Kontrolle ist der beste Schutz
Tatsächlich ist absehbar, dass die rechtlichen Damenschrauben künftig weiter angezogen werden. Zudem wächst das Aufgabenspektrum des CIO im gleichen Maß. Folglich wird die latente Gefahr der persönlichen Haftung eher steigen als schwinden. Für Strauss und Jaeger ist das noch lange kein Grund zur Panik. Die von ihnen vorgeschlagene Lösung liegt in einem effektiven Risikokontroll-System, das "in engem Schulterschluss mit Rechtsexperten und Geschäftsführung" entwickelt wird: "Es macht aus einem unkalkulierbaren ein kalkulierbares Risiko."
IT-Chef Neumann hat ein persönliches, praxisbewährtes "Selbstschutzinstrumentarium", mit dem er die Gefahren auf ein verträgliches Maß einzudämmen hofft und im Zweifel auf der sicheren Seite ist. Beispielsweise wendet er stets das Vier-Augen-Prinzip an, lässt Verträge ab 10.000 Euro grundsätzlich archivieren und veranlasst Regelungen zu Vertretungen und Unterschriftenhöhen.
Besonders wachsam sollten CIOs nach Neumanns Auffassung sein, wenn andere Fachbereiche Hardware und Software einkaufen: "Schafft die Marketing-Abteilung eigenmächtig eine Software an, ohne die entscheidenden Funktionen zu kennen und beim Kauf zu beachten, wird es problematisch." Begeht sie dabei einen Compliance-Verstoß, sei der CIO "dran". Denn er trage die Verantwortung - obwohl er den Einkaufsprozess überhaupt nicht im Griff gehabt habe.
Diesen Brandherd tritt Neumann mit einer ebenso einfachen wie wirksamen Vorsichtsmaßnahme aus: "Ich habe mit allen regionalen Lieferanten vereinbart, dass sie nur noch Bestellungen annehmen, die direkt über mich gesteuert werden." (qua)
Vorsatz oder Fahrlässigkeit?
Die Manager-Haftung im IT-Bereich ist ein Minenfeld. Für das Verhältnis von Arbeitgeber und Arbeitnehmer hat die Rechtsprechung mit dem "innerbetrieblichen Schadensausgleich" ein Haftungssystem entwickelt, das die Interessen beider Parteien gerecht ausgleichen soll. Thomas Jansen von DHL Piper fasst die wesentlichen Punkte zusammen:
-
Grundsätzlich gilt, dass der Arbeitnehmer je nach vorliegender Fahrlässigkeit unterschiedlich stark in Anspruch genommen werden kann.
-
Eine unbeschränkte Haftung besteht für Arbeitnehmer in der Regel bei "grob" fahrlässigem Verhalten und immer bei Vorsatz.
-
Bei "leichtester" Fahrlässigkeit ist die Haftung des Arbeitnehmers ausgeschlossen.
-
Im Falle eines Verhaltens, das zwischen leichtester und grober Fahrlässigkeit liegt, also bei "mittlerer" Fahrlässigkeit, wird eine Abwägung vorgenommen; sie sieht in der Regel eine 50-prozentige Haftung des Arbeitnehmers vor.
-
Generell gilt aber für den innerbetrieblichen Schadensausgleich, dass die Haftung des Arbeitnehmers aus Billigkeitsgründen gemildert werden kann.
Anders verhält es sich hinsichtlich der Haftung gegenüber dem Auftraggeber des Arbeitgebers. Hier nutzen dem CIO oft die zwischen dem Arbeitgeber und dem Auftraggeber vereinbarten Haftungsbeschränkungen oder -ausschlüsse, so Jansen.
-
In der Praxis wurden zwischen dem Auftraggeber und dem Arbeitgeber des CIO oft Klauseln vereinbart, die die Haftung auf grobe Fahrlässigkeit und Vorsatz beschränken.
-
Falls der Arbeitgeber aufgrund der vereinbarten Haftungserleichterung nicht haftet, kommt auch der CIO ungeschoren davon. Er kann sich in der Regel auf diese Vereinbarung berufen.
-
Das gilt selbst dann, wenn sich die Klauseln nirgendwo als in den Allgemeinen Geschäftsbedingungen (AGB) des Arbeitgebers befinden.