Selbstschutz vor Business-Entscheidung
Für CIO Neumann steht deshalb das Prinzip Selbstschutz ganz klar über dem Prinzip Business-Entscheidung. Und das zieht er auch in der Praxis durch. Zur Nagelprobe kam es, als er für sein Unternehmen Lizenzen einkaufen wollte, ohne dass dafür Geld vorhanden war: "Ich wusste, wenn die Softwarelizenzen nicht in ausreichender Menge vorhanden sind, hafte ich persönlich. Da habe ich mit Kündigung gedroht." Bewusst illegal zu handeln kam für ihn nicht in Frage.
Neben der Haftung für Lizenzverstöße sind auch Fehler beim Datenschutz und bei der IT-Sicherheit für den CIO tückisch. In beiden Fällen kann er persönlich zur Verantwortung gezogen werden. Welche drastischen Konsequenzen bei datenschutzwidrigem Handeln drohen, zeigt ein heftig diskutiertes Urteil des Arbeitsgerichts (ArbG) Berlin.
Konkret ging es um die Frage, ob die Veranlassung datenschutzwidriger Maßnahmen Grund für eine außerordentliche Kündigung des Beschäftigungsverhältnisses ist (18. Februar 2010 - 38 Ca 12879/09). Die Richter entschieden, dass die Kündigung eines leitenden Angestellten aus dem Bereich Compliance aufgrund der von ihm veranlassten Überwachungsmaßnahmen beziehungsweise eines rechtswidrigen Datenabgleichs zulässig sei. Das gelte immer dann, wenn der Arbeitnehmer zum einen objektiv rechtswidrig, also unter Verstoß gegen Datenschutzvorschriften gehandelt habe und zum anderen subjektiv um die Rechtswidrigkeit wusste.
Eine vergleichbare Ausgangslage ergibt sich für CIOs, die Aufgaben in der IT-Compliance verantworten. Dazu Flemming Moos, Fachanwalt für Informationstechnologierecht bei DLA Piper: "Bei der Klärung der Haftungsfrage wird es darauf ankommen, ob der betreffende CIO juristisch ausgebildet ist und deshalb hätte wissen müssen, dass bestimmte Maßnahmen rechtswidrig sind."
Nicht nur für die Wahrung der Regelkonformität, sondern auch für die Sicherheit der Informationstechnik kann der IT-Leiter persönlich zur Rechenschaft gezogen werden. Aus rechtlicher Sicht ist das haftungsrelevante Aufgabenfeld des CIO eindeutig definiert. Er muss sich genau um die folgenden Punkte kümmern:
-
Regelmäßige Aktualisierung des Datensicherungskonzepts,
-
Absicherung der IT-Systeme und Datenbanken,
-
Vorhandensein ausreichender Sicherheitsstandards,
-
regelmäßige Viren-Scans und Beseitigung eventueller Viren sowie
-
zeitnahe Updates der Antivirussoftware.
Weitgehend ausschließen kann der CIO ein persönliches Haftungsrisiko nur dann, wenn er nachweislich alle erforderlichen Sorgfaltspflichten erfüllt hat. Als Bewertungsgrundlage dienen hier häufig technische Standards, beispielsweise ISO-Normen oder die Grundschutznormen des BSI. Wenn sich der CIO seiner Sache nicht ganz sicher ist, so empfehlen die PA-Consulting-Experten Strauss und Jaeger ein Risiko-Assessment, das die Lücken aufdeckt. Ein solches Assessment sollte aufgrund der kontinuierlich verschärften Rechtsvorgaben ihrer Ansicht nach sogar regelmäßig erfolgen.