Haftung in der IT: Verantwortung und Haftung für IT-Sicherheit

(Artikel 2 von 6)

In Teil 1 der sechsteiligen Serie haben wir uns mit der erlebten Realität in IT Abteilungen auseinandergesetzt – und auch mit idealen Zuständen. Irgendwo dazwischen befindet sich jedes Unternehmen, jede IT. Doch wer hat eigentlich welche Verantwortung für die herrschenden Zustände?

Wir von i-doit haben uns in aktuelles deutsches Recht eingelesen und wollen das, was wir recherchiert haben mit der i-doit Community teilen. Nicht als Rechtsberater, sondern in der Rolle des interessierten Admins. Schließlich geht es natürlich auch um IT-Dokumentation, das ist schon klar. Gefunden haben wir Rechte und Pflichten sowie aktuelle Beispiele die wir in dieser sechsteiligen Serie zusammengefasst haben …

Vielen IT-Verantwortlichen, gleich ob Vorstand, Geschäftsführer, Behördenleiter oder angestellter IT-Manager, sind Inhalt und Umfang ihrer Verantwortung für die Sicherheit der von ihnen betreuten IT und damit ihrer persönlichen Haftung für eventuelle Sicherheitsdefizite gegenüber ihren Unternehmen nicht bekannt.

IT-Sicherheit ist im Zeitalter zunehmender Bedrohungen für informationstechnologische Anlagen und Anwendungen ein immer zentraleres Element einer umfassenden Business Continuity Planung geworden. Jedes Unternehmen, und damit dessen jeweils verantwortliche Mitarbeiter, ist daher vor die Aufgabe gestellt, im Bereich der Sicherheit seiner Informationstechnologie aktiv möglichen Risiken von Datenverlusten, Systemunterbrechungen oder gar Katastrophensituationen (Desaster) durch Maßnahmen im Bereich physischer, logischer und technischer Sicherheit entgegenzuwirken. Zur IT-Sicherheit gehört aber genauso der Datenschutz, also der Schutz personenbezogener Daten vor unbefugten Zugriffen.

Arbeitnehmerhaftung

Zur Risikovermeidung und Schadensvorbeugung sollte jeder, der für informationstechnologische Systeme Verantwortung trägt, Maßnahmen im Bereich IT-Sicherheit, nicht nur im Interesse des Unternehmens, sondern auch für sich selbst, treffen. Fehlverhalten kann geahndet werden!

Der Arbeitnehmer hat sich in allen Belangen so zu verhalten, wie sich ein besonnener Mensch in der Situation des Arbeitnehmers verhalten würde. Dabei ist selbstverständlich, dass an einen leitenden Mitarbeiter andere Anforderungen zu stellen sind als etwa an einen Mitarbeiter, der eine nachgeordnete Stellung bekleidet.

Eine der Nebenpflichten, die ein Arbeitnehmer zu erfüllen hat, ist die Pflicht zur Wahrung der Interessen des Arbeitgebers und des Betriebs in einem ihm zumutbaren Umfang. Interesse des Arbeitgebers ist es beispielsweise, dass seine Arbeitsgeräte und Waren vor Verlust oder Beschädigung geschützt werden. Dies ist jedoch nicht nur ein dem Arbeitgeber unterstelltes Interesse, auf das er jederzeit verzichten könnte, sondern eine sogar gesetzlich der Unternehmensleitung zugewiesene Aufgabe: Auch wenn sie nur für Aktiengesellschaften ausdrücklich kodifiziert ist, gilt aber für Unternehmen in allen Rechtsformen eine Pflicht zum aktiven Risikomanagement (siehe § 91 Abs. 2 AktG und nachfolgend Ziff. 5).

Damit gehört es auch zum Verantwortungsbereich der Unternehmensleitung und hiervon abgeleitet zur Aufgabe von leitenden Mitarbeitern im Bereich IT, sowohl die spezifischen Bedrohungsszenarien für die Unternehmens-IT und die hieraus resultierenden Risiken und deren Konsequenzen für das Unternehmen zu identifizieren, als auch Maßnahmen zu spezifizieren, wie diese Risiken oder ihre Konsequenzen zu vermeiden oder wenigstens einzudämmen sind. Schließlich sind Planungen zu entwickeln, wie im Falle der Realisierung dieser Risiken zu reagieren und wenigstens die Schadensentwicklung einzugrenzen ist.

Wir sind also mitten im Risikomanagement und nicht nur der Chef, jede/r Verantwortliche/r muss es für seinen Bereich tun!

Schuldenlast

Dem Arbeitgeber obliegt die Darlegungs- und Beweislast für ein Verschulden des Arbeitnehmers im Hinblick auf seine arbeitsvertragliche Pflichtverletzung. Diese Beweislastverteilung kann vertraglich auch nicht zum Nachteil des Arbeitnehmers abbedungen werden. Auch das eine weitere Aufgabe für die Verantwortlichen: Nicht nur Delegieren, auch Kontrollieren, oder auf allen Pflichtverletzungen mit allen Konsequenzen “sitzen bleiben”.

Haftungsbeschränkungen zugunsten des Arbeitnehmers

Gemäß § 280 Abs. 1 BGB unterliegt der Arbeitnehmer einer betragsmäßig unbegrenzten Haftung für Vorsatz und jede Form der Fahrlässigkeit. Bei der Verrichtung jeglicher betriebsbedingter Tätigkeit kann aber selbst dem gewissenhaftesten Arbeitnehmer einmal ein Fehler unterlaufen. Die Arbeitsleistung des Arbeitnehmers erfolgt zudem auf Weisung des Arbeitgebers und in einem maßgeblich von diesem gestalteten und kontrollierten Umfeld. Da somit der Arbeitgeber die Gefahr einer Schadensverursachung für den Arbeitnehmer und die Bedingungen für die weitere Schadensentwicklung geschaffen hat, seien nach Auffassung der obergerichtlichen Rechtsprechung Haftpflichtansprüche des Arbeitgebers gegenüber seinen Arbeitnehmern, auch für leitende Angestellte, in ihren Folgen für den Arbeitnehmer abzumildern.

Diese Abmilderung erfolgt im Wege einer Begrenzung der Haftung des Arbeitnehmers, für die die Rechtsprechung ein System der gestuften Haftungsbegrenzung für von Arbeitnehmern verursachte Schäden entwickelt hat, das nach der Schwere des Verschuldens des Arbeitnehmers beim schädigenden Verhalten wie folgt differenziert:

  • Für vorsätzliches Verhalten soll der Arbeitnehmer für den ganzen von ihm verursachten Schaden haften.
  • Dies gilt im Grundsatz auch für grob fahrlässig herbeigeführte Schäden, es sei denn, es bestünde ein grobes Missverhältnis zwischen der Höhe des Einkommens des schädigenden Arbeitnehmers und des von ihm verursachten Schadens.
  • Für Schäden, die auf mittlere Fahrlässigkeit des Arbeitnehmers zurückzuführen sind, soll eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer erfolgen.
  • Für Schäden, die der Arbeitnehmer lediglich leicht fahrlässig herbeigeführt hat, soll er schließlich überhaupt nicht haften.

Nach welchen Kriterien ist der Verschuldensgrad des Arbeitnehmers aber nun zu bestimmen? Was heißt es, vorsätzlich oder fahrlässig zu handeln? Konkrete Beispiele folgen in Teil 3 der Artikelserie, hier zuvor noch die von uns recherchierten Fakten:

Gemäß § 276 Abs. 2 BGB handelt fahrlässig, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt. Damit liegt bereits leichteste (jedoch nach der eben skizzierten Rechtsprechung nicht zur Haftung führende) Fahrlässigkeit vor, wenn der Arbeitnehmer nicht die erforderliche Sorgfalt anwendet, sondern nur geringfügig unterdurchschnittliche Sorgfaltsanforderungen erfüllt.

Mittlere Fahrlässigkeit ist demgegenüber die ’normale‘ Schuld des unsorgfältigen Arbeitnehmers. Da im Falle mittlerer Fahrlässigkeit eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer vorzunehmen ist, muss die Schwere der Schuld des Arbeitnehmers nach einem ganzen Bündel von Kriterien näher bestimmt werden. Sie ist unter anderem für die Bemessung des Haftungsumfangs des Arbeitnehmers von entscheidender Bedeutung.

Grobe Fahrlässigkeit setzt einen besonders schwerwiegenden Verstoß gegen die im Verkehr erforderliche Sorgfalt voraus, wofür der Arbeitnehmer grundsätzlich auch in vollem Umfang haftet. Ausnahmsweise soll allerdings auch in diesem Fall die Haftung begrenzt sein, wenn der eingetretene Schaden in einem krassen Missverhältnis zum Arbeitsentgelt steht. Grund für diese Haftungsbeschränkung ist nach Auffassung der Rechtsprechung insbesondere, dass der Arbeitnehmer den Haftungsrisiken, die ihm vom Arbeitgeber auferlegt werden, regelmäßig weder in tatsächlicher, noch in rechtlicher Hinsicht ausweichen oder gar sich gegen derartige Haftpflichtrisiken versichern kann (private Haftpflichtversicherungen decken solche im Rahmen der beruflichen/betrieblichen Tätigkeit verursachte Schäden nicht ab). Daher sucht das Bundesarbeitsgericht in den Fällen eines groben Missverhältnisses zwischen Schaden und Einkommen des schädigenden Arbeitnehmers einen interessengerechten Ausgleich zwischen dem Haftungsbedürfnis des Arbeitgebers und der verfassungsrechtlich verbürgten wirtschaftlichen Freiheit des Arbeitnehmers, die eine dauerhafte finanzielle Überforderung ausschließt, in einer Beschränkung der Haftung auf einen Betrag, den der Arbeitnehmer durch zumutbare Ratenzahlungen innerhalb von fünf Jahren tilgen könnte.