doITbetter Blog - Das i-doit-Blog

IT-Administratoren und die Haftung

Geschrieben von Claudia Isenberg | 01. August 2022

Von außen betrachtet ist das Leben des IT-Administrators einfach. Der Chef verlässt sich blind auf „seinen Admin“. Die gesamte Verantwortung liegt auf seinen Schultern. Aber was passiert, wenn etwas passiert? Wir haben recherchiert und wollen die Ergebnisse mit Ihnen teilen. Gefunden haben wir Rechte und Pflichten sowie Beispiele aus der Rechtsprechung.

 

Zunächst jedoch der Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Wir blicken aus der Perspektive des interessierten Administrators auf das Thema.

 

IT-Sicherheit ist immer noch Neuland

 

Datenklau, Hackerangriffe, Betriebsspionage oder Malware sind gefürchtete Super-GAUs, die durch Schwachstellen in der IT entstehen können. Vielen Unternehmern ist nicht bewusst, welche rechtlichen Konsequenzen sie über die unmittelbaren wirtschaftlichen Schäden hinaus erwarten. Für die IT regelt das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) den Umgang mit potenziellen Risikobereichen. Bei Verstößen drohen teils empfindliche Strafen.

Das rechtliche Risiko reicht von der Haftung aus Regressansprüchen von geschädigten Kunden über mögliche Haft- und Geldstrafen bis zum Verlust der Gewerbeerlaubnis. Eine unzureichende Absicherung der IT-Infrastruktur wirkt sich ebenfalls negativ auf das Unternehmens-Rating aus – und damit auf mögliche Kreditvergaben.

 

Was ist das KonTraG?

 

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich trat am 01.05.1998 in Kraft. Ziel dieser Norm ist die Verbesserung der Corporate Governance. Dabei handelt es sich um den rechtlichen und praktischen Rahmen der Leitung und Überwachung eines Unternehmens.

Das Gesetz erweitert die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen. Ferner verpflichtet es Unternehmensführungen, ein Risikofrühwarnsystem zu betreiben sowie Aussagen zu Risiko und Risikostruktur im Jahresabschlussbericht zu veröffentlichen. Das KonTraG bezieht sich hauptsächlich auf Aktiengesellschaften, erfasst jedoch auch andere Unternehmensformen wie die OHG oder GmbH.

 

Das Risiko abschätzen

 

Die Szenarien für mangelnde IT-Sicherheit und potenzielle Risiken sind vielfältig. Die Spannweite reicht beispielsweise von unzureichenden und ungeprüften Backups über mangelnde Archivierung bis hin zu lückenhaftem Virenschutz. Der Ausfall eines Administrators ist ebenfalls ein potentielles Risiko, wenn die gesamten Konfigurationen und Passwörter nicht (ausreichend geschützt) hinterlegt sind.

Risiken ist nur dann zu begegnen, wenn diese bekannt sind. Mittels einer Risikoanalyse werden Risikofelder definiert und deren Gefahrenpotenziale im Detail abgeschätzt. Aus den Ergebnissen der Analyse lassen sich Risikoquellen strukturieren und systematisieren. Managementsysteme wie die ISO 27001 geben hier Strukturen, Verfahren und Prozesse vor. Der Grad der Gefährdung ist zu bewerten und in Relation zu den Kosten zu setzen, die durch etwaige Gegenmaßnahmen entstehen.

 

Dynamisches Sicherheitskonzept als Teil der Risikostrategie

 

Um die IT-Landschaft nachhaltig abzusichern, ist ein umfassendes, dynamisches IT-Sicherheitskonzept notwendig. Die Grundsätze eines Sicherheitskonzeptes sind in einer unternehmensweiten Security Policy festgeschrieben. Darin spielen organisatorische, personelle und baulich-infrastrukturelle Fragen die gleiche Rolle wie Hard- und Software. Zusätzlich zum gesetzlich vorgeschriebenen Datenschutzbeauftragten sollten Unternehmen einen regelmäßig zu schulenden IT-Sicherheitsbeauftragten benennen.

Die Unternehmensleitung ist verpflichtet, auf eine kontinuierliche schriftliche Dokumentation des Sicherheitskonzepts und aller Maßnahmen zu achten. Im Falle einer Unternehmenskrise obliegt es dem Geschäftsführer, die Einhaltung seiner Sorgfaltspflichten nachzuweisen.

Die Verantwortung für IT-Sicherheitsaufgaben ist eindeutig zu delegieren. Diese Aufgabe kann an verschiedene Administratoren verteilt werden. Wie wichtig es ist, diese Personen sorgfältig auszuwählen und regelmäßig zu kontrollieren, zeigt ein Beispiel aus den USA. Im Jahre 2008 manipulierte ein städtischer Netzwerk-Administrator das gesamte Verwaltungsnetz von San Francisco. Der Zugriff war nur noch über ihn möglich. Die Passwörter gab der zwischenzeitlich wegen Computersabotage inhaftierte Administrator über eine Woche lang nicht preis.

Technische Rahmenbedingungen wie Firewall, Viren- und Spam-Schutz gehören zu den Maßnahmen, die Geschäftsführer und CIOs nicht vergessen sollten. Das Nutzen moderner Technologien hilft vor allem Angriffe von außen zu vermeiden. Dienstleistungen von Dritten, wie Provider-Services, sind zuverlässig über Service Level Agreements (SLA) vertraglich abzusichern. Damit sichern sich Unternehmen eindeutige Verfügbarkeiten und im Störfall garantierte Servicezeiten.

Die Liste möglicher Risiko-Management-Maßnahmen lässt sich beliebig erweitern. Bedeutsam ist jedoch vor allem ein Aspekt: Die getroffenen Sicherheitsmaßnahmen sind kontinuierlich an veränderte Rahmenbedingungen anzupassen. Die notwendige Steuerung und Kontrolle leistet ein intaktes, aussagekräftiges Risiko-Management-System, das flexibel auf neue Anforderungen reagiert.

 

Was hat ein Administrator rechtlich zu beachten?

 

Deutsches Recht ist nach wie vor angestelltenfreundlich. Der Gesetzgeber hat erkannt, dass grundsätzlich alles, was heutzutage im Bürobetrieb passiert, ein beträchtliches Risiko darstellt. Nicht wahrgenommene Verantwortung wird jedoch stärker eingemahnt und mittlerweile mit empfindlichen Strafen belegt. Sehen wir uns in einem üblichen IT-Betrieb um. Was tun Administratoren aus Sicht eines Außenstehenden den ganzen Tag?

  • Der Abteilungsleiter benötigt eine bestimmte Software? Kopieren wir das Programm.
  • Die alte Festplatte hat ausgedient? Entsorgen wir sie im Mülleimer. Die Verbrennungsanlage wird es richten.
  • Das Script zur Automatisierung funktioniert endlich. Beim ersten Lauf wurden noch versehentlich Daten gelöscht.
  • Ein Backup machen wir regelmäßig. Recovery-Tests sind eher lästig.
  • Da ist ein Artikel über eine neue Sicherheitslücke. Die Admins suchen im eigenen Softwarebestand und schließen sie nachhaltig.
  • Die Last am Verteilerschrank berechnen und die USV unterdimensioniert bestellen?
  • Versehentlich den Not-Aus-Schalter gedrückt und der Wiederanlauf der Systeme will nicht funktionieren?
  • Verträge mit dem Lieferanten, Lieferscheine und Rechnungen werden dutzendfach unterschrieben. Sie vorher zu lesen ist nicht nötig. Das stimmt alles.
  • Der Kollege benötigt einen Export der CRM-Daten. Senden wir die Datei am besten per E-Mail. Das geht am schnellsten.

 

Arbeiten als IT-Administrator: Ideale Umstände und die Realität

 

Die meisten IT-Administratoren sind (oft aus Erfahrung) risikobewusst. Doch die Dinge müssen sich weiterentwickeln. Und man möchte nicht alles wegen Sicherheitsbedenken ausbremsen. Auch wenn diese Bedenken durchaus berechtigt sind. Man muss die Zügel in dem Maß anziehen, das es zum Unternehmen passt. Aber ganz locker lassen? Wir stellen Idealzustand und Realität – ein wenig überspitzt – gegenüber:

Idealzustand Realität
Gängige IT-Risiken sind im Unternehmen vor allem den Verantwortlichen bekannt. Sie werden laufend behandelt, besprochen und abgesichert. Gängige Risiken sind nicht annähernd bekannt. Wandert der Blick in der Hierarchie nach oben, wird der Umgang mit Risiken aus dem IT-Betrieb blauäugiger. Ein aktuelles Risikoverzeichnis gibt es nicht.
Die Geschäftsführung hat ein gutes Maß an Delegation, Kontrolle und Eigenverantwortung gefunden. Sie hat eine Balance aus unternehmerischem Risiko und leistbarer Risikovermeidung hergestellt. IT-Verantwortliche kämpfen um jeden Euro Security Budget und stoßen in der Chefetage auf Unverständnis. Das Budget wird jedes Jahr gekürzt. Das Aufzeigen vergleichbarer Zwischenfälle in der Presse überzeugt die Geschäftsleitung zu einigen Prozentpunkten mehr Budget als im Vorjahr.
Bei besonderen Vorkommnissen wird Ursachenforschung betrieben. Der Sache wird auf den Grund gegangen und das Problem nachhaltig gelöst. Tritt der Ernstfall ein, wird ein Schuldiger gesucht. In schweren Fällen wird ein Bericht geschrieben.
Welche Gesetze und Vorschriften gelten, ist für das Unternehmen analysiert und jedem, der Verantwortung inne hat, mitgeteilt worden. Der hauseigene Rechtsberater hat den Überblick über die geltenden nationalen, internationalen und Branchennormen vor einiger Zeit verloren. Wie soll ein Techniker den Überblick behalten?
Eingespielte Prozesse berücksichtigen riskante Situationen und geben dem Administrator klare Handlungsanweisungen und Eskalationsmöglichkeiten. IT-Prozesse werden von Administratoren geschaffen. Die tägliche Arbeitslast soll automatisiert werden. Das Thema "Risiko" wird ausgespart. Sonst reden zu viele mit und Entscheidungen werden woanders getroffen. Hoffentlich bekommt die Sicherheitsabteilung den Missstand nicht mit. Dann sind Nachtschichten angesagt und der Urlaub ist gestrichen.
Der Kenntnisstand der verantwortlichen Angestellten wird laufend auf dem aktuellen Stand gehalten. Für Schulungen ist ohnehin kein Budget mehr da. Es sei denn, es geht um neue Technologie oder Software. Wissensaufbau geschieht auf Eigeninitiative der Administratoren. Und trockener Security-Stoff steht nicht weit oben auf der Favoritenliste.
Die IT-Systeme sind auf dem aktuellen Stand der Technik. Darum sind die technischen Risiken reduziert. Alle Systeme werden betrieben, bis sie abgeschrieben sind. Firmware wird aktualisiert, wenn man einen schweren Bug findet. Never touch a running system. Patchdays werden zwar verfolgt, aber lieber warten wir noch ein paar Wochen. Vielleicht wird der Patch zurückgerufen.
Jede/r hat nur die Berechtigungen, die sie/er benötigt. Die ständigen Nachfragen wegen neuer Software oder falscher Einstellungen belasten den ohnehin vollen Arbeitstag zusätzlich. Jede/r bekommt Administratorrechte, dann können die Anwender die Probleme selbst beheben.
Beim Teil-Outsourcing kann man auf zusätzliche externe Kompetenz zurückgreifen. Externe und interne Prozesse greifen ineinander und erzeugen ein höheres Maß an Sicherheit, als das intern umsetzbar wäre. Der Dienstleister hat weniger Ahnung als wir. Wir müssen uns um alle Sicherheitsthemen kümmern und diese in endlosen Meetings besprechen.
Regelmäßige Audits verifizieren SOLL und IST und geben Hinweise auf Verbesserungsmaßnahmen. Es gab noch nie ein Audit. Jetzt steht eines an? Nehmen wir uns lieber an diesem Tag frei.

 

IT Sicherheit? Risiken? Haftung? Die Verwirrung ist riesig. Und im Grunde hofft jeder, dass er/sie selbst nie betroffen sein wird. Aber in genau diesem Augenblick sind zahllose Administratoren betroffen. Von einem Fehler, einer unterschätzten Situation, von einer Verletzung der Sorgfaltspflicht. Und es wird auffallen!

 

IT–Sicherheit ist ein Prozess

 

Das Wichtigste ist, eine Balance zwischen dem täglichen Umgang mit der IT und den Sicherheitsmechanismen zu finden. Diese Mechanismen sind verständlich zu kommunizieren. Das ist Chefsache. Der Gesetzgeber normiert die Sorgfaltsanforderungen immer stärker. Für die Einhaltung dieser Vorgaben ist in erster Linie die Geschäftsleitung verantwortlich. Und diese Verantwortlichkeit lässt sich auch nicht vollständig wegdelegieren.

Werden IT-Sicherheitsvorgaben ignoriert, besteht zunehmend das Risiko, persönlich in Regress genommen zu werden und in speziellen Fällen mit Privatvermögen zu haften. Hinzu kommen verschärfte europäische und internationale Vorgaben. Hier sind die EU-DSVGO oder die allgemein gestiegenen Haftungsanforderungen bei Banken und Versicherungen zu nennen.

IT-Sicherheit muss als Prozess verstanden werden. Dieser Prozess ist permanent neu zu definieren und an geänderte technische und wirtschaftliche Rahmenbedingungen anzupassen. Das trägt zu kontrollierbaren rechtlichen Risiken und zu einem sicheren und damit besseren IT-Umfeld für uns alle bei.

 

Haftung als IT–Administrator: Fallbeispiele

 

Beispiel 1: Mangelnde Katastrophenvorsorge

Die Tochter eines ausländischen Unternehmens verfügt zur Abwicklung ihrer Geschäfte in Deutschland über ein eigenes Rechenzentrum. Durch ein Feuer innerhalb des Gebäudes wird dieses zerstört. Das Unternehmen verfügt über kein Ausweichrechenzentrum. Sonstige Vorkehrungen existieren nicht. Die Wiederaufnahme der Datenverarbeitung ist erst nach mehreren Wochen erfolgreich.

Der zuständige IT-Leiter hat ausreichend Fachkompetenz. Ihm war klar: Ist eine schnelle Wiederaufnahme der Datenverarbeitung nicht möglich, führt das zu immensen Schäden für das Unternehmen. Darum hatte er für entsprechende Vorkehrungen zu sorgen. Hat der IT-Leiter dieser Gefahr nicht vorgebeugt, ist das mindestens als grob fahrlässig zu bewerten. In Anbetracht der zu erwartenden Schäden besteht für das Unternehmen potentiell die Gefahr des Konkurses.

Beispiel 2: Unzureichende Katastrophenvorsorge

Das Unternehmen verfügt über einen Sicherheits- und Vorsorgeplan. Es hat entsprechende Kapazitäten in einem fremden Rechenzentrum angemietet. Der Notfallplan ist jedoch veraltet. Wichtige Datenbestände gehen im Katastrophenfall verloren.

In diesem Fall ist der IT-Leiter aufgrund seiner Fachkompetenz und Erfahrung in der Pflicht. Er weiß, dass Notfallplan und Datensicherungskonzept regelmäßig überarbeitet und an veränderte Anforderungen im Unternehmen angepasst werden müssen. Kommt er dieser Pflicht nicht nach, handelt er grob fahrlässig und haftet für die Schäden, die einem Arbeitgeber entstanden sind.

Beispiel 3: Eingeschleppte Viren

Ein Steuerberater setzt zum Erstellen und Bearbeiten des Schriftverkehrs ein Textverarbeitungssystem ein. Dieses greift auf eine Datenbankanwendung im Netzwerk zu. Der Steuerberater erhält von einem Mandanten eine CD mit steuerlich relevanten Daten zur weiteren Analyse. Die auf dem Datenträger gespeicherte Schadsoftware gelangt auf diese Weise in das Netzwerk und zerstört eine Reihe von Dateien. Der Betrieb bricht zunächst zusammen und es kostet viel Zeit, das IT-System wiederherzustellen.

In einem solchen Fall wird man differenzieren müssen. Grundsätzlich trifft zunächst den zuständigen IT-Leiter die Verantwortung. Er hat für aktuelle Antivirensoftware zu sorgen. Darüber hinaus hat er sämtliche Mitarbeiter der Kanzlei regelmäßig über die Gefahr von Computerviren aufzuklären. Er hat sie zu entsprechenden Vorsorgemaßnahmen anzuhalten und deren Einhaltung zu kontrollieren. Kommt der IT-Leiter dieser Pflicht nicht nach, handelt er in Anbetracht der Bedeutung der Datenverarbeitung für den Betrieb grob fahrlässig. Er haftet gegenüber dem Arbeitgeber für den daraus entstehenden Schaden.

Ein anderer Fall ergibt sich, wenn der IT-Leiter seiner Verpflichtung nachgekommen ist. Missachtet der Steuerberater die Hinweise und überspielt die Daten ohne vorherige Überprüfung, handelt dieser grob fahrlässig. Er ist – trotz mehrfachen Hinweisens – seiner Sorgfaltspflicht nicht nachgekommen ist.

Beispiel 4: Fehlerhafter Sicherungslauf

Bei der regelmäßigen Sicherung werden nur 95% des Datenbestandes eines Unternehmens kopiert. Dem zuständigen EDV-Mitarbeiter fällt das nicht auf. Als es zu einem Systemausfall kommt, stellt sich heraus, dass ein Teil der Daten fehlt.

Das Landesarbeitsgericht Bremen hatte schon 1989 in einem ähnlichen Fall zu entscheiden. Es kam zu dem Schluss, dass derartige minimale Abweichungen keinen hinreichenden Anhaltspunkt bieten, um ein Verschulden des EDV-Mitarbeiters annehmen zu können. Auch wenn man die Einschätzung des Gerichts nicht teilt, wäre von einer leichten Fahrlässigkeit des zuständigen Mitarbeiters auszugehen. Ein Schadenersatzanspruch des Unternehmens gegen den Arbeitnehmer scheidet aus.

Beispiel 5: Outsourcing

Ein Autozulieferer (Auftraggeber) hat seine gesamte Datenverarbeitung im Rahmen eines Outsourcings an einen Dienstleister übertragen. Dieser hat sich zu einer Mindestverfügbarkeit der von ihm betriebenen Server und Applikationen von 98,5 % im Jahr verpflichtet. Zu diesem Zweck wurden zwei Mitarbeiter des Dienstleisters abgestellt. Diese kümmern sich dauerhaft um die Pflege und Wartung des Netzwerks im Betrieb des Auftraggebers.

Wegen veränderter Produktionsabläufe bei den Kunden des Auftraggebers soll das Netzwerk umgestellt werden. Einem Mitarbeiter des Dienstleisters unterläuft leicht fahrlässig ein Missgeschick, das zum Stillstand des gesamten Systems führt – drei Tage lang.

In einem solchen Fall ist präzise Vorarbeit wichtig. Trotz des dreitägigen Stillstandes wird die jährliche Mindestverfügbarkeitsquote durch den Ausfall nicht unterschritten. Im Vertrag hatte der zuständige Projektleiter des Auftraggebers sich mit der bloßen Vereinbarung dieser Mindestverfügbarkeitsquote zufrieden gegeben. Eine qualifizierte Beratung hätte ergeben, dass zu einer effektiven Verfügbarkeitsquote noch weitere Eckdaten gehören. Dazu zählt beispielsweise die maximal zulässige Dauer eines Systemausfalles.

Der Projektleiter glaubte, vor der Unterzeichnung des Vertrages auf eine Beratung verzichten zu können. Der Vertrag hat jedoch für das Unternehmen eine enorme Bedeutung. Somit kann der Verzicht des Projektleiters auf qualifizierten Rat durchaus als mittlere Fahrlässigkeit angesehen werden. Auch eine Einstufung als grobe Fahrlässigkeit mit den entsprechenden Folgen für eine Haftung des Projektleiters kommt in Betracht.

 

Verantwortung und Haftung für IT-Sicherheit

 

IT-Sicherheit ist eines der wichtigsten Themen, mit denen sich IT-Administratoren auseinandersetzen. Im Zeitalter zunehmender Bedrohungen für IT-Anlagen und Anwendungen ist sie ein zentrales Element einer umfassenden Business Continuity Planung.

Vielen IT-Verantwortlichen sind Inhalt und Umfang ihrer Verantwortung für die Sicherheit der von ihnen betreuten IT nicht klar. Ihre persönliche Haftung gegenüber dem Unternehmen für eventuelle Sicherheitsdefizite ist oft genug unbekannt.

Jedes Unternehmen hat im Bereich der IT-Sicherheit aktiv möglichen Risiken von Datenverlusten und Systemunterbrechungen entgegenzuwirken. Diese Maßnahmen betreffen die physische, logische und technische Sicherheit. Zur IT-Sicherheit gehört auch der Datenschutz, also der Schutz personenbezogener Daten vor unbefugten Zugriffen.

 

Arbeitnehmerhaftung

 

Zur Risikovermeidung und Schadensvorbeugung sollte jeder, der für IT-Systeme Verantwortung trägt, Maßnahmen im Bereich IT-Sicherheit treffen. Das gilt im Interesse des Unternehmens und für sich selbst.

Der Arbeitnehmer hat sich in allen Belangen zu verhalten, wie sich ein besonnener Mensch in der Situation des Arbeitnehmers verhalten würde. An einen leitenden Mitarbeiter sind andere Anforderungen zu stellen als an einen anderen Mitarbeiter.

Eine der Nebenpflichten des Arbeitnehmers ist die Pflicht zur Wahrung der Interessen des Arbeitgebers und des Betriebs in einem ihm zumutbaren Umfang. Interesse des Arbeitgebers ist es beispielsweise, dass seine Arbeitsgeräte und Waren vor Verlust oder Beschädigung geschützt werden. Dies ist ein dem Arbeitgeber unterstelltes Interesse und eine gesetzlich der Unternehmensleitung zugewiesene Aufgabe. Auch wenn sie für Aktiengesellschaften ausdrücklich vorgeschrieben ist, gilt für Unternehmen in allen Rechtsformen eine Pflicht zum aktiven Risikomanagement.

Damit gehört zum Verantwortungsbereich der Unternehmensleitung

  • sowohl die spezifischen Bedrohungsszenarien für die Unternehmens-IT
  • und die hieraus resultierenden Risiken und deren Konsequenzen

für das Unternehmen zu identifizieren. Es ist ist Sache der Chefetage, notwendige Maßnahmen zu spezifizieren, wie diese Risiken oder ihre Konsequenzen zu vermeiden oder einzudämmen sind. Daraus abgeleitet wird es zur Aufgabe von leitenden Mitarbeitern im Bereich IT. Es ist zu planen, wie im Notfall zu reagieren und die Schadensentwicklung einzugrenzen ist. Und schon befinden wir uns mitten im Thema „Risikomanagement“. Und dieses Thema betrifft jeden Bereich des Unternehmens.

 

Schuldenlast

 

Ist ein Schadensfall eingetreten, hat der Arbeitgeber zu beweisen, ob ein Verschulden des Arbeitnehmers vorliegt. Diese Beweislastverteilung kann vertraglich nicht zum Nachteil des Arbeitnehmers abgeändert werden. Somit ergibt sich eine weitere Aufgabe: Nicht nur Delegieren, auch Kontrollieren. Die Alternative ist, alle Pflichtverletzungen mit allen Konsequenzen auszuhalten.

 

Haftungsbeschränkungen zugunsten des Arbeitnehmers

 

Der Arbeitnehmer unterliegt einer vollen Haftung für Vorsatz und grobe Fahrlässigkeit. Aber auch dem gewissenhaftesten Arbeitnehmer unterläuft einmal ein Fehler. Die Arbeitsleistung des Arbeitnehmers erfolgt zudem auf Weisung des Arbeitgebers und in einem maßgeblich von diesem gestalteten und kontrollierten Umfeld. Der Arbeitgeber hat demnach die Gefahr einer Schadensverursachung für den Arbeitnehmer und die Bedingungen für die weitere Schadensentwicklung geschaffen. Nach Auffassung der obergerichtlichen Rechtsprechung sind darum Haftpflichtansprüche des Arbeitgebers gegenüber seinen (auch leitendenden) Angestellten abzumildern.

Diese Abmilderung erfolgt im Wege einer Begrenzung der Haftung des Arbeitnehmers. Die Rechtsprechung hat dafür ein System der gestuften Haftungsbegrenzung für von Arbeitnehmern verursachte Schäden entwickelt. Nach der Schwere des Verschuldens des Arbeitnehmers beim schädigenden Verhalten wird wie folgt differenziert:

  • Für vorsätzliches Verhalten haftet der Arbeitnehmer für den ganzen von ihm verursachten Schaden.
  • Dies gilt im Grundsatz auch für grob fahrlässig herbeigeführte Schäden. Ausnahme: Die Schadenssumme ist immens hoch und steht in keinem Verhältnis zum Einkommen des Arbeitnehmers. Gerichte sehen hier häufig Grenzen von einem Bruttogehalt bei mittlerer Fahrlässigkeit und drei Gehältern bei grober Fahrlässigkeit.
  • Für Schäden, die auf mittlere Fahrlässigkeit des Arbeitnehmers zurückzuführen sind, soll eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer erfolgen.
  • Für Schäden, die der Arbeitnehmer lediglich leicht fahrlässig herbeigeführt hat, soll er schließlich überhaupt nicht haften.

Aber nach welchen Kriterien ist der Verschuldensgrad des Arbeitnehmers zu bestimmen? Was heißt „vorsätzlich“ oder „fahrlässig“ zu handeln? Und was ist „mittlere“ Fahrlässigkeit?

  • Gemäß § 276 Abs. 2 BGB handelt fahrlässig, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt. Damit liegt leichteste (nicht zur Haftung führende) Fahrlässigkeit vor, wenn der Arbeitnehmer auch nur geringfügig unterdurchschnittliche Sorgfaltsanforderungen erfüllt.
  • Mittlere Fahrlässigkeit ist die „normale“ Schuld des unsorgfältigen Arbeitnehmers. Im Falle mittlerer Fahrlässigkeit ist eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer vorzunehmen. Darum muss die Schwere der Schuld des Arbeitnehmers nach vielen Kriterien näher bestimmt werden. Sie ist unter anderem für die Bemessung des Haftungsumfangs des Arbeitnehmers von entscheidender Bedeutung.
  • Grobe Fahrlässigkeit setzt einen besonders schwerwiegenden Verstoß gegen die im Verkehr erforderliche Sorgfalt voraus, wofür der Arbeitnehmer grundsätzlich in vollem Umfang haftet. Ausnahmsweise soll in diesem Fall die Haftung begrenzt sein, wenn der eingetretene Schaden in einem krassen Missverhältnis zum Arbeitsentgelt steht. Grund für diese Haftungsbeschränkung ist nach Auffassung der Rechtsprechung insbesondere, dass der Arbeitnehmer den ihm vom Arbeitgeber auferlegten Haftungsrisiken gar nicht ausweichen kann. Auch kann er sich nicht gegen derartige Haftpflichtrisiken versichern, da private Haftpflichtversicherungen im Rahmen der beruflichen/betrieblichen Tätigkeit verursachte Schäden nicht abdecken. Daher sucht das Bundesarbeitsgericht in solchen Fällen einen interessengerechten Ausgleich.

 

Haftung eines Arbeitnehmers in der IT

 

Wir haben uns bereits mit den Verantwortlichen der erlebten Realität und den idealen Zuständen in IT-Abteilungen auseinandergesetzt. Irgendwo dazwischen befindet sich jede IT-Abteilung. Doch wer hat eigentlich welche Verantwortung für die herrschenden Zustände?

Die Begrenzung der Arbeitnehmerhaftung gilt nur im Rahmen der arbeitsvertraglichen Beziehung. Schädigt der Arbeitnehmer bei Ausübung seiner beruflichen Tätigkeit einen Dritten, haftet er für sein Verhalten persönlich und in voller Höhe. Der Arbeitnehmer hat jedoch bei leichter (und zum Teil sogar bei mittlerer und grober) Fahrlässigkeit gegen seinen Arbeitgeber einen Freistellungsanspruch. Das bedeutet, dass das Unternehmen seinen Angestellten von Ansprüchen Dritter befreien muss.

Im Umkehrschluss ergibt sich eine Besonderheit: Hat der Arbeitgeber mit Dritten Haftungserleichterungen vereinbart, müssen diese auch für den Arbeitnehmer gelten. Andernfalls bestünde die Gefahr, dass der Arbeitgeber für Schäden einstehen müsste, die er gegenüber dem Dritten gerade ausgeschlossen hatte.

 

Haftung der Geschäftsleitung

 

Für Geschäftsführer, die hin und wieder auch Aufgaben im Bereich der Unternehmens-IT wahrnehmen, gelten die Grundsätze zur Arbeitnehmerhaftung nicht. Sie sind Organe der Gesellschaft und nicht deren Angestellte. Zum Teil wird eine Haftungsbeschränkung für den Fall erwogen, dass der Geschäftsführer keine spezifischen Geschäftsführungsaufgaben wahrnimmt. In einem solchen Fall ist eine umfängliche Haftung nicht angebracht. Es ist Zufall, ob die Aufgabe durch einen normalen Angestellten oder durch den Geschäftsführer durchgeführt wird.

Ungeklärt ist, nach welchen Kriterien ein Geschäftsführer haftet, der nicht direkt bei der Gesellschaft angestellt ist, deren Organ er ist. Vorstellbar ist hier ein Anstellungsverhältnis bei der Muttergesellschaft mit der Aufgabe, die Geschäfte des Tochterunternehmens zu leiten.
In einem solchen Fall ist zwischen Schäden, die unmittelbar dem Tochterunternehmen entstehen, sowie Schädigungen der Muttergesellschaft zu unterscheiden. Die Grundsätze der Arbeitnehmerhaftung sind nur innerhalb des Arbeitsverhältnisses anzuwenden. Ein Haftungsausschluss des Geschäftsführers ist nur gegenüber dem Arbeitgeber in Betracht zu ziehen. Gegenüber dem Tochterunternehmen, dessen Leitung ihm übertragen ist, kommt eine Haftungsbegrenzung nicht in Betracht.

Der Sorgfaltsmaßstab der Geschäftsleitung ist umfassend und objektiv zu bestimmen. Er bestimmt sich durch Art, Größe und Situation des Unternehmens. Auch die Gepflogenheiten der Branche sowie die Bedeutung der jeweiligen Aufgabe für das Unternehmen spielen hier eine wichtige Rolle.

Dem Geschäftsführer obliegt die Verfolgung des gesellschaftlichen Zwecks sowie die Bestimmung über den Einsatz und die Koordination der Unternehmensressourcen. Diese Aufgaben erfordern das Unterlassen sämtlicher Aktivitäten, die diesen Zweck vereiteln könnten. Zudem muss die Geschäftsleitung sämtliche Anstrengungen der Mitarbeiter überwachen, die sie mit der Durchführung dieser Aufgaben betraut hat. Bei Erfüllung dieser Aufgaben muss die Geschäftsleitung die Sorgfalt eines ordentlichen Geschäftsmanns anwenden.

 

Haftung in der IT: Wie schützt man sich vor den Folgen?

 

Um eine Haftung zu vermeiden, sollte der Arbeitnehmer die ihm übertragenen Aufgaben gewissenhaft wahrnehmen. Zusätzlich muss er die Geschäftsleitung über mögliche Risiken informieren. Er muss Lösungsvorschläge für Sicherheitsmängel in der Datenverarbeitung erarbeiten und ein angemessenes Budget beantragen. Die Analyse der erforderlichen Maßnahmen erfolgt am besten zusammen mit einem qualifizierten Berater, dessen Bericht an die Geschäftsleitung weiterzugeben ist. Mit Einschaltung eines qualifizierten Beraters kann sich der Arbeitnehmer auf dessen Expertise verlassen und im Zweifel hierauf verweisen.

Der IT-Manager sollte die Geschäftsleitung über die Umsetzung des Projekts in regelmäßigen Abständen informieren. Lehnt die Geschäftsleitung die Vorschläge des IT- Managers ab, sollte dieser

  • die Risiken erneut aufzeigen und das eigene Vorgehen protokollieren,
  • eine schriftliche Ablehnung seiner Vorschläge von der Geschäftsleitung verlangen oder die Ablehnung zumindest schriftlich, beispielsweise in Form eines Protokolls, gegenüber der Geschäftsleitung bestätigen,
  • eine weitere Verantwortung zwar ablehnen, aber wiederholt auf die Gefahren hinweisen.

Die Geschäftsführung kann eine Haftung vermeiden, indem sie zunächst ihre Pflichten ordnungsgemäß erfüllt. Zu beachten ist, dass sie wesentliche Aufgaben nicht delegieren darf. Gibt die Geschäftsführung derartige Pflichten in fremde Hände, haftet sie für eingetretene Schäden aus Organisationsverschulden. Ein eventuelles Verschulden der Mitarbeiter ist irrelevant. Daneben besteht (nach herrschender Meinung) die Möglichkeit, eine Haftungsbeschränkung für fahrlässiges Verhalten im Geschäftsführervertrag zu vereinbaren.

 

Spezialfall: Die gesetzliche Haftung nach dem Urheberrechtsgesetz

 

Eine Tatsache wird häufig übersehen: der widerrechtliche Gebrauch von geschützten Produkten ist kein Kavaliersdelikt. Durch die illegale Verwendung von geistigem Eigentum entstehen jedes Jahr enorme wirtschaftliche Schäden.

Ein Problem, welches viele Unternehmen betrifft, ist die Unsicherheit bei verwendeten Software-Lizenzen. Dieses Problem entsteht vor allem aus einer unzureichenden Dokumentation. Sind für alle eingesetzten Produkte ausreichend Lizenzen vorhanden? Besitzt das Unternehmen zu viele Lizenzen? Und – am wichtigsten – wer ist verantwortlich, wenn Lizenzen fehlen?

 

 

 

 

 

Die Verwendung nicht-lizenzierter Software

 

Nach § 106 Abs. 1 UrhG macht sich strafbar, wer ohne Einwilligung des Berechtigten ein Werk (vorsätzlich) vervielfältigt. Dazu zählt auch der Einsatz unlizenzierter Software. Nicht betroffen hiervon ist die Anfertigung einer Sicherungskopie der lizenzierten Software. Diese darf auch ohne die explizite Zustimmung des Rechteinhabers angefertigt werden. Einzige Ausnahme: die Sicherungskopie darf nicht zusammen mit dem Original genutzt werden.

Setzt ein Unternehmen nicht-lizenzierte Software ein, haftet es gemäß § 97 Urheberrechtsgesetz (UrhG). Dem Unternehmen, das die unlizenzierte Software einsetzt, droht in der Regel ein staatsanwaltliches Ermittlungsverfahren. Der Schadensersatzanspruch des Rechteinhabers setzt ein schuldhaftes und rechtswidriges Verhalten des Schädigers voraus. Wird widerrechtlich kopierte Software eingesetzt, steht dieses schuldhafte Verhalten außer Frage. Der Rechteinhaber kann seinen Schadensersatzanspruch in mehrfacher Weise geltend machen:

  • Der Verletzte kann den eigenen Schaden einschließlich des entgangenen Gewinns geltend machen.
  • Ist ein Schaden für den Geschädigten schwer zu beweisen oder sehr niedrig, kann anstelle eines konkreten Schadens auch die übliche Lizenzgebühr verlangt werden.
  • Der Geschädigte kann statt des Schadenersatzes auch den Reingewinn verlangen, den der Schädiger mit der Benutzung des fremden Rechts erzielt hat.
  • Um eine begründete Wahl zu treffen, muss der Anspruchsinhaber wissen, welche Form der Schadensberechnung für ihn am günstigsten ist. Zu diesem Zweck steht ihm ein Anspruch auf Auskunft und Rechnungslegung gegen den Schädiger zu.
  • Zudem stehen dem Geschädigten die verschuldensunabhängigen Ansprüche auf Unterlassung der Nutzung der Software zu. Das betrifft die Löschung aller illegalen Kopien sowie eventueller Vorrichtungen, die ausschließlich dem Kopieren von Software dienen. Anstelle der Vernichtung kann der Anspruchsinhaber gegen Zahlung einer angemessenen Entschädigung auch Herausgabe der Raubkopien und Kopiervorrichtungen verlangen.

 

Die Haftung des Unternehmens für Urheberrechtsverstöße

 

Wird in einem Unternehmen nicht-lizenzierte Software verwendet, so haftet in erster Linie die Gesellschaft. Bei ihr handelt es sich jedoch um eine juristische Person, die selbst kein Verschulden treffen kann. Der § 99 UrhG sieht in diesem Fall auch eine Haftung des Unternehmensinhabers vor. Der Grund: Der Inhaber eines Unternehmens soll sich nicht hinter Dritten „verstecken“ können, die vielleicht in seinem Auftrag gehandelt haben. Aus diesem Grunde haftet er auch, wenn die Rechtsverletzung ohne oder gegen seinen Willen begangen worden ist.

Zudem stellt sich die Frage, ob auch leitende Mitarbeiter des Unternehmens für Straftaten ihrer Untergebenen verantwortlich gemacht werden können. Vor allem, wenn sie hiervon Kenntnis erlangt haben und nichts gegen die Tat unternommen haben.

Die Geschäftsführung trifft eine arbeitsrechtliche Fürsorgepflicht. Sie muss ihr bekannt werdende Straftaten, die sich gegen die Belegschaft richten, verhindern. Auch wird eine weitergehende Verantwortlichkeit dann angenommen, wenn der Mitarbeiter gerade seine Stellung im Betrieb missbraucht hat und nur auf diese Weise die Straftat begehen konnte.

 

Ein Beispiel: Kopieren von Software

 

Ein Administrator in einem Rechenzentrum kopiert Software für private Zwecke, welche der Arbeitgeber ordnungsgemäß erworben hat. Der Geschäftsführung sind diese Vorfälle bekannt, sie unternimmt jedoch nichts, um den hoch qualifizierten Mitarbeiter nicht zu verlieren. Wie sieht die Haftungsfrage in diesem Beispiel aus?

In einem solchen Fall macht sich der Mitarbeiter gemäß § 106 UrhG strafbar. Schließlich ist er es, der die Software widerrechtlich vervielfältigt. Doch auch die Geschäftsleitung ist in der Verantwortung, da sie die Straftaten ihres Mitarbeiters nicht verhindert hat, obgleich sie Kenntnis davon hatte. Zudem hat der Vorgesetzte des betroffenen Mitarbeiters vorsätzlich seine Aufsichtspflicht verletzt. Nutzt dies ein Mitarbeiter, um gegen Pflichten zu verstoßen, die auch das Unternehmen treffen, so begeht der Vorgesetzte eine Ordnungswidrigkeit. Nach § 130 des Gesetzes über Ordnungswidrigkeiten (OWiG) kann dies mit einer Geldbuße von bis zu 1 Million Euro geahndet werden. Zudem kann auch die Geschäftsleitung des Unternehmens selbst mit einer Geldbuße nach § 30 OWiG belegt werden.

 

Haftung in der IT: Alles eine Frage der Vorbereitung

 

Gerade mittelständische Unternehmen schützen sich erfahrungsgemäß unzureichend und gehen zu sorglos mit dem Thema Sicherheit um. Fest steht: IT-Security ist Chefsache. Geschäftsführer und CIOs haben für den lückenlosen Schutz von Daten Sorge zu tragen. In einem mangelhaft gesicherten Unternehmen riskiert der Geschäftsführer eine persönliche Haftung, die sich auch auf sein persönliches Vermögen erstrecken kann.

Als Unternehmer und IT-Leiter tun Sie gut daran, Ihre Pflichten genau einzuhalten. Verträge mit Dienstleistern und Lieferanten sollten Sie stets genau lesen und Unklarheiten sofort beseitigen. Prüfen Sie Rechnungsdokumente und Lieferscheine. Leben Sie das Thema „IT-Sicherheit“ in Ihrem Unternehmen. Ein ISMS (Informations-Sicherheits Management System) leistet hierbei wertvolle Dienste.

Wir können und dürfen Ihnen an dieser Stelle keine juristischen Hinweise und Tipps geben. Aber wir können Ihnen helfen, möglichen Risiken in Ihrem Unternehmen so gut wie möglich zu begegnen. Mit dem i-doit ISMS machen Sie den ersten Schritt.