Fachartikel

Mit einem Bein im Gefängnis? - Verantwortung und Haftung für IT-Sicherheit

Vielen IT-Verantwortlichen - gleich ob Vorstand, Geschäftsführer, Behördenleiter oder angestellter IT-Administrator - sind Inhalt und Umfang ihrer Verantwortung und damit ihrer Haftung gegenüber ihren Unternehmen nicht bekannt. Dies gilt insbesondere für Aspekte der IT-Sicherheit, die im Zeitalter zunehmender Bedrohungen für informationstechnologische Anlagen und Anwendungen ein immer zentraleres Element einer umfassenden Business-Continuity-Planung geworden ist.
Dr. Joachim Schrey ist Rechtsanwalt bei Clifford Chance in Frankfurt am Main
Jedes Unternehmen - und damit dessen jeweils verantwortliche Mitarbeiter - ist vor die Aufgabe gestellt, im Bereich der Sicherheit seiner Informationstechnologie aktiv möglichen Risiken von Datenverlusten, Systemunterbrechungen oder gar Katastrophensituationen (Desaster) durch Maßnahmen im Bereich physischer, logischer und technischer Sicherheit und die Absicherung gegen Katastrophen, die zum Ausfall von Produktionsrechnern führen, sowie datenschutzrechtlich erforderliche Maßnahmen entgegenzuwirken. Zur Risikovermeidung und Schadensvorbeugung sollte jeder, der für informationstechnologische Systeme Verantwortung trägt, Maßnahmen im Bereich IT-Sicherheit nicht nur im Interesse des Unternehmens treffen. Im Hinblick auf eine mögliche persönliche Inanspruchnahme durch den Arbeitgeber besteht hierfür auch ein hohes Eigeninteresse. 

Haftung des Arbeitnehmers
Bei Außerachtlassung oder auch nur Vernachlässigung einer unternehmensindividuellen, angemessenen IT-Sicherheit können sich Ansprüche des Arbeitgebers gegen seinen Arbeitnehmer unmittelbar aus § 280 Abs. 1 des Bürgerlichen Gesetzbuches (BGB) ergeben. Ein Anspruch wäre dann gegeben, wenn der Arbeitnehmer seine Pflichten aus dem Arbeitsverhältnis verletzt, indem er schuldhaft seine Arbeit nicht ordnungsgemäß erbringt und den Arbeitgeber hierdurch schädigt. Typische Beispiele für eine solche vertragliche Pflichtverletzung sind etwa die Beschädigung von Arbeitsmitteln oder sonstigen Gütern des Arbeitgebers, das Herstellen fehlerhafter Produkte oder der Verlust von Geld oder Sachen des Arbeitgebers. Wie es zu der Schädigung des Arbeitgebers gekommen ist, ist für den Anspruch regelmäßig zweitrangig. Der Arbeitnehmer hat sich in allen Belangen so zu verhalten, wie sich ein besonnener Mensch in der Situation des Arbeitnehmers verhalten würde. Demnach treffen den Arbeitnehmer Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten, wobei der Sorgfaltsmaßstab des Arbeitnehmers stets individuell zu bestimmen ist. So ist selbstverständlich, dass an einen leitenden Mitarbeiter andere Anforderungen zu stellen sind als etwa an einen Mitarbeiter, der eine untergeordnete Stellung bekleidet.

Grundsätzlich obliegt dem Arbeitgeber die Darlegungs- und Beweislast für ein Verschulden des Arbeitnehmers im Hinblick auf seine arbeitsvertragliche Pflichtverletzung. Damit gehört es auch zum Verantwortungsbereich von leitenden Mitarbeitern im Bereich IT, sowohl die spezifischen Bedrohungsszenarien für die Unternehmens-IT und die hieraus resultierenden Risiken und deren Konsequenzen für das Unternehmen zu identifizieren, als auch Maßnahmen zu spezifizieren, wie diese Risiken oder ihre Konsequenzen zu vermeiden oder wenigstens einzudämmen sind, und schließlich Planungen zu entwickeln, wie im Falle der Realisierung dieser Risiken zu reagieren und wenigstens die Schadensentwicklung einzugrenzen ist. Leider ist vielfach in Unternehmen noch eine Haltung anzutreffen, wonach derartige Überlegungen zur IT-Sicherheit gar nicht angestellt oder vernachlässigt werden. 

Haftungsbeschränkungen zugunsten des Arbeitnehmers
Gemäß § 280 Abs. 1 BGB unterläge der Arbeitnehmer einer betragsmäßig unbegrenzten Haftung für Vorsatz und jede Form der Fahrlässigkeit. Bei der Verrichtung jeglicher betriebsbedingter Tätigkeit kann aber selbst dem gewissenhaftesten Arbeitnehmer einmal ein Fehler unterlaufen. Die Arbeitsleistung des Arbeitnehmers erfolgt jedoch auf Weisung des Arbeitgebers und in einem maßgeblich von diesem gestalteten und kontrollierten Umfeld. Da somit der Arbeitgeber die Gefahr einer Schadensverursachung für den Arbeitnehmer geschaffen hat, sollen seine Ansprüche auch begrenzt sein. Die Rechtsprechung des Bundesarbeitsgerichts hat hieraus die Konsequenz gezogen, dass die Folgen einer möglichen Haftung aufgrund eines Arbeitsverhältnisses - auch für leitende Angestellte - abzumildern sind. 

Zur Begrenzung der Haftung des Arbeitnehmers hat die Rechtsprechung daher ein System der gestuften Zuordnung der Haftung für von Arbeitnehmern verursachte Schäden entwickelt, das nach der Schwere des Verschuldens des Arbeitnehmers beim schädigenden Verhalten differenziert. Für grob fahrlässiges oder vorsätzliches Verhalten soll der Arbeitnehmer im Grundsatz für den ganzen von ihm verursachten Schaden haften, es sei denn, es bestünde ein grobes Missverhältnis zwischen der Höhe des Einkommens des schädigenden Arbeitnehmers und des von ihm verursachten Schadens. Für Schäden, die auf mittlere Fahrlässigkeit des Arbeitnehmers zurückzuführen sind, soll eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer nach einem ganzen Bündel von Kriterien [1] erfolgen. Für Schäden, die der Arbeitnehmer lediglich leicht fahrlässig herbeigeführt hat, soll er schließlich überhaupt nicht haften.

Fahrlässigkeit
Nach § 276 Abs. 2 BGB handelt fahrlässig, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt. Damit liegt bereits leichteste (jedoch nicht zur Haftung führende) Fahrlässigkeit vor, wenn der Arbeitnehmer nicht die erforderliche Sorgfalt anwendet, sondern nur geringfügig unterdurchschnittliche Sorgfaltsanforderungen erfüllt. Mittlere Fahrlässigkeit ist demgegenüber die -normale- Schuld des unsorgfältigen Arbeitnehmers. Da im Falle mittlerer Fahrlässigkeit eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer vorzunehmen ist, muss die Schwere der Schuld des Arbeitnehmers näher bestimmt werden. Sie ist unter anderem für die Bemessung des Haftungsumfangs des Arbeitnehmers von entscheidender Bedeutung.

Grobe Fahrlässigkeit setzt einen besonders schwerwiegenden Verstoß gegen die im Verkehr erforderliche Sorgfalt voraus, wofür der Arbeitnehmer grundsätzlich auch in vollem Umfang haftet. Ausnahmsweise soll allerdings auch in diesem Fall die Haftung begrenzt sein, wenn der eingetretene Schaden in einem krassen Missverhältnis zum Arbeitsentgelt steht. Grund für diese Haftungsbeschränkung ist nach Auffassung der Rechtsprechung insbesondere, dass der Arbeitnehmer den Haftungsrisiken, die ihm vom Arbeitgeber auferlegt werden, regelmäßig weder in tatsächlicher, noch in rechtlicher Hinsicht ausweichen oder gar sich gegen derartige Haftpflichtrisiken versichern kann. Daher sucht das Bundesarbeitsgericht einen interessengerechten Ausgleich zwischen dem Haftungsbedürfnis des Arbeitgebers und der verfassungsrechtlich verbürgten wirtschaftlichen Freiheit des Arbeitnehmers, die eine dauerhafte finanzielle Überforderung ausschließt, in einer Beschränkung der Haftung auf einen Betrag, den der Arbeitnehmer durch zumutbare Ratenzahlungen innerhalb von fünf Jahren tilgen könnte. Die Höhe zumutbarer Ratenzahlungen hat das Bundesarbeitsgericht auf der Basis des Monatseinkommens des betreffenden Arbeitnehmers abzüglich der nach der Zivilprozessordnung bestehenden Pfändungsfreigrenzen ermittelt. Dieser Monatsbetrag bezogen auf einen Zeitraum von fünf Jahren bildet den Maximalbetrag der Haftung des betreffenden Arbeitnehmers. Den übersteigenden Schadensbetrag hat der Arbeitgeber selbst zu tragen. Diese zunächst nur als Ausnahmefall gedachte Konstellation eines Missverhältnisses von Einkommen und Schaden hat sich im Laufe der Jahre mehr und mehr zum Regelfall entwickelt, was zeigt, dass regelmäßig sehr hohe Schäden entstehen, was Maßnahmen zur Risikovermeidung und Schadensvorbeugung besonders dringlich macht.

Für eine vorsätzliche Pflichtverletzung des Arbeitnehmers, die einen Schadensersatzanspruch des Arbeitgebers in vollem Umfang zur Folge hat, ist erforderlich, dass der Arbeitnehmer nicht nur die konkrete Pflichtverletzung, sondern auch den Eintritt des Schadens als möglich vorausgesehen und billigend in Kauf genommen hat. Dies gilt auch dann, wenn der Arbeitnehmer sich bewusst über Weisungen des Arbeitgebers hinweggesetzt hat und daraus ein Schaden erwachsen ist. Hat er diesen Schaden nicht vorausgesehen, so können die Grundsätze der Haftungserleichterung wie im Falle einer groben Fahrlässigkeit anwendbar sein.


[1] Als Kriterien sind somit folgende Umstände zu berücksichtigen: die Größe, Schwere und Häufigkeit der Gefahr, die Vorhersehbarkeit des Schadenseintritts, die Monotonie der Arbeitsleistung, die Höhe des Arbeitsentgelts, die Stellung des Arbeitnehmers im Betrieb, die persönlichen Umstände, die Dauer der Betriebszugehörigkeit sowie Alter, Familienstand des Arbeitnehmers, sein bisheriges arbeitsvertragliches Verhalten sowie die Schadensgeneigtheit der Arbeit.Demgegenüber sind auf Arbeitgeberseite folgende Faktoren zu berücksichtigen:Der Arbeitgeber trägt das Betriebs- und Unternehmensrisiko, die Tätigkeit wird vom Arbeitgeber organisiert, fehlende oder falsche Arbeitsanweisungen, mangelhaftes Arbeitsgerät, unzureichende Überwachung, Möglichkeit der Schadensvorsorge, insbesondere durch Abschluss einer Betriebshaftpflichtversicherung.
25.03.2007/Ausgabe 12/04 des IT-Administrator Magazin S. 52-53, Autor: Joachim Schrey

Nachrichten

Zwei Zero-Day-Lücken gefährden Exchange-Server [30.09.2022]

Angreifer nutzen offenbar zwei neue Sicherheitslücken in Exchange Server, für die es bislang keinen Patch gibt und die ihnen eine Codeausführung aus der Ferne ermöglichen. Im Rahmen der Attacken verschaffen sich die Hacker per Webshell dauerhaften Zugang zu den Servern. Doch gibt es für Admins zumindest einen Workaround, um die Angriffe abzuwehren. [mehr]

Passgenaue Zugriffsrechte [29.09.2022]

Illumio stellt "Illumio Endpoint" vor. Dieses ersetzt "Illumio Edge" und soll verhindern, dass sich Angriffe von Laptops auf Clouds und Rechenzentren ausbreiten. Durch hybrides Arbeiten ist die Angriffsfläche gewachsen, neue Bedrohungen sind entstanden und die Cyberrisiken für Unternehmen damit gestiegen. [mehr]

Tipps & Tools

Online-Intensivseminar "Hyper-V unter Windows Server 2019" [12.09.2022]

Allen Public-Cloud-Trends zum Trotz: Die lokale Virtualisierung ist bei vielen Unternehmen nach wie vor die sicherere Basis des IT-Betriebs. Lernen Sie in unserem dreitägigen Intensivseminar deshalb, wie diese optimal mit Microsofts Hyper-V gelingt. Dabei führt Sie die Onlineveranstaltung durch die komplette Arbeit mit virtuellen Maschinen – vom Erstellen, dem Anbinden ans Netz bis hin zur Versorgung mit passendem Speicher – Hochverfügbarkeit und Replikation der VMs inklusive. Die Veranstaltung findet vom 19. bis 21. Oktober virtuell statt. Zögern Sie nicht, sich Ihren Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Intensivseminar "Office 365 bereitstellen und absichern" in München oder online [8.08.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Die Veranstaltung findet Ende September in München statt – parallel dazu können Sie auch online teilnehmen. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen