Mit einem Bein im Gefängnis? - Verantwortung und Haftung für IT-Sicherheit

Lesezeit
4 Minuten
Bis jetzt gelesen

Mit einem Bein im Gefängnis? - Verantwortung und Haftung für IT-Sicherheit

25.03.2007 - 17:15
Veröffentlicht in:
Vielen IT-Verantwortlichen - gleich ob Vorstand, Geschäftsführer, Behördenleiter oder angestellter IT-Administrator - sind Inhalt und Umfang ihrer Verantwortung und damit ihrer Haftung gegenüber ihren Unternehmen nicht bekannt. Dies gilt insbesondere für Aspekte der IT-Sicherheit, die im Zeitalter zunehmender Bedrohungen für informationstechnologische Anlagen und Anwendungen ein immer zentraleres Element einer umfassenden Business-Continuity-Planung geworden ist.
Jedes Unternehmen - und damit dessen jeweils verantwortliche Mitarbeiter - ist vor die Aufgabe gestellt, im Bereich der Sicherheit seiner Informationstechnologie aktiv möglichen Risiken von Datenverlusten, Systemunterbrechungen oder gar Katastrophensituationen (Desaster) durch Maßnahmen im Bereich physischer, logischer und technischer Sicherheit und die Absicherung gegen Katastrophen, die zum Ausfall von Produktionsrechnern führen, sowie datenschutzrechtlich erforderliche Maßnahmen entgegenzuwirken. Zur Risikovermeidung und Schadensvorbeugung sollte jeder, der für informationstechnologische Systeme Verantwortung trägt, Maßnahmen im Bereich IT-Sicherheit nicht nur im Interesse des Unternehmens treffen. Im Hinblick auf eine mögliche persönliche Inanspruchnahme durch den Arbeitgeber besteht hierfür auch ein hohes Eigeninteresse. 

Haftung des Arbeitnehmers
Bei Außerachtlassung oder auch nur Vernachlässigung einer unternehmensindividuellen, angemessenen IT-Sicherheit können sich Ansprüche des Arbeitgebers gegen seinen Arbeitnehmer unmittelbar aus § 280 Abs. 1 des Bürgerlichen Gesetzbuches (BGB) ergeben. Ein Anspruch wäre dann gegeben, wenn der Arbeitnehmer seine Pflichten aus dem Arbeitsverhältnis verletzt, indem er schuldhaft seine Arbeit nicht ordnungsgemäß erbringt und den Arbeitgeber hierdurch schädigt. Typische Beispiele für eine solche vertragliche Pflichtverletzung sind etwa die Beschädigung von Arbeitsmitteln oder sonstigen Gütern des Arbeitgebers, das Herstellen fehlerhafter Produkte oder der Verlust von Geld oder Sachen des Arbeitgebers. Wie es zu der Schädigung des Arbeitgebers gekommen ist, ist für den Anspruch regelmäßig zweitrangig. Der Arbeitnehmer hat sich in allen Belangen so zu verhalten, wie sich ein besonnener Mensch in der Situation des Arbeitnehmers verhalten würde. Demnach treffen den Arbeitnehmer Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten, wobei der Sorgfaltsmaßstab des Arbeitnehmers stets individuell zu bestimmen ist. So ist selbstverständlich, dass an einen leitenden Mitarbeiter andere Anforderungen zu stellen sind als etwa an einen Mitarbeiter, der eine untergeordnete Stellung bekleidet.

Grundsätzlich obliegt dem Arbeitgeber die Darlegungs- und Beweislast für ein Verschulden des Arbeitnehmers im Hinblick auf seine arbeitsvertragliche Pflichtverletzung. Damit gehört es auch zum Verantwortungsbereich von leitenden Mitarbeitern im Bereich IT, sowohl die spezifischen Bedrohungsszenarien für die Unternehmens-IT und die hieraus resultierenden Risiken und deren Konsequenzen für das Unternehmen zu identifizieren, als auch Maßnahmen zu spezifizieren, wie diese Risiken oder ihre Konsequenzen zu vermeiden oder wenigstens einzudämmen sind, und schließlich Planungen zu entwickeln, wie im Falle der Realisierung dieser Risiken zu reagieren und wenigstens die Schadensentwicklung einzugrenzen ist. Leider ist vielfach in Unternehmen noch eine Haltung anzutreffen, wonach derartige Überlegungen zur IT-Sicherheit gar nicht angestellt oder vernachlässigt werden. 

Haftungsbeschränkungen zugunsten des Arbeitnehmers
Gemäß § 280 Abs. 1 BGB unterläge der Arbeitnehmer einer betragsmäßig unbegrenzten Haftung für Vorsatz und jede Form der Fahrlässigkeit. Bei der Verrichtung jeglicher betriebsbedingter Tätigkeit kann aber selbst dem gewissenhaftesten Arbeitnehmer einmal ein Fehler unterlaufen. Die Arbeitsleistung des Arbeitnehmers erfolgt jedoch auf Weisung des Arbeitgebers und in einem maßgeblich von diesem gestalteten und kontrollierten Umfeld. Da somit der Arbeitgeber die Gefahr einer Schadensverursachung für den Arbeitnehmer geschaffen hat, sollen seine Ansprüche auch begrenzt sein. Die Rechtsprechung des Bundesarbeitsgerichts hat hieraus die Konsequenz gezogen, dass die Folgen einer möglichen Haftung aufgrund eines Arbeitsverhältnisses - auch für leitende Angestellte - abzumildern sind. 

Zur Begrenzung der Haftung des Arbeitnehmers hat die Rechtsprechung daher ein System der gestuften Zuordnung der Haftung für von Arbeitnehmern verursachte Schäden entwickelt, das nach der Schwere des Verschuldens des Arbeitnehmers beim schädigenden Verhalten differenziert. Für grob fahrlässiges oder vorsätzliches Verhalten soll der Arbeitnehmer im Grundsatz für den ganzen von ihm verursachten Schaden haften, es sei denn, es bestünde ein grobes Missverhältnis zwischen der Höhe des Einkommens des schädigenden Arbeitnehmers und des von ihm verursachten Schadens. Für Schäden, die auf mittlere Fahrlässigkeit des Arbeitnehmers zurückzuführen sind, soll eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer nach einem ganzen Bündel von Kriterien [1] erfolgen. Für Schäden, die der Arbeitnehmer lediglich leicht fahrlässig herbeigeführt hat, soll er schließlich überhaupt nicht haften.

Fahrlässigkeit
Nach § 276 Abs. 2 BGB handelt fahrlässig, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt. Damit liegt bereits leichteste (jedoch nicht zur Haftung führende) Fahrlässigkeit vor, wenn der Arbeitnehmer nicht die erforderliche Sorgfalt anwendet, sondern nur geringfügig unterdurchschnittliche Sorgfaltsanforderungen erfüllt. Mittlere Fahrlässigkeit ist demgegenüber die -normale- Schuld des unsorgfältigen Arbeitnehmers. Da im Falle mittlerer Fahrlässigkeit eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer vorzunehmen ist, muss die Schwere der Schuld des Arbeitnehmers näher bestimmt werden. Sie ist unter anderem für die Bemessung des Haftungsumfangs des Arbeitnehmers von entscheidender Bedeutung.

Grobe Fahrlässigkeit setzt einen besonders schwerwiegenden Verstoß gegen die im Verkehr erforderliche Sorgfalt voraus, wofür der Arbeitnehmer grundsätzlich auch in vollem Umfang haftet. Ausnahmsweise soll allerdings auch in diesem Fall die Haftung begrenzt sein, wenn der eingetretene Schaden in einem krassen Missverhältnis zum Arbeitsentgelt steht. Grund für diese Haftungsbeschränkung ist nach Auffassung der Rechtsprechung insbesondere, dass der Arbeitnehmer den Haftungsrisiken, die ihm vom Arbeitgeber auferlegt werden, regelmäßig weder in tatsächlicher, noch in rechtlicher Hinsicht ausweichen oder gar sich gegen derartige Haftpflichtrisiken versichern kann. Daher sucht das Bundesarbeitsgericht einen interessengerechten Ausgleich zwischen dem Haftungsbedürfnis des Arbeitgebers und der verfassungsrechtlich verbürgten wirtschaftlichen Freiheit des Arbeitnehmers, die eine dauerhafte finanzielle Überforderung ausschließt, in einer Beschränkung der Haftung auf einen Betrag, den der Arbeitnehmer durch zumutbare Ratenzahlungen innerhalb von fünf Jahren tilgen könnte. Die Höhe zumutbarer Ratenzahlungen hat das Bundesarbeitsgericht auf der Basis des Monatseinkommens des betreffenden Arbeitnehmers abzüglich der nach der Zivilprozessordnung bestehenden Pfändungsfreigrenzen ermittelt. Dieser Monatsbetrag bezogen auf einen Zeitraum von fünf Jahren bildet den Maximalbetrag der Haftung des betreffenden Arbeitnehmers. Den übersteigenden Schadensbetrag hat der Arbeitgeber selbst zu tragen. Diese zunächst nur als Ausnahmefall gedachte Konstellation eines Missverhältnisses von Einkommen und Schaden hat sich im Laufe der Jahre mehr und mehr zum Regelfall entwickelt, was zeigt, dass regelmäßig sehr hohe Schäden entstehen, was Maßnahmen zur Risikovermeidung und Schadensvorbeugung besonders dringlich macht.

Für eine vorsätzliche Pflichtverletzung des Arbeitnehmers, die einen Schadensersatzanspruch des Arbeitgebers in vollem Umfang zur Folge hat, ist erforderlich, dass der Arbeitnehmer nicht nur die konkrete Pflichtverletzung, sondern auch den Eintritt des Schadens als möglich vorausgesehen und billigend in Kauf genommen hat. Dies gilt auch dann, wenn der Arbeitnehmer sich bewusst über Weisungen des Arbeitgebers hinweggesetzt hat und daraus ein Schaden erwachsen ist. Hat er diesen Schaden nicht vorausgesehen, so können die Grundsätze der Haftungserleichterung wie im Falle einer groben Fahrlässigkeit anwendbar sein.


[1] Als Kriterien sind somit folgende Umstände zu berücksichtigen: die Größe, Schwere und Häufigkeit der Gefahr, die Vorhersehbarkeit des Schadenseintritts, die Monotonie der Arbeitsleistung, die Höhe des Arbeitsentgelts, die Stellung des Arbeitnehmers im Betrieb, die persönlichen Umstände, die Dauer der Betriebszugehörigkeit sowie Alter, Familienstand des Arbeitnehmers, sein bisheriges arbeitsvertragliches Verhalten sowie die Schadensgeneigtheit der Arbeit.Demgegenüber sind auf Arbeitgeberseite folgende Faktoren zu berücksichtigen:Der Arbeitgeber trägt das Betriebs- und Unternehmensrisiko, die Tätigkeit wird vom Arbeitgeber organisiert, fehlende oder falsche Arbeitsanweisungen, mangelhaftes Arbeitsgerät, unzureichende Überwachung, Möglichkeit der Schadensvorsorge, insbesondere durch Abschluss einer Betriebshaftpflichtversicherung.



Ausgabe 12/04 des IT-Administrator Magazin S. 52-53, Autor: Joachim Schrey

Tags

Ähnliche Beiträge

Security und Compliance in Microsoft 365 (3)

Sicherheit und Datenschutz lassen sich nicht mit einem Toolset und einem spezifischen Setup handhaben. Administratoren wissen: Es handelt sich dabei eher um einen stetigen Prozess. Um hier gewappnet zu sein, hat Microsoft mit seinen Security- und Compliance-Produkten in der Cloud geeignete Werkzeuge am Start. Im dritten und letzten Teil zeigen wir, wie Sie E-Mails und Dokumente schützen und dabei auf sogenannte Bezeichnungen zurückgreifen.

Mit Zero-Trust-Segmentierung zu NIS-2

Mitte Oktober müssen die EU-Staaten die neue NIS-2-Richtlinie für Cybersicherheit in die nationale Gesetzgebung übertragen. Die hierzulande etwa 30.000 betroffenen Unternehmen und Organisationen haben dann höchstens vier Jahre Zeit, die Vorgaben umzusetzen und dies nachzuweisen. Der Gastbeitrag erklärt, welche Mindeststandards die Richtlinie einfordert und wie IT-Verantwortliche die Cyberresilienz erhöhen können.

Security und Compliance in Microsoft 365 (2)

Sicherheit und Datenschutz lassen sich nicht mit einem Toolset und einem spezifischen Setup handhaben. Administratoren wissen: Es handelt sich dabei eher um einen stetigen Prozess. Um hier gewappnet zu sein, hat Microsoft mit seinen Security- und Compliance-Produkten in der Cloud geeignete Werkzeuge am Start. Im zweiten Teil beschäftigen wir uns mit dem Anlegen von regelmäßigen Sicherheitschecks und wie Ihnen dabei Vorlagen helfen.