computerwoche.de

Compliance & Recht

Geschäftsleitung - Administrator - Arbeitnehmer

Wer ist für die Sicherheit der Firmen-IT verantwortlich?

17.12.2009
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.
Alle Posts des Autors Email:

Arbeitnehmer

Arbeitnehmer haben sich grundsätzlich an die Weisungen des Arbeitgebers und ihrer Vorgesetzten zu halten. Das betrifft selbstverständlich auch die Befolgung von IT-Sicherheitsvorkehrungen. Verstöße können mit einer Abmahnung oder gar einer Kündigung geahndet werden.

Prinzipiell müssen sich Arbeitnehmer sorgfältig verhalten. Ein Arbeitnehmer, der seine Sorgfaltspflicht verletzt, kann sich schadensersatzpflichtig machen. Auch ohne explizite Anweisungen kann erwartet werden, dass auf privat genutzten Notebooks Virenscanner auf dem aktuellen Stand gehalten werden. Dagegen wird die komplizierte Einrichtung sonstiger Sicherheitsprogramme kaum verlangt werden können. Verursacht ein Computervirus trotz Einhaltung aller gebotenen Sicherheitsmaßnahmen auf dem Notebook einen Schaden oder kann das Virus unbemerkt in das Firmennetzwerk eindringen, so ist es dem Arbeitgeber mangels schuldhaften Handelns des Angestellten verwehrt, von diesem Schadensersatz zu fordern. Im Übrigen gilt im Arbeitsrecht der Grundsatz, dass dem Arbeitnehmer ein Verschulden von Seiten des Unternehmens stets nachgewiesen werden muss.

Doch selbst wenn sich der Angestellte sorgfaltswidrig verhalten hat, beispielsweise seinen Virenscanner nicht aktualisiert hat oder Betriebssystemupdates aus Nachlässigkeit wochenlang auf später verschoben hat, so wird er sich auf ein Mitverschulden des IT-Verantwortlichen berufen können, wenn das Unternehmen seinerseits nicht die erforderlichen Risikovorkehrungen getroffen, Notfallplanungen aufgestellt und Verhaltensanweisungen zur Risikominimierung an die Angestellten ausgegeben hat. Solche Versäumnisse seitens des Unternehmens können im Extremfall dazu führen, dass der Angestellte im Ergebnis den Schaden trotz sorgfaltswidrigen Verhaltens nicht begleichen muss.

Thomas Feil ist Rechtsanwalt, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover.

Kontakt:

Tel.: 0511 473906-01, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de

Alexander Fiedler ist Dipl.-Jurist und Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover.

Kontakt:

E-Mail: fiedler@iri.uni-hannover.de