Haftung in IT-Projekten für Geschäftsführer, IT-Leiter und Freelancer

Redaktion IT-Onlinemagazin 28. Januar 2015

Wir befragten Rechtsanwältin Dr. Kerstin Heiß, RESMEDIA – Kanzlei für IT-Recht, E-Commerce und gewerblichen Rechtsschutz zu den Haftungsrisiken für Geschäftsführer, IT-Leiter, Projektleiter und Freelancer in IT-Projekten.

 

IT-Onlinemagazin: Frau Dr. Heiß, IT-Projekte tragen das Risiko des Scheiterns in sich. Besteht für den Geschäftsführer ein Haftungsrisiko, wenn dieser Fall eintritt? Wofür haftet er gegebenenfalls?

Haftung für Geschäftsführer Projektleiter Freelancer in ProjektenDr. Kerstin Heiß: Das Risiko des Scheiterns von IT-Projekten ist geradezu ein Musterbeispiel für Risiken, die jede Geschäftsleitung rechtzeitig erkennen und begrenzen sollte.

Der Geschäftsführer einer GmbH hat im Rahmen seiner allgemeinen Leitungsfunktion auch die gesetzlichen Vorgaben zur IT-Sicherheit zu beachten. Nicht nur bei Datenverlust steht der Geschäftsführer schnell persönlich in der Haftung. Projektrisiken sind umso höher einzustufen, je stärker ein Scheitern des jeweiligen Projekts den Bestand des Auftrag gebenden Unternehmens gefährden kann.

Zu den überwachungsbedürftigen Risiken gehören allgemein auch Risiken aus dem Ausfall von IT- Systemen durch vorhersehbare Systemfehler, Angriffe aus dem Netz und in Einzelfällen auch Risiken aus der Nutzung nicht lizenzierter Software durch Mitarbeiter.

Die Konsequenzen von Störungen und Ausfällen betrieblicher IT-Systeme oder aus massiven Angriffen Dritter aus dem Internet auf das IT-System können zur zeitweisen Unterbrechung der gesamten Produktion und/oder Geschäftstätigkeit führen (insbesondere bei unzureichender Datensicherung) und damit rasch zur Insolvenz des betroffenen Unternehmens.

Deshalb gehört auch die Überwachung des gesicherten Ablaufs der Funktionen betrieblicher IT-Systeme zur notwendigen Bestandssicherung, ebenso aber das Vorbeugen von Risiken aus Verzögerung oder gar Scheitern von IT- Projekten.

Bei Verletzung o.g. Pflichten durch Nichtanwendung der erforderlichen Sorgfalt haften die Mitglieder der Geschäftsleitung gegenüber dem Unternehmen, für das sie handeln, persönlich auf Ersatz entstandener Schäden. Dies ergibt sich aus dem GmbHG für Geschäftsführer und nach dem Aktiengesetz für Vorstände einer AG.

 

Selbst wenn er Kontrollmaßnahmen oder ein Risikomanagement durchführt, kann das Projekt ja immer noch scheitern. Kann ein Geschäftsführer sich überhaupt wirksam absichern?

Der Geschäftsführer haftet nicht zwangsläufig im Falle des Scheiterns eines IT-Projekts. Konkret haftet der Geschäftsführer nur dann, wenn er objektiv eine das Geschäftsführungsmitglied obliegende Verpflichtung nicht erfüllt hat.

Der Geschäftsführer einer GmbH kann sich insofern von seiner Haftung exkulpieren, wenn er glaubhaft machen kann, dass er die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat, beispielsweise indem er zuverlässige und umfassende Sicherungsroutinen durchgeführt hat. Da er die Pflicht zur Gewährleistung einer angemessenen IT-Sicherheit in der Regel an Mitarbeiter delegiert, bleibt er für die Auswahl der jeweiligen fachlich geeigneten Mitarbeiter, deren Aufsicht sowie angemessene Unterstützung verpflichtet.

Haftungsrisiken kann der Geschäftsführer einer Gesellschaft generell dadurch begegnen, dass er geeignete Maßnahmen trifft, die sicherstellen, dass im Unternehmen frühzeitig Entwicklungen erkannt werden, die den Fortbestand des Unternehmens gefährden – indem er also ein Überwachungssystem einrichtet. Angesichts des Gefahrenpotentials der neuen Informationstechnologien zählt dazu die Schaffung und Erhaltung einer angemessenen IT-Sicherheit.

IT-Projekte müssen selbstverständlich einzeln kontrolliert werden. Bei mehreren Geschäftsführern ist zu beachten, dass eine Gesamtverantwortung besteht, von der die einzelnen Geschäftsführer nicht einfach durch Zuständigkeitsteilung frei werden können. Insgesamt aber gilt, dass Vorbeugung besser ist als Schadensbegrenzung. Dementsprechend empfiehlt es sich, die innerbetrieblichen Abläufe zu qualifizieren und zu dokumentieren.

 

Inwieweit müssen sich IT-Leiter, die oft die interne Projektleitung verantworten oder delegieren, oder ein IT-Freiberufler, der für das Projekt eingekauft wurde und es federführend durchführt, Fragen zur Haftung stellen?

Bei Fragen der Haftung gilt es zu unterscheiden zwischen der Haftung eines IT-Verantwortlichen, der als Angestellter im Unternehmen tätig ist und der Haftung eines IT-Freiberuflers, der hinsichtlich der Haftung genauso zu behandeln ist wie jeder andere externe Dienstleister.

Angestellte unterliegen einer privilegierten Haftung. Allerdings sind IT-Verantwortliche häufig leitende Angestellte. Kennzeichnend für einen leitenden Angestellten ist generell, dass er für das Unternehmen oder den Betrieb in eigener Verantwortung typische Unternehmensfunktionen mit einem eigenen nicht unerheblichen Entscheidungsspielraum wahrnimmt. Da er aufgrund seiner Tätigkeit dem Arbeitgeber sehr nahe steht, gelten für ihn zahlreiche arbeitsrechtliche Besonderheiten.

Die Grundsätze der privilegierten Arbeitnehmerhaftung gelten für leitende Angestellte aber nur, sofern der dem Arbeitgeber zugefügte Schaden nicht bei einer für die Position charakteristischen Entscheidung oder Tätigkeit entstanden ist.

Wenn ein leitender Angestellter zum Beispiel leicht fahrlässig einen Verkehrsunfall verursacht, ist er bezüglich des Schadens am Fahrzeug gegenüber dem Arbeitgeber haftungsprivilegiert. Veranlasst er aber beispielsweise im Rahmen seiner Tätigkeit als IT-Verantwortlicher durch nicht hinreichende Sicherungsmaßnahmen erhebliche Vermögensschäden, kann er sich nicht auf eine Haftungsprivilegierung berufen.

Als prinzipielle Schutzmöglichkeit von IT-Verantwortlichen hinsichtlich einer drohenden Haftung kommen – gleich auf welcher Hierarchieebene- eine vertragsrechtliche oder eine versicherungsrechtliche Lösung in Betracht:

Für Geschäftsführer einer GmbH besteht die Möglichkeit, mögliche Haftungsbeschränkungen bereits in ihrem Anstellungsvertrag auszuschließen oder einzuschränken. Diese Möglichkeit ist allerdings wenig verbreitet und dementsprechend schwierig durchzusetzen. Daneben bleibt die versicherungstechnische Lösung, d.h. eine Directors and- Officers (D&O) Versicherung mit ausreichender Deckungssumme für Geschäftsführer und IT-Verantwortliche abzuschließen.

Für Arbeitnehmer ist das Haftungspotential gegenüber dem Unternehmen und erst recht gegenüber außen stehenden Dritten aufgrund der dargestellten Grundsätze abgemildert.

Externe IT- Dienstleister können wiederum ihre Haftung versicherungsrechtlich und vertragsrechtlich regeln. Sie werden in aller Regel zunächst versuchen, ggfls. unter Hinweis auf ihr standardvertraglichen Regelungen eine Haftungsbegrenzung oder, sofern rechtlich möglich und wirksam darstellbar, auch einen Haftungsausschluss zu vereinbaren. Daneben empfiehlt sich dringend der Abschluss einer IT-Haftpflichtversicherung mit ausreichender Deckungssumme.

 

Können Sie eine alltagstaugliche Empfehlung zur Absicherung der Zusammenarbeit in Projekten abgeben?

Eine Absicherung sollte in erster Linie darin liegen, die bestehenden Verpflichtungen zu erfüllen und die innerbetrieblichen Abläufe zu qualifizieren und zu dokumentieren.

Zur Minimierung des persönlichen Haftungsrisikos empfiehlt sich daneben stets eine D&O-Versicherung für Geschäftsführer und IT-Verantwortliche.

Der GmbH-Geschäftsführer sowie der IT-Verantwortliche sollten ferner im eigenen Interesse und im Sinne des Risikomanagements versuchen, die Risiken gegenüber Dritten durch eine geeignete IT-Haftpflichtversicherung mit ausreichend hohen Versicherungssummen zu minimieren. Dafür sollte die IT-Haftpflichtversicherung eine Vermögensschadenhaftpflichtversicherung und eine Betriebshaftpflichtversicherung enthalten.

 

Vielen Dank, Frau Dr. Heiß.

 Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Tags

Das IT-Onlinemagazin ist Medienpartner der Transformation World 2024

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

SAP-Cybersecurity

SAST Solutions schließt sich IT-Security Verbund an und internationalisiert

SAST SOLUTIONS, der Hamburger Spezialist für SAP Security und Access Governance, gehört ab sofort zur …

Telefon: +49 5121 102865 E-Mail: info [ a t ] it-onlinemagazin.de
© Copyright 2024 IT-Onlinemagazin. Alle Texte sind urheberrechtlich geschützt. All Rights Reserved