CIO-Haftung

Mehr Einfluss, mehr Risiko

Dr. Thomas Jansen ist IT-Anwalt und Partner bei der Wirtschafskanzlei DLA Piper in München.
Sobald ein CIO schludert und von arbeitsvertraglichen Verpflichtungen abweicht, begibt er sich in die Gefahr der persönlichen Haftung.

Vorbei sind die Zeiten, in denen ein CIO ausschließlich IT-Projekte verantworten musste. Sein Aufgabenspektrum hat sich erweitert. Heute hat er bei Entscheidungen für das Business die Finger im Spiel. Er muss Probleme lösen, die nicht zwangsläufig technischer Natur sind. Wie ist es vor diesem Hintergrund um seine persönliche Haftung bestellt?

Sobald ein CIO schludert, begibt er sich in die Gefahr der persönlichen Haftung.
Sobald ein CIO schludert, begibt er sich in die Gefahr der persönlichen Haftung.
Foto: ferkelraggae, Fotolia.com

Ein paar Grundregeln

Eines vorweg: Unternehmen sind gesetzlich keineswegs verpflichtet, einen CIO zu bestellen. Schon aus diesem Grund gibt es keine ausdrücklichen Regeln für die Haftung eines CIO. Stattdessen gelten auch für den CIO die allgemeinen Vorschriften aus dem Aktien- und dem GmbH-Gesetz. Dabei werden keine maßgeblichen Unterschiede zwischen Vorstandsmitgliedern und GmbH-Gesellschaftern gemacht: Die Regelungen sind entweder identisch oder lassen sich entsprechend anwenden.

Ist der CIO Vorstand einer AG oder Gesellschafter einer GmbH, so hat er damit auch die Verpflichtung, die Vermögensinteressen der Gesellschaft wahrzunehmen. Er muss Maßnahmen ergreifen, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, frühzeitig erkannt (und gebannt) werden.

Dabei ist grundsätzlich der Sorgfaltsmaßstab eines "ordentlichen Geschäftsmanns" beziehungsweise eines "ordentlichen und gewissenhaften Geschäftsleiters" anzuwenden. Im Streitfall muss der Vorstand beziehungsweise Gesellschafter selbst nachweisen, dass er sorgfältig gehandelt hat. Von dieser Beweislastverteilung darf auch nicht im Vertrag abgewichen werden.

Ist ein CIO hingegen nur leitender Angestellter, gelten diese Gesetze nicht. Bei Fragen der Pflichtverletzung orientiert man sich dann am Inhalt des Arbeitsvertrags. Es ist sicher tröstlich, zu wissen, dass ein CIO nur persönlich haftbar gemacht werden kann, wenn er sich echte Schnitzer erlaubt. Juristen sprechen hier von grober Fahrlässigkeit oder Vorsatz. Andererseits zieht bereits die hierarchische Stellung des CIO eine erhöhte Sorgfaltspflicht nach sich. Deshalb darf er sich in seinen Ergebnissen eigentlich auch keine größeren Ausrutscher erlauben als seine Chefs, die Vorstände oder Gesellschafter.

Auch gegenüber einem externen Unternehmen, also einem Auftraggeber, muss ein CIO grundsätzlich geradestehen. Rechtlich gesehen wirken Haftungsausschlüsse aber meist zugunsten der Angestellten und Vertreter des Unternehmens.

Also gilt: Sobald der CIO schludert, also nicht mehr wie ein ordentlicher Geschäftsmann arbeitet beziehungsweise von arbeitsvertraglichen Verpflichtungen abweicht, begibt er sich in die Gefahr der persönlichen Haftung.

Drei Stolpersteine

Nun gibt es für den CIO zahlreiche Möglichkeiten, in die Haftungsfalle zu tappen. Je umfangreicher seine Verantwortlichkeit, desto größer wird die Gefahr. Erschwerend kommt hinzu, dass sich in den meisten Unternehmen die Aufgabenbereiche eines CIO immer weiter ausdehnen. Die drei wichtigsten und gefahrenträchtigsten Bereiche, derer sich der CIO bewusst sein muss, sind im Folgenden kurz beschrieben:

1. Lizenz-Management

Die Beschaffung geeigneter Software und das richtige Management der Lizenzen zählen zum Brot-und-Butter-Geschäft des CIO. Daher ist auch hinlänglich bekannt, welche Haftungsfolgen beispielsweise eine Unterlizenzierung nach sich ziehen kann: Ein solcher Verstoß gegen das Urheberrechtsgesetz begründet nicht nur Schadensersatzansprüche der Rechteinhaber, sondern kann auch eine strafrechtliche Verfolgung nach sich ziehen.

Der CIO muss aber auch immer peinlich genau darauf achten, nicht zu viele oder zu umfangreiche Lizenzen zu unterhalten. Denn auch die Überlizenzierung stellt eine Pflichtverletzung dar, sofern daraus für das Unternehmen unnötige Ausgaben erwachsen.

2. Datenschutz

Zum Verantwortungsbereich des CIO zählt nicht nur die reibungslose elektronische Kommunikation über die Unternehmens-IT. Vielmehr muss ihm dabei auch bewusst sein, dass bestimmte Inhalte (beispielsweise beim Einsatz privater Endgeräte für Unternehmenszwecke) geschützt sind, sprich: vom Arbeitgeber nicht eingesehen werden dürfen. Alles anschauen darf er lediglich dann, wenn der Arbeitgeber die E-Mail- und Internet-Nutzung explizit nur zu Geschäftszwecken erlaubt.

Genehmigt aber das Unternehmen private Internet-Nutzung ausdrücklich, oder duldet es sie stillschweigend, wird es damit zum Diensteanbieter im Sinne des Telekommunikationsgesetzes (TKG). Folglich findet das Fernmeldegeheimnis Anwendung, und eine Prüfung, wann der einzelne Arbeitnehmer welche Internet-Seiten aufgerufen hat, ist datenschutzrechtlich unzulässig.

Dasselbe gilt für E-Mails: Wenn die private Nutzung des dienstlichen E-MailAccounts gestattet ist und sich dienstliche nicht von privaten Mails unterscheiden lassen, ist eine Einsicht in die Kommunikation verboten.

Datenschutzrechtliche Vorschriften spielen in der CIO-Praxis auch dann eine Rolle, wenn IT-Services an externe Dienstleister ausgelagert werden. Das IT-Outsourcing wird immer häufiger in Form von Cloud-Computing-Services betrieben. In diesem Zusammenhang muss der (mit-)verantwortliche CIO wissen, dass hier in der Regel eine Auftragsdatenverarbeitung gemäß Paragraf 11 Bundesdatenschutzgesetz (BDSG) vorliegt. Das heißt, der Cloud-Provider wird als verlängerter Arm des Unternehmens tätig. Das Unternehmen bleibt aber die verantwortliche Stelle für personenbezogene Mitarbeiter- und/oder Kundendaten.

Der CIO muss darauf achten, dass beim Cloud-Anbieter ein angemessenes Datenschutzniveau gewährleistet ist. Dies ist (nur) unproblematisch, wenn die Cloud sich ausschließlich im EU/EWR-Raum befindet. Zukunftssicher und empfehlenswert ist derzeit also eine deutsche oder europäische Cloud. Von US-amerikanischen oder anderen Anbietern sollte dagegen Abstand genommen werden, um Verstöße gegen das BDSG und daraus resultierende Schadensersatz- oder Bußgeldpflichten zu vermeiden.

3. Datensicherheit

Auch das Thema Datensicherheit sollte die CIOs interessieren. Der IT-Verantwortliche muss schon bei der Beschaffung der Soft- und Hardware die individuellen Sicherheitsbedürfnisse im Blick haben. Je nach Kontext sollte er Produkte oder Lösungen wählen, die einerseits sicher genug sind und andererseits keine unnötigen Hürden vor der Nutzungsfreundlichkeit aufstellen. Als Anhaltspunkt und zur Absicherung von Entscheidungen bieten sich hier die einschlägigen DIN-Normen (insbesondere ISO/IEC 20000 und 27000er-Reihe) oder die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) an.

Datensicherheit erfordert auch die Schulung von Mitarbeitern: Je nach Art der verarbeiteten Daten sollte auf starke Verschlüsselung und sichere Zugangskontrolle geachtet werden. Idealerweise bekommen die Mitarbeiter Verhaltensanweisungen für den Fall, dass Daten verloren gehen. Seien es Smartphones, die im Zug liegen bleiben, Telefongespräche über Unternehmensinterna in der Öffentlichkeit oder der unbedachte Download von Dateien - solche Unfälle lassen sich am effektivsten durch regelmäßige Sensibilisierung verhindern. Je nach Art und Wichtigkeit der Daten lässt sich dieses Thema auch ausdrücklich im Arbeitsvertrag regeln.

Vorsicht vor der Schatten-IT

Die dringendste Aufgabe für den CIO ist die, seinen Zuständigkeitsbereich so klar wie möglich abzustecken. Denn je größer das Unternehmen, desto weniger kann der CIO gleichzeitig strategisch und operativ tätig werden. In diesem Fall sollte er klar festlegen, welche Tätigkeiten an wen delegiert werden können.

Empfehlenswert kann es sein, den CIO auch gegenüber Lieferanten explizit als Ansprechpartner für IT-Fragen zu benennen. Wichtig wird das vor allem, wenn eine andere Fachabteilung eigenmächtig eine Software beschaffen will, die nicht den Anforderungen entspricht. Denn für alles, was in seinem Zuständigkeitsbereich liegt, ist der CIO verantwortlich und kann entsprechend haftbar gemacht werden. Unwissenheit oder Nichtentscheiden schützt nicht vor der Haftung.

Die rechtliche Grauzone

Oft sind Aufgabenbereiche allerdings nicht klar abgrenzbar. Beispielsweise führen Budgetkürzungen im IT-Bereich häufig dazu, dass nicht die relevanteste oder sicherste (sprich: aus CIO-Sicht emfehlenswerteste) Hard- und Software angeschafft wird, sondern schlicht die billigste.

Viele Firmen bedienen sich auch einer Open-Source-Software (OSS) als der günstigsten Lösung. Hier schwingt ebenfalls ein latentes Haftungsrisiko mit: Erstens sind in solchen Fällen meist Abstriche an der Funktionalität zu machen. Und zweitens steht bei einem Ausfall der Software oft kein sofortiger Support zur Verfügung. Last, but not least müssen in jedem Fall die Lizenzbedingungen der OSS eingehalten werden, um einen Verstoß gegen das Urheberrechtsgesetz zu vermeiden.

Wegen Innovationsdruck und technischer Neuentwicklungen neigen CIOs häufig dazu, ihre IT in Windeseile zu verändern oder verbessern. So können unausgereifte Lösungen entstehen. Zudem wird vielleicht nicht mehr die erforderliche Sorgfalt beobachtet, was immer Haftungsrisiken birgt.

Wachsende Gefahr

Generell wächst die rechtliche Grauzone mit der Verantwortung eines CIO. Je enger er in unternehmerische Entscheidungsprozesse einbezogen wird, desto größer wird die Gefahr der persönlichen Haftung.

Das gilt umso mehr, wenn der CIO nicht mehr nur im betriebswirtschaftlichen Bereich tätig ist, sondern - wie es zunehmend der Fall ist - auch bei der Produktion mit im Boot sitzt. Je größer seine Verantwortung für das Geschäft des Unternehmens, desto massiver wird naturgemäß auch die Gefahr, dass der CIO Fehler macht. (qua)