•  

Die Haftung des CIO und des IT-Sicherheitsbeauftragten

Dr. jur. Jens Bücking, e/s/b Rechtsanwälte

Mehr noch als die Sonderbeauftragten für Compliance und Datenschutz, deren Haftung wir bereits erörtert hatten, steht der Technikvorstand in besonderem Maße in der Gefahr einer persönlichen haftungsrechtlichen Inanspruchnahme. Aber auch unterhalb der Managementebene kann der IT-Sicherheitsbeauftragte als schlichter Arbeitnehmer in die – dann freilich zumeist mildere – Haftungsfalle geraten. Schon im Eigeninteresse sollte der CIO daher auf eine eindeutige, klar abgegrenzte Aufgabenzuweisung dringen und sein Berichtswesen an das Management sorgfältig dokumentieren:

I.  IT-Risikomanagement

Für die zivilrechtliche Haftung gelten die allgemeinen Vorschriften des Gesellschaftsrechts, hier insbesondere - als Ausgangspunkt aller Überlegungen - die Rechtspflicht zur Gewährleistung einer effizienten IT-Sicherheit, die sich ableitet aus dem Gebot zur Einrichtung, Dokumentation und Kontrolle eines in jeder Hinsicht aktuellen und effizient arbeitenden Risikomanagementsystems. Die Rechtsprechung sieht im Fehlen, der Unvollständigkeit, der Ungeeignetheit und sogar bereits in der fehlenden Dokumentation eines Risikomanagementsystems einen erheblichen Gesetzesbruch. So wurden etwa die außerordentliche Kündigung eines AG-Vorstandsvertrages wegen Fehlens eines Risikomanagementsystems für wirksam gehalten (Landgericht Berlin, Urteil vom 03.07.2002) und in der unterbliebenen Dokumentation eines Risikofrüherkennungssystems ein wesentlicher Gesetzes-verstoß gesehen, der zur Anfechtbarkeit des Beschlusses über die Haftungsentlastung des Vorstandes führt (Landgericht München I, Urteil vom 05.04.2007).

II. Aufbewahrung und Verfügbarkeit: Compliance und Corporate Governance

IT-Sicherheit ist „Chefsache“ und gehört als Teil der „corporate governance“ zu den unternehmerischen Lenkungs- und Leitungsaufgaben. Sie ist fester Bestandteil wichtiger nationaler und internationaler  Bestimmungen des Handels- und Gesellschaftsrechts (z.B. KonTraG, TransPuG, Sarbanes Oxley Act, EuroSOX, APAG, MO-REQ, Basel / Solvency, GoBD etc.) zu erfüllen. Allen Vorschriften ist gemein, dass sie den Unternehmen eine transparente Generierung und rechtlich wie technisch sichere Aufbewahrung bestimmter Informationen auferlegen. Bei Verlust oder Diebstahl von betriebswichtigen Daten kann sich das Unternehmen nur bei Einsatz von Systemen und Verfahren, die dem jeweiligen Stand der Technik entsprechen, sowie durch strikt umgesetzte Kontroll- und Überwachungsmechanismen von dem haftungsrelevanten Vorwurf eines Organisationsverschuldens exkulpieren. Nach ständiger Rechtsprechung gehört eine zuverlässige IT-Sicherheit in Bezug auf Firmen- und Personendaten zu den unternehmerischen Selbstver-ständlichkeiten (OLG Hamm, 01.12.2003; OLG Karlsruhe, NJW-RR 1997, 554; OLG Köln, 22.04.1994, 1262). Eine „Delegierbarkeit“ der Haftung durch Übertragung von IT-relevanten Aufgaben und Maßnahmen im Wege des Outsourcings kommt nicht in Betracht.

III. Persönliche Haftung

Als Mitglied des Managements (Vorstand, Geschäftsführung) besteht für den CIO schon von Gesetzes wegen eine Vermögensbetreuungspflicht, die insbesondere die Absicherung und Wahrung der Bestands- und Vermögensinteressen des Unternehmens beinhaltet. Bestandsgefährdenden Risiken hat der CIO sowohl präventiv durch ein effektives Früherkennungssystem wie auch reaktiv  – etwa im Falle eines IT-Zwischenfalls wie bspw. eines Ausfalls von Systemen oder eines Verlustes von Daten - durch ein geeignetes Sicherheits- und Kontinuitätsmanagement zu gewährleisten. Handelt es sich beim CIO demnach um den Technikvorstand, trifft ihn als Organ des Unternehmens die Beweislastumkehr dafür, dass er in Erfüllung dieser Aufgaben die Pflichten eines ordentlichen und gewissenhaften Geschäftsleiters an-gewandt hat; sein Verschulden wird gleichsam „vermutet“.

Außerhalb einer solchen Organstellung wird den IT-Leiter bzw. Sicherheitsbeauftragten die Haftung nur dann treffen, wenn ihm bei der Aufgabe seiner Pflichten eine Verletzung nachgewiesen werden kann, die die Schwelle zur groben Fahrlässigkeit (oder gar zum Vorsatz) übersteigt. Aus der besonderen Vertrauensstellung und der Zuweisung der essentiellen Aufgabe, für die IT-Sicherheit in jeder Lage – präventiv wie reaktiv – die Hauptverantwortung zu tragen, wird ähnlich den – bereits an anderer Stelle erörterten –Compliance- und des Datenschutzbeauftragten ggfls. auch eine persönliche Haftung des CIO hergeleitet.

IV. Haupthaftungsrisiken

Soweit der CIO das Lizenzmanagement unter seiner Verantwortung hat, besteht ein erhebliches Schadenspotenzial, das nur durch ein besonders sorgfältig zu pflegendes System beherrschbar gemacht werden kann. Die zivilrechtlichen Folgen der Lizenzschadenshaftung bei einer Unterlizenzierung sind beträchtlich, von der mit Lizenzverstößen oftmals einhergehenden persönlichen Verantwortlichkeit im strafrechtlichen Sinne, die über Geldstrafen bis hin zu Freiheitsstrafen führen kann, einmal ganz abgesehen. Auf der anderen Seite gehört es allerdings zu den Aufgaben des CIO, eine Über- bzw. Mehrfachlizenzierung schon unter Kostengesichtspunkten zu vermeiden und auch für die Abkündigung nicht mehr benötigter Lizenzen zu sorgen, was weitere Haftungspotenziale birgt. Nach einer Entscheidung des Oberlandesgerichts Karlsruhe vom 23.04.2008 kann im Bereich des Lizenzwesens bereits die bloße Kenntnis vom Einsatz einer nicht ordnungsgemäß lizenzierten Software Auslöser für die persönliche haftungsrechtliche Inanspruchnahme des CIO sein. Demgemäß gehört es heutzutage zu den „Kardinalpflichten“ des CIO, illegale Softwarenutzungen zu verhindern.

Auch die datenschutz- und datensicherheitsrechtlichen Organisationspflichten – anders als beim Datenschutzbeauftragten nun auf der operativen Ebene der Umsetzung – liegen grundsätzlich beim CIO, der zudem in rechtlichorganisatorischer Hinsicht genaue Vorgaben für den Umgang mit der TK und den Telemedien, insbesondere bei der Nutzung von Internet, E-Mail und sozialen Medien sowie der dienstlichen Verwendung privater Endgeräte (Mobile Device Management und Home Office) veranlassen muss. Hier ist das Unternehmensinteresse am Sammeln und Protokollieren von Daten, Datenverarbeitungen und der Nutzung der Infrastruktur abzuwägen gegen die auch am Arbeitsplatz grundsätzlich fortbestehenden Interessen der einzelnen Mitglieder der Belegschaft an einer unüberwachten Kommunikation und der Zubilligung eines maßvollen privaten Einsatzes zu privaten Zwecken während der hierfür vorgesehenen Zeiten. Die Sicherheit und Vertraulichkeit der Kommunikation bergen mithin weitere Fallstricke für den CIO. Denn die Veranlassung datenschutzwidriger Maßnahmen hat für den CIO erhebliche Sprengkraft. So hat das Arbeitsgericht Berlin bspw. am 18.02.2010 entschieden, dass in diesen Fällen die außerordentliche Kündigung des Beschäftigungsverhältnisses zulässig sei. Gefahr droht also immer dann, wenn der CIO zum einen objektiv rechtswidrig, mithin unter Verstoß gegen Datenschutz- und Datensicherheitsvorschriften handelt und zum anderen um diese Rechtswidrigkeit wusste bzw. wissen musste. Auch ein unzureichendes (z.B. lückenhaftes oder veraltetes) Datensicherheitskonzept, das Fehlen eines Kontrollmechanismus zur Gewährleistung einer zeitnahen Installation von Patches, Sicherheitsupdates oder einer sonstigen Beseitigung von Schutzlücken können zu einer Haftung des CIO führen.

Entscheidet sich das Unternehmen für ein Outsourcing geschäftskritischer Prozesse und Daten, wandelt sich die operative Verpflichtung des CIO in eine spiegelbildliche Verpflichtung zur Überwachung und Kontrolle des beauftragten Dienstleisters. Dies betrifft insbesondere die strikte Einhaltung der Gebote der Datensicherheit, das Handling von Auftragsdatenverarbeitungsverträgen und sonstige im Zusammenhang mit Aufbewahrung, Archivierung, Backup und (allgemein) Datenübermittlungen einhergehenden Problemstellungen, was in dem seit dem Urteil des EuGH vom 06.10.2015 eingeläuteten „Post-Safe-Harbor“-Zeitalter mit dem grundsätzlichen „Aus“ für transatlantische Datentransfers in besonderem Maße gilt.

Schadensträchtige Sicherheitsaspekte sind jedoch auch im Beschaffungswesen allgegenwärtig. Bei der Auswahl von IT-Systemen, die im Unternehmen genutzt werden sollen sowie auch bei der Auswahl eines geeigneten Anbieters, auf dessen Systemen Unternehmensdaten verarbeitet werden sollen, kommt dem Auftrag an den CIO, insoweit eine fachkompetente Prüfung vorzunehmen und Empfehlung abzugeben – ggf. nach Hinzuziehung externer Auditoren – besondere Bedeutung zu. Einschlägige Normen wie insbesondere ISO 27001 und ISO 20000 sowie die Empfehlungen des BSI-Grundschutzes können dem CIO hier geeignete Kriterienkataloge und Checklisten an die Hand geben.

Selbstverständlich muss die technisch-administrative IT-Sicherheit auch auf Belegschaftsebene ihren Niederschlag finden. Dies impliziert Aufklärungs- und Sensibilisierungsmaßnahmen, die Verabschiedung geeigneter Policies und die Einrichtung effizienter Schutzmechanismen auf Nutzerebene, die bspw. der Abschottung vor Schadsoftware oder externen Angreifern dient oder die – wiederum spiegelbildlich – dazu verpflichtet, systemseitig die Installation von Software, die Sicherheitslücken im System schließt, zuzulassen.

Diese Bereiche stellen die Hauptzuständigkeitsfelder und zugleich Haftungsfallen für den CIO dar; eine Erweiterung hinein in andere Aufgabengebiete ist denkbar, sollte jedoch schon unter Haftungsgesichtspunkten einer gründlichen Überprüfung unterzogen werden. Wird aufgrund der Mannigfaltigkeit der zugewiesenen Aufgaben die Beherrschung der IT-immanenten Gefahrenquellen zunehmend komplex bis nahezu unmöglich, dürfte dies dazu führen, dass eine persönliche Haftung des CIO ausscheidet bzw. ein CIO, der nicht über die Budgets, personellen und sachlichen Mittel sowie die notwendigen Fortbildungsmöglichkeiten verfügt, seine Firma im Haftungsfalle in Regress nehmen kann.

<next>

V. Maßnahmen der Haftungsvermeidung

Das gestiegene Anforderungsprofil, gepaart mit einem stark erhöhten Bedrohungsszenario durch Wirtschaftsspionage, Sabotage aber auch durch die verschärften Compliance-Treiber Datenschutz und die Datensicherheit führen dazu, dass der CIO bzw. IT-Leiter Risiken für die Infrastruktur seines Unternehmens, dessen geistiges Eigentum sowie für die Persönlichkeitsrechte des Unternehmens selbst (Reputation, Image) und der im Unternehmen tätigen Mitarbeiter sehr frühzeitig erkennen, wenn nicht vorausahnen muss, um die – ggf. auch persönlichen – Haftungsfallstricke zu vermeiden.

Als angestellter Mitarbeiter kommt ihm zumindest das Haftungsprivileg der – nach alter Terminologie – „schadensgeneigten Arbeit“ zugute. Zwar steht auch hier eine Haftung in Rede sowohl gegenüber dem eigenen Arbeitgeber wie auch gegenüber externen Dritten, bspw. den Vertragspartners seines Unternehmens, wobei sich insbesondere ASP, SaaS und Cloud als risikoträchtige Konstellationen erweisen. Schäden an den Rechtsgütern Dritter sind im Haftungsfall durch den CIO grundsätzlich im selben Umfang zu ersetzen wie dies der Arbeitgeber tun müsste. Im Bereich der einfachen Fahrlässigkeit hat der CIO als Arbeitnehmer jedoch einen Freistellungsanspruch, bei mittlerer Fahrlässigkeit kommt es in der arbeitsgerichtlichen Praxis zu einer Schadensquotelung, während ihn ab Eintritt der groben Fahrlässigkeit die Schadenshaftung nach Grund und Höhe uneingeschränkt trifft.  

Schon in seinem eigenen Interesse sollte ein CIO daher sämtliches Berichtswesen zum Management und zurück sorgfältig dokumentieren und nach Möglichkeit gegenzeichnen lassen. Für Auswahl- und Einführungsentscheidungen in Bezug auf IT-Systeme gilt dasselbe. Sämtliche Entscheidungsfindungsprozesse sollten tunlichst dokumentiert und in einer beweis- bzw. revisionssicheren Weise abgelegt werden. Angesichts des besonderen Gefahrenpotenzials auf der einen Seite und der herausgehobenen und betriebswichtigen Aufgabenstellung des CIO auf der anderen Seite sollte es aber auch zu den Selbstverständlichkeiten gehören, dass für den CIO eine geeignete Haftpflichtversicherung abgeschlossen wird.

 

#32 1. Safe Harbor 2. EU-US Privacy Shield 3. EU - No Privacy & No Shield
Im Gespräch mit Dr. Jens Bücking, Rechtsanwalt / Fachanwalt für IT-Recht, esb Rechtsanwälte



Über den AutorRA und Fachanwalt für IT-Recht Dr. jur. Jens Bücking
Jens Bücking ist in Stuttgart als Anwalt tätig. Neben seiner Beratungs- und Prozesspraxis fungiert er als Rechtsgutachter, Fachbuchautor, externer Datenschutzbeauftragter und Lehrbeauftragter (Hochschule für Technik, Stuttgart; Prof. assoc.  E.N.U., Kerkrade). Als Gründungspartner der Kanzlei e|s|b berät er Industrie, Handel und öffentliche Verwaltung vorwiegend im Recht der Informationstechnologien (z.B. IT-Prozessgestaltung, Produktauswahlberatung, Projektrecht, Organisationsberatung und Vertragsgestaltung), dem weiten Feld der „IT-Compliance“, dem Marken-/Domain-, Urheber- und Wettbewerbsrecht und dem Arbeitsrecht. Seine Qualifikation ist durch zahlreiche Fachpublikationen, Vortragsveranstaltungen und Inhouse-Schulungen für namhafte - auch global agierende - Unternehmen und öffentlich-rechtliche Institutionen belegt.

    

 
Kontakt:
Dr. Jens Bücking
e/s/b Rechtsanwälte
Schockenriedstr. 8A
70565 Stuttgart
Fon 0711/46 90 58 0
www.kanzlei.de

Diesen Artikel empfehlen