Im Zweifel gegen den CIO

Nicht zuletzt berührt Basel II unmittelbar die IT. Denn eine Voraussetzung für ein entsprechendes Banken-Rating ist eine sichere IT-Struktur.

Konsequenzen

Ist diese nicht gewährleistet, sind die Folgen dramatisch. Nicht nur Schadensersatzforderungen, Bußgelder, aber auch Haft- und Geldstrafen drohen beispielsweise schon bei Verletzung des Urheberrechts oder des Jugendschutzes. Gewerbeämter können bei ständiger Verletzung der IT-Sicherheit die Gewerbeerlaubnis entziehen. Datenschutz-Aufsichtsbehörden können einschreiten. Betriebshaftpflichtversicherungen können Leistungen kürzen oder ganz verweigern.

Werden Daten unter Verstoß gegen rechtliche Vorgaben erhoben, können sie vor Gericht nicht als Beweismittel eingesetzt werden. Das gilt auch bei Arbeitsgerichtsprozessen. Ebenso schädlich ist der Verlust der Reputation. Denn wer durch Nachlässigkeit im Bereich IT-Sicherheit auffällt, wird in seiner Branche immer mehr zum "Risikofaktor".

Regressansprüche

Vor straf- und zivilrechtlichen Folgen ist auch der CIO nicht sicher, auch wenn zunächst einmal das Unternehmen für strategische Aufgaben im Bereich der IT zuständig ist. Er kann nämlich durchaus in Regress genommen werden, wenn sein Verhalten dem Unternehmen geschadet hat.

Rechtsanwalt Joachim Schrey, spezialisiert auf IT-Recht, geht davon aus, dass Schadensersatzansprüche gegen Mitarbeiter wegen Verletzung ihrer vertraglichen Pflichten zwar nicht allzu häufig vor Gericht geltend gemacht werden. Ihre Androhung werde jedoch häufig als Druckmittel eingesetzt, um sich schnell und kostengünstig vom betreffenden Mitarbeiter zu trennen.

Schadensersatzsprüche des Arbeitgebers gegen den Arbeitnehmer wegen so genannter Schlechterfüllung arbeitsvertraglicher Pflichten ergeben sich aus §280 Absatz 1 BGB. Immer dann, wenn der Arbeitnehmer, in diesem Fall der CIO, "seine Pflichten aus dem Arbeitsverhältnis verletzt, indem er schuldhaft seine Arbeit nicht ordnungsgemäß erbringt und den Arbeitgeber hierdurch schädigt" greift dieser Paragraph. Der CIO muss also Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten besonders aufmerksam wahrnehmen.

Bevor er jedoch die Zahnbürste für den Gang ins Untersuchungsgefängnis packt, sollte er sich darüber im Klaren sein, dass die Rechtsprechung sehr wohl zwischen grob fahrlässigem und schuldhaftem Verhalten und leicht fahrlässigem Verhalten differenziert. Schließlich trägt im Normalfall nicht der CIO, sondern der Arbeitgeber das Betriebs- und Unternehmensrisiko.

In Schadensfällen, die durch leichte Fahrlässigkeit entstanden sind, gehen Gerichte davon aus, dass der Arbeitnehmer überhaupt nicht haften muss. Allerdings entfällt die Haftung nur gegenüber dem Arbeitgeber, nicht gegenüber Dritten. Hier haftet der CIO persönlich und in voller Höhe. Jedoch gibt es auch in diesen Fällen einen so genannten Freistellungsanspruch. Danach ist der Arbeitgeber gegenüber dem Arbeitnehmer verpflichtet, dessen Gläubiger zu befriedigen, wenn der Arbeitnehmer im Innenverhältnis nicht schadensersatzpflichtig gewesen wäre.