Die digitalisierte Arbeitswelt, in der Daten und Dokumente zwischen Mitarbeitern und Unternehmen geteilt werden, ist auch eine Welt der Enteignung - oder etwa nicht? Mit dieser Frage sehen sich CIOs heute immer häufiger konfrontiert. Wer das geistige Eigentum des Unternehmens nicht zu schützen weiß, für den kann es schnell gefährlich werden.
Was ist Intellectual Property?
Streng genommen, erfasst geistiges Eigentum - oder IP für "Intellectual Property" - nur die rechtliche Beziehung zwischen Personen und immateriellen Gütern. Im Wirtschaftsumfeld sind hier Firmengeheimnisse, gewerbliche Schutzrechte, Urheberrechte und sonstiges Know-how des Unternehmens gemeint. Der effektive Schutz dieser Daten und Dokumente ist in modernen Unternehmen Existenzvoraussetzung. IP wirft also nicht nur Rechtsfragen auf, sondern ist auch wirtschaftlich bedeutend.
Zudem sind IP und IT untrennbar mit-einander verbunden. Beispielsweise hängt ein großer Teil des geistigen Eigentums in einer Firma von der IT-Sicherheit ab. Daher obliegt die Verantwortung dem CIO: Er muss über die Know-how-Schätze des Unternehmens wachen und alle relevanten Gesetze sowie Bestimmungen einhalten.
IT-Compliance aus einer Hand
Es gibt aber keine gesetzliche Vorschrift, die Unternehmen zur Einstellung eines CIO verpflichtet oder gar dessen Aufgabenbereich definiert. Paragraf 91 des Aktiengesetzes (AktG) schreibt nur vor, dass der Vorstand geeignete Maßnahmen treffen muss, um frühzeitig Entwicklungen zu erkennen, die eine Aktiengesellschaft gefährden könnten.
Allerdings ist es am zweckmäßigsten, die gesamte "IT-Compliance" einem zentralen CIO zu übertragen, der dann für die folgenden Aufgaben zuständig ist: elektronische Buch- und Aktenführung, Lizenz-Management, Einrichtung und Wartung aller Kommunikationsmittel.
Gibt es keinen CIO im Unternehmen, so muss die IT-Compliance auf verschiedene Unternehmensbereiche verteilt werden. Die Gesamtverantwortung trägt grundsätzlich immer die Unternehmensleitung. Besteht also keine Klarheit über die Zuständigkeitsverteilung und entsteht deswegen für die Gesellschaft oder für Dritte ein Schaden, haftet der Vorstand gemeinschaftlich. Fazit: Ab einer gewissen Unternehmensgröße lassen sich die Verpflichtungen zum Risiko-Management und angemessener Revision nur durch einen zentralen CIO erfüllen.
Manchmal sind CIOs einer Aktiengesellschaft gleichzeitig Vorstandsmitglieder und schon von daher gesetzlich verpflichtet, die Vermögensinteressen der Gesellschaft wahrzunehmen. Eine zivilrechtliche Schadenersatzpflicht entsteht möglicherweise schon bei leichter Fahrlässigkeit.
Das GmbH-Gesetz und das AktG stellen auf die "Sorgfalt eines ordentlichen Geschäftsmannes" beziehungsweise des "ordentlichen und gewissenhaften Geschäftsleiters" ab. Damit ist aber noch nicht viel Klarheit gewonnen, weshalb der Sorgfaltsbegriff vor allem durch den Arbeitsvertrag und die Aufgaben im Einzelfall konkretisiert wird. Als Anhaltspunkte eignen sich aber auch DIN wie die ISO/IEC 20000 und die 27000er Reihe sowie die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Wo der CIO haftet
Den Haftungsrisiken kann der CIO durch Abschluss einer D&O-Versicherung (Directors and Officers) nur eingeschränkt begegnen, denn generell sind die Ordnungswidrigkeiten nicht abgedeckt - und für AG-Vorstände ist eine Selbstbeteiligung zwingend vorgeschrieben. CIOs, die normale Arbeitnehmer sind, haften grundsätzlich erst ab mittlerer Fahrlässigkeit persönlich. Allerdings bringt bereits die CIO-Stellung erhöhte Sorgfaltsanforderungen mit sich. Im Endeffekt gibt es da kaum Unterschiede zu Vorständen oder Gesellschaftern.
Besonders für mittelständische Technologieführer sind die Bedrohungen von innen und außen mehr geworden. Zu nennen sind hier Hacker-Angriffe oder Wirtschaftsspionage durch das Einschleusen von Mitarbeitern. Am häufigsten geschieht der Datenverlust aber durch eigene Mitarbeiter und deren unachtsamen Umgang mit den Daten - oder auch durch Arbeitgeberwechsel.
Laxes Verhalten der Mitarbeiter
Nach einer aktuellen Studie im Auftrag des IT-Sicherheitsanbieters Symantec lässt die Hälfte aller Mitarbeiter Unternehmensdaten mitgehen. Wie die Studie belegt, schützen 62 Prozent der Befragten Arbeitsdokumente nicht besonders, sondern speichern sie auch auf privaten Geräten oder online.
Um diesem laxen Verhalten in Bezug auf das kostbare Unternehmenswissen beizukommen, sollte ein CIO klare und verständliche Regeln für den Umgang damit aufstellen. Dass sie auch eingehalten werden, muss er durch geeignete Mechanismen gewährleisten. Für jedes Unternehmen individuell ist zu regeln, welche Art von Daten zu Hause bearbeitet werden können, welche Inhalte unter keinen Umständen das Unternehmensnetz verlassen dürfen und was bei Auslandsreisen zu beachten ist. Zudem sollten Mitarbeiter bei einer Kündigung darauf hingewiesen werden, dass die Mitnahme von Unternehmensdaten ein strafbarer Geheimnisverrat sein kann.
ByoD nur mit klaren Regeln
In Sachen "Bring your own Device" muss dem CIO ein Interessenspagat gelingen: zwischen den mobilen Sicherheitsanforderungen und den Produktivitätsvorteilen der Mitarbeiter. Mit zunehmender Mobilität erhöht sich das Gefahrenpotenzial. In diesem Fall kann der CIO das geistige Eigentum nur durch zusätzliche Vereinbarungen schützen. Es muss klar sein, welche Daten abgerufen oder gespeichert werden dürfen und ob beispielsweise Dritte zur Gerätenutzung berechtigt sind. Diese Regeln sollten Teil einer umfassenden Strategie werden.
Der CIO muss außerdem prüfen, ob andere Lizenzen erforderlich werden. Er darf dabei aber nicht zu großzügig einkaufen, denn auch eine Überlizenzierung kann gravierende Folgen haben. Wenn ein CIO als Vorstandsmitglied "mindestens billigend" in Kauf nimmt, dass Gesellschaftsvermögen für nicht benötigte Lizenzen ausgegeben wird, so kann das eine strafbare Untreue darstellen.
Gleichzeitig Lösung und Problem
Zum Schutz des geistigen Eigentums halten sich also die Freiheitsgrade durch Vernetzung und Digitalisierung vor allem für den verantwortlichen CIO in Grenzen. Er muss den wertvollen Know-how-Rohstoff des Unternehmens hüten. Gleichzeitig bilden paradoxerweise die modernen Technologien, die er ins Unternehmen einführt, das Einfallstor für Attacken, Missbrauch und Spionage. (qua)