Arbeitgebers. Hier nutzen dem CIO oft die zwischen dem Arbeitgeber und dem Auftraggeber vereinbarten Haftungsbeschränkungen oder -ausschlüsse, so Jansen.

Wie wichtig es ist, interne Gremien regelmäßig einzubinden, weiß auch Bernd Neumann (Name von der Redaktion geändert). Der Group CIO eines großen Handelskonzerns agiert nach eigenen Worten "bei allen Entscheidungen nach bestem Wissen und Gewissen". Alles werde dokumentiert und die Geschäftsführung "eher zu viel informiert als zu wenig".

Was aber, wenn er sich bei einer Entscheidung einmal nicht über die rechtlichen Konsequenzen im Klaren ist und die Gefahr einer persönlichen Haftung besteht? "Dann binde ich je nach Aufgabenstellung die interne Revision oder andere Organisationseinheiten zur Prüfung des rechtlichen Sachverhalts ein. Dabei dokumentiere ich nicht nur die Dinge, die ich entscheide, sondern gerade auch die, die ich nicht entscheide."

Eine von Grund auf saubere Dokumentation ist zudem deutlich kosteneffizienter als der Versuch, die nötigen Unterlagen erst im Nachhinein und auf Nachfrage zusammenzutragen. Doch bei aller gebotenen Sorgfaltspflicht sollte die Nachweisverwaltung auch nicht ausufern. Der CIO markiert die Grenze: "Keinesfalls darf ein übersensibler Umgang mit potenziellen Haftungsrisiken die Handlungsfähigkeit lähmen." Schließlich sei der IT-Verantwortliche immer noch ein Business-Partner, sprich: "Er muss mit seiner Arbeit auf die Unternehmensziele einzahlen."

Lizenzverstöße werden teuer

Aber wie verhindert der CIO, dass Business-Entscheidungen als Haftungs-Bumerang auf ihn zurückschlagen? Das kann sehr schnell geschehen - beispielsweis wenn der Kauf neuer Softwarelizenzen ansteht, das Budget dafür aber knapp bemessen ist. Hier sind viele Unternehmen versucht, unlizenzierte Programme einzusetzen. Aber wer dieser Verockung erliegt, spielt mit dem Feuer.

Nach Paragraf 99 des Urheberrechtsgesetzes (UrhG) ziehen Lizenzverstöße unweigerlich eine persönliche Haftung nach sich, sofern der Lizenzeinsatz zum Aufgabenbereich des verantwortlichen CIOs gehört. Ob der IT-Manager dabei als Geschäftsführer oder Angestellter fungiert, spielt keine Rolle. Einem Urteil des Oberlandesgerichts (OLG) Karlsruhe zufolge (23. April 2008 - 6 U 180/06) begründet schon die reine Kenntnis vom Einsatz nicht ordnungsgemäßer lizenzierter Software die persönliche Haftung.

Tritt dieser Fall ein, so muss der verantwortliche Geschäftsführer unverzüglich aktive Maßnahmen ergreifen, um eine illegale Softwarenutzung zu verhindern. Das schlichte Verteilen eines Merkblatts zur Softwarenutzung reicht keinesfalls aus, um den Verantwortlichen zu entlasten. Wie das OLG Karlsruhe unmissverständlich klärte, muss "durch geeignete Maßnahmen" sichergestellt sein, dass auf den Computern eines Unternehmens nur lizenzierte Software installiert und eingesetzt wird.

Selbstschutz vor Business-Entscheidung

Für CIO Neumann steht deshalb das Prinzip Selbstschutz ganz klar über dem Prinzip Business-Entscheidung. Und das zieht er auch in der Praxis durch. Zur Nagelprobe kam es, als er für sein Unternehmen Lizenzen einkaufen wollte, ohne dass dafür Geld vorhanden war: "Ich wusste, wenn die Softwarelizenzen nicht in ausreichender Menge vorhanden sind, hafte ich persönlich. Da habe ich mit Kündigung gedroht." Bewusst illegal zu handeln kam für ihn nicht in Frage.

Neben der Haftung für Lizenzverstöße sind auch Fehler beim Datenschutz und bei der IT-Sicherheit für den CIO tückisch. In beiden Fällen kann er persönlich zur Verantwortung gezogen werden. Welche drastischen Konsequenzen bei datenschutzwidrigem Handeln drohen, zeigt ein heftig diskutiertes Urteil des Arbeitsgerichts (ArbG) Berlin.

Konkret ging es um die Frage, ob die Veranlassung datenschutzwidriger Maßnahmen Grund für eine außerordentliche Kündigung des Beschäftigungsverhältnisses ist (18. Februar 2010 - 38 Ca 12879/09). Die Richter entschieden, dass die Kündigung eines leitenden Angestellten aus dem Bereich Compliance aufgrund der von ihm veranlassten Überwachungsmaßnahmen beziehungsweise eines rechtswidrigen Datenabgleichs zulässig sei. Das gelte immer dann, wenn der Arbeitnehmer zum einen objektiv rechtswidrig, also unter Verstoß gegen Datenschutzvorschriften gehandelt habe und zum anderen subjektiv um die Rechtswidrigkeit wusste.

Eine vergleichbare Ausgangslage ergibt sich für CIOs, die Aufgaben in der IT-Compliance verantworten. Dazu Flemming Moos, Fachanwalt für Informationstechnologierecht bei DLA Piper: "Bei der Klärung der Haftungsfrage wird es darauf ankommen, ob der betreffende CIO juristisch ausgebildet ist und deshalb hätte wissen müssen, dass bestimmte Maßnahmen rechtswidrig sind."

Nicht nur für die Wahrung der Regelkonformität, sondern auch für die Sicherheit der Informationstechnik kann der IT-Leiter persönlich zur Rechenschaft gezogen werden. Aus rechtlicher Sicht ist das haftungsrelevante Aufgabenfeld des CIO eindeutig definiert. Er muss sich genau um die folgenden Punkte kümmern:

Weitgehend ausschließen kann der CIO ein persönliches Haftungsrisiko nur dann, wenn er nachweislich alle erforderlichen Sorgfaltspflichten erfüllt hat. Als Bewertungsgrundlage dienen hier häufig technische Standards, beispielsweise ISO-Normen oder die Grundschutznormen des BSI. Wenn sich der CIO seiner Sache nicht ganz sicher ist, so empfehlen die PA-Consulting-Experten Strauss und Jaeger ein Risiko-Assessment, das die Lücken aufdeckt. Ein solches Assessment sollte aufgrund der kontinuierlich verschärften Rechtsvorgaben ihrer Ansicht nach sogar regelmäßig erfolgen.

Kontrolle ist der beste Schutz

Tatsächlich ist absehbar, dass die rechtlichen Damenschrauben künftig weiter angezogen werden. Zudem wächst das Aufgabenspektrum des CIO im gleichen Maß. Folglich wird die latente Gefahr der persönlichen Haftung eher steigen als schwinden. Für Strauss und Jaeger ist das noch lange kein Grund zur Panik. Die von ihnen vorgeschlagene Lösung liegt in einem effektiven Risikokontroll-System, das "in engem Schulterschluss mit Rechtsexperten und Geschäftsführung" entwickelt wird: "Es macht aus einem unkalkulierbaren ein kalkulierbares Risiko."

IT-Chef Neumann hat ein persönliches, praxisbewährtes "Selbstschutzinstrumentarium", mit dem er die Gefahren auf ein verträgliches Maß einzudämmen hofft und im Zweifel auf der sicheren Seite ist. Beispielsweise wendet er stets das Vier-Augen-Prinzip an, lässt Verträge ab 10.000 Euro grundsätzlich archivieren und veranlasst Regelungen zu Vertretungen und Unterschriftenhöhen.

Besonders wachsam sollten CIOs nach Neumanns Auffassung sein, wenn andere Fachbereiche Hardware und Software einkaufen: "Schafft die Marketing-Abteilung eigenmächtig eine Software an, ohne die entscheidenden Funktionen zu kennen und beim Kauf zu beachten, wird es problematisch." Begeht sie dabei einen Compliance-Verstoß, sei der CIO "dran". Denn er trage die Verantwortung - obwohl er den Einkaufsprozess überhaupt nicht im Griff gehabt habe.

Diesen Brandherd tritt Neumann mit einer ebenso einfachen wie wirksamen Vorsichtsmaßnahme aus: "Ich habe mit allen regionalen Lieferanten vereinbart, dass sie nur noch Bestellungen annehmen, die direkt über mich gesteuert werden."

Quelle: ChannelPartner