Vorwort
Um so wichtiger ist es, eine Balance zwischen dem täglichen Umgang mit der IT und Sicherheitsmechanismen zu finden und diese verständlich zu kommunizieren. Hierfür ist es zunächst einmal wichtig, zentrale Fragen zur IT-Haftung zu klären, bzw. eine Art Leitfaden zu schaffen, der IT- und Unternehmensleitung umfassend informiert.
Schließlich gehen der Gesetzgeber und andere Regelungsgeber immer stärker dazu über, die Sorgfaltsanforderungen zu normieren. Für die Einhaltung dieser Vorgaben ist in erster Linie die Geschäftsleitung verantwortlich und kann diese Verantwortlichkeit auch nicht vollständig wegdelegieren. Es besteht daher zunehmend das Risiko, für die Konsequenzen aus einer Ignoranz der gebotenen IT-Sicherheit persönlich in Regress genommen zu werden und mit Privatvermögen zu haften.
Hinzu kommen verschärfte europäische und internationale Vorgaben (z.B. aus der Richtlinie über den Datenschutz in der elektronischen Kommunikation oder aus Basel II). An den Grundsätzen der IT Haftung und Verantwortlichkeit für das (mitunter auch böswillige) Verhalten Dritter ändert das Gesetz jedoch nichts. ITSicherheit muss als Prozess verstanden werden, der permanent neu zu definieren und an geänderte technische und wirtschaftliche Rahmenbedingungen anzupassen ist.
Das trägt nicht nur zu kontrollierbaren rechtlichen Risiken, sondern auch zu einem sichereren und damit besseren IT-Umfeld für uns alle bei.
Verantwortung und Haftung für IT-Sicherheit
Vielen IT-Verantwortlichen, gleich ob Vorstand, Geschäftsführer, Behördenleiter oder angestellter IT-Manager, sind Inhalt und Umfang ihrer Verantwortung für die Sicherheit der von ihnen betreuten IT und damit ihrer persönlichen Haftung für eventuelle Sicherheitsdefizite gegenüber ihren Unternehmen nicht bekannt.
IT-Sicherheit ist im Zeitalter zunehmender Bedrohungen für informationstechnologische Anlagen und Anwendungen ein immer zentraleres Element einer umfassenden Business Continuity Planung geworden. Jedes Unternehmen, und damit dessen jeweils verantwortliche Mitarbeiter, ist daher vor die Aufgabe gestellt, im Bereich der Sicherheit seiner Informationstechnologie aktiv möglichen Risiken von Datenverlusten, Systemunterbrechungen oder gar Katastrophensituationen (Desaster) durch Maßnahmen im Bereich physischer, logischer und technischer Sicherheit entgegenzuwirken. Zur ITSicherheit gehört aber genauso der Datenschutz, also der Schutz personenbezogener Date vor unbefugten Zugriffen.
1. Die Haftung des Arbeitnehmers
Zur Risikovermeidung und Schadensvorbeugung sollte jeder, der für informationstechnologische Systeme Verantwortung trägt, Maßnahmen im Bereich IT-Sicherheit nicht nur im Interesse des Unternehmens treffen. Falls sich der Einzelne persönlich ein Fehlverhalten zuschulden kommen lassen sollte, besteht hierfür aufgrund einer möglichen persönlichen Inanspruchnahme durch den Arbeitgeber auch ein hohes Eigeninteresse.
1.1 Die Haftung des Arbeitnehmers gegen ber dem Arbeitgeber
Bei Außerachtlassung oder auch nur Vernachlässigung der Einhaltung unternehmensindividueller, angemessener IT-Sicherheitsstandards können sich Ansprüche des Arbeitgebers gegen seinen Arbeitnehmer unmittelbar aus § 280 Abs. 1 des Bürgerlichen Gesetzbuches (BGB) ergeben. Ein Anspruch wäre aber erst dann gegeben, wenn der Arbeitnehmer seine Pflichten aus dem
Arbeitsverhältnis verletzt, indem er schuldhaft seine Arbeitsleistung nicht ordnungsgemäß erbringt und den Arbeitgeber hierdurch schädigt. Nach der grundsätzlichen Systematik der §§ 280 ff BGB würde das Verschulden des Betroffenen eigentlich zunächst vermutet, so dass der Betroffene den Beweis führen müsste, dass er seine Schlechtleistung nicht zu vertreten hat. Im Arbeitsrecht gilt allerdings eine Sonderregelung: Spezifisch für den Bereich der Haftung des Arbeitnehmers gegenüber seinem Arbeitgeber wurde nämlich im Rahmen des Schuldrechtsmodernisierungsgesetzes mit der Vorschrift des § 619a BGB eine Umkehr der Beweislast in das BGB eingeführt. Danach obliegt grundsätzlich dem Arbeitgeber die Darlegungs- und Beweislast für ein Verschulden des Arbeitnehmers im Hinblick auf seine arbeitsvertragliche Pflichtverletzung. Diese Beweislastverteilung kann vertraglich auch nicht zum Nachteil des Arbeitnehmers abbedungen werden.
Typische Beispiele für eine vertragliche Pflichtverletzung sind im Bereich des aktiven Handelns eines Arbeitnehmers etwa die Beschädigung von Arbeitsmitteln oder sonstigen Gütern des Arbeitgebers, das Herstellen fehlerhafter Produkte oder der Verlust von Geld oder Sachen des Arbeitgebers. Natürlich gehören zu den Pflichtverletzungen aber auch Verhaltensweisen, die durch ein Unterlassen begangen werden, also Fälle, in denen der Arbeitnehmer eigentlich bestehende Handlungspflichten nicht oder nicht ordnungsgemäß oder ausreichend erfüllt hat. Wie es zu der Schädigung des Arbeitgebers gekommen ist, ist für den Anspruch regelmäßig zweitrangig. Der Arbeitnehmer hat sich in allen Belangen so zu verhalten, wie sich ein besonnener Mensch in der Situation des Arbeitnehmers verhalten würde. Dabei ist selbstverständlich, dass an einen leitenden Mitarbeiter andere Anforderungen zu stellen sind als etwa an einen Mitarbeiter, der eine nachgeordnete Stellung bekleidet.
Teil der aus dem Anstellungsverhältnis resultierenden Nebenpflichten, die ein Arbeitnehmer zu erfüllen hat, ist die Pflicht zur Wahrung der Interessen des Arbeitgebers und des Betriebs in einem ihm zumutbaren Umfang. Interesse des Arbeitgebers ist es beispielsweise, dass seine Arbeitsgeräte und Waren vor Verlust oder Beschädigung geschützt werden. Dies ist jedoch nicht nur ein dem Arbeitgeber unterstelltes Interesse, auf das jeder Arbeitgeber jederzeit verzichten könnte, sondern eine sogar gesetzlich der Unternehmensleitung zugewiesene Aufgabe: Auch wenn sie nur für Aktiengesellschaften ausdrücklich kodifiziert ist, gilt aber für Unternehmen in allen Rechtsformen eine Pflicht zum aktiven Risikomanagement (siehe § 91 Abs. 2 AktG und nachfolgend Ziff. 5). Damit gehört es auch zum Verantwortungsbereich der Unternehmensleitung und hiervon abgeleitet zur Aufgabe von leitenden Mitarbeitern im Bereich IT, sowohl die spezifischen Bedrohungsszenarien für die Unternehmens-IT und die hieraus resultierenden Risiken und deren Konsequenzen für das Unternehmen zu identifizieren, als auch Maßnahmen zu spezifizieren, wie diese Risiken oder ihre Konsequenzen zu vermeiden oder wenigstens einzudämmen sind. Schließlich sind Planungen zu entwickeln, wie im Falle der Realisierung dieser Risiken zu reagieren und wenigstens die Schadensentwicklung einzugrenzen ist.
Leider ist vielfach in Unternehmen noch eine Haltung anzutreffen, wonach derartige Überlegungen zur IT-Sicherheit gar nicht angestellt (Was soll bei uns schon passieren?, Hier ist bisher noch nie etwas passiert!) oder vernachlässigt werden (Was soll hier schon brennen?, Es wird schon nicht so schlimm werden! oder Früher sind wir auch ohneIT zurecht gekommen.). Dabei kann, wie Erfahrungen in der Vergangenheit gezeigt haben, schon so ein 'simples' Ereignis wie ein größerer Brand bei über 60 % der betroffenen Unternehmen dazu führen, dass sie entweder sofort oder innerhalb der nächsten drei Jahre vom Markt verschwinden: Entweder weil sie nicht mehr weiterarbeiten können oder weil bis zur Wiederherstellung des Unternehmens der Kundenstamm verloren ist, da er nicht mehr betreut und bedient werden konnte.
1.2 Haftungsbeschränkungen zugunsten des Arbeitnehmers
Gemäß § 280 Abs. 1 BGB unterläge der Arbeitnehmer einer betragsmäßig unbegrenzten Haftung für Vorsatz und jede Form der Fahrlässigkeit. Bei der Verrichtung jeglicher betriebsbedingter Tätigkeit kann aber selbst dem gewissenhaftesten Arbeitnehmer einmal ein Fehler unterlaufen. Die Arbeitsleistung des Arbeitnehmers erfolgt zudem auf Weisung des Arbeitgebers und in einem maßgeblich von diesem gestalteten und kontrollierten Umfeld. Da somit der Arbeitgeber die Gefahr einer Schadensverursachung für den Arbeitnehmer und die Bedingungen für die weitere Schadensentwicklung geschaffen hat, seien nach Auffassung der obergerichtlichen Rechtsprechung Haftpflichtansprüche des Arbeitgebers gegenüber seinen Arbeitnehmern, auch für leitende Angestellte, in ihren Folgen für den Arbeitnehmer abzumildern.
Diese Abmilderung erfolgt im Wege einer Begrenzung der Haftung des Arbeitnehmers, für die die Rechtsprechung ein System der gestuften Haftungsbegrenzung für von Arbeitnehmern verursachte Schäden entwickelt hat, das nach der Schwere des Verschuldens des Arbeitnehmers beim schädigenden Verhalten wie folgt differenziert:
- Für vorsätzliches Verhalten soll der Arbeitnehmer für den ganzen von ihm verursachten Schaden haften.
- Dies gilt im Grundsatz auch für grob fahrlässig herbeigeführte Schäden, es sei denn, es bestünde ein grobes Missverhältnis zwischen der Höhe des Einkommens des schädigenden Arbeitnehmers und des von ihm verursachten Schadens.
- Für Schäden, die auf mittlere Fahrlässigkeit des Arbeitnehmers zurückzuführen sind, soll eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer erfolgen.
- Für Schäden, die der Arbeitnehmer lediglich leicht fahrlässig herbeigeführt hat, soll er schließlich überhaupt nicht haften.
Nach älterer Rechtsprechung konnte diese Systematik zur Begrenzung der Haftung des Arbeitnehmers nur bei so genannten gefahrgeneigten Arbeiten in Betracht kommen. Hierunter wurden Tätigkeiten verstanden, die aufgrund ihrer Eigenart ein besonderes Risiko der Schadensverursachung in sich bergen. Hintergrund der Haftungsbegrenzung war schon damals der Gedanke, dass bei der Verrichtung derartiger Tätigkeiten selbst dem gewissenhaftesten Arbeitnehmer einmal ein Fehler unterlaufen kann. Da aber der Arbeitgeber durch Ausübung seines Weisungsrechts gerade die Gefahr einer Schadensverursachung für den Arbeitnehmer geschaffen hatte, sollten seine Ansprüche auch begrenzt sein, wenn er dem Arbeitnehmer besonders risikoreiche Tätigkeiten zugewiesen hat. Die neuere Rechtsprechung hat dieses Kriterium der Gefahrgeneigtheit aufgegeben und begrenzt die Arbeitnehmerhaftung schon immer dann, wenn der Arbeitnehmer den Schaden im Rahmen einer beliebigen betrieblichen Tätigkeit verursacht hat. Jegliche betriebliche Tätigkeit ist also 'gefahrgeneigt', da gerade in der heutigen modernen Arbeitswelt auch beinahe jede betriebliche Tätigkeit aufgrund der einen modernen Betrieb verkörpernden Werte sowohl der Arbeitsmittel als auch der Produkte erhebliche Risiken mit sich bringt. Somit ist die Haftung des Arbeitnehmers für Schäden, die er im Rahmen seiner arbeitsvertraglich übertragenen Pflichten fahrlässig verursacht, bei jeder, nicht nur gefahrgeneigten, Tätigkeit beschränkt. Die Gefahrgeneigtheit bildet nur noch einen Abwägungsfaktor für eine Schadensteilung von Arbeitgeber und Arbeitnehmer im Falle der mittleren Fahrlässigkeit.
Seit der im Wege der Schuldrechtsreform eingeführten Änderung der Vorschriften über den Haftungsmaßstab in § 276 Abs. 1 BGB stellt sich jedoch die Frage, ob sich die Beschränkung der Arbeitnehmerhaftung nicht bereits aus dem jeweiligen Arbeitsvertrag zwischen Arbeitgeber und Arbeitnehmer ergibt. Diese Überlegung resultiert aus dem neuen Wortlaut des § 276 Abs. 1 BGB, wonach der Schuldner Vorsatz und Fahrlässigkeit zu vertreten hat, es sei denn eine strengere oder mildere Haftung ist weder bestimmt noch aus dem sonstigen Inhalt des Schuldverhältnisses zu entnehmen. Die Beschränkung der Haftung des Arbeitnehmers auf mittlere und grobe Fahrlässigkeit sowie auf vorsätzliche Handlungen könnte generell aus der besonderen Interessenlage bei Arbeitsverhältnissen als 'sonstigem Inhalt' des Arbeitsvertrages im Sinne von § 276 Abs. 1 BGB resultieren mit der Folge, dass sie mit dessen Abschluss als jeweils vertraglich vereinbart gilt. Allerdings spricht gegen diese Ansicht, dass die Annahme eines solchen Vertragswillens regelmäßig eine bloße Fiktion darstellte. Zudem ließe sich eine so differenzierte Verteilung der Schadenslast nach den Besonderheiten des Einzelfalles, wie sie inzwischen von der Rechtsprechung entwickelt wurde, einer solchen vertraglichen Haftungsbegrenzung kaum entnehmen. Trotz der Zweifel im Hinblick auf die Grundlage der Haftungsbeschränkung des Arbeitnehmers bleiben daher die inhaltlichen Grundsätze der Haftungsbeschränkung unverändert. Nach welchen Kriterien ist der Verschuldensgrad des Arbeitnehmers aber nun zu bestimmen. Was heißt es also, vorsätzlich oder fahrlässig zu handeln? Gemäß § 276 Abs. 2 BGB handelt fahrlässig, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt. Damit liegt bereits leichteste (jedoch nach der eben skizzierten Rechtsprechung nicht zur Haftung führende) Fahrlässigkeit vor, wenn der Arbeitnehmer nicht die erforderliche Sorgfalt anwendet, sondern nur geringfügig unterdurchschnittliche Sorgfaltsanforderungen erfüllt.
Mittlere Fahrlässigkeit ist demgegenüber die 'normale' Schuld des unsorgfältigen Arbeitnehmers. Da im Falle mittlerer Fahrlässigkeit eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer vorzunehmen ist, muss die Schwere der Schuld des Arbeitnehmers nach einem ganzen Bündel von Kriterien näher bestimmt werden. Sie ist unter anderem für die Bemessung des Haftungsumfangs des Arbeitnehmers von entscheidender Bedeutung.
Grobe Fahrlässigkeit setzt einen besonders schwerwiegenden Verstoß gegen die im Verkehr erforderliche Sorgfalt voraus, wofür der Arbeitnehmer grundsätzlich auch in vollem Umfang haftet. Ausnahmsweise soll allerdings auch in diesem Fall die Haftung begrenzt sein, wenn der eingetretene Schaden in einem krassen Missverhältnis zum Arbeitsentgelt steht. Grund für diese Haftungsbeschränkung ist nach Auffassung der Rechtsprechung insbesondere, dass der Arbeitnehmer den Haftungsrisiken, die ihm vom Arbeitgeber auferlegt werden, regelmäßig weder in tatsächlicher, noch in rechtlicher Hinsicht ausweichen oder gar sich gegen derartige Haftpflichtrisiken versichern kann (private Haftpflichtversicherungen decken solche im Rahmen der beruflichen/betrieblichen Tätigkeit verursachte Schäden nicht ab). Daher sucht das Bundesarbeitsgericht in den Fällen eines groben Missverhältnisses zwischen Schaden und Einkommen des schädigenden Arbeitnehmers einein interessengerechten Ausgleich zwischen dem Haftungsbedürfnis des Arbeitgebers und der verfassungsrechtlich verbürgten wirtschaftlichen Freiheit des Arbeitnehmers, die eine dauerhafte finanzielle Überforderung ausschließt, in einer Beschränkung der Haftung auf einen Betrag, den der Arbeitnehmer durch zumutbare Ratenzahlungen innerhalb von fünf Jahren tilgen könnte.
Die Höhe zumutbarer Ratenzahlungen hat das Bundesarbeitsgericht auf der Basis des Monatseinkommens des betreffenden Arbeitnehmers abzüglich der nach der Zivilprozessordnung bestehenden Pfändungsfreigrenzen ermittelt. Dieser Monatsbetrag bezogen auf einen Zeitraum von fünf Jahren bilde den Maximalbetrag der Haftung des betreffenden Arbeitnehmers. Den übersteigenden Schadensbetrag hat der Arbeitgeber selbst zu tragen. Diese zunächst nur als Ausnahmefall gedachte Konstellation eines Missverhältnisses von Einkommen und Schaden hat sich im Laufe der Jahre in der veröffentlichten Rechtsprechung mehr und mehr zum Regelfall entwickelt, was zeigt, dass regelmäßig sehr hohe Schäden entstehen, was Maßnahmen zur Risikovermeidung und Schadensvorbeugung besonders dringlich macht.
Der Gedanke, den Haftungshöchstbetrag an der Summe zumutbarer Abzahlungen während eines bestimmten Zeitraums zu orientieren, findet ein Vorbild in der 1999 in Kraft getretenen Insolvenzordnung. Diese sieht seit 2001 eine Restschuldbefreiung nach sechs Jahren vor, wenn der Schuldner zuvor ein so genanntes Restschuldbefreiungsverfahren durchgeführt und die hierin festgelegten zumutbaren Zahlungen an seine Gläubiger tatsächlich erbracht hat. Die Restschuldbefreiung ist ein recht kompliziertes Verfahren und verlangt ein hohes Maß an Kooperationsbereitschaft vom Schuldner. Durch die Möglichkeit, in sechs Jahren schuldefrei zu sein, soll er zu Zahlungen an seine Gläubiger bewegt werden. Diese müssen zwar auf einen Teil ihrer Forderungen verzichten, dafür haben sie aber wenigstens die konkrete Aussicht, den im Restschuldbefreiungsverfahren festgelegten Teil ihrer Forderungen realisieren zu können. Es bleibt andererseits jedoch abzuwarten, ob nicht sogar den vom Bundesarbeitsgericht aufgestellten Haftungshöchstgrenzen für grobe Fahrlässigkeit durch das Inkrafttreten der Insolvenzordnung die Grundlage entzogen ist. Da nunmehr durch die Verbraucher- oder Privatinsolvenz die Möglichkeit besteht, die wirtschaftliche Handlungsfähigkeit wiederzuerlangen, könnte man sogar argumentieren, dass für eine Beschränkung der Arbeitnehmerhaftung nunmehr kein Bedürfnis mehr bestehe. In der Rechtsprechung hat sich dieses Argument bislang aber noch nicht durchgesetzt.
Umgekehrt könnte man jedoch argumentieren, dass das Konzept des Bundesarbeitsgerichts zunächst nur die Höhe der Forderung bestimmt, die sich gegen den Arbeitnehmer richtet, während das Restschuldbefreiungsverfahren erst auf den Zeitraum des Ausgleichs dieser Forderung abzielt und Hilfestellung für den Fall bieten soll, dass der betroffene Arbeitnehmer auf Dauer nicht in der Lage ist, diese Forderung abzutragen. Haftungsbeschränkung einerseits und Restschuldbefreiungsverfahren andererseits haben also parallel ihre Berechtigung, was im Sinne einer möglichst konsistenten Beschränkung von Haftung und Vollstreckung dazu führen sollte, dass sich dieses Haftungsbeschränkungskonzept des Bundesarbeitsgerichts auf Dauer in der Rechtsprechung etablieren sollte und müsste. Für eine vorsätzliche Pflichtverletzung des Arbeitnehmers, die einen Schadensersatzanspruch des Arbeitgebers in vollem Umfang zur Folge hat, ist erforderlich, dass der Arbeitnehmer nicht nur die konkrete Pflichtverletzung, sondern auch den Eintritt des Schadens als möglich vorausgesehen und mindestens billigend in Kauf genommen hat. Dies gilt auch dann, wenn der Arbeitnehmer sich bewusst über Weisungen des Arbeitgebers hinweggesetzt hat und daraus ein Schaden erwachsen ist. Nur wenn er diesen Schaden nicht vorausgesehen hat, können ausnahmsweise einmal die Grundsätze der Haftungserleichterung wie im Falle einer groben Fahrlässigkeit anwendbar sein.
2. Haftung des Arbeitnehmers gegen ber Dritten
Die Begrenzung der Arbeitnehmerhaftung gilt nur im Innenverhältnis zwischen Arbeitnehmer und Arbeitgeber, also im Rahmen der arbeitsvertraglichen Beziehung. Schädigt der Arbeitnehmer bei Ausübung seiner beruflichen Tätigkeit einen Dritten, so haftet er demnach für sein Verhalten persönlich und in voller Höhe. Der Arbeitnehmer hat jedoch im Falle leicht fahrlässiger Schadensverursachung und zum Teil sogar bei mittlerer und grober Fahrlässigkeit gegen seinen Arbeitgeber einen Freistellungsanspruch, soweit er nach den zuvor erläuterten Kriterien auch gegenüber seinem Arbeitgeber nicht voll haftete. Damit ist der Arbeitgeber gegenüber dem Arbeitnehmer verpflichtet, dessen Gläubiger zu befriedigen, wenn und soweit der Arbeitnehmer nach den aufgezeigten Kriterien im Innenverhältnis nicht ersatzpflichtig gewesen wäre. Aus diesem Regressanspruch des Arbeitnehmers gegenüber dem Arbeitgeber ergibt sich aber, dass dem Arbeitnehmer auch mögliche Haftungserleichterungen des Arbeitgebers, welche dieser mit Dritten vereinbart hat, zugute kommen müssen. Andernfalls bestünde die Gefahr, dass der Arbeitgeber mittelbar für Schäden einstehen müsste, für die er seine unmittelbare Haftung gegenüber dem Dritten gerade ausgeschlossen hatte.
3. Haftung des Arbeitnehmers innerhalb eines Leiharbeitsverh ltnisses
Schwierigkeiten bereitet die Bestimmung des Haftungsmaßstabs bei so genannten Leiharbeitsverhältnissen. Unter dem Begriff 'Leiharbeit' werden verschiedene Sachverhalte zusammengefasst, die das gemeinsame Merkmal aufweisen, dass ein Arbeitnehmer in einem arbeitsvertraglichen Verhältnis zu seinem Arbeitgeber (dem Verleiher) steht, der ihn einem anderen Arbeitgeber (dem Entleiher) zur Erbringung der Arbeitsleistung überlässt.
Rechtsgrundlage einer solchen Überlassung eigener Arbeitskräfte ist regelmäßig ein Dienstverschaffungsvertrag.
Leiharbeitnehmer sind somit etwa das Bedienungspersonal einer vermieteten Maschine oder auch die von einem Zeitarbeitsunternehmen eingestellten und überlassenen Mitarbeiter. Abzugrenzen ist das Leiharbeitsverhältnis von Werk- oder Dienstverträgen, bei denen Mitarbeiter des Werkunternehmers/Dienstverpflichteten im Betrieb des Auftraggebers tätig werden. Keine Dienstverschaffung ist beispielsweise anzunehmen, wenn eine Maschine mit Bedienungspersonal überlassen wird und die Nutzungsüberlassung der Maschine für das Vertragsverhältnis prägend ist. Demnach handelt es sich beispielsweise um einen Dienstvertrag, wenn ein Flugzeug samt Flugbesatzung überlassen wird. Indizien sind das Wertverhältnis von überlassenen Gütern und Arbeitsleistung, die Verwendbarkeit des Gutes ohne dazugehöriges Personal, der Umfang des Direktionsrechts gegenüber dem überlassenen Personal, sowie die (kurze) Dauer der Beschäftigung beim Auftragnehmer.
Liegt demnach ein Leiharbeitsverhältnis vor, so stellt sich für den Entleiher die Frage, ob der bei ihm tätige Leiharbeitnehmer nach den arbeitsrechtlichen Haftungsgrundsätzen privilegiert haftet, oder ob er als außerhalb des Arbeitsverhältnisses stehender Dritter den Arbeitnehmer in vollem Umfang in Anspruch nehmen kann. Diese Frage ist von der Rechtsprechung bislang noch nicht entschieden worden. Für eine Haftungsbeschränkung des Arbeitnehmers spricht allerdings, dass er im Rahmen seiner Tätigkeit den Weisungen des Entleihers Folge zu leisten hat und in dessen Betriebsablauf und Betriebsorganisation integriert ist. Da das haftungsrechtliche Privileg gerade mit dem Weisungsrecht korreliert, sollte auch im Falle eines Leiharbeitsverhältnisses von einer beschränkten Arbeitnehmerhaftung ausgegangen werden. Zudem bestünde im Falle einer uneingeschränkten Haftung die Gefahr, dass der Arbeitnehmer den Verleiher für eine mögliche Haftung in Regress nehmen könnte. Auf diese Weise würde aber die beschränkte Haftung des Verleihers gegenüber dem Entleiher, der gemäß dem Dienstverschaffungsvertrag nur für die ordnungsgemäße Auswahl qualifizierten Personals haftet, umgangen.
4. Die Haftung des Beamten
Nach § 78 BBG hat ein Beamter seinem Dienstherrn den Schaden zu ersetzen, den er vorsätzlich oder grob fahrlässig in Ausübung seiner Pflichten verursacht hat. Aus § 78 Bundesbeamtengesetz (BBG) sowie den entsprechenden Regelungen in den Landesgesetzen ergibt sich somit eine Privilegierung des Beamten gegenüber normalen Arbeitnehmern, die auch für mittlere Fahrlässigkeit haften. Überdies kommt ihnen durch die Regelung des Art. 34 Grundgesetz, § 839 BGB ein weiterer mittelbarer Vorteil zugute. Da die Haftung des Staates - eine persönliche Haftung des Beamten für fahrlässig verursachte Schäden gegenüber Dritten besteht bei Ausführung hoheitlicher Tätigkeit entgegen dem Wortlaut des § 839 BGB nicht - gegenüber anderen Ansprüchen des Verletzten subsidiär ist, wird der Beamte auch nicht in Regress genommen, wenn der Staat aufgrund seines eigenen Haftungsprivilegs nicht in Anspruch genommen werden kann.
Zu beachten ist allerdings, dass der Staat zur Realisierung der Ersatzansprüche gegen seine Beamten teils unterschiedliche Verfahren anwenden kann, bzw. muss. Diese verschiedenen Verfahrensarten, die auch unterschiedliche Rechtswege begründen können, tragen nicht gerade zu einer Rechtsvereinheitlichung bei, so dass völlig offen ist, ob die vom Bundesarbeitsgericht aufgestellten Haftungshöchstbeträge im Falle grober Fahrlässigkeit auch auf Beamte anwendbar sind.
5. Haftung der Gesch ftsleitung
Für Geschäftsführer, die nicht selten auch Aufgaben im Bereich der Unternehmens-IT wahrnehmen, gelten die Grundsätze zur Arbeitnehmerhaftung regelmäßig nicht. Sie sind nämlich Organe der Gesellschaft und nicht deren Angestellte. Zum Teil wird allerdings eine Haftungsbeschränkung für den Fall erwogen, dass der Geschäftsführer keine spezifischen Geschäftsführungsaufgaben wahrnimmt. In einem solchen Fall sei nämlich eine umfängliche Haftung nicht angebracht, da es letztlich Zufall ist, ob die Aufgabe durch einen normalen Angestellten oder durch den Geschäftsführer selbst durchgeführt wird.
Ungeklärt ist, nach welchen Kriterien ein Geschäftsführer haftet, der nicht direkt bei der Gesellschaft angestellt ist, deren Organ er ist, sondern der in einem Anstellungsverhältnis zu einem Dritten - beispielsweise zu dem herrschenden Unternehmen innerhalb eines Konzerns - steht und mit der Aufgabe betraut ist, die Geschäfte des Tochterunternehmens zu leiten. Richtigerweise wird man in einem solchen Fall zwischen Schäden, die unmittelbar dem Tochterunternehmen entstehen, sowie Schädigungen des beherrschenden Konzernunternehmens unterscheiden müssen. Die Grundsätze der Arbeitnehmerhaftung können nur innerhalb des Arbeitsverhältnisses angewandt werden, so dass ein Haftungsausschluss des Geschäftsführers überhaupt nur gegenüber dem Arbeitgeber in Betracht zu ziehen ist. Gegenüber dem Tochterunternehmen, dessen Leitung ihm übertragen ist, kommt eine Haftungsbegrenzung hingegen nicht in Betracht.
Demnach ist der Sorgfaltsmaßstab der Geschäftsleitung, beispielsweise des Vorstandes einer AG bzw. des Geschäftsführers einer GmbH, umfassend und objektiv zu bestimmen. Dem Geschäftsführer obliegt die Verfolgung des gesellschaftlichen Zwecks, insbesondere die Bestimmung über den Einsatz, sowie die Koordination der Unternehmensressourcen. Diese Aufgaben erfordern nicht nur die aktive Verfolgung des gesellschaftlichen Zwecks sowie das Unterlassen sämtlicher Aktivitäten, die diesen Zweck vereiteln könnten. Zudem muss die Geschäftsleitung auch sämtliche Anstrengungen der Mitarbeiter überwachen, die sie mit der Durchführung dieser Aufgaben betraut hat. Bei Erfüllung dieser Aufgaben muss die Geschäftsleitung die Sorgfalt eines ordentlichen Geschäftsmanns anwenden, wobei der Sorgfaltsmaßstab durch Art, Größe und Situation des Unternehmens, die Brachengepflogenheiten, sowie die Bedeutung der jeweiligen Aufgabe für das Unternehmen bestimmt wird.
6. IT-Sicherheit und Basel II
Wonach bestimmt sich also, was sorgfältiges Verhalten und Handeln eines Geschäftsführers oder Vorstandsmitglieds ist? Neben den allgemein gültigen Grundsätzen, die sich aus der Vermögensbetreuungs und -wahrungspflicht eines Geschäftsführers oder Vorstandsmitglieds gegenüber der von ihm vertretenen Gesellschaft ergeben, lässt sich seit Mitte 2004 weiterer Honig saugen aus einer Entwicklung im Bankaufsichtsrecht, deren Auswirkungen sich aber nur scheinbar lediglich auf das Bankgewerbe beschränken: Im Jahr 2004 verabschiedete nämlich der Baseler Ausschuss für Bankenaufsicht ein unter dem Begriff "Basel II" bekannt gewordenes Konsultationspapier über die Gesamtheit der Eigenkapitalvorschriften. Diese Regeln müssen gemäß der EU-Richtlinie 2006/49/ EG ab dem 01.01.2007 in allen Mitgliedsstaaten der Europäischen Union angewendet werden und finden bereits seit längerer Zeit in der täglichen Bankenpraxis Anwendung. Die Umsetzung in deutsches Recht erfolgte durch das Kreditwesengesetz, die "Mindestanforderungen an das Risikomanagement" (MaRisk) für die "zweite Säule" von Basel II sowie die Solvabilitätsverordnung (SolvV) für die "erste" und "dritte Säule" von Basel II. Die USA hatten zunächst beabsichtigt, die Regelungen ab 2008 schrittweise einzuführen. Inzwischen wurde eine Verschiebung auf mindestens 01.01.2009 angekündigt. Für die Anwendung der Grundsätze nach Basel II sind Umstände aus bis zu drei Vorjahren zu berücksichtigen, weswegen bei vielen Unternehmen schon seit längerem auch vor Inkrafttreten von Basel II die Vorbereitungen auf Hochtouren liefen.
In diesem Konsultationspapier des Baseler Ausschusses für Bankenaufsicht und den darin aufgestellten Grundsätzen zur Eigenkapitalunterlegung von Kreditengagements von Banken wird zwar an den herkömmlichen Regelungen für die Eigenkapitalunterlegung durch Banken anlässlich der Vergabe von Krediten dem Grunde nach festgehalten. Allerdings werden nicht nur Banken und Staaten, sondern auch Unternehmen und Privatpersonen als Kreditnehmer berücksichtigt. Darüber hinaus werden für alle Kreditnehmerklassen jeweils eine Reihe von Kriterien definiert, nach denen die jeweilige Risikobehaftetheit der diesen Klassen zugehörigen Kreditnehmer zu berechnen ist. Dieses kreditnehmerspezifische Risiko wiederum ist von den kreditgebenden Banken pro Kreditnehmer zu
erfassen und zu bewerten und dementsprechend sowohl bei der Eigenkapitalbindung der Banken als auch bei ihrer Kreditvergabe zu berücksichtigen. Nach diesen differenzierten Kriterien ist die Eigenkapitalbindung bei risikoreicheren Geschäften zu erhöhen, während es andererseits bei risikoärmeren Geschäften zulässig ist, die Eigenkapitalbindung des kreditgebenden Institutes zu verringern. Je höher die danach geforderte Eigenkapitalbindung einer Bank für einen von ihr vergebenen Kredit ist, desto teurer wird die Vergabe des jeweiligen Kredits für die betreffende Bank und desto höher sind natürlich auch für den Kreditnehmer die Kreditkosten, mithin die von ihm zu zahlenden Zinsen. Umgekehrt bedeutet eine aufgrund einer geringeren Risikobehaftetheit erfolgende Einstufung in eine niedrigere Risikoklasse für den Kreditnehmer eine Senkung seiner Kreditkosten. Durch risikovermeidende oder zumindest risikovermindernde Maßnahmen kann ein Unternehmen also seine Finanzierungskosten senken bzw. seine Fähigkeit, auch kurzfristig zusätzliche Kredite zur Finanzierung seines Geschäfts zu bekommen, deutlich erhöhen. Risikomanagement wird damit eine besonders wichtige Maßnahme innerhalb der Finanzierungsplanung jedes Unternehmens. Eines der wesentlichen Kriterien für die Risikoqualifizierung eines Unternehmens nach Basel II ist das sogenannte operationelle Risiko, das als "Risiko von Verlusten in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen" definiert wird. Im Zusammenhang mit der Erfassung und Bewertung ihrer operationellen Risiken müssen Unternehmen also zukünftig damit rechnen, dass ihr Management, ihre Mitarbeiter, ihre Produktionsumgebung und - bei einer zunehmenden Bedeutung der Informationstechnologie für die Betriebsfähigkeit und den Bestand von Unternehmen nur natürlich - die für den Betrieb des Unternehmens erforderliche informationsund kommunikationstechnologische Infrastruktur auf ihre jeweilige Risikobehaftetheit und deren Auswirkungen auf die Gesamtrisikostruktur des Unternehmens geprüft werden. Dabei wird es sich
nicht nur um eine einmalige Prüfung handeln, sondern auch um eine fortlaufende Überwachung der Kreditnehmer entweder durch die Bank selbst oder durch von ihr beauftragte Dritte (internes oder externes Rating) in Hinblick auf besonders relevante Daten und Umstände. Neben den bisher auch schon zu berücksichtigenden Markt- und Kreditrisiken müssen also zukünftig vor allem die operationellen Risiken eingeschätzt und einem entweder bankintern oder durch externe Agenturen durchzuführenden Rating zugrundegelegt werden.
Bei der Einschätzung des operationellen Risikos spielt es eine große Rolle, wie sicher die verwendeten Systeme und Daten in allen Unternehmensbereichen sind, und ob das Unternehmen mit dem bei ihm erreichten und eingehaltenen Stand der Technik noch auf dem Markt mithalten kann. Bei Produktionsbetrieben wird daher nicht nur geprüft werden müssen, ob die allgemein gültigen Standards und Arbeitsschutzbestimmungen eingehalten werden, sondern auch die eingesetzten Maschinen und verwendeten Technologien werden Gegenstand der Prüfung sein. Dabei werden sowohl deren Modernität, als auch ihr Wartungszustand und deren Absicherung gegen Produktionsausfälle (Stromausfall, Maschinenschaden, Sabotagefälle, Spionagefälle, Absicherung von Forschungs- und Entwicklungsergebnissen etc.) Gegenstand der Prüfung sein. Dies gilt nicht nur für die unmittelbar zur Produktion eingesetzten Technologien, sondern bei dem wachsenden Einsatz von Informationstechnologie und der zunehmenden Vernetzung von Unternehmen zwangsläufig auch für die informations- und kommunikationstechnologischen Systeme eines Unternehmens. IT-Sicherheit dient damit zukünftig nicht nur im Rahmen von § 91 Abs. 2 AktG dem vitalen Interesse eines Unternehmens an seinem eigenen Bestand, sondern auch dem für seinen Fortbestand ebenso wichtigen Interesse eines Unternehmens an der Senkung seiner Kreditkosten und der Steigerung seiner Finanzierungsfähigkeit. Die Erhöhung der IT-Sicherheit ist wenn auch die wichtigste, aber nicht die einzige Forderung an eine Unternehmens-IT, die sich aus Basel II ergibt. Um den Banken ein anfängliches Rating und dessen permanente Überprüfung überhaupt zu ermöglichen, ist es genauso wichtig, dass ein Unternehmen bereit und permanent in der Lage ist, die für die Risikoerfassung und deren -überwachung erforderliche Transparenz herzustellen und permanent aufrechtzuerhalten sowie die daraus entstehenden Daten an die kreditgebenden Banken zu kommunizieren. Dazu sind die ITSysteme eines Unternehmens ein unverzichtbares Werkzeug, um unter Wahrung der notwendigen Datensicherheit und des Datenschutzes Banken it den geeigneten Informationen zeitnah, in der erforderlichen Qualität und Aktualität versorgen zu können. Um diese Datenqualität und Aktualität nbieten zu können, muss im Unternehmen aso ein Konzept entwickelt werden, aus dem sich ergibt, welche Daten wann und wie aus den unterschiedlichsten Unternehmensbereichen zusammengetragen und wie sie zu internen sowie externen Reportingzwecken aufbereitet werden müssen. In diesem Konzept ist aber - gerade weil diese Daten auch extern den Banken oder deren Ratingagenturen zugänglich gemacht werden - auch zu definieren, wie diese Daten vor unberechtigtem Zugriff, insbesondere vor Manipulation, geschützt und ihre Inhalte einem Backup unterzogen werden können. Damit unterliegen auch die diesen Kommunikationsund Reportingfunktionen dienenden IT-Systeme spezifischen IT-Sicherheitsanforderungen, die es kontinuierlich zu erfüllen gilt.
Aufgrund dieser aus Basel II abzuleitenden Anforderungen und Kriterien hat IT-Sicherheit für die Unternehmensleitung erheblich an Bedeutung nicht nur im Zusammenhang mit der allgemeinen gesetzlichen Verpflichtung zum Erkennen und Entgegenwirken von bestandsgefährdenden Risiken, sondern auch im Tagesgeschäft des Unternehmens gewonnen. Eine verantwortliche Unternehmensführung darf daher den Aspekt der IT-Sicherheit nicht mehr unbeachtet an den Rand des Unternehmensgeschehens in die alleinige Zuständigkeit des IT-Verantwortlichen schieben, vielmehr ist IT-Sicherheit für eine moderne und risikobewusste Unternehmensführung zu einer der zentralen Herausforderungen geworden, der sich jede Unternehmensführung verantwortungsvoll zu stellen hat.
7. Konkretisierung dieser Sorgfaltsmaßstäbe für den IT-Bereich anhand einiger
Beispielsfälle
7.1 Beispiel 1:
Mangelnde Katastrophenvorsorge
Die Tochter eines ausländischen Unternehmens verfügt zur Abwicklung ihrer Geschäfte in Deutschland über ein eigenes Rechenzentrum, das durch ein Feuer innerhalb des Gebäudes zerstört wird. Das Unternehmen verfügt weder über ein Ausweichrechenzentrum, noch bestehen sonstige Vorkehrungen, so dass die Wiederaufnahme der Datenverarbeitung erst nach mehren Wochen möglich ist.
In einem solchen Fall hätte der zuständige It-Leiter bereits aufgrund seiner Fachkompetenz wissen müssen, dass eine derartige Katastrophe zu immensen Schäden des Unternehmens führen muss, wenn eine schnelle Wiederaufnahme der Datenverarbeitung nicht möglich ist. Aus diesem Grunde hätte er jedenfalls für entsprechende Vorkehrungen Sorge tragen müssen. Hat der IT-Leiter dieser Gefahr nicht vorgebeugt, so ist dieses Verhalten auch in Anbetracht der zu erwartenden hohen Schäden, die bis zum Konkurs des Unternehmens führen können, als zumindest grob fahrlässig zu bewerten.
7.2 Beispiel 2:
Unzureichende Katastrophenvorsorge
Das Unternehmen verfügt zwar über einen Sicherheits- und Vorsorgeplan und hat auch entsprechende Kapazitäten in einem fremden Rechenzentrum angemietet, allerdings ist dieser Plan veraltet, so dass wichtige Datenbestände im Katastrophenfall verloren gehen.
Auch in diesem Fall hätte der IT-Leiter aufgrund seiner Fachkompetenz und Erfahrung wissen müssen, dass der Katastrophenplan und das Datensicherungskonzept regelmäßig überarbeitet und an die veränderten Anforderungen im Unternehmen angepasst werden müssen. Kommt er dieser Pflicht nicht nach, so handelt er grob fahrlässig und haftet folglich für die Schäden, die einem Arbeitgeber entstanden sind.
7.3 Beispiel 3:
Eingeschleppte Viren
Eine Steuerberatersozietät setzt zum Erstellen und Bearbeiten ihres Schriftverkehrs ein Textverarbeitungssystem, kombiniert mit einer Datenbankanwendung in einem Netzwerk ein. Ein Steuerberater erhält von einem Mandanten eine CD-ROM mit steuerlich relevanten Daten zur weiteren Analyse. Der auf der CD-ROM gespeicherte Bootvirus gelangt auf diese Weise in das Netzwerk der Sozietät und zerstört eine Reihe von Dateien. Der Betrieb bricht zunächst zusammen und es kostet die Sozietät sehr viel unproduktive Zeit, das IT-System wieder herzustellen.
In einem solchen Fall wird man differenzieren müssen: Grundsätzlich trifft zunächst den zuständigen IT-Leiter die Verantwortung für aktuelle Virenerkennungs- und Entseuchungsprogramme zu sorgen. Darüber hinaus hat er sämtliche Mitarbeiter der Sozietät regelmäßig über die Gefahr von Computerviren aufzuklären, sie zu entsprechenden Vorsorgemaßnahmen anzuhalten und deren Einhaltung zu kontrollieren. Kommt der IT-Leiter dieser Pflicht nicht nach, so handelt er in Anbetracht der Bedeutung der Datenverarbeitung für den Betrieb, welche ein besonders sorgfältiges und aufmerksames Verhalten der Mitarbeiter erfordert, grob fahrlässig und haftet dem Arbeitgeber für den daraus entstehenden Schaden.
Kommt hingegen der IT-Leiter seiner Verpflichtung nach und verstößt der Steuerberater gegen diese Belehrung und überspielt die Daten auf der CDROM seiner Mandanten ohne vorherige Überprüfung auf das System, so handelt dieser grob fahrlässig, da er trotz mehrfacher Hinweise seiner Pflicht nicht
nachgekommen ist.
7.4 Beispiel 4:
Fehlerhafter Sicherungslauf
Bei der regelmäßig durchgeführten Sicherung des Daten- und Programmbestandes des Unternehmens
werden 95 Bänder kopiert, obwohl in Anbetracht der Datenmenge eigentlich 100 Bänder erforderlich gewesen wären, was dem zuständigen EDVMitarbeiter allerdings nicht aufgefallen ist. Als die Anlage ausfällt, stellt sich heraus, dass ein Teil der Daten nicht überspielt wurde.
Das Landesarbeitsgericht Bremen, das sich mit einem ähnlichen Fall zu befassen hatte, sah in einer derartigen Minimalabweichung zwischen kalkulierter und tatsächlich angefallener Datenmenge keinen hinreichenden Anhaltspunkt, um überhaupt ein Verschulden des EDV-Mitarbeiters annehmen zu können. Auch wenn man die Einschätzung des Gerichts nicht teilen wollte, so wäre doch regelmäßig von einer leichten Fahrlässigkeit des zuständigen Mitarbeiters auszugehen, so dass ein Schadenersatzanspruch des Unternehmens gegen den Arbeitnehmer wohl regelmäßig ausscheidet.
7.5 Beispiel 5:
Restrukturierung der EDV im Rahmen einer Outsourcingveinbarung
Ein Autozulieferbetrieb (Auftraggeber) hat seine gesamte Datenverarbeitung im Rahmen einer Outsourcingvereinbarung an einen Dienstleister übertragen, der sich unter anderem dazu verpflichtet hat, für eine Mindestverfügbarkeit bestimmt auf den von ihm zu betreibenden Servern laufenden Applikationen von 98,5 % p. a. während des Geschäftszeiten der Auftraggebers zu sorgen. Zu diesem Zweck wurden zwei Mitarbeiter des Dienstleisters abgestellt, die sich dauerhaft um die Pflege und Wartung des Netzwerks im Betrieb des Auftraggebers kümmern sollen. Als das Netzwerk wegen veränderter Produktionsabläufe bei den Kunden des Auftraggebers umgestellt werden soll, unterläuft einem Mitarbeiter des Dienstleisters leicht fahrlässig ein Missgeschick, das zum Absturz des gesamten Systems führt, woraufhin die Anwendungen für drei Tage still stehen.
Trotz des dreitägigen Stillstandes wird die jährliche Mindestverfügbarkeitsquote nicht unterschritten. Im Outsourcingvertrag hatte der zuständige Projektleiter des Auftraggebers sich jedoch mit der bloßen Vereinbarung dieser Mindestverfügbarkeitsquote zufrieden gegeben. Hätte er sich qualifiziert beraten lassen, wäre er darauf hingewiesen worden, dass für eine effektive Verfügbarkeitsquote noch weitere Eckdaten, wie beispielsweise die maximal zulässige Dauer eines Systemausfalles, gehören. Der Projektleiter glaubte jedoch bei Abfassung des Outsourcingvertrages auf einschlägige Beratung verzichten zu können. In Anbetracht der Bedeutung des Outsourcingvertrages für das Gesamtunternehmen und der darin notwendigen Bereitstellung effektiver Service-Level-Kriterien kann das Verhalten des Projektleiters, keinen qualifizierten Rat eingeholt zu haben, durchaus als mittlere Fahrlässigkeit, wenn nicht sogar als grobe Fahrlässigkeit mit den entsprechenden Folgen für eine Haftung des Projektleiters angesehen werden.
8. Wie kann sich der Arbeitnehmer / die Gesch ftsleitung vor einer möglichen Haftung schützen
Um eine Haftung zu vermeiden, sollte der Arbeitnehmer nicht nur gewissenhaft die ihm übertragenen Aufgaben wahrnehmen, zusätzlich muss er die Geschäftleitung über mögliche Risiken informieren, Lösungsvorschläge für Sicherheitsmängel in der Datenverarbeitung erarbeiten und ein angemessenes Budget beantragen. Die Analyse der erforderlichen Maßnahmen erfolgt am besten zusammen mit einem qualifizierten Berater, dessen Bericht an die Geschäftsleitung weiterzugeben ist. Mit Einschaltung eines qualifizierten Beraters kann sich der Arbeitnehmer stets auf dessen Expertise verlassen und im Zweifel auch hierauf verweisen. Auch sollte der IT-Manager die Geschäftsleitung über die Umsetzung des Projekts in regelmäßigen Abständen informieren. Lehnt die Geschäftsleitung die Vorschläge des IT- Managers ab, so sollte dieser
- die Risiken erneut aufzeigen und das eigene Vorgehen protokollieren,
- eine schriftliche Ablehnung seiner Vorschläge von der Geschäftsleitung verlangen oder die Ablehnung zumindest schriftlich, beispielsweise in Form eines Protokolls, gegenüber der Geschäftsleitung bestätigen,
- eine weitere Verantwortung zwar ablehnen, aber dennoch wiederholt auf die Gefahren hinweisen.
Die Geschäftsführung kann eine Haftung vermeiden, indem sie zunächst ihre Pflichten ordnungsgemäß erfüllt. Zu beachten ist, dass wesentliche Aufgaben nicht delegiert werden dürfen. Eine derartige Wahrnehmungspflicht besteht insbesondere für Aufgaben, die vom Geschäftsführer kraft seiner Führungsverantwortung (Leitung der Gesellschaft im ihm zugewiesenen Rahmen) und Handlungsverantwortung (Fälle der persönlich zugewiesenen Entscheidung), sowie der Ressortverantwortung (Leitung des eigenen Ressorts) nicht übertragen werden dürfen. Gibt die Geschäftsführung derartige Pflichten in fremde Hände, so haftet sie für eingetretene Schäden aus Organisationsverschulden, ohne dass es auf ein Verschulden der Mitarbeiter ankäme.
Daneben besteht nach herrschender Meinung die Möglichkeit, eine Haftungsbeschränkung für fahrlässiges Verhalten im Geschäftsführervertrag zu vereinbaren. Entlasten die Gesellschafter den GmbH-Geschäftsführer, obwohl aus der Rechnungslegung Schadensersatzansprüche ersichtlich sind, so sind derartige Ersatzansprüche gemäß § 46 Nr. 5 GmbH-Gesetz ausgeschlossen. Diese so genannte Präklusionswirkung der Entlastung ergibt sich aus einem Umkehrschluss zum Recht der Aktiengesellschaft. Gemäß § 120 Abs. 2 S. 2 Aktiengesetz führt eine Entlastung des Vorstands nämlich gerade nicht zum Verzicht auf Ersatzansprüche.
Auch besteht keine Haftung des Geschäftsführers für die Befolgung von Weisungen der Gesellschafter, gegen die er sich zuvor verwahrt hat.
9. Die gesetzliche Haftung nach dem Urheberrechtsgesetz
9.1 Die Verwendung nicht lizenzierter Software
- Zum einen kann der Verletzte den eigenen Schaden, einschließlich des entgangenen Gewinns geltend machen. Verwertungsgesellschaften billigt die Rechtsprechung überdies als Ersatz für die teils erheblichen Kosten der Rechtsverfolgung die Möglichkeit zu, einen Zuschlag von 100 % zu den üblichen Tarifgebühren zu verlangen.
- Ist ein konkreter Schaden für den Verletzten nur schwer zu beweisen oder ist dieser sehr niedrig, so kann der Verletzte anstelle des konkret eingetretenen Schadens auch die übliche Lizenzgebühr verlangen.
- Der Verletzte kann an Stelle des eigenen Schadens auch Herausgabe des Reingewinns verlangen, den der Schädiger mit der Benutzung des fremden Rechts erzielt hat.
Um eine möglichst günstige Wahl zu treffen, muss der Anspruchsinhaber wissen, welche Form der Schadensberechnung für ihn am günstigsten ist. Zu diesem Zweck steht ihm ein Anspruch auf Auskunft und Rechnungslegung gegen den Schutzrechtsverletzer zu.
Zudem stehen dem Verletzten die verschuldensunabhängigen Ansprüche auf Beseitigung, sprich Löschung, Unterlassung der Nutzung sowie Vernichtung des Programms zu. Da diese Ansprüche gegenüber dem schuldlos Handelnden teils zu Unbilligkeiten führen können, kann der Beseitigungs- und Unterlassungsanspruch durch Zahlung einer Geldentschädigung abgewendet werden, vorausgesetzt, den Schädiger trifft kein Verschulden.
Der verschuldensunabhängige Vernichtungsanspruch bezieht sich bei Software auf sämtliche Raubkopien, die der Täter im Besitz hat. Daneben kann auch die Vernichtung solcher Vorrichtungen verlangt werden, die ausschließlich der rechtswidrigen Herstellung der Vervielfältigungsstücke zu dienen bestimmt sind.
Anstelle der Vernichtung kann der Anspruchsinhaber gegen Zahlung einer angemessenen Entschädigung, welche die Herstellungskosten nicht übersteigen darf, auch Herausgabe der Raubkopien und Kopiervorrichtungen verlangen. Schließlich steht dem Verletzten auch noch ein verschuldensunabhänger Bereicherungsanspruch gemäß § 812 Abs. 1 S. 1 Alt. 2 BGB auf Zahlung einer angemessenen Lizenzgebühr zu.
9.2 Die Haftung des Unternehmens für Urheberrechtsverstösse Ihrer Mitarbeiter
Wird in einem Unternehmen nicht lizenzierte Software verwendet, so haftet die Gesellschaft, da es sich hierbei regelmäßig um eine juristische Person handelt, die selbst kein Verschulden treffen kann, nach § 100 S. 1 UrhG. § 100 UrhG sieht eine Haftung des Unternehmens nach den §§ 97- 99 UrhG mit Ausnahme des Anspruchs auf Schadensersatz vor. Grund einer derart strengen Haftung ist, dass der Inhaber eines Unternehmens, dem die Urheberrechtsverletzung zugute kommt, gehindert sein soll, sich hinter Dritten zu verstecken, die für ihn gehandelt haben. Aus diesem Grunde haftet er auch, wenn die Rechtsverletzung ohne oder gegen seinen Willen begangen worden ist.
Somit stehen dem Anspruchsinhaber zunächst einmal die Ansprüche auf Beseitigung und Unterlassung gemäß §§ 100 S. 1 i.V.m. 97 Abs. 1 S. 1 UrhG, § 1004 BGB zu. Daneben kann er aus Bereicherungsrecht die Herausgabe einer angemessenen Lizenzgebühr verlangen. Allerdings lässt § 100 S. 2 UrhG eine weiter gehende Haftung nach anderen gesetzlichen Bestimmungen ausdrücklich zu. Somit kommt wiederum eine unmittelbare Haftung nach § 97 UrhG in Betracht, wenn dem Unternehmen ein schuldhaftes Verhalten Dritter zurechenbar ist. Gemäß § 31 BGB haftet die Gesellschaft beispielsweise für das Verschulden ihrer Organe, sprich ihrer verfassungsmäßig berufenen Vertreter. Des Weiteren erfolgt eine Zurechnung des Verschuldens nach § 278 BGB für Erfüllungsgehilfen, wenn die Verletzung des Schutzrechts in Erfüllung einer Verbindlichkeit gegenüber dem Anspruchsinhaber erfolgte. Schließlich haftet das Unternehmen gemäß § 831 BGB für Rechtsgutsverletzungen ihrer Verrichtungsgehilfen.
9.3 Die strafrechtliche Verantwortlichkeit für Urheberrechtsverstösse
Nicht selten wird übersehen, dass Verstöße gegen urheberrechtliche Schutzrechte auch eine strafrechtliche Verantwortlichkeit nach sich ziehen können. Die Verletzung geistigen Eigentums wird nicht selten noch als Kavaliersdelikt angesehen, obgleich hierdurch immense wirtschaftliche
Schäden entstehen.
Nach § 106 Abs. 1 UrhG macht sich strafbar, wer "in anderen als den gesetzlich zugelassenen Fällen ohne Einwilligung des Berechtigten ein Werk oder eine Bearbeitung oder eine Umgestaltung des Werkes (vorsätzlich) vervielfältigt, verbreitet oder öffentlich wiedergibt". Gemäß § 106 Abs. 2 UrhG ist der Versuch strafbar. Vervielfältigungen zum privaten und sonstigen Gebrauch sind
nach § 53 UrhG grundsätzlich zulässig. Dies gilt allerdings gemäß §§ 69 a, 69 c UrhG nicht für Computerprogramme, so dass das Herstellen von Raubkopien gleich zu welchem Zweck strafbar ist. Die Gegenstände, die durch die Tat hervorgebracht wurden, bzw. die für die Begehung der Tat erforderlich waren, können gemäß § 110 UrhG eingezogen werden. Da § 110 UrhG auf § 74 a StGB verweist, ist es im Übrigen nicht erforderlich, dass die benutzen Gegenstände dem Täter selbst gehören. Somit kann auch das Eigentum des Unternehmens unter den Voraussetzungen des §§ 74 a, 75 StGB eingezogen werden.
Zudem stellt sich die Frage, ob auch leitende Mitarbeiter des Unternehmens für Straftaten ihrer Untergebenen verantwortlich gemacht werden können, wenn sie hiervon Kenntnis erlangt haben und nichts gegen die Tat unternommen haben. Zwar gilt im Strafrecht der Grundsatz der Eigenverantwortung des Menschen, so dass eine Pflicht, fremde Straftaten zu verhindern, grundsätzlich nicht besteht, hiervon werden allerdings im Bereich der Unternehmenskriminalität Ausnahmen gemacht. Zum einen trifft die Geschäftsführung eine arbeitsrechtliche Fürsorgepflicht, so dass sie aus diesem Grunde ihr bekannt werdende Straftaten, die sich gegen die Belegschaft richten, verhindern muss. Auch wird eine weitergehende Verantwortlichkeit dann angenommen, wenn der Mitarbeiter gerade seine Stellung im Betrieb missbraucht hat und nur auf diese Weise die Straftat begehen konnte.
Eine für Urheberrechtsverstöße gegebenenfalls zu zahlende Geldstrafe geht an die Staatskasse und kann nicht von dem Geschädigten vereinnahmt werden; auch eventuell sogar verhängte Freiheitsstrafe kommt dem Geschädigten nicht zugute. Warum kann es aber dennoch auf Seiten der geschädigten Urheber oder Lizenzgeber ein Interesse an einer Strafverfolgung geben? Die erfolgreiche (gerichtliche) Geltendmachung von Unterlassungs- und Schadensersatzansprüchen gemäß § 97 UrhG setzt voraus, dass der Geschädigte alle zur Anspruchsbegründung erforderlichen Tatsachen darlegen und beweisen kann. Gerade im Bereich der Unternehmens-IT spielen sich jedoch urheberrechtswidrige Vorgänge aus Sicht des Geschädigten im Verborgenen, also ohne jegliche Einsichtsmöglichkeit für den Geschädigten ab; er hat keine Chance, an die notwendigen Informationen und Beweismittel zu kommen, um seinen Anspruch vor Gericht durchzusetzen. Gelingt es dem Geschädigten aber, die Einleitung eines strafrechtlichen Ermittlungsverfahrens zu erreichen, dann werden die Ermittlungen von der Staatsanwaltschaft mit allen dieser nach der Strafprozessordnung (StPO) zur Verfügung stehenden Mitteln geführt; im Rahmen eines solchen Verfahrens können Hausdurchsuchungen durchgeführt und Beweismittel beschlagnahmt werden. Nach Abschluss des Ermittlungsverfahrens hat der Geschädigte gemäß § 406 e StPO die Möglichkeit, die Ermittlungsakte einzusehen und dort die notwendigen Informationen zur Begründung seiner Unterlassungs- und Schadensersatzansprüche aufzunehmen. Das strafrechtliche Ermittlungsverfahren wird also weniger um der Bestrafung des Urheberrechtsverletzers willen, sondern vielmehr zur Vorbereitung der (zivilrechtlichen) Durchsetzung insbesondere von
Schadensersatzansprüchen genutzt.
9.4 Beispiel 6:
Kopieren von Software
Ein Mitarbeiter im Rechenzentrum kopiert Software für private Zwecke, welche der Arbeitgeber ordnungsgemäß erworben hat. Zwar weiß die Geschäftsführung von diesen Vorfällen, unternimmt jedoch nichts, um den hoch qualifizierten Mitarbeiter nicht zu verlieren. In einem solchen Fall
macht sich nicht nur der Mitarbeiter gemäß § 106 UrhG strafbar, auch die Geschäftsleitung ist gemäß §§ 106 UrhG i.V.m. § 13 Strafgesetzbuch strafbar, da sie die Straftaten ihres Mitarbeiters nicht verhindert hat, obgleich sie hiervon wusste und die Möglichkeit hatte, die Taten zu verhüten. Zudem hat der Vorgesetzte des betroffenen Mitarbeiters vorsätzlich seine Aufsichtspflicht verletzt. Nutzt dies ein Mitarbeiter, um gegen Pflichten zu verstoßen, die auch das Unternehmen treffen, so begeht der Vorgesetzte (leitender Angestellter) eine Ordnungswidrigkeit nach § 130 des Gesetzes über Ordnungswidrigkeiten (OWiG), die mit einer Geldbuße bis zu ¤ 500.000,00 geahndet werden kann. Zudem kann auch das Unternehmen selbst mit einer Geldbuße ebenfalls bis zu ¤ 500.000,00 gemäß § 30 OWiG belegt werden.
Prof. Dr. Joachim Schrey
Rechtsanwalt & Partner Clifford Chance
Mainzer Landstraße 46
60325 Frankfurt am Main
Tel.: +49 - (0) 69 - 71 99 - 22 95
Fax: +49 - (0) 69 - 71 99 - 40 00
E-Mail: joachim.schrey@cliffordchance.com
Seite drucken