computerwoche.de

IT-Strategie

CIO haftet für Fehler des Outsourcers

11.10.2006
Von Matthias Hinze und Antonio Paul Vezzari
Das Daten- und Prozessrisiko lässt sich zwar nicht auslagern, aber der Provider in die Pflicht nehmen.

Wer IT-Prozesse auslagert, hat Kostensenkungen im Sinn, will durch die Umstrukturierung Bilanzen verbessern oder Kapazitäten für Kernaufgaben frei machen. Soweit, so einfach. Doch je detaillierter sich Unternehmen im Vorfeld eines IT-Outsourcing-Projekts mit eigenen Vorleistungen, rechtlichen Rahmenbedingungen und Technik befassen, desto komplexer wird die Angelegenheit.

Wenn Interna durchsickern oder Daten verloren gehen, kann sich niemand auf den Dienstleister herausreden.
Wenn Interna durchsickern oder Daten verloren gehen, kann sich niemand auf den Dienstleister herausreden.

Ob Geschäftsdaten nun intern bearbeitet werden oder extern beim Dienstleister - die Haftung bleibt davon unberührt. Mit anderen Worten: Das auslagernde Unternehmen zeichnet weiter voll für die Datensicherheit verantwortlich, obwohl es den Einfluss auf die Prozessausführung abgibt, sich - vermeintlich - auf die Sorgfalt des Service-Providers zu verlassen hat.

Wenn Interna durchsickern, Daten verloren gehen oder unentdeckte Programmierfehler im Buchhaltungssystem die Bilanzen verzerren, muss der Geschäftsführer einer GmbH nachweisen, dass er den Risiken organisatorisch und technisch so weit wie möglich vorgebeugt hat. Bei nachweislicher Verletzung der Sorgfaltspflicht haftet er persönlich. Ähnliches gilt für Vorstände in Aktiengesellschaften, also auch für den CIO, wenn er Mitglied des Vorstands ist. Die jüngst eingeführte Möglichkeit der Aktionärsklage und die Pflicht das Aufsichtsrats, Schadensersatzansprüchen gegen den eigenen Vorstand zu verfolgen, hat den Druck auf die Vorstände nicht eben gemindert.

Horrorvisionen sind gar nicht so abwegig

Stellen Sie sich folgendes Szenario vor: Nach dem Fehler eines externen Dienstleisters werden über Wochen falsche Lagerbestände gebucht, es kommt zur fehlerhaften Konzernberichterstattung, das Management trifft aufgrund der inkorrekten Zahlen ungünstige Entscheidungen, und die Aktie bricht ein. Als die wahre Ursache herauskommt, verklagen die Anteilseigner das zuständige Vorstandsmitglied, also den IT-Chef oder CIO, auf Schadensersatz. Kann er jetzt nicht nachweisen, dass er die extern entwickelte Applikation in angemessenem Umfang hat testen lassen, haftet er persönlich für die Schäden.

Das ist keineswegs an den Haaren herbeigezogen. Tatsächlich stießen wir in einem Unternehmen aus dem Automotive-Sektor bei Controllern, die der Geschäftsleitung direkt zuarbeiteten, auf virenverseuchte Rechner. Der Virus veränderte still und leise Office-Dokumente. Die Controller lieferten ihren Vorgesetzen Excel-Schaubilder und -Tabellen, die sie aus dem SAP-System ableiteten, ohne von dem Virus etwas zu ahnen.