IT-Haftung
Eigenhaftung der IT-Verantwortlichen: vom Admin über den Vorstand bis zum Aufsichtsgremium

Studien belegen, dass bereits ein zehntägiger Ausfall von Schlüsselsystemen der IT ein Unternehmen so nachhaltig schädigt, dass es mit einer Wahrscheinlichkeit von 50% innerhalb von fünf Jahren vom Markt verschwindet. Information und ihre Verfügbarkeit sind damit eine essenzielle Ressource eines jeden Unternehmens, dessen Schutz dann nicht nur den zwingenden gesetzlichen Vorgaben (Datenschutz, Fernmeldegeheimnis, GoBS [[[&]]] Gdpdu, KonTraG mit seinen Änderungen im HGB und dem Aktienrecht, EURO SOX etc.) sondern in besonderem Maße betrieblichen Notwendigkeiten geschuldet ist.

Vor diesem Hintergrund muss man IT-Compliance sowohl für Privatunternehmen wie auch in der öffentlichen Verwaltung nicht lediglich als Verpflichtung der juristischen Person oder der Körperschaft selbst verstehen; es sind letztlich die Organe kaufmännischer Unternehmen oder Amtsträger mit Leitungsaufgaben selbst, die im Rahmen ihrer Sorgfaltspflicht persönlich für die Umsetzung der notwendigen Gewährleistung von Integrität, Authentizität und Verfügbarkeit aller geschäftsrelevanten und schutzbedürftigen Daten einzustehen haben – und widrigenfalls sogar mit ihrem Privatvermögen für die Sicherheit der betriebswichtigen Daten und Systeme haften.

Bereits mit dem KonTraG wurde im Jahre 1998 die Einführung eines Risikomanagements zur Sorgfaltspflicht der Geschäftsleitung größerer Kapitalgesellschaften gemacht; nach Maßgabe von § 91 Abs. 2 AktG kann eine Verletzung der Risikovorsorgepflichten des Vorstandes zum Schadensersatz führen. Vorstandsmitglieder haften gegenüber ihrer Gesellschaft dann als Gesamtschuldner.
Im Schadensfalle haftet also nicht nur die Gesellschaft nach außen, sondern die einzelnen Vorstandsmitglieder haften u. U. auch persönlich gegenüber der Gesellschaft (über § 147 Abs. 1 AktG ggf. auch den Aktionären, die sogar über § 117 Abs. 5 AktG den Anspruch der Gesellschaft in eigenem Namen geltend machen können).
Die Geschäftsführungsetage ist dabei sozusagen in einer Art „Bringschuld“: Denn ist streitig, ob bei Feststellung eines vermeidbaren Schadensereignisses (z. B. Datenschutzverletzung oder Virusschaden) die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wurde, so trifft die Geschäftsführung die Beweislast(umkehr) nach § 93 Abs. 2 AktG. Eine Exkulpation vor dem Hintergrund dieser Verschuldensvermutung ist aber regelmäßig nur möglich, wenn allgemeine Standards der IT-Sicherheit umgesetzt und dokumentiert sind.
Es kommt dabei nach der Rechtsprechung nicht darauf an, ob der Vorstand in Persona besondere IT-Kenntnisse hat und also um die (konkreten) Gefahren wissen musste oder nicht. Es gilt vielmehr ein objektiver Verschuldensmaßstab, bei dem letztlich die Organisationspflicht im Vordergrund steht (vgl. BGH WM 1983, 498 – der Vorstand hat sich notfalls „fachkundiger Hilfe“ zu bedienen). Diese im Aktienrecht ausgestalteten Haftungsgrundsätze wirken zumindest mittelbar in die entsprechenden Sorgfaltspflichten (siehe z. B. § 43 GmbHG) der Unternehmensleitung anderer Gesellschaftsformen.

Der Aufsichtsrat bzw. der Verwaltungsrat tut seinerseits gut daran, für eine unabhängige und effektive Kontrolle der Geschäftsleitung gerade auch vor dem Hintergrund der notwendigen IT-Sicherungsmaßnahmen Sorge zu tragen: So wurden in der Vergangenheit einerseits die Kontrollrechte der Aufsichtsgremien verstärkt, der Prüfungsauftrag wird demnach nicht mehr vom Vorstand sondern vom Aufsichtsrat selbstständig erteilt.
Andrerseits wuchsen damit auch die Anforderungen an das Sorgfaltsbild des Aufsichtsgremiums: Denn mit der zunehmend erweiterten Bewertungspflicht aller (IT-)Risiken durch den Abschlussprüfer korrespondiert eine entsprechend umfangreichere Berichtspflicht an das Aufsichtsgremium – diese muss vom Aufsichtsrat wiederum je nach identifizierten Defiziten zum Anlass genommen werden, Lücken und Versäumnisse im Bereich des Risikovorsorge durch die Geschäftsleitung schließen zu lassen.
Andrenfalls verstößt das Aufsichtsgremium gegen seine eigene Sorgfaltspflicht – ggf. mit persönlichen Haftungsfolgen.

Persönliche Haftung droht auch demjenigen Mitarbeiter unterhalb der Geschäftsleitungsebene, der z. B. als Netzwerkadministrator kraft seines arbeitsvertraglichen Leistungsbildes oder der Weisung der Geschäftsleitung zur technischen oder organisatorischen Umsetzung bestimmter IT-Prozesse berufen ist. Als Arbeitnehmer und sozusagen als „verlängerter Arm“ der Unternehmensleitung gelten zwar im Schadensfalle sowohl im Verhältnis zum Arbeitgeber wie auch zu Dritten bestimmte Haftungsprivilegierungen; nichts desto trotz können je nach Verschuldensmaßstab bei Nichtbeachtung der bestehenden Policies und Unternehmensdirektiven beim Umgang mit schutzwerten Daten Regressansprüche bestehen und arbeitsrechtliche Konsequenzen drohen.

Selbst wenn der Arbeitgeber dem Administrator vorwerfbar keinerlei „Instrumentarien“ (Weisungen, Policies, Schulungen, Hard- und Softwarekomponenten) zur adäquaten Umsetzung seiner speziellen Pflichten im Umgang mit IT zur Verfügung gestellt hat, so kann der einzelne Mitarbeiter dennoch strafrechtlich zur Verantwortung gezogen werden, wenn dieser z. B. im Umgang mit den E-Mails seiner Kollegen das Fernmeldegeheimnis nicht beachtet und unbefugt vermeintlich private E-Mails löscht oder herausfiltern lässt – eine Problematik, die insbesondere dann hohe Relevanz haben kann, wenn unternehmens- oder behördenintern keine oder nur unzulängliche IT-Policies zum Tragen kommen:
Denn bei der nachhaltigen Bereitstellung betriebseigener IuK-Systeme (auch) für private Zwecke fungiert unter dem dann eröffneten Regime des Fernmeldegeheimnisses der Arbeitgeber sozusagen als „Provider“ für seine Mitarbeiter, §§ 3 Nr. 10, 88 ff TKG. Dies gilt freilich für alle Mitarbeiter, die unabhängig von konkretisierenden arbeitsvertraglichen Regelungen gewollt oder geduldet in den faktischen Genuss dieses Privilegs kommen, d. h. natürlich auch für Kollegen von Tochterfirmen oder Beteiligungsgesellschaften.

Vor diesem Hintergrund muss allen Verantwortlichen in Unternehmen und öffentlicher Verwaltung daran gelegen sein, gerichtsfeste Standards zur Regelung und Organisation von allen IT-Geschäftsprozessen unter den Gesichtspunkten der Compliance, Beweisrelevanz und des betriebsinternen Informationsmanagements dokumentieren zu können. Leistungsfähige und revisionssichere Archivsysteme zeigen ihre besondere Effizienz vor allem dann, wenn sie nicht allein kaufmännisch, sondern zur Speicherung und Dokumentation sämtlicher elektronischen Informationen eingesetzt werden. Wir helfen Ihnen dabei, dies maßgeschneidert auf Ihre Bedürfnisse kostengünstig umzusetzen.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart