Umso härter trifft es das Unternehmen, wenn es von geschädigten Kunden zur Verantwortung gezogen wird. Wer genau mit welchen Konsequenzen rechnen muss, hängt nicht allein vom Gesetzgeber, sondern auch von unternehmensinternen Regelungen ab. Grundsätzlich tritt gegenüber Dritten in der Regel das Unternehmen in Haftung, das den Schaden verursacht hat. Für die IT-Sicherheit ist die Unternehmensleitung verantwortlich.
Was das KonTraG fordert
Seit dem 1998 verabschiedeten Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) enthält auch das Aktiengesetz (Paragraph 91 II AktG) eine Regelung, nach der der Vorstand geeignete Maßnahmen zu treffen und ein Überwachungssystem einzurichten hat, so dass er "den Fortbestand der Gesellschaft gefährdende Entwicklungen" frühzeitig erkennen kann. Das setzt ein effizientes Risiko-Management voraus. Im IT-Bereich sind ein ausreichender Schutz der IT-Infrastruktur - durch Datensicherung - sowie Präventivmaßnahmen gegen Angriffe von außen und missbräuchliche Nutzung durch Mitarbeiter notwendig.
Schadensersatz: Das sagt das Gesetzt
Rechtsanwalt Jacques Wolhändler von der Münchner Kanzlei Duge, Tischer und Wolhändler (jw@ra-wolhaendler.de) fasst den Buchstaben des Gesetzes wie folgt zusammen:
-
Bei schuldhaft verursachten Schäden, wobei leichte Fahrlässigkeit ausreicht, macht sich das Unternehmen gegenüber Dritten (Unternehmen und/oder Privatpersonen) für die durch die mangelnde Sicherheit verursachten Schäden schadensersatzpflichtig.
-
Besteht zu diesen Dritten eine vertragliche Beziehung, so ist die Haftung vertraglich begründet.
-
Auch ohne Vertrag kann eine Haftung gegenüber Dritten eintreten, insbesondere unter dem Gesichtspunkt der unerlaubten Handlung (Paragraph 823 BGB).
-
Zu ersetzen ist beispielsweise der Schaden, der dem Dritten durch Datenverlust oder durch sonstige Störungen des Geschäftsbetriebs, insbesondere der IT-Struktur, entsteht.
-
Prinzipiell kann die Haftung sehr weitgehend sein, zum Beispiel auch den einem Dritten entgangenen Gewinn umfassen.
"Gemäß Paragraph 93 II des Aktiengesetzes haften Vorstandsmitglieder, die ihre Pflichten verletzen, der Gesellschaft zum Ersatz des daraus entstehenden Schadens", weiß Jacques Wolhändler, Rechtsanwalt und Sicherheitsexperte in der Münchner Kanzlei Duge, Tischer und Wolhändler. "Die Bestimmungen des KonTraG gelten zwar unmittelbar nur für Aktiengesellschaften, doch die dort enthaltenen Grundsätze beanspruchen auch für die GmbH oder GmbH & Co. KG Geltung."
Auch der CIO kann haften
Intern kann selbstverständlich jede Organisation Entscheidungsbefugnisse an einzelne Mitarbeiter delegieren, insbesondere an leitende Angestellte wie Prokuristen oder Chief Information Officesr. Der CIO haftet nach dem KonTraG zwar nicht unmittelbar, doch in der Regel hat ihm sein Arbeitgeber im Rahmen seines Arbeitsvertrages bestimmte Pflichten zugewiesen. Aus einer Verletzung dieser Pflichten lässt sich eine persönliche Haftung des CIO ableiten.
Bei "leichtester Fahrlässigkeit" tritt der CIO nach der Rechtsprechung des Bundesarbeitsgerichtes nicht in Haftung. Handelt es sich um "normale" Fahrlässigkeit, so ist der Schaden nach den Kriterien "Schadenverursachung", "Schadenfolgen" sowie Billigkeits- und Zumutbarkeitsgesichtspunkten zwischen Arbeitgeber und Arbeitnehmer zu teilen. Kann dem CIO dagegen grobe Fahrlässigkeit nachgewiesen werden, so hat er gegenüber seinem Arbeitgeber grundsätzlich den gesamten Schaden zu ersetzen. Konkret droht ihm eine Schadensersatzhaftung mit der Folge, dass er schlimmstenfalls auch mit seinem Privatvermögen für die Schäden aufzukommen hat. Darüber hinaus ist arbeitsrechtlich eine Abmahnung, in besonders schweren Fällen eine Kündigung wahrscheinlich.