Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

13.05.1994

Die Haftung des Abteilungsleiters DV-Schadenshoehen koennen das Privatvermoegen rasch aufzehren Von Rainer Schuppenhauer

"Mir kann so leicht nichts passieren!" Diese Behauptung sollten DV-Leiter heute nicht mehr so leichtfertig aufstellen. Arbeitslose Informatiker draengen vielleicht in seinen Job, und schon kleine Fahrlaessigkeiten koennten alte Hasen zu Fall bringen, falls die Geschaeftsfuehrung gerade nach Kuendigungsgruenden sucht. Und ans Vermoegen kann es auch noch gehen.

Nach der letzten Rechtsprechung des Bundesarbeitsgerichts wird die Hafthoehe des Arbeitnehmers nach dem Verschuldensgrad bemessen. Das heisst:

- bei leichtester Fahrlaessigkeit keine Haftung,

- bei leichter Fahrlaessigkeit verminderte Haftung und

- bei grober Fahrlaessigkeit und Vorsatz volle Haftung 1).

Das bedeutet gegenueber der frueheren Regel (volle Haftung auch bei leichter Fahrlaessigkeit) insoweit eine betraechtliche Milderung. Und da in der Vergangenheit nur wenige Haftungsstreitfaelle bekanntgeworden sind, darf man doch wohl in Zukunft erst recht ruhig schlafen.

Doch sollte man sich nicht taeuschen: Die Zeiten sind haerter geworden und die DV-Leiter entbehrlicher. Viele Firmen gehen schon dazu ueber, diese Angestellten nicht durch eine Abfindung, sondern durch Schadensersatzklagen loszuwerden. Es bieten sich inzwischen genuegend jobsuchende DV-Fachleute und auftragshungrige Berater an, die einem Unternehmen im Haftungsfall gern mit Tips und Gutachten behilflich sind. Und grobe Fahrlaessigkeit laesst sich ganz schnell nachweisen.

Hier sechs Faelle von grober Fahrlaessigkeit. In den Faellen 1, 2 und 5 hat der DV-Leiter noch einmal Glueck gehabt, weil die Maengel rechtzeitig aufgedeckt und beseitigt werden konnten. In den Faellen 3, 4 und 6 hingegen sind hohe Schaeden entstanden, fuer die die DV- Leiter verantwortlich waren - bis zur Haftung mit ihrem Privatvermoegen.

Grundsaetzlich haftet ein Arbeitnehmer fuer Schaeden, die seinem Arbeitgeber aus einer Pflichtverletzung seinerseits entstanden sind. Dabei wird unterschieden, ob er diese vorsaetzlich, grob fahrlaessig oder leicht fahrlaessig begangen hat.

Vorsaetzlich handelt, wer den Schaden beabsichtigt (Sabotage) oder ihn vorausgesehen und nichts zu seiner Verhinderung getan hat.

Grob fahrlaessig handelt, wer "mit dem Schaden rechnen musste, aber dennoch gehofft hat, dass er nicht eintreten wuerde, oder wer von seinem Wissen oder seiner Berufserfahrung her haette erkennen muessen, dass sein Fehlverhalten den Schaden herbeifuehren wuerde".

Als leichte Fahrlaessigkeit darf ein ungewollter Fehler gesehen werden, der trotz sorgfaeltiger Arbeitsweise unterlaufen kann: beispielsweise wenn der Arbeitnehmer ueberlastet ist, unter Zeitdruck arbeiten muss oder noch in der Ausbildung steht. Der Umgang mit komplexen Systemen gilt heute als betriebsbedingte, gefahrgeneigte Taetigkeit.

Eine griffige Abgrenzung zwischen leichtester, leichter oder auch mittlerer Fahrlaessigkeit fehlt derzeit noch. Hier wird nur von Fall zu Fall entschieden - ebenso wie bei der Hoehe der jeweiligen Haftungsquote bei leichter oder mittlerer Fahrlaessigkeit. Aber selbst wenn das Gericht nur eine maessige Haftungsquote festlegt, kann diese bei den in der DV zu erwartenden Schadenshoehen das Privatvermoegen eines DV-Leiters schnell aufzehren. Schon 10 Prozent Haftquote schmerzen empfindlich, wenn sie sich beispielsweise auf zwei Millionen Mark Schadenssumme beziehen.

Das Rechenzentrum einer grossen Versicherung hat sich mit erheblichem Aufwand gegen den Katastrophenfall geruestet. Es verfuegt unter anderem ueber ein gesondertes Sicherheitsarchiv und ein "kaltes Rechenzentrum". Natuerlich hat man dort auch einen detaillierten Plan fuer den Ernstfall aufgestellt. Alles scheint also ordnungsgemaess und sicher zu sein.

Fall 1: Unvollstaendiger Katastrophenplan

Bei einer DV-Pruefung stellt sich jedoch heraus, dass der Katastrophenplan seit etwa vier Jahren nicht mehr aktualisiert wurde: Die Datenbestaende aller zwischenzeitlich erstellten Datenbankanwendungen fehlen. Sie wurden deshalb nicht im Sicherheitsarchiv aufbewahrt. Ausserdem hatte man weder den Quellcode noch die Dokumentationen der etwa 2000 Programme des Unternehmens ausgelagert. Im Ernstfall waere wohl ein achtstelliger Millionenschaden entstanden 2).

Den in diesem Sinne veralteten Katastrophenplan hielt der DV- Leiter fuer eine schlimmstenfalls leichte Fahrlaessigkeit, die ihm vertretbar erschien, weil bisher nie etwas passiert war.

Er irrt jedoch. Waere der Ernstfall eingetreten, haette man ihm daraus eindeutig eine grobe Fahrlaessigkeit nachweisen koennen. Aus seinem Wissen oder seiner Berufserfahrung heraus haette er erkennen muessen, dass eine solche Nachlaessigkeit leicht zu einem derartig hohen Schadensausmass fuehren kann. Wo schon so viel Aufwand fuer die Sicherheit betrieben wird, dort muss dem DV-Leiter die Bedeutung eines aktuellen Katastrophenplans unbedingt bewusst sein.

Der Einwand einer "hohen Arbeitsbelastung" haelt vier Jahren Pflichtversaeumnis nicht stand. Man muss vielmehr annehmen, dass noch mehr Zeit ungenutzt verstrichen waere. Immerhin hatte der DV-Leiter die Personalverfuegung in seiner Abteilung und haette seine Mitarbeiter zumindest mit Teilaufgaben zur Aktualisierung betrauen koennen.

Fall 2: Datenpanzerschrank steht tagsueber offen

Ein mittleres Unternehmen im Ruestungsbereich hat schon haeufig anonyme Sabotagedrohungen erhalten. Gluecklicherweise ist noch nichts Ernsthaftes passiert. Eine DV-Revision ergibt, dass alle Daten in einem einigen Datenpanzerschrank im Rechenzentrum liegen, der tagsueber regelmaessig offensteht. Der Zugang zum Rechenzentrum ist mit maessigem Gewaltaufwand zu erlangen.

Im Sabotagefall, aber auch bei sonstigen Zwischenfaellen wie beispielsweise Feuer waeren neben der Hardware alle Daten- und echten Programmbestaende des stets geoeffneten Panzerschranks der Vernichtung preisgegeben. Ein Millionenschaden und moeglicherweise sogar der Konkurs des Unternehmens waeren die Folge.

Auch hier koennte der DV-Leiter moeglicherweise behaupten diese Unterlassung sei allenfalls als leichteste Fahrlaessigkeit einzustufen und haette damit keine Haftung fuer ihn zur Folge.

Das saehe ein Richter sicher anders: Man wuerde dem DV-Leiter grobe Fahrlaessigkeit vorwerfen, weil er nicht dafuer gesorgt hat, dass der Datenpanzerschrank im Tagesgeschaeft verschlossen bleibt.

Sein eventueller Einwand, man koenne dem Bedienungspersonal das staendige Oeffnen und Schliessen der schweren Tresortuer nicht zumuten, wird man schon allein wegen der erhoehten Sabotagegefahr nicht gelten lassen. Er haette nicht dulden duerfen, dass der Schutzzweck des Datenpanzerschranks der Bequemlichkeit halber ausgehoehlt wird. Im uebrigen gibt es die Moeglichkeit, den Arbeitsablauf so zu planen, dass der Tresor nicht staendig geoeffnet und geschlossen werden muss.

Fall 3: Millionenschaden nach Aenderung

In einem Energieversorgungs-Unternehmen aendern zwei Programmierer ein selbstentwickeltes Assembler-Programm fuer die Lohnabrechnung von Aushilfskraeften.

Dabei unterlaeuft ihnen ein Stellenfehler im Auszahlungsbetrag. Bei der naechsten Monatsabrechnung wird der zehnfache Auszahlungsbetrag fuer alle Aushilfskraefte errechnet und per Datentraeger zur Ueberweisung an die Bank weitergereicht. Die Sache faellt erst auf, nachdem das Geld verteilt ist und das Bankkonto einen Negativsaldo in Millionenhoehe aufweist. Versuche, die zuviel bezahlten Betraege zurueckzufordern, scheitern zumeist 3). Fuer diesen Schadensfall gibt es mehrere Ursachen:

Unterlassener Programmtest

Sicher koennen die beiden Programmierer den Einwand der gefahrgeneigten Taetigkeit geltend machen. Programmaenderungen sind erfahrungsgemaess mit Fehlerrisiken behaftet, so dass sie darin keine Fahrlaessigkeit entdecken moegen. Sollte sich aber herausstellen, dass sie die Programmaenderung nur fluechtig getestet haben, wird man zu Recht an ihrer Sorgfalt zweifeln und ihnen zumindest leichte Fahrlaessigkeit anlasten.

Das setzt aber die Existenz einer Testanweisung voraus. Sollten sie ueberhaupt nicht getestet haben oder die entsprechenden Ergebnisse nicht mehr vorweisen koennen, laesst sich darin allerdings eine grobe Fahrlaessigkeit erblicken.

Mangelhafte Dokumentation

Eine mangelhafte Dokumentation macht jede Programmaenderung zu einer besonders gefahrgeneigten Taetigkeit. Insoweit koennten die Programmierer behaupten, schuldlos zu sein. Wer ist jedoch fuer eine mangelhafte Dokumentation verantwortlich? In der Regel die Entwickler selbst. Und wenn es im Unternehmen Dokumentationsricht- linien gibt, die sie nicht beachtet haben, dann wird man um so geneigter sein, ihnen Vertragsverletzung und grobe Fahrlaessigkeit anzulasten und sie zur Haftung zu verpflichten.

Vernachlaessigte Aufsichtspflicht

Ob man hier den DV-Leiter beziehungsweise den Leiter der Programmierung zur Haftung heranzieht, wird zwar nicht berichtet. Es waere aber ohne weiteres moeglich gewesen, hatte er doch seine Aufsichtspflicht ueber diese beiden Programmierer, was das Testen und die Dokumentation angeht, nicht ausreichend wahrgenommen oder Vernachlaessigung fahrlaessig geduldet hat.

Im uebrigen ist es nicht ausgeschlossen, dass sich in solchen Faellen auch einer anderen Stelle ausserhalb der DV wie hier beispielsweise der Buchhaltung eine Mitschuld nachweisen laesst, wenn sie etwa Abrechnungen und Zahlungsnachweise nicht ordnungsgemaess und zeitgerecht geprueft hat.

Fall 4: Spielprogramme fuer die Mittagspause

Ein Unternehmen setzt eine Reihe von Workstations fuer Teile des Rechnungswesens ein, eine davon auch fuer die Lagerdisposition und Fertigungssteuerung. Der zustaendige Mitarbeiter laesst in der Mittagspause ein kopiertes Spielprogramm auf dieser Station laufen, weil sie viel leistungsfaehiger ist als sein haeusliches Geraet. Ein auf der Spieldiskette eingenisteter Virus verseucht umgehend das gesamte System. Die Platten und Baender lassen sich nicht mehr davon befreien. Die Logistik des Unternehmens bricht zusammen, der Betrieb muss viel unproduktive Zeit in Kauf nehmen.

Das System kann erst nach mehreren Wochen muehsam wieder in Gang gesetzt werden. Der Produktionsausfall wird auf zirka 1 800 000 Mark geschaetzt.

Der Mitarbeiter koennte nun einwenden, er sei wegen einer solch arglosen Spielerei nicht ernstlich haftbar zu machen. Einer Fahrlaessigkeit hat er sich jedoch allemal schuldig gemacht, denn es ist allgemein bekannt, dass Computerviren vorrangig ueber Spielprogramme verbreitet werden und im Falle eines Falles grossen Schaden bereiten koennen. Dass das auf diesem System zu einer laengerfristigen Betriebsunterbrechung mit hohen Folgekosten fuehren wuerde, war fuer ihn mit seinem Kenntnisstand, was die logistischen Zusammenhaenge im Unternehmen betrifft, ebenfalls absehbar.

War der Einsatz von Spielprogrammen und fremden Disketten auf firmeneigenen Systemen zudem durch eine verbindliche Anweisung untersagt, liegt ein klarer Fall von unerlaubter Handlung und grober Fahrlaessigkeit vor. Der Mitarbeiter musste mit dem Schaden rechnen und hat dennoch, in der Hoffnung, dass nichts passieren wuerde, gegen diese Weisung verstossen. Er muss voll haften.

Fall 5: Netzwerk ohne Passwortschutz

Ein grosses Handelsunternehmen betreibt mehrere Rechner mit ueber tausend Terminals. Die Geraete sind untereinander und mit einer Reihe von Kunden, Banken und Behoerden verbunden - zum Teil per Waehlleitung als Fernstapelstation. Eine DV-Revision ergibt, dass

- sich von jedem angeschlossenen Rechner Jobs ohne Einschraenkung in eigene Rechner transferieren und starten lassen,

- Jobs ohne User und Passwort laufen koennen und

- ein JES Exit anhand des ersten Buchstabens im Job-Namen dem Job die erste Kennung eines Users zuordnet, unter dem absolut alle Dateien des Systems zugaenglich und veraenderbar sind. Im uebrigen kann man von einem fremden Rechner aus, ohne das Passwort irgendeines Users dieses Systems zu kennen, auf alle Dateien zugreifen, sie lesen, beliebig veraendern oder sogar loeschen4).

Dass das Unternehmen dadurch betraechtlich haette geschaedigt werden koennen, steht ausser Frage. Wer im Schadensfall haftet, haengt davon ab, ob der DV-Leiter seine Geschaeftsfuehrung ueber die mit diesem System verbundenen Risiken aufgeklaert hat. Wurde es dennoch genehmigt, etwa weil es billig war, dann muss die Geschaeftsleitung selbst fuer den Schaden geradestehen.

Hat der DV-Leiter die Fuehrungsetage allerdings nicht aufgeklaert, wird es ihm kaum gelingen, sich einer Haftung oder zumindest einer Mithaftung zu entziehen. Mit seinem Wissen und seiner Berufserfahrung haette er erkennen muessen, dass diese Sicherheitsluecken einen Schaden herbeifuehren koennen. Da die Geschaeftsleitung diese Zusammenhaenge ueblicherweise nicht kennt, haette er sie darueber informieren muessen.

Fall 6: Trickreiche Papierersparnis

In einem mittelgrossen Unternehmen empfindet der DV-Leiter den taeglichen Papierausstoss als zu hoch und benutzt einen alten Trick, um festzustellen, ob all diese Ausdrucke wirklich noetig sind. Er laesst die Listen zwar drucken, liefert aber einige, die er fuer ueberfluessig haelt, nicht an die Fachabteilungen weiter. Er wartet still, ob diese sich melden. Nach einem halben Jahr ist er sicher, dass bestimmte Listen voellig ueberfluessig sind, weil niemand danach gefragt hat. Er weist das Operating an, sie nicht mehr auszudrucken und ist stolz auf die erreichte Kostensenkung.

Nach drei Jahren erscheint die Betriebspruefung des Finanzamts und beanstandet, dass bestimmte, steuerlich relevante Nachweise (etwa Bereichsjournale) fehlen, eben jene, nach denen sonst keiner gefragt hatte. Die Pruefung endet damit, dass das Finanzamt wegen Maengeln in der Ordnungsmaessigkeit der Buchfuehrung eine Nachzahlung von rund 600000 Mark durchsetzt.

Der DV-Leiter hat den Schaden durch seine Eigenmaechtigkeit herbeigefuehrt und muesste wegen unerlaubter Handlung dafuer haften. Er koennte dagegen einwenden, dass er diese weitreichenden Folgen nicht absehen konnte, da er ja kein Steuerexperte ist. Aber gerade deshalb wird man ihm vorhalten, dass er sich vorher bei den verantwortlichen und kompetenten Stellen des Unternehmens haette vergewissern muessen.

Sicher liegt eine betraechtliche Mitschuld auch bei den betroffenen Fachabteilungen.

Verstoesse gegen GoDV-Grundsaetze

Alle vorgestellten Faelle grober Fahrlaessigkeit stellen Verstoesse gegen die Grundsaetze ordnungsmaessiger Datenverarbeitung (GoDV)5) dar. Sie werden von DV-Leitern gern gering eingeschaetzt, solange noch nichts passiert ist. Die wenigsten machen sich allerdings bewusst, dass sie unvermutet Opfer solcher "Kleinigkeiten" werden koennten. Nichts Geringeres als ihr Privatvermoegen steht auf dem Spiel - selbst unter den Bedingungen des heutigen gemilderten Haftungsrechts. Dieses Risiko besteht in fast unbegrenzter Hoehe. Die DV-Leiter koennen sich nicht einmal dagegen versichern.

Soweit ein leitender Angestellter aufgrund seiner Fachkompetenz eine betriebsleitende Funktion wahrnimmt, Arbeiten selbst organisiert und auf viele betriebliche Zwaenge Einfluss nehmen kann, muss er auch fuer eventuelle Risiken vollstaendig einstehen 6).

Der DV-Verantwortliche sollte die besonderen DV-Risiken kennen. Die Formulierung "wenn er von seinem Wissen und seiner Berufserfahrung her haette wissen muessen" fordert, dass er zu wissen hat, und fuehrt regelmaessig dazu, dass alle von ihm geduldeten und nicht geregelten Risiken im Schadensfall zu seinen Lasten gehen. Die Grundsaetze ordnungsmaessiger Datenverarbeitung sind bekannt und koennen jederzeit nachgelesen werden.

Die groesste Gefahr liegt im "Augen-zu-Prinzip" und im Schweigen. Der DV-Leiter waere gut beraten, seinen Verantwortungsbereich auf Sicherheit, Kontrollierbarkeit und Transparenz im Sinne der Grundsaetze ordnungsmaessiger Datenverarbeitung zu untersuchen oder untersuchen zu lassen.