CIO-Verantwortung
Wann haftet der IT-Chef?
Transparenz schafft Sicherheit
Diese Konstellation ist nicht aus der Luft gegriffen, sondern kann im Handumdrehen drückende Realität werden. Deshalb raten die PA-Consulting-Geschäftsführer Strauss und Jaeger jedem CIO zu absoluter Transparenz gegenüber der Geschäftsleitung. Bei einer IT-Initiative, etwa bei der Einführung einer neuen Software, sollte er sämtliche regulatorischen Rahmenbedingungen bestmöglich einhalten und alle Schritte umfassend dokumentieren: "Nur so lässt sich die operative Sicherheit erhöhen." Der CIO müsse nicht nur sein Umfeld transparent halten, sondern auch Nachweise führen, zum Beispiel per Protokoll: "Dann besteht eine gute Chance, Schaden von der eigenen Person abzuwenden."
Vorsatz oder Fahrlässigkeit?
Die Manager-Haftung im IT-Bereich ist ein Minenfeld. Für das Verhältnis von Arbeitgeber und Arbeitnehmer hat die Rechtsprechung mit dem "innerbetrieblichen Schadensausgleich" ein Haftungssystem entwickelt, das die Interessen beider Parteien gerecht ausgleichen soll. Thomas Jansen von DHL Piper fasst die wesentlichen Punkte zusammen:
-
Grundsätzlich gilt, dass der Arbeitnehmer je nach vorliegender Fahrlässigkeit unterschiedlich stark in Anspruch genommen werden kann.
-
Eine unbeschränkte Haftung besteht für Arbeitnehmer in der Regel bei "grob" fahrlässigem Verhalten und immer bei Vorsatz.
-
Bei "leichtester" Fahrlässigkeit ist die Haftung des Arbeitnehmers ausgeschlossen.
-
Im Falle eines Verhaltens, das zwischen leichtester und grober Fahrlässigkeit liegt, also bei "mittlerer" Fahrlässigkeit, wird eine Abwägung vorgenommen; sie sieht in der Regel eine 50-prozentige Haftung des Arbeitnehmers vor.
-
Generell gilt aber für den innerbetrieblichen Schadensausgleich, dass die Haftung des Arbeitnehmers aus Billigkeitsgründen gemildert werden kann.
Anders verhält es sich hinsichtlich der Haftung gegenüber dem Auftraggeber des Arbeitgebers. Hier nutzen dem CIO oft die zwischen dem Arbeitgeber und dem Auftraggeber vereinbarten Haftungsbeschränkungen oder -ausschlüsse, so Jansen.
-
In der Praxis wurden zwischen dem Auftraggeber und dem Arbeitgeber des CIO oft Klauseln vereinbart, die die Haftung auf grobe Fahrlässigkeit und Vorsatz beschränken.
-
Falls der Arbeitgeber aufgrund der vereinbarten Haftungserleichterung nicht haftet, kommt auch der CIO ungeschoren davon. Er kann sich in der Regel auf diese Vereinbarung berufen.
-
Das gilt selbst dann, wenn sich die Klauseln nirgendwo als in den Allgemeinen Geschäftsbedingungen (AGB) des Arbeitgebers befinden.
Wie wichtig es ist, interne Gremien regelmäßig einzubinden, weiß auch Bernd Neumann (Name von der Redaktion geändert). Der Group CIO eines großen Handelskonzerns agiert nach eigenen Worten "bei allen Entscheidungen nach bestem Wissen und Gewissen". Alles werde dokumentiert und die Geschäftsführung "eher zu viel informiert als zu wenig".
Was aber, wenn er sich bei einer Entscheidung einmal nicht über die rechtlichen Konsequenzen im Klaren ist und die Gefahr einer persönlichen Haftung besteht? "Dann binde ich je nach Aufgabenstellung die interne Revision oder andere Organisationseinheiten zur Prüfung des rechtlichen Sachverhalts ein. Dabei dokumentiere ich nicht nur die Dinge, die ich entscheide, sondern gerade auch die, die ich nicht entscheide."
Eine von Grund auf saubere Dokumentation ist zudem deutlich kosteneffizienter als der Versuch, die nötigen Unterlagen erst im Nachhinein und auf Nachfrage zusammenzutragen. Doch bei aller gebotenen Sorgfaltspflicht sollte die Nachweisverwaltung auch nicht ausufern. Der CIO markiert die Grenze: "Keinesfalls darf ein übersensibler Umgang mit potenziellen Haftungsrisiken die Handlungsfähigkeit lähmen." Schließlich sei der IT-Verantwortliche immer noch ein Business-Partner, sprich: "Er muss mit seiner Arbeit auf die Unternehmensziele einzahlen."