CIO-Haftung

Mehr Einfluss, mehr Risiko

22.01.2014
Von Thomas Jansen

Drei Stolpersteine

Nun gibt es für den CIO zahlreiche Möglichkeiten, in die Haftungsfalle zu tappen. Je umfangreicher seine Verantwortlichkeit, desto größer wird die Gefahr. Erschwerend kommt hinzu, dass sich in den meisten Unternehmen die Aufgabenbereiche eines CIO immer weiter ausdehnen. Die drei wichtigsten und gefahrenträchtigsten Bereiche, derer sich der CIO bewusst sein muss, sind im Folgenden kurz beschrieben:

1. Lizenz-Management

Die Beschaffung geeigneter Software und das richtige Management der Lizenzen zählen zum Brot-und-Butter-Geschäft des CIO. Daher ist auch hinlänglich bekannt, welche Haftungsfolgen beispielsweise eine Unterlizenzierung nach sich ziehen kann: Ein solcher Verstoß gegen das Urheberrechtsgesetz begründet nicht nur Schadensersatzansprüche der Rechteinhaber, sondern kann auch eine strafrechtliche Verfolgung nach sich ziehen.

Der CIO muss aber auch immer peinlich genau darauf achten, nicht zu viele oder zu umfangreiche Lizenzen zu unterhalten. Denn auch die Überlizenzierung stellt eine Pflichtverletzung dar, sofern daraus für das Unternehmen unnötige Ausgaben erwachsen.

2. Datenschutz

Zum Verantwortungsbereich des CIO zählt nicht nur die reibungslose elektronische Kommunikation über die Unternehmens-IT. Vielmehr muss ihm dabei auch bewusst sein, dass bestimmte Inhalte (beispielsweise beim Einsatz privater Endgeräte für Unternehmenszwecke) geschützt sind, sprich: vom Arbeitgeber nicht eingesehen werden dürfen. Alles anschauen darf er lediglich dann, wenn der Arbeitgeber die E-Mail- und Internet-Nutzung explizit nur zu Geschäftszwecken erlaubt.

Genehmigt aber das Unternehmen private Internet-Nutzung ausdrücklich, oder duldet es sie stillschweigend, wird es damit zum Diensteanbieter im Sinne des Telekommunikationsgesetzes (TKG). Folglich findet das Fernmeldegeheimnis Anwendung, und eine Prüfung, wann der einzelne Arbeitnehmer welche Internet-Seiten aufgerufen hat, ist datenschutzrechtlich unzulässig.

Dasselbe gilt für E-Mails: Wenn die private Nutzung des dienstlichen E-MailAccounts gestattet ist und sich dienstliche nicht von privaten Mails unterscheiden lassen, ist eine Einsicht in die Kommunikation verboten.

Datenschutzrechtliche Vorschriften spielen in der CIO-Praxis auch dann eine Rolle, wenn IT-Services an externe Dienstleister ausgelagert werden. Das IT-Outsourcing wird immer häufiger in Form von Cloud-Computing-Services betrieben. In diesem Zusammenhang muss der (mit-)verantwortliche CIO wissen, dass hier in der Regel eine Auftragsdatenverarbeitung gemäß Paragraf 11 Bundesdatenschutzgesetz (BDSG) vorliegt. Das heißt, der Cloud-Provider wird als verlängerter Arm des Unternehmens tätig. Das Unternehmen bleibt aber die verantwortliche Stelle für personenbezogene Mitarbeiter- und/oder Kundendaten.

Der CIO muss darauf achten, dass beim Cloud-Anbieter ein angemessenes Datenschutzniveau gewährleistet ist. Dies ist (nur) unproblematisch, wenn die Cloud sich ausschließlich im EU/EWR-Raum befindet. Zukunftssicher und empfehlenswert ist derzeit also eine deutsche oder europäische Cloud. Von US-amerikanischen oder anderen Anbietern sollte dagegen Abstand genommen werden, um Verstöße gegen das BDSG und daraus resultierende Schadensersatz- oder Bußgeldpflichten zu vermeiden.

3. Datensicherheit

Auch das Thema Datensicherheit sollte die CIOs interessieren. Der IT-Verantwortliche muss schon bei der Beschaffung der Soft- und Hardware die individuellen Sicherheitsbedürfnisse im Blick haben. Je nach Kontext sollte er Produkte oder Lösungen wählen, die einerseits sicher genug sind und andererseits keine unnötigen Hürden vor der Nutzungsfreundlichkeit aufstellen. Als Anhaltspunkt und zur Absicherung von Entscheidungen bieten sich hier die einschlägigen DIN-Normen (insbesondere ISO/IEC 20000 und 27000er-Reihe) oder die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) an.

Datensicherheit erfordert auch die Schulung von Mitarbeitern: Je nach Art der verarbeiteten Daten sollte auf starke Verschlüsselung und sichere Zugangskontrolle geachtet werden. Idealerweise bekommen die Mitarbeiter Verhaltensanweisungen für den Fall, dass Daten verloren gehen. Seien es SmartphonesSmartphones, die im Zug liegen bleiben, Telefongespräche über Unternehmensinterna in der Öffentlichkeit oder der unbedachte Download von Dateien - solche Unfälle lassen sich am effektivsten durch regelmäßige Sensibilisierung verhindern. Je nach Art und Wichtigkeit der Daten lässt sich dieses Thema auch ausdrücklich im Arbeitsvertrag regeln. Alles zu Smartphones auf CIO.de

Vorsicht vor der Schatten-IT

Die dringendste Aufgabe für den CIO ist die, seinen Zuständigkeitsbereich so klar wie möglich abzustecken. Denn je größer das Unternehmen, desto weniger kann der CIO gleichzeitig strategisch und operativ tätig werden. In diesem Fall sollte er klar festlegen, welche Tätigkeiten an wen delegiert werden können.

Empfehlenswert kann es sein, den CIO auch gegenüber Lieferanten explizit als Ansprechpartner für IT-Fragen zu benennen. Wichtig wird das vor allem, wenn eine andere Fachabteilung eigenmächtig eine Software beschaffen will, die nicht den Anforderungen entspricht. Denn für alles, was in seinem Zuständigkeitsbereich liegt, ist der CIO verantwortlich und kann entsprechend haftbar gemacht werden. Unwissenheit oder Nichtentscheiden schützt nicht vor der Haftung.

Die rechtliche Grauzone

Oft sind Aufgabenbereiche allerdings nicht klar abgrenzbar. Beispielsweise führen Budgetkürzungen im IT-Bereich häufig dazu, dass nicht die relevanteste oder sicherste (sprich: aus CIO-Sicht emfehlenswerteste) Hard- und Software angeschafft wird, sondern schlicht die billigste.

Viele Firmen bedienen sich auch einer Open-Source-Software (OSS) als der günstigsten Lösung. Hier schwingt ebenfalls ein latentes Haftungsrisiko mit: Erstens sind in solchen Fällen meist Abstriche an der Funktionalität zu machen. Und zweitens steht bei einem Ausfall der Software oft kein sofortiger Support zur Verfügung. Last, but not least müssen in jedem Fall die Lizenzbedingungen der OSS eingehalten werden, um einen Verstoß gegen das Urheberrechtsgesetz zu vermeiden.

Wegen Innovationsdruck und technischer Neuentwicklungen neigen CIOs häufig dazu, ihre IT in Windeseile zu verändern oder verbessern. So können unausgereifte Lösungen entstehen. Zudem wird vielleicht nicht mehr die erforderliche Sorgfalt beobachtet, was immer Haftungsrisiken birgt.

Wachsende Gefahr

Generell wächst die rechtliche Grauzone mit der Verantwortung eines CIO. Je enger er in unternehmerische Entscheidungsprozesse einbezogen wird, desto größer wird die Gefahr der persönlichen Haftung.

Das gilt umso mehr, wenn der CIO nicht mehr nur im betriebswirtschaftlichen Bereich tätig ist, sondern - wie es zunehmend der Fall ist - auch bei der Produktion mit im Boot sitzt. Je größer seine Verantwortung für das Geschäft des Unternehmens, desto massiver wird naturgemäß auch die Gefahr, dass der CIO Fehler macht.

Zur Startseite