Haftungsrisiken von IT-Verantwortlichen. Rechtsanwälte Dr. Koos & Kollegen, Weißenburger Straße 8, Aschaffenburg

Transkript

1 Haftungsrisiken von IT-Verantwortlichen

2 Fallbeispiel: Die Tochterfirma eines weltweit tätigen Konzerns betreibt in Deutschland ein eigenes Rechenzentrum, welches bei einem Brand innerhalb des Firmengebäudes zerstört wird. Die Firma verfügt weder über ein Ausweichzentrum, noch wurden sonstige Vorkehrungen getroffen, so dass die Wiederaufnahme des Betriebes erst nach mehreren Wochen möglich ist. Es besteht zwar ein Sicherheits- und Vorsorgeplan und es wurden auch die erforderlichen Kapazitäten in einem fremden Rechenzentrum angemietet. Der Plan ist jedoch veraltert so dass bei dem Brand wichtige Datenbestände verloren gehen oder erst nach Wochen wiederhergestellt werden können.

3 Fallbeispiel: Der Server einer Firma die einen Onlineshop im Bekleidungsversandhandel betreibt fällt aus. Es wird bei der Rekonstruktion der durch ein Backup gesicherten Daten festgestellt, dass da Backup schon seit Wochen fehlerhaft ist da die Sicherungsplatten im NAS vollgelaufen sind. Eine Vielzahl von Kundendaten geht verloren. Daten zu abgeschlossenen Verkäufen, Lagerbeständen etc. sind unvollständig und damit unbrauchbar. Nur die beiden letzten Backups waren aufgrund eines Systemfehlers unvollständig.

4 Haftungsbeschränkungen zugunsten des Arbeitnehmers: Für vorsätzliches Handeln volle Haftung des Arbeitnehmers ohne jegliche Einschränkung Für grob fahrlässig herbeigeführte Schäden, im Grundsatz ebenfalls volle Haftung Ausnahme bei grobem Missverhältnis zwischen dem verursachten Schaden und dem Einkommen des Arbeitnehmers (Haftungshöchstbetrag: Monatseinkommen abzüglich Pfändungsfreibetrag x 5 Jahre) Für Schäden, die auf mittlere Fahrlässigkeit des Arbeitnehmers zurückzuführen sind, Schadensteilung zwischen Arbeitgeber und Arbeitnehmer Für Schäden, die auf leichte Fahrlässigkeit des Arbeitnehmers zurückzuführen sind, soll der Arbeitnehmer nicht haften

5 Haftung des Arbeitnehmers gegenüber Dritten Keine arbeitsvertraglichen Beziehungen, damit keine Haftungsprivilegierung gegenüber Dritten. Aber: Freistellungsanspruch gegenüber dem eigenen Arbeitgeber soweit er nach den oben aufgeführten Kriterien ebenfalls nicht voll haften würde. Darüber hinaus gelten auch vereinbarte Haftungsbeschränkungen zwischen Arbeitgeber und Auftraggeber für den Arbeitnehmer

6 Haftung der Geschäftsleitung Grundsätze der Arbeitnehmerhaftung gelten nicht, da Geschäftsführer Organ der Gesellschaft ist und nicht deren Arbeitnehmer. Mögliche Haftungsbeschränkung dann, wenn keine spezifischen Geschäftsführeraufgaben wahrgenommen werden.

7 Fallbeispiel: Ein Steuerberater erhält von seinem Mandanten eine CD mit Daten zur weiteren Analyse. Der auf der CD gespeicherte Boot Virus gelangt ins Netzwerk der Steuerkanzlei und zerstört dort mehrere Dateien.

8 Fallbeispiel: Ein Produktionsbetrieb übergibt seine gesamte Datenverarbeitung an einen externen Dienstleister. Der Dienstleister stellt einen Mitarbeiter ab der die EDV betreut. Im Rahmen der Outsourcingvereinbarung verpflichtet sich der Dienstleister zu einer Mindestverfügbarkeit der auf den von ihm zu betreuenden Server laufenden Applikationen von 98,5 % pro Jahr.

9 Fallbeispiel: Ein Produktionsbetrieb übergibt seine gesamte Datenverarbeitung an einen externen Dienstleister. Der Dienstleister stellt einen Mitarbeiter ab der die EDV betreut. Im Rahmen der Outsourcingvereinbarung verpflichtet sich der Dienstleister zu einer Mindestverfügbarkeit der auf den von ihm zu betreuenden Server laufenden Applikationen von 98,5 % pro Jahr. Durch leichte Fahrlässigkeit des von dem Dienstleister abgestellten Mitarbeiters kommt es bei der Aufspielung eines Updates zu einem Absturz des gesamten Systems. Sämtliche Anwendungen stehen für 3 Tage still. Trotz des Stillstandes wird die jährliche Mindestverfügbarkeitsquote nicht unterschritten. Der für die Outsourcingvereinbarung zuständige Projektleiter hat sich mit der bloßen Vereinbarung einer Mindestverfügbarkeitsquote zufrieden gegeben.

10 Wie kann sich der Mitarbeiter vor solchen Haftungsfällen schützen? Aufgaben gewissenhaft wahrnehmen Unterrichtung der Geschäftsleitung über mögliche Risiken Lösungsvorschläge für Sicherheitsmängel in der Datenverarbeitung erarbeiten Hinzuziehung eines qualifizierten Beraters, gerade bei Themen, die nicht zur täglichen Routine gehören und auch nicht die Kernkompetenz des Mitarbeiters betreffen

11 Wie kann sich der Geschäftsführer vor solchen Haftungsfällen schützen? Aufgaben gewissenhaft wahrnehmen Wesentliche Aufgaben die der Geschäftsführer kraft seiner Führungs-, Handlungsund Ressortverantwortung hat dürfen nicht delegiert werden. Werden solche Aufgaben in fremde Hände gegeben und passiert hier ein Schaden so haftet der Geschäftsführer ohne dass es auf ein Verschulden des Mitarbeiters ankommt aus Organisationsverschulden Vereinbarung von Haftungsbeschränkungen im Geschäftsführervertrag Entlastungsbeschluss bei ordnungsgemäßer Rechenschaftslegung

12 Fallbeispiel: Der für die Lizensierung der im Unternehmen verwendeten Software zuständige Mitarbeiter versäumt die Lizensierung der Software für neu eingerichtete EDV Arbeitsplätze.

13 Fallbeispiel: Geschäftsführer wechselt in eine neues Unternehmen, das mit dem alten Dienstherren in Wettbewerb steht. Internetaufritt des neuen Unternehmens wird angepasst. Strafanzeige wegen des Ausspähens von Daten und der Verwertung fremder Geheimnisse.

14 Fallbeispiel: Mitarbeiter eines Rechenzentrums kopiert ordnungsgemäß lizensierte Software für eigene private Zwecke. Geschäftsführung hat Kenntnis davon, hält dies aber nicht für so gravierend, außerdem soll der hochqualifizierte Mitarbeiter gehalten werden.

15 Welche Unternehmen müssen Datenschutzbeauftragten bestellen? Mehr als 9 Personen mit automatisierter Datenverarbeitung beschäftigt. Unternehmen, die Datenverarbeitungen vornehmen, die mit besonderen Risiken für die Rechte und Freiheiten der Beschäftigten oder der Geschäftspartner verbunden sind. Bei Unternehmen die keinen Datenschutzbeauftragten benötigen muss diese Aufgaben die Geschäftsleitung übernehmen.

16 Datenschutzbeauftragter muss die notwendige Fachkunde und Zuverlässigkeit besitzen a) Umfassende allgemeine Kenntnisse im Datenschutzrecht b) Branchenspezifische Kenntnisse Kenntnisse einschlägiger spezialgesetzlicher Vorschriften Kenntnisse der IKT und der Datensicherheit Kenntnisse im praktischen Datenschutzmanagement Betriebswirtschaftliche Grundkompetenz Kenntnisse der technischen und organisatorischen Struktur des Unternehmens

17 Rahmenbedingungen innerhalb des Unternehmens Die Aufsichtsbehörden machen auch Vorgaben, welche internen Strukturen notwendig sind, damit der Datenschutzbeauftragte seine Aufgaben angemessen erfüllen kann. Das Unternehmen muss dem Datenschutzbeauftragten zur Erfüllung seiner Pflichten erforderliche Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche einräumen. Die Aufsichtsbehörden fordern zudem, dass der Datenschutzbeauftragte in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden wird.