Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.09.1989 - 

Die Möglichkeiten für Datenschäden sind vielfältig

Wer haftet eigentlich, wenn das DV-System ausfällt?

Friedrich O. Koch ist in Frankfurt/Main als selbständiger Rechtsanwalt zugelassen. Klaus Hieronymi ist seit 1986 bei Hewlett-Packard als Marketingleiter Dienstleistungen für den Bereich Notfallvorsorge verantwortlich

Zunehmende Abhängigkeit der Unternehmen von einer funktionierenden DV erzeugt ein Gefahrenpotential, das im Falle eines längeren Totalausfalls der DV-Leistungen große finanzielle Schäden für Unternehmen haben kann.

Wurde es in einem Unternehmen versäumt, Konzeptionen zur Verhinderung oder zur Linderung der Folgen von DV-Ausfällen zu erstellen, so kann die Unternehmensleitung und (unter bestimmten Voraussetzungen) das mittlere Management zur Haftung mit der Privatvermögen auch bei Fahrlässigkeit herangezogen werden.

Durch den Einsatz der Datenverarbeitung in nahezu allen Unternehmensbereichen sind Gefahrenpotentiale für das einzelne Unternehmen entstanden, die einer Vielzahl von verantwortlichen Personen nicht bewußt sind oder aber in ihren Auswirkungen unterschätzt werden.

Diese Gefahrenpotentiale lassen sich grob in vier Bereiche untergliedern. Es gibt Schäden durch:

- Datenverlust (Löschung)

- unbefugte Veränderung

- betriebswichtiger Daten (Sabotage)

- unbefugte Nutzung betrieblicher Daten (Diebstahl)

- nicht verfügbare Datenverarbeitung (zum Beispiel Zerstörung)

In den Lochkarten-Zeiten "Datenklau" kein Thema

In den 50er Jahren, als die elektronische Datenverarbeitung in Großunternehmen, vornehmlich in der Buchhaltung und Fakturierung, Einzug hielte war der Schutz vor Datenverlust ein eher untergeordnetes Problem. In der Regel wurden Belege auf Lochkarten oder Lochstreifen erfaßt und im Batch-Betrieb zu Ergebnislisten "verarbeitet".

Wurden diese Datenträger durch einen Zwischenfall vernichtet, so war es leicht möglich, die entsprechenden Belege erneut zu erfassen und zu "verarbeiten".

Das unbefugte Kopieren (Datendiebstahl) von Daten war bei der damals vorherrschenden Art der Datenverarbeitung zwar möglich, stellte sich jedoch durch aufwendige Kopierverfahren (Kopieren der Lochkarten oder Lochstreifen auf der Lochstanze) und fehlende Zugriffsmöglichkeiten auf dem Rechner von außen als ein schwieriges Unterfangen dar.

Da im Gegensatz zur heutigen Praxis Daten, die für Externe interessant sind (wie etwa Konstruktionszeichnungen, strategische Informationen) nur in geringem Umfang über die DV gespeichert wurden, entfiel die Motivation für den "Datenklau", zumal die Ermittlung des Täters aufgrund des auf eine kleine Mitarbeitergruppe beschränkten DV-Know-hows relativ einfach war.

Dies führte dazu, daß Sicherheitsaspekte in der DV eine untergeordnete Rolle einnahmen. In den meisten Fällen war ein ausreichender Schutz des Rechenzentrums durch eine geeignete Zugangskontrolle gegeben.

Auch ein Totalausfall des Rechenzentrums konnte durch kurzfristig zu etablierende Notmaßnahmen ohne kritische Folgen für das Unternehmen überstanden werden.

Zwei Gründe waren unter anderem dafür maßgebend:

- Ausfälle des DV-Zentrums durch Hardwarestörungen waren an der Tagesordnung. In vielen Unternehmen waren das Know-how und die organisatorischen Voraussetzungen für den (kurzfristigen) Übergang zu manuellen Methoden noch vorhanden.

- Durch das Fehlen von zeitkritischen Anwendungen war es bei Totalausfall des Rechenzentrums zum Beispiel durch Feuer für eine gewisse Zeit möglich, das Unternehmen ohne DV weiterzuführen. Zur Überbrückung wurden die alten, manuellen Methoden bis zu einer Interimslösung wieder genutzt.

Somit hatte die Unternehmensleitung genügend Zeit zur Verfügung, um eine Überbrückung (zum Beispiel Anmietung von Kapazitäten in einem kommerziellen Rechenzentrum) bis zum Ersatz der eigenen DV-Anlage zu finden.

Für im überwiegen Batch-Betrieb genutzten Anwendungen spielte die Entfernung zu einem solchen "Übergangs-Rechenzentrum", nur eine untergeordnete Rolle, die Daten wurden weiterhin vor Ort erfaßt, die Datenträger im Rechenzentrum "verarbeitet" und die Ergebnislisten zur Auswertung wieder zurück in das Unternehmen geschickt.

Bei der heutigen Durchdringung von Unternehmen mit DV-Leistungen kann sich der längere Totalausfall der DV katastrophal auswirken. Die meisten Unternehmensabläufe werden über die DV abgewickelte ein Übergang auf manuelle Methoden wäre aufgrund der veränderten Betriebsabläufe und fehlenden Know-hows nicht mehr möglich. Eine Minimierung der Beschriebenen Gefahrenpotentiale setzt detaillierte Untersuchungen voraus, aufgrund derer entsprechende Maßnahmen von der Unternehmensleitung ergriffen werten können.

Wie eine solche Untersuchung strukturiert sein kann, zeigt folgendes Beispiel:

Aufgrund einer Risikoanalyse kann die Unternehmensleitung das Risikopotential abschätzen und unter Berücksichtigung wirtschaftlicher Parameter Maßnahmen beschließen

Mit welchen Folgen muß die Geschäftsleitung, der DV-Leiter oder jeder andere Mitarbeiter in der DV rechnen, wenn vermeidbare Schäden für das Unternehmen durch einen DV-Notfall entstanden sind? Die Frage nach den Folgen für die betreffenden Personen ist pauschal einfach zu beantworten: mit Kündigung und Schadensersatz mit den Resultaten Arbeitslosigkeit und finanzielle Einbußen bis hin zum Verlust der bürgerlichen Existenz, da die Schäden sich in Millionenhöhe bewegen können.

Unter welchen Voraussetzungen und in welchem Maße DV-Verantwortliche mit Schadensersatzforderungen des betroffenen Unternehmens rechnen müssen, hängt von der jeweiligen Funktion des Beschäftigten ab.

Für Vorstandsmitglieder einer Aktiengesellschaft regelt § 93, Abs. 2, Satz 1, des Aktiengesetzes (AktG), daß sie der Gesellschaft zum Ersatz des Schadens verpflichtet sind, der daraus entsteht daß sie bei ihrer Geschäftsführung nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiter angewendet haben (§ 93 Abs.1 Satz 1 AktG).

Hierbei haften die einzelnen Vorstandsmitglieder als Gesamtschuldner, das heißt jeder einzelne ist dem Unternehmen für den gesamten Schaden verpflichtet (§ 421 BGB).

Darüber hinaus trifft das Vorstandsmitglied überdies die Beweislast, wenn Streit darüber besteht, ob es die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewendet hat (§ 93 Absatz 2 Satz 2 AktG).

Eine entsprechende Regelung für Geschäftsführer einer GmbH ergibt sich aus § 43 GmbHG.

Für die Vorstandsmitglieder einer eingetragenen Genossenschaft richtet sich deren Haftung nach § 34 GenG, dessen Regelungen den vorgenannten Bestimmungen entsprechen.

Keine speziellen Haftungsnormen

Da zu der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters heute unbestritten die Minimierung von Risiken durch Ausfall von DV-Leistungen zählt, können im Schadensfall Schadensersatzansprüche in Millionenhöhe an das einzelne Vorstandsmitglied einer Aktiengesellschaft, einer Genossenschaft oder den Geschäftsführer einer GmbH geltend gemacht werden.

Doch wie stellt sich die Haftung für Vermögensschäden für die übrigen Mitarbeiter eines Unternehmens dar? Spezielle Haftungsnormen gibt es dafür nicht. Weder das BGB noch die Spezialgesetze enthalten Regelungen über die Haftungsgrundlage für Vermögensschäden wegen der "Schlechterfüllung" eines Arbeits- oder Dienstvertrages.

Die Entwicklung seit Inkrafttreten des BGB hat jedoch deutlich werden lassen, daß dieses Versäumnis des Gesetzesverfassers in der Praxis zu unhaltbaren Zuständen führen kann. Zur Abdeckung dieser Lücke haben Rechtsprechung und Rechtsliteratur Abhilfe geschaffen.

So kann bei Fahrlässigkeit ein Schadensersatzanspruch ans den Grundsätzen der sogenannten "positiven Vertragsverletzung" (pVV) hergeleitet werden. Dieses Rechtsinstitut ist die wesentliche Anspruchsgrundlage für Vermögensschäden, die durch eine mangelhafte Erfüllung eines Vertrages ("Schlechterfüllung") entstehen, sofern dies nicht durch Spezialgesetze geregelt ist.

Der Begriff der "positiven Vertragsverletzung" geht auf eine Untersuchung von STAUB im Jahre 1902 (1) zurück, in der nachgewiesen wird, daß es zahlreiche Vertragsverletzungen gibt, die sich unter keinem der im BGB vorgesehenen Gesichtspunkte einordnen lassen.

Die pVV stützt sich auf die Generalklausel im § 242 BGB, wonach der Schuldner verpflichtet ist, die Leistung so zu bewirken, wie Treu und Glauben mit Rücksicht auf die Verkehrssitte es erfordern. Aus der pVV haften somit alle, die einen Vertrag (und somit auch einen Arbeits- und Dienstvertrag) schlecht erfüllen und dem Vertragspartner schuldhaft einen Schaden (Sach- oder Vermögensschaden) zufügen.

"Vergessen´" kann teure Folgen haben

Die pVV stellt damit die Haftungsgrundlage gegen Mitarbeiter von Unternehmen dar, die schuldhaft einen Vermögensschaden durch aktives Tun oder Unterlassen im Rahmen eines Dienst- oder Arbeitsvertrages herbeiführen.

Die Suche nach der pVV im Inhaltsverzeichnis des BGB wird jedoch mißlingen. Ähnlich wie zum Beispiel der "Wegfall der Geschäftsgrundlage" oder das Allgemeine Personlichkeitsrecht" ist sie im Wege der Analogie entstandenes sogenanntes Richterrecht. Voraussetzung eines Haftungsanspruchs gegen einen Mitarbeiter aus pVV ist die schuldhafte Herbeiführung eines Vermögensschaden durch den Mitarbeiter.

Unter der schuldhaften Herbeiführung eines Schadens versteht das BGB jedes vorsätzliche oder fahrlässige Handeln oder Unterlassen. Als Beispiele für aktives "Handeln" können etwa das Umkippen einer Flüssigkeit (Kaffee) auf einen PC, das unabsichtliche Hineinfallenlassen einer Büroklammer in die Lüftungsschlitze eines Computers (das zur Unterbrechung der Kühlung führt) oder aber die unachtsam in den Papierkorb geworfene Zigarette, die den Computerraum in Brand setzt, aufgezeigt werden.

Aber auch fahrlässiges Unterlassen, wie zum Beispiel das "Vergessen" eines Auftrags, oder aber, wie auch die Umstände des Tanklastzugunfalls in Herborn zeigen, das Nichtbeachten von Sicherheitsstandards, können zu einer Haftung für Vermögensschaden gegen den verursachenden Mitarbeiter führen.

Während der Sicherheitsstandard eines Tanklastzuges weitgehend in den entsprechenden Zulassungsvorschriften, DIN-Normen etc, vorgeschrieben ist, gibt es für zum Beispiel die Sicherheitskonzeption von DV-Anlagen keine detailliert beschriebenen allgemeingültigen Normen.

Selbst die zehn Datensicherheitsgebote, die wiederholt in der Literatur benannt werden (2), geben den in der DV Verantwortlichen keine ins einzelne gehenden Handlungsgebote auf. Da detaillierte, allgemeingültige Vorschriften für Sicherheitsstandards (über arbeitsschutzrechtliche Bestimmungen hinaus) für Rechenzentren fehlen, muß der jeweilige Verantwortliche im Einzelfall prüfen, welche Sicherungsmaßnahmen für sein Unternehmen angepaßt sind.

Als Parameter für eine solche Prüfung fließen die Gefährdungslage eines Unternehmens (zum Beispiel Hochwassergefährdung), die Abhängigkeit der einzelnen Unternehmensbereiche von der DV, alternative Datenverarbeitungmöglichkeiten, technische Möglichkeiten und ähnliches ein.

Gefährdungen vorher durchdenken

Der gewissenhafte Verantwortliche im Sinne von § 93 Abs.1 Satz 1 AktG entscheidet aufgrund wirtschaftlicher Größen. Dabei sollten die Wahrscheinlichkeit möglicher Gefährdungen, die zu erwartenden finanziellen Einbußen bei DV-Katastrophen den Kosten von Sicherungsmaßnahmen sowie i der Notfallvorsorge gegenüber gestellt werden.

Dies kann im Einzelfall bedeuten, daß technisch mögliche Sicherungsmaßnahmen nicht eingesetzt werden, da ihr Einsatz gegenüber dem möglichen Risiko zu hohe Investitionen erfordern würde.

Die Frage, weiche der möglichen Sicherungsmaßnahmen dann letztendlich getroffen werden, liegt im Ermessen der Verantwortlichen. Für ein großes Unternehmen stellt die Bereitstellung von einzelnen Ersatzgeräten sicher keine geeignete Vorsichtsmaßnahme dar, um im Falle eines Brandes des gesamten Rechenzentrums weiterhin auf ausreichende DV-Leistungen zurückgreifen zu können. Für ein kleineres Unternehmen kann es ausreichend sein, sensible Daten zu kopieren, den Zugriff durch mechanische Sicherungen einzuschränken und zum Beispiel ausreichend dafür Sorge zu tragen, daß im Falle eines Falles schnellstmöglich eine Ausweichanlage zur Verfügung steht.

Auf jeden Fall wird aber eine Haftung der Unternehmensleitung und verantwortlicher Mitarbeiter für Vermögensschäden des Unternehmens dann gegeben sein, wenn die Auseinandersetzung mit dem Problem der Risikovorsorge Oberhaupt nicht oder nur unzureichend stattgefunden hat, wenn gewirtschaftet wird, ohne sich überhaupt Gedanken über die Sicherheit der DV und einer Notfallvorsorge gemacht zu haben oder diese Gedanken leichtfertig wieder verdrängt zu haben.

In diesem Fall kann dann nicht mehr von einem bewußt eingegangenen Risiko gesprochen werden. Doch nicht in allen Fällen ist ein Mitarbeiter für Folgen fahrlässigen Handelns oder Unterlassens haftbar.

Rechtsprechung und wissenschaftliche Literatur haben die Regelung der gefahr- beziehungsweise schadensgeneigter beziehungsweise gefahrtragender Arbeit entwickelt, die eine unbillige Haftung des Arbeitnehmers für von ihm verursachte Personen-, Sach- und Vermögensschäden mildert beziehungsweise ausschließt. Wie die haftungsbegründende pVV wurde auch die Haftungseinschränkung im Wege der Rechtsfortbildung aus der Fürsorgepflicht des Arbeitgebers (3, 4, 5) beziehungsweise aus der allgemeinen Risikoverteilung im Betrieb abgeleitet.

Da bei der beschriebenen Haftung des Arbeitnehmers aus pVV aus jeder leichten Fahrlässigkeit ein erheblicher Schadensersatzanspruch entstehen kann, der möglicherweise den Arbeitnehmer und seine Familie für sein ganzes Leben ruinieren kann, muß schon aus Billigkeitsgründen eine volle Haftung ausscheiden.

Wenn dem Arbeitnehmer bei einer gefahrgeneigten Arbeit ein Fehler unterläuft, der zu einem Vermögensschaden seines Arbeitgebers führt, wird seine an sich aus pVV gegebene Haftung eingeschränkt.

Eine gefahrgeneigte Arbeit liegt dann vor, wenn die von dem Arbeitnehmer zu leistende Arbeit ihrer Art nach eine besonders große Wahrscheinlichkeit in sich birgt, daß auch einem sorgfältigen Arbeitnehmer gelegentlich Fehler oder Versehen unterlaufen, mit denen angesichts der menschlichen Unzulänglichkeit erfahrungsgemäß zu rechnen ist (6).

So kann davon ausgegangen werden, daß ein Haftungsausschluß aus gefahrgeneigter Arbeit vorliegen kann, wenn zum Beispiel ein Operator einer DV-Anlage aus Unachtsamkeit Daten löscht und dem Unternehmen dadurch ein Vermögensschaden entstanden ist.

Bei der Klärung der Frage, ob ein Haftungsausschluß aus gefahrgeneigter Arbeit vorliegt, ist auf die Umstände des Einzelfalles abzustellen, auch auf den konkreten Anlaß, aus dem der Schaden entstanden ist.

Und der konkrete Sachverhalt, der zu dem Schaden geführt hat, muß gefahrgeneigt sein.

So kann eine in der Regel nicht gefahrgeneigte Arbeit in besonderen Situationen (zum Beispiel bei akuter Belastung (7) oder bei einem Arbeitnehmer mit eilig zu fassenden weitreichenden Beschlüssen gefahrgeneigt sein.

In der Rechtsprechung wurden bisher folgende Arbeiten als gefahrgeneigt angesehen:

LKW- beziehungsweise Kran-Straßenbahnfahrer, Lokführer (9); Überwachung einer Baustelle (10).

Bei Bürotätigkeit (11), Arbeit als Klinikarzt (12), Justitiar (13, 14) oder bei einem angestellten Programmierer (15) gehen die Meinungen bisher auseinander.

Rechtsprechung im konkreten Fall der Schlechterfüllung eines Arbeits- oder Dienstvertrages im Bereich der DV-Risikovorsorge gibt es bisher keine. Bereits entschiedene vergleichbare Fälle lassen jedoch vermuten, daß eine Haftungseinschränkung bei Tätigkeiten höherer Art, wie sie im Bereich der Datenverarbeitung vorkommen, nicht angenommen werden kann.

In seiner Entscheidung vom 7.10.1969 hat der BGH (16) entschieden, daß die beratende Fähigkeit eines Justitiars eines Unternehmens keine gefahrgeneigte Arbeit ist. In dem dieser Entscheidung zu Grunde liegenden Fall nahm die Klägerin einen Notar auf Schadensersatz in Anspruch, der ihr dadurch entstanden war, daß dieser Notar eine von dem Justitiar eines Unternehmens unklar gefaßtes und Mehrkosten verursachendes Vertragsangebot beurkundete.

Das BAG wies die Klage, die auf § 839 BGB gestützt war, ab, weil die Klägerin ihren Schaden von ihrem Justitiar aus pVV des Dienstvertrages ersetzt bekommen kann. Der Amtshaftungsanspruch gegen den Notar ist subsidiär. Der Anspruch aus pVV gegen den Justitiar sei auch nicht durch die Grundsätze der gefahrgeneigten Arbeit ausgeschlossen.

Der Justitiar leistet - wie auch leitende Angestellte - seine Dienste weitgehend in eigener Verantwortung und kann im wesentlichen seine Tätigkeit frei gestalten.

Aber auch wenn der Rechtsanwalt auf Grund eines Arbeitsvertrages im Betrieb der Klägerin tätig sei, käme eine Haftungsbeschränkung nicht in Betracht, weil die Tätigkeit, die dem Rechtsanwalt obliegen hatte, nicht als "gefahrgeneigt" bezeichnet werden könne, denn sie sei höherer Art.

Die Arbeit als justitiar erfordere in aller Regel eine gewissenhafte Prüfung und Überlegung und vor allem ein ruhiges Nachdenken unter Einsatz der besonderen Fachkenntnisse und Erfahrungen. Auch im konkreten Fall habe das Berufungsgericht rechtsfehlerfrei festgestellt, daß der Rechtsanwalt immer noch in der Lage gewesen sei, seine Rechtsauffassung sorgfältig zu überprüfen und seine Vorgesetzten in jeder Hinsicht gewissenhaft zu beraten. Der von ihm begangene Fehler lasse sich nicht mit menschlicher Unzulänglichkeit entschuldigen; Von einem typischen Abirren seiner Tätigkeit könne nicht gesprochen werden.

So hat der BGH auch einem Leiter der Kreditabteilung einer Bank die Haftungserleichterung aus gefahrgeneigter Arbeit abgeschnitten (17), weil er sich bei der Sicherung eines Kredites durch ein Grundpfandrecht nicht auch über die Eintragungen in Abteilung Il des Grundbuches erkundigt hatte (und der Bank dadurch erheblicher Vermögensschaden entstanden war).

Das BAG hat hingegen einen leitenden Angestellten (im konkreten Fall einen Bauleiter) unter den Schutz der Haftungserleichterung aus gefahrgeneigter Arbeit gestellt, weil die dem leitenden Angestellten unterlaufenen Fehler bei der Überwachung einer sehr unübersichtlichen Baustelle geschehen sind, die gewöhnlich von einen Polier ausgeführt wird (18).

In seiner Urteilsanmerkung meint BAUMGÄRTEL (19) hingegen, daß auch dem leitenden Angestellten die Haftungserleichterung zugute kommen sollte, da die Tätigkeit der gehetzten, dem Streß ausgesetzten Manager und auch Abteilungsleiter kaum weniger schadensgeneigt sei als die der Routinearbeit verrichtenden einfachen Angestellten.

Zusammenfassend kann somit festgestellt werden, daß die Vorteile der Haftungsbegrenzung in der Regel nur dem "normalen" Arbeiter und Angestellten zugute kommen.

Je höher die Position des Mitarbeiters in der Unternehmenshierarchie angesiedelt ist, umso sicherer ist, daß der Mitarbeiter auch für Folgen fahrlässig entstandener Schäden haften muß. Aber selbst in Fällen der Haftungsbegrenzung aus gefahrgeneigter Arbeit, ist der Mitarbeiter nicht "aus dem Schneider". Die Haftungsbeschränkung aus gefahrgeneigter Arbeit schließt nach ständiger Rechtsprechung des BAG selbstverständlich nicht Vorsatz und grobe Fahrlässigkeit ein (Grob fahrlässig handeln heißt, wider besseres Wissen etwas tun oder unterlassen, wobei speziell bei dieser Untersuchung das Hauptaugenmerk auf dem Unterlassen einer pflichtgemäß durchzuführenden Tätigkeit liegt).

Im großen Bereich der "mittelschweren" Fahrlässigkeit findet in den meisten Fällen eine quotenmäßige Verteilung des Vermögensschadens statt (20).

Bei dieser Quotelung sind alle subjektiven und objektiven Momente heranzuziehen:

- Jungendlichkeit,

- Unerfahrenheit,

- Übermüdung,

- Größe der Gefahr,

- Zumutbarkeit,

- Billigkeit,

- Betriebsrisiko,

- Haftungsvorsorge beziehungsweise

- Abdingbarkeit des Risikos durch entsprechende Versicherungen,

- Dauer der Zugehörigkeit,

- Alter,

- Familienverhältnisse, bisheriges berufliches Verhalten etc.

Bei nicht gefahrgeneigter Arbeit oder wenn eine anderslautende arbeitsvertragliche Abrede besteht (abweichende vertragliche Vereinbarungen sind nach LAG Düsseldorf (26) und PALANDAT (21) zulässig und nur durch § 138. 242 BGB begrenzt), haftet der Arbeitnehmer voll für Vorsatz und jegliche Fahrlässigkeit.

Zusammenfassend kann festgestellt werden, daß das Topmanagement für jegliche Schäden, die dem Unternehmen aus vermeidbaren Störungen der betriebsnotwendigen Datenverarbeitung entstehen, haftbar ist.

Für das mittlere Management (zum Beispiel DV-, Rechenzentrumsleiter) trifft nur in einem Teil der Fälle eine Haftungseinschränkung aus gefahrgeneigter Arbeit zu.

Zur Abwehr einer Haftung des Mitarbeiters aus seinem Privatvermögen empfehlen sich folgende Überlegungen:

- einen Schaden, für den man verantwortlich gemacht werden kann, erst gar nicht entstehen zu lassen,

- das heißt rechtzeitig eine Sicherheitskonzeption (vergl. Abb.1) für die DV aufzustellen,

- Katastrophenvorsorge (Notfallplanung) zu treffen,

- den Gefahren der Datenverarbeitung mit wachem Auge gegenüberzutreten,

- sie zu analysieren und

- Möglichkeiten der Risikobegrenzung zu erarbeiten.

Nur der Mitarbeiter, der sich dem Problem der DV-Sicherheit stellt, hat berechtigte Chancen von der Haftung für Schäden seines Arbeitgebers aus zum Beispiel Datenverlust durch unzureichendes Backup-Konzept frei zu kommen.

Die Verantwortung liegt bei der Geschäftsleitung

Werden einem Mitarbeiter Problembereiche bewußt, (zum Beispiel unzureichende Sicherheitsstandards, fehlender Katastrophenplan) so ist es seine Pflicht, dies dem jeweiligen Vorgesetzten mitzuteilen. Geschieht diese Mitteilung zum Beispiel durch eine Aktennotiz, (die man sich von seinem jeweiligen Vorgesetzten abzeichnen lassen sollte) und kommt dieser, und auch dessen Vorgesetzte, den vorgeschlagenen Sicherungsmaßnahmen nicht nach - sei es aus Ignoranz oder scheinbarem finanziellen Kalkül - so geht die Haftung für eventuelle Schäden auf die Vorgesetzten über.

Somit liegt die Verantwortung für die DV-Sicherheit in den Händen von Vorstandsmitgliedern, Geschäftsführern oder Gesellschaftern eines Unternehmens, die nach den Grundsätzen eines ordentlichen und gewissenhaften Geschäftsführers abwägen müssen, welche Sicherungs- und Vorsorgemaßnahmen auf dem Gebiet der DV den Anforderungen des Unternehmens gerecht werden.

LITERATUR:

(1) STAUB; Die positive Vertragsverletzung, 1913, 2. Auflage

(2) BAIER, B.; Datensicherung - Realisierter Datenschutz, Lampertz (Hrsg.) 1987

(3, 4, 5) CANARIS; Recht der Arbeit 1966, S.41; SCHAUB, G; Handbuch des Arbeitsrechts, § 52 VI 1, 6. Auflage, München 1987

(6) BAG E (Amtliche Sammlung des Bundesarbeitsgerichtes) Bd. 5, S. 1, 7

(7) Nachschlagewerk des Bundesarbeitsgerichtes (AP) Nr.53 zu § 611 BGB (Haftung des Arbeitnehmers)

(9) Bundesarbeitsgericht, Neue Juristische Wochenschrift 1967, S.269

(10) Nachschlagewerk des Bundesarbeitsgerichtes (AP) Nr.80, zu § 611 BGB (Haftung des Arbeitnehmers)

(11) Bundesgerichtshof, Neue Juristische Wochenschrift 1970, S.34

(12) Bundesarbeitsgericht, Neue Juristische Wochenschrift 1996, S.2299

(13) Bundesgerichtshof, Neue Juristische Wochenschrift 1970, S.34

(14) Nachschlagewerk des Bundesarbeitsgerichtes (AP) Nr.51 zu § 611 BGB Haftung des Arbeitnehmers

(15) BARTSCH, M; Die Haftung des angestellten Programmierers Betriebs-Berater 1986, S.500

(16) Bundesgerichtshof, Der Betrieb 1969, S.2224 f.

(17) Bundesgerichtshof, Versicherungsrecht 1969, S.474

(18) Bundesarbeitsgericht, Der Betrieb 1977, S.454

(19) BAUMGÄRTEL; Versicherungsrecht 1970, S.127

(20) Bundesarbeitsgericht, Neue Juristische Wochenschrift 1959, S.1796

(21) Landesarbeitsgericht Düsseldorf, Betriebs-Berater 1966, S.80

(22) PALANDT/ Putzo; Kommentar zum BGB § 611 Anm. 14 b, 47. Auflage, München 1988