ZRP - Managementhaftung

Haftung des IT-Managements

von Rechtsanwalt Andreas Zwipf – zwipf@zrp.de

Die Einpassung der Informationstechnologie in Unternehmen stellt nicht nur neue Technologie- und Marketing-Anforderungen an das Management, sondern erhöht auch nicht unerheblich das persönliche Haftungsrisiko der Unternehmensleitung.

Die Geschäftsleitung, die sich nicht ausreichend mit der Frage angemessener IT-Sicherheit auseinandersetzt, läuft Gefahr, persönlich in Haftung genommen zu werden, wenn es zu Ausfällen der Informationstechnologie kommt und hiermit Imageverluste oder wirtschaftliche Nachteile verbunden sind.

Zumeist tritt auch eine Versicherung (beispielsweise Director- & Officer-Versicherung) nicht ein, wenn es Dritten möglich gemacht wird, von außen durch Hacker-Attacken die Datenübertragung in Datennetzen zu manipulieren. Ein Versicherungsschutz entfällt meist dann, wenn beim Versicherungsnehmer der Schaden durch fehlende oder nicht dem Stand der Technik entsprechende Sicherheits- oder Verschlüsselungstechnologie eintreten konnte.

Hier ist für das Management also eine potentiell nicht versicherbare „Gefahr in Verzug“, die nur dadurch beseitigt werden kann, wenn es ausreichend Sicherheitsmaßnahmen – zum Beispiel durch ein Sicherheitshandbuch - ergriffen hat, um (zumindest nach dem Stand der Sicherheits-Technik vermeidbare) Schäden vom Unternehmen fernzuhalten.

Die Anforderungen des Rechts an die Sorgfalt der Unternehmensleitung sind durch das noch reichlich unerforschte und auch nicht kalkulierbare Manipulationsrisiko recht hoch, wobei diesen Pflichten in der Regel nur durch eingehende externe technische und rechtliche Beratung Genüge geleistet werden kann.

Durch Zusammenarbeit von Juristen und IT-Spezialisten kann aufgezeigt werden, wie ein IT-Sicherheitshandbuch aussehen und welche Themen es enthalten muss, so daß ein ordnungsgemäßes Delegieren von Aufgaben möglich ist und dem Management „nurmehr“ die Führungs- und Überwachungsverantwortung obliegt. Zwar gibt es auch Aufgaben, die sich nicht delegieren lassen. Hier bedarf es einer entsprechenden Informationseinholung und Schulung, um persönlich diesen Ansprüchen genügen zu können.