Thomas Feil und Alexander Fiedler betrachten die Verantwortlichkeiten aus rechtlicher Sicht.
Thomas Feil ist Rechtsanwalt, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover. Alexander Fiedler ist Dipl.-Jurist und Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover.
Viele Unternehmen setzen mittlerweile auf den Einsatz mobiler Endgeräte, wie Notebooks und Smartphones. Damit können Mitarbeiter ihre Arbeiten nicht nur lokal auf dem Firmengelände erledigen, sondern auch unterwegs, bei Kunden oder von zu Hause aus erreichbar sein. Außerdem können sie auch auf Datenbestände zugreifen oder die Geräte schlicht privat nutzen. Der Einsatz außerhalb eines festen Firmennetzwerks birgt jedoch besondere Gefahren, denn außerhalb einer gut gesicherten Infrastruktur und bei einer teilweise privaten Nutzung können sich Viren und andere Schadprogramme leichter auf einem Endgerät einnisten. Es stellt sich die Frage, wer überhaupt für die Sicherheit der Firmen-IT verantwortlich ist.
Unternehmensleitung
Zunächst einmal ist die Unternehmensleitung für ein effektives Risikomanagement verantwortlich, wozu auch die IT-Compliance gehört. Damit ist die Einhaltung von rechtlichen Pflichten und Geboten hinsichtlich der eingesetzten Computersysteme gemeint. Insbesondere müssen Gefahrenpotenziale erfasst, abgeschätzt und überwacht werden, damit gefährdende Entwicklungen früh erkannt werden.
Foto: Fotolia, pmphoto
Der Umfang der Risikomanagement-Pflichten variiert je nach Gefahrenlage und Schadenspotenzial. Mittlerweile sind jedoch Unternehmensdaten und die Funktionsfähigkeit der IT-Systeme derart wichtig geworden, dass schon Ausfälle von wenigen Tagen große finanzielle und wettbewerbliche Nachteile mit sich bringen und sogar den Bestand des Unternehmens gefährden können. Dies hat Auswirkungen auf Umfang und Stellenwert der Pflichten der Geschäftsleitung. Beispielsweise gehören die Erstellung von Notfallplanungen, Datensicherungsplänen und die Bereitstellung ausreichender Mittel zur Anschaffung erforderlicher Sicherheits-Tools zum Standardrepertoire.
Kommt die Geschäftsleitung ihrer Pflicht zum IT-Risikomanagement nicht mit der gebotenen Sorgfalt nach, ergeben sich persönliche Haftungsrisiken der Geschäftsleitung gegenüber dem Unternehmen oder gegenüber Dritten. Ein Geschäftsführer muss ggf. mit seinem Privatvermögen für die durch seine Pflichtverletzungen verursachten Schäden aufkommen. Dieses Haftungsrisiko wird bei der Aktiengesellschaft noch dadurch verschärft, dass nach § 93 Abs. 2 AktG die Unternehmensleitung im Zweifelsfall beweisen muss, dass sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat. Daher empfiehlt es sich, über alle das IT-Risikomanagement betreffenden Planungen Aufzeichnungen zu führen, damit später die Einhaltung der IT-Compliance bewiesen werden kann.
Administrator
Natürlich kann die Geschäftsleitung eines Unternehmens nicht alle im Zusammenhang mit der IT-Sicherheit stehenden Aufgaben persönlich wahrnehmen. Dazu fehlt es vor allem in größeren Unternehmen meist nicht nur an der Zeit, sondern auch am technischen Wissen. Eine Delegation der Pflichten ist stets möglich, sofern der Aufgabe ihrem Wesen oder ihrer Wichtigkeit nach nicht eine überragende Bedeutung für das Unternehmen darstellt.
In der Regel werden können wesentliche Teile der IT-Verantwortlichkeit auf einen Chief Information Officer (CIO) übertragen werden, der die wesentlichen Entscheidungen im EDV-Bereich trifft. Bei der Delegation der Verantwortlichkeit ist insbesondere auf eine klare Aufgabenverteilung zu achten, da nur so auch eine Reduzierung der persönlichen Haftungsrisiken bewirkt werden kann. Darüber hinaus ist auf eine ausreichende Qualifikation des Verantwortlichen Wert zu legen und auch nach einer Delegation ist die Geschäftsleitung verpflichtet, Arbeitsweise und Ergebnisse zumindest stichprobenartig zu kontrollieren und zu überwachen.
Sofern der CIO für die IT-Sicherheit verantwortlich ist, muss er eine Risikoanalyse durchführen. Dazu kann beispielsweise eine Bestandsaufnahme der IT-Infrastruktur gehören, die Dokumentation der Verbindungen einzelner EDV-Systeme untereinander oder eine Auflistung und Analyse der Zugriffsrechte. Ferner sollte die Art der Datenflüsse, der Sicherheitsprotokolle und der Datensicherungsroutine schriftlich festgehalten werden. Als Hilfestellung können die umfangreichen IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik dienen (www.bsi.bund.de/gshb).
Gestattet die Unternehmensleitung die Nutzung von mobilen Endgeräten außerhalb des Unternehmens und möglicherweise auch im privaten Bereich, muss auch dies in die Risikobewertung mit einfließen und sich in den Planungen niederschlagen. Je nach Gefahrenlage sind verbindliche Verhaltensregeln für die Mitarbeiter geboten. Beispielsweise die Anweisung, keine Programme aus dem Internet herunterzuladen oder keine sonstige private Software zu installieren. Der Einsatz regelmäßig aktualisierter Virenscanner, richtig konfigurierter Firewalls und sonstiger Sicherheitstools sollte ohnehin zum Standard gehören. Wenn trotz aller möglichen Vorsichtsmaßnahmen dennoch signifikante Risiken durch den Privateinsatz bleiben, muss notfalls ein Verbot der Privatnutzung ausgesprochen werden.
Arbeitnehmer
Arbeitnehmer haben sich grundsätzlich an die Weisungen des Arbeitgebers und ihrer Vorgesetzten zu halten. Das betrifft selbstverständlich auch die Befolgung von IT-Sicherheitsvorkehrungen. Verstöße können mit einer Abmahnung oder gar einer Kündigung geahndet werden.
Prinzipiell müssen sich Arbeitnehmer sorgfältig verhalten. Ein Arbeitnehmer, der seine Sorgfaltspflicht verletzt, kann sich schadensersatzpflichtig machen. Auch ohne explizite Anweisungen kann erwartet werden, dass auf privat genutzten Notebooks Virenscanner auf dem aktuellen Stand gehalten werden. Dagegen wird die komplizierte Einrichtung sonstiger Sicherheitsprogramme kaum verlangt werden können. Verursacht ein Computervirus trotz Einhaltung aller gebotenen Sicherheitsmaßnahmen auf dem Notebook einen Schaden oder kann das Virus unbemerkt in das Firmennetzwerk eindringen, so ist es dem Arbeitgeber mangels schuldhaften Handelns des Angestellten verwehrt, von diesem Schadensersatz zu fordern. Im Übrigen gilt im Arbeitsrecht der Grundsatz, dass dem Arbeitnehmer ein Verschulden von Seiten des Unternehmens stets nachgewiesen werden muss.
Doch selbst wenn sich der Angestellte sorgfaltswidrig verhalten hat, beispielsweise seinen Virenscanner nicht aktualisiert hat oder Betriebssystemupdates aus Nachlässigkeit wochenlang auf später verschoben hat, so wird er sich auf ein Mitverschulden des IT-Verantwortlichen berufen können, wenn das Unternehmen seinerseits nicht die erforderlichen Risikovorkehrungen getroffen, Notfallplanungen aufgestellt und Verhaltensanweisungen zur Risikominimierung an die Angestellten ausgegeben hat. Solche Versäumnisse seitens des Unternehmens können im Extremfall dazu führen, dass der Angestellte im Ergebnis den Schaden trotz sorgfaltswidrigen Verhaltens nicht begleichen muss.
Thomas Feil ist Rechtsanwalt, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover.
Kontakt:
Tel.: 0511 473906-01, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de
Alexander Fiedler ist Dipl.-Jurist und Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover.
Kontakt:
E-Mail: fiedler@iri.uni-hannover.de