Die rechtlichen Aspekte der IT-Sicherheit, Teil 1

Haftungsfragen rund um die IT-Sicherheit

08.02.2010
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.

6.) Eigenhaftung der IT-Verantwortlichen

Die Vermeidung persönlicher Eigenhaftung ist für die handelnden Mitarbeiter, wie etwa IT-Leiter, Sicherheitsbeauftragte, Administratoren, sonstige IT-Verantwortliche, ein entscheidender Faktor. Hierbei ist zwischen der

- zivilrechtlichen (- Schadensersatz),

- arbeitsrechtlichen (- Abmahnung, Kündigung) und

- strafrechtlichen (- Geld- oder Freiheitsstrafe)

Haftung zu unterscheiden.

Aus dem Arbeitsverhältnis treffen grundsätzlich jeden Mitarbeiter sog. arbeitsvertragliche Nebenpflichten:

- Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten.

- Als Sorgfaltsmaßstab gilt ein besonnener Mensch mit durchschnittlichen Fähigkeiten in der Situation des Arbeitnehmers.

- also individuell unterschiedlich: höhere Sorgfaltsanforderungen an leitende Mitarbeiter

- Beweislast des Arbeitgebers, § 619a BGB.

Schadensersatzansprüche des Arbeitgebers wegen Verletzung der arbeitsvertraglichen Nebenpflichten sind in der Praxis nicht häufig, aber möglich. Aufgrund der Fremdbestimmtheit der Arbeitsleistung trägt der Arbeitgeber das Unternehmensrisiko. Für Tätigkeiten mit erhöhtem Risiko gelten deshalb nach der Rechtsprechung des BAG die Grundsätze zur schadensgeneigten Tätigkeit:

- Für vorsätzliches / grobfahrlässiges Verhalten - volle Haftung des Mitarbeiters,

- mittlere Fahrlässigkeit - Schadensteilung zwischen Arbeitgeber und Mitarbeiter,

- leichte Fahrlässigkeit - keine Haftung des Mitarbeiters.

Diese Haftungserleichterung für den Mitarbeiter gilt grundsätzlich nur im Verhältnis zum Arbeitgeber. Im Verhältnis zu geschädigten Dritten besteht ein Freistellungsanspruch des Arbeitnehmers gegen den Arbeitgeber.

Für eine mögliche Strafbarkeit gilt dagegen der Grundsatz der vollständigen Eigenverantwortung. Ein Arbeitnehmer macht sich also selbst strafbar, die arbeitsvertragliche Haftungserleichterung ist nicht anwendbar. Auch gilt kein Befehlsnotstand, so dass ein Mitarbeiter, der z. B. auf Anweisung seines Vorgesetzten private E-Mails liest, nicht allein wegen der Anweisung straflos ist.