IT-Sicherheit und Recht: Wer haftet bei Vorfällen?

Vielen IT-Verantwortlichen – gleich ob Vorstand, Geschäftsführung, Behördenleitung oder angestellte IT-Manager:innen – ist nicht bewusst, wer in Bezug auf die IT (-Sicherheit) haftet. Das betrifft sowohl Inhalt und Umfang ihrer Verantwortung für die Sicherheit der von ihnen betreuten IT als auch ihre persönliche Haftung für eventuelle Sicherheitsdefizite gegenüber ihren Organisationen.

Wenn IT-Verantwortliche die notwenigen IT-Sicherheitsstrukturen nicht oder nur unzureichend implementieren, riskieren sie die Haftung des Unternehmens und der eigenen Personen. Das kann sogar so weit gehen, dass Verantwortliche mit ihrem Privatvermögen für entstandene Schäden aufkommen müssen.

Wir haben zusammengefasst, welche Zuständigkeiten bestehen und wie Arbeitnehmende und Organisationsleitungen bei IT-Defiziten haften.

Wer ist für die IT zuständig?

Prinzipiell sind Organisationsleitungen – etwa die Geschäftsführung oder der Vorstand – für die IT-Sicherheit rechtlich verantwortlich. Sie entscheiden, ob und welche technischen und organisatorischen Maßnahmen erforderlich sind. Doch gerade bei Maßnahmen in Bezug auf IT-Fragen sind in der Regel spezifische Fachkenntnisse erforderlich. Daher übernimmt nicht selten eine bestimmte Person in der Organisationsleitung mit IT-Hintergrund diese Aufgaben.

Alternativ werden die Aufgaben an bestimmte Mitarbeitende mit entsprechendem IT-Wissen delegiert. Doch hier gilt Obacht. Sollte die Organisation offensichtlich ungeeignete Mitarbeitende zu IT-Verantwortlichen machen, so kann die Organisation oder die Organisationsleitung (dazu gleich mehr) beim Eintritt von Schäden in die Haftung genommen werden.

Wie haften Arbeitnehmende?

IT-Verantwortliche, die selber keine Organe (z. B. Geschäftsführung, Vorstand) der Organisation sind, haften entsprechend den Grundsätzen der Arbeitnehmendenhaftung. Aus diesem Grund müssen IT-Verantwortliche (auch Arbeitnehmende ohne Leitungsfunktion) Regelungen für die IT- Sicherheit und Nutzung beachten. Entsteht der Organisation bei der veranlassten IT-Nutzung und bei der Vernachlässigung der IT-Sicherheit ein Schaden, so haften die Arbeitnehmenden nicht in jedem Fall im vollen Umfang.

Bei einer vorsätzlichen Schadensherbeiführung haften die Arbeitnehmenden immer im vollen Umfang. Bei einer groben und mittleren Fahrlässigkeit sind die von der Rechtsprechung entwickelten Grundsätze des innerbetrieblichen Schadensausgleichs durchzuführen, so dass Organisation und Arbeitnehmende den Schaden gemeinsam zu tragen haben. Es sei denn, die Arbeitnehmenden haben den Schaden leicht fahrlässig herbeigeführt. In diesem Fall haben Arbeitgebende den Schaden komplett zu tragen.

 

Wie haften Organisationsleitungen?

Für die Organisationsleitung (z. B. Geschäftsführung, Vorstand), die nicht selten auch Aufgaben im EDV-Bereich wahrnehmen, gelten die Grundsätze zur Arbeitnehmendenhaftung regelmäßig nicht. Sie sind nämlich Organe der Gesellschaft. Persönlich haftbar ist die Organisationsleitung, wenn sie ihre Führungs- und Sorgfaltspflichten verletzt. Wird dies nicht beachtet und entsteht deswegen der Organisation ein Schaden, haftet die Organisationsleitung für diesen persönlich. Dies ist z. B. dann relevant, wenn ungeeignete Mitarbeite zu IT-Verantwortlichen gemacht werden.

Zum Teil wird allerdings eine Haftungsbeschränkung für den Fall erwogen, dass Geschäftsführungen keine spezifischen Geschäftsführungsaufgaben aber Aufgaben im EDV-Bereich wahrnehmen. In einem solchen Fall sei nämlich eine umfängliche Haftung nicht angebracht, da es letztlich Zufall ist, ob die Aufgabe durch reguläre Angestellte oder durch die Geschäftsführung selbst durchgeführt wird.

In den meisten Organisationen beauftragen die Organisationsleitungen bestimmte Angestellte als IT-Verantwortliche. Die Delegation von Aufgaben als spezifische Arbeitsteilung, bei der die Verantwortung bei den Delegierenden verbleibt, aber die Handlungsverantwortung abgegeben wird, bedarf in besonderem Maße geeigneter Organisations- und Aufsichtsmaßnahmen.

Es bestehen also Haftungsrisiken für Organisationsleitungen, Führungskräfte und Mitarbeitende mit Kontrollaufgaben sowie für die Organisation selbst. Daher ist es angeraten, bei der Delegation von Aufgaben mit äußerster Sorgfalt und Gewissenhaftigkeit vorzugehen. Rein praktisch empfiehlt es sich hierzu, die wichtigsten Grundsätze zu dokumentieren, etwa in einer Delegations- bzw. Beauftragten-Richtlinie.