Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator? Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Fachanwalt für Arbeitsrecht.
Download ReportTranscript Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator? Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Fachanwalt für Arbeitsrecht.
Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator? Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Fachanwalt für Arbeitsrecht Überblick Teil 1 Grundzüge der Arbeitnehmerhaftung Teil 2 Delegation – klare Verantwortungen Teil 3 Typische Risikofelder Teil 1 Grundzüge der Arbeitnehmerhaftung Inhalt Was bedeutet Arbeitnehmerhaftung? Rechtliche Vorgaben Voraussetzungen der Haftung Inhalt Was bedeutet Arbeitnehmerhaftung? Rechtliche Vorgaben Voraussetzungen der Haftung Arbeitnehmerhaftung Begriff Der Begriff Arbeitnehmerhaftung beschreibt die Haftung des AN für solche Schäden, die er seinem AG in Verrichtung seiner beruflichen Tätigkeiten zufügt. Ziele Es geht also um die Klärung der Frage, ob und wenn ja, in welchem Umfang, ein AN für Schäden verantwortlich gemacht werden kann, die ihm in Erfüllung seiner arbeitsvertraglichen Pflichten unterlaufen. Inhalt Was bedeutet Arbeitnehmerhaftung? Rechtliche Vorgaben Voraussetzungen der Haftung Rechtliche Vorgaben Grundsatz: Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die Schäden zu ersetzen, die er auch zu vertreten hat (Stichwort Verschulden). Gehaftet wird für - vertragliche Pflichtverletzungen (§ 280 Abs. 1 BGB) - unerlaubte Handlungen (§ 823 ff. BGB) Bezogen auf den Arbeitsvertrag sind somit relevant - Verstöße gegen arbeitsvertragliche Pflichten - Verletzungen von absolut geschützten Rechten oder Schutzrechten Einschränkungen im Arbeitsverhältnis § 619a BGB – Beweislastumkehr Bei einem Verstoß gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen, dass der Schaden auf ein Verschulden des AN zurückzuführen ist. Haftungsbeschränkung bei „betrieblich veranlasster Tätigkeit“ (sog. „innerbetrieblicher Schadensausgleich“) Dazu später mehr. Inhalt Was bedeutet Arbeitnehmerhaftung? Rechtliche Vorgaben Voraussetzungen der Haftung Voraussetzungen der Haftung eines Arbeitnehmers Es müssen vorliegen Verletzungshandlung Schaden Kausalität Verschulden Verletzungshandlung Pflichtverletzung (§ 280 Abs. 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht maßgeblich in erster Linie Vorgaben des Arbeitsvertrages daneben Grundsatz, dass berufsgruppenspezifische Fertigkeiten und Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind Rechtsgutsverletzung (§ 823 ff. BGB) Verletzung Rechtsgütern wie Leib, Leben, Gesundheit oder Eigentum Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen Schaden Der AG muss einen Schaden erlitten haben. Schaden ist jede Einbuße an Lebens- oder Vermögensgütern. Schadensarten Vermögensschäden Nichtvermögensschäden - §§ 249 - 252 BGB - § 253 BGB - alle Nachteile, die sich geldwert beziffern lassen - wenig relevant; nur wenn durch Gesetz ausdrücklich bestimmt - im Prinzip nur Schmerzensgeld Typische Vermögensschäden Restitutionskosten für geschädigte Rechtsgüter Kosten aufgrund einer Haftung gegenüber Dritten (Gewährleistung, Schadensersatz) entgangener Gewinn ferner Heil- und Pflegekosten bei Personenschäden Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme von Versicherungen Kosten der Rechtsverfolgung / -verteidigung Kausalität Ursächlicher Zusammenhang Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein. Kausal ist ein Verhalten wenn: ohne das Verhalten die Rechtsgutsverletzung ausgeblieben wäre und das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umständen zu der Verletzung führen konnte Verschulden Grundsätzlich wird für Vorsatz und jede Form der Fahrlässigkeit gehaftet. Vorsatz liegt vor bei bewusstem und gewolltem Handeln. Fahrlässigkeit liegt vor, wenn der AN die für seine Arbeit erforderliche Sorgfalt außer Acht lässt. Haftungsbeschränkung im Arbeitsverhältnis Der AN haftet nur begrenzt gegenüber dem AG. Die Haftung ist abhängig vom Grad des Verschuldens - keine Haftung bei leichter Fahrlässigkeit - quotale Haftung bei mittlerer Fahrlässigkeit - volle Haftung bei Vorsatz des AN bzgl. Pflichtverstoß und Schaden (Urt. des BAG vom 18.04.2002) Leichte Fahrlässigkeit geringfügige und leicht entschuldbare Pflichtwidrigkeiten, die jedem Arbeitnehmer unterlaufen können. „Schussel!“ Beispiele: Sich vergreifen Sich versprechen Sich vertun Leichte(ste) Fahrlässigkeit Keine Haftung! Mittlere Fahrlässigkeit Normale Fahrlässigkeit: Außerachtlassen der erforderlichen Sorgfalt ohne Vorwurf besonderer Schwere, wenn bei Anwendung der gebotenen Sorgfalt der Schaden vorhersehbar und vermeidbar gewesen wäre. „Trottel“. Haftungsquote je nach Verschuldensgrad, Gefährlichkeit der Arbeit, Schadenshöhe, Gehaltshöhe, Stellung des Arbeitnehmers, „Sozialdaten“, Deckbarkeit durch Versicherung, Mitverschulden Arbeitgeber durch Unterlassen von Kontrollen oder Organisationsmaßnahmen Grobe Fahrlässigkeit Leichtfertigkeit: Außerachtlassen der erforderlichen Sorgfalt nach den gesamten Umständen in ungewöhnlich hohem Masse, wenn unbeachtet bleibt, was „jedem“ hätte einleuchten müssen - „Idiot!“ - subj. Maßstab Haftungsquote grundsätzlich 100 % Arbeitnehmer Ausnahme: Missverhältnis Schaden - Gehalt BAG: 1 Gehalt kein Problem Vorsatz Bedingter Vorsatz reicht: Wenn nicht nur die Pflichtverletzung, sondern auch der Eintritt des Schadens vorausgesehen und zumindestens billigend in Kauf genommen wird - „Schuft!“ Haftungsquote grundsätzlich 100 % Arbeitnehmer Ausnahme: Mitverschulden Arbeitgeber Mitverschulden Arbeitgeber Mitverursachung des Schadens, Mängel bei Schadensabwendung Beispiele: Fehlerhafte Anweisungen Organisationsmängel Überforderung des Arbeitnehmers Mängel bei Schadensabwendung Mängel bei Schadensminderung Schädigung Dritter Neben oder anstelle des AG kann ein AN auch Dritte verletzen. grundsätzlich: Verpflichtung des AN zum Schadensersatz gegenüber dem Dritten (z.B. gemäß § 823 BGB) jedoch: Freistellungsanspruch des AN gegenüber dem AG, wenn die Voraussetzungen der Haftungsbeschränkung vorliegen Keine Abdingbarkeit Die Regeln der Haftungsbeschränkung sind nach der Rechtsprechung des BAG einseitig zwingendes Arbeitnehmerrecht. Sie sind daher nicht abdingbar, weder durch Arbeitsvertrag, noch durch Betriebsvereinbarungen oder Tarifverträge. Konstruktionen über Risikoprämien sind möglich, aber nicht sinnvoll. Unerlaubte private Internetnutzung Auch hierdurch können dem AG Schäden entstehen. Beispiel: Virenbefall der Computeranlage Hier greift Haftungsprivilegierung allenfalls äußerst eingeschränkt – idR jedoch gar nicht! AN haftet gegenüber AG voll Grund: fehlende Schutzwürdigkeit des AN, da nicht zu Arbeitsaufgaben zählt Teil 2 Delegation Klare Verantwortungen Inhalt Begriff der Delegation Warum delegieren? Was zu beachten ist Inhalt Begriff der Delegation Warum delegieren? Was zu beachten ist Delegation von Aufgaben Aufgabendelegation beschreibt den Prozess der Aufgabenübertragung durch eine Führungskraft auf einen Mitarbeiter. Dabei muss die Führungskraft dem Mitarbeiter die dafür notwendigen Befugnisse einräumen, sicherstellen, dass der Mitarbeiter über die notwendigen Kompetenzen verfügt, einen Teil der Verantwortung für die Erledigung der Aufgabe übertragen, die Aufgabenausführung und deren Ergebnis überprüfen. Möglichkeiten der Delegation Normalfall: Delegation einzelner Aufgaben Möglich aber ebenso: Delegation komplexer Tätigkeitsbereiche, Projekte oder Funktionen im Unternehmen Delegation des Erreichens eines Ziels Inhalt Begriff der Delegation Warum delegieren? Was zu beachten ist Vorteile der Delegation… Wer Aufgaben richtig delegiert, hat mehr Zeit für die wichtigen Dinge. Der Blick für Prioritäten schärft sich. Aufgaben werden von Personen mit entsprechender Qualifikation erfüllt. Führungskräfte setzen sich mit dem Potential ihrer Mitarbeiter stärker auseinander. Mitarbeiter können sich besser entwickeln. …auch für Ihr Unternehmen Möglichkeit den Bereich der IT-Sicherheit an fachkundige Mitarbeiter zu übertragen. Keine Kenntnis vom Gebiet der IT-Sicherheit beim Delegierenden notwendig, um Haftung zu vermeiden. Gehaftet wird nur noch für die sorgfältige Auswahl des Mitarbeiters sowie Überwachung der Aufgabenausführung und des Ergebnisses. Inhalt Begriff der Delegation Warum delegieren? Was zu beachten ist Voraussetzungen „ordentlicher“ Delegation Zwei grundlegende Aspekte 1. Auswahl der verantwortlichen Mitarbeiter 2. Sicherstellung einer hinreichenden Organisationsstruktur Die Mitarbeiterauswahl Die Auswahl der richtigen Person ist Grundvoraussetzung jeder ordentlichen Delegation. Delegiert werden sollte nur an fachlich kompetente und generell zuverlässige Mitarbeiter. Beispiel IT-Sicherheitsbeauftragter Will eine Geschäftsführung den Posten eines IT-Sicherheitsbeauftragten einrichten, sollte sie bei der Personalentscheidung Folgendes beachten: Der Mitarbeiter sollte ein „Experte“ auf dem Gebiet der IT-Sicherheit sein, über entsprechende Nachweise ihrer Erfahrung verfügen. Soll sie auch Personal führen, muss sie entsprechende Führungserfahrung besitzen. Keine Zweifel an der Zuverlässigkeit der Person vorliegen. Delegation von Verantwortung Delegiert wird auch Verantwortung - jedoch nur zum Teil: Möglich ist Delegation der fachlichen Verantwortung und der Handlungsverantwortung. Führungsverantwortung verbleibt bei der Geschäftsführung. Klare Verantwortungen schaffen Wichtig ist eine klare Festlegung von Inhalt und Umfang der übertragenen Verantwortungen. Grund: 1. Delegierter muss seine Befugnisse und Verpflichtungen kennen. 2. Möglichkeit der Haftungserleichterung des Delegierenden für den übertragenen Bereich; Exkulpation § 831 Abs.2 S.1 BGB; Delegierender haftet dann nur bei Organisationsverschulden. Organisationsverschulden Delegierender haftet für: Auswahlverschulden (oben behandelt) Instruktionsverschulden Fehler bei der Unterweisung des Delegierten Kontrollverschulden fehlerhafte Überwachung/Prüfung der Arbeitsweise/Ergebnisse Organisationsstruktur Wichtig daher: Schaffung einer strukturierten Organisation für die jeweilige Delegation durch klare Beschreibung und Abgrenzung der Aufgaben und der übertragenen Verantwortungen (Schaffung eines Rahmens), ggf. Anleitung, wie bestimmte Aufgaben zu erfüllen sind. Ordnungsgemäße Delegation haftungsrechtliche Folgen Liegt kein Führungsverschulden vor, haftet Delegierender nicht für Schäden aufgrund unerlaubter Handlungen des Delegierten (§ 831 Abs.1 S.2 BGB). Delegierter haftet selbst aus § 823 BGB. Haftung im Bereich vertraglicher Verpflichtungen bleibt unverändert. AG haftet ggü. Vertragspartner gemäß § 278 BGB für Mitarbeiterverschulden. Interner Regress nur nach innerbetrieblichen Schadensausgleich möglich. Teil 3 Typische Risikofelder Schutzbereich des Urheberrechts Geschützt sind durch das Urheberrecht Werke der Literatur Wissenschaft Kunst sofern sie persönliche geistige Schöpfungen sind (§§ 1, 2 Abs. 2 UrhG). Auch Computerprogramme fallen darunter (§ 2 Abs.1 Nr.1 UrhG). Zwei Angriffsrichtungen Urheberrechtsverletzungen durch AN können aus zweierlei Bereichen erfolgen. 1. Im Rahmen der Arbeitsleistung, 2. durch private Internetnutzung am Arbeitsplatz. Im Rahmen der Arbeitsleistung Verwendung von urheberrechtlich geschütztem Material zur Erbringung der eigenen Arbeitsleistung Beispiele: Kopieren fremder Texte für eigene Homepage, Bücher, Anleitungen Verwendung von fremden Bildmaterial Verwendung fremder Programme, Programmteile oder Routinen Kein Verstoß durch Verwendung fremder Ideen! Private Internetnutzung Unternehmens-IT bietet Möglichkeiten und Anreize für den AN Download von geschützten Werken wie Musik (.mp3), Filmen oder Programmen Filesharing (Bereitstellen der Daten auch zum Upload) Betreiben illegaler Download Server (FTP Server) Möglichkeiten strafrechtlich relevanten Handelns des AN Missbräuchliche Nutzung der Unternehmens-IT für z.B.: § 130 StGB Volksverhetzung § 184b StGB Verbreitung, Erwerb und Besitz kinderpornographischer Schriften § 263a StGB Computerbetrug Urheberrechtsverletzungen durch Filesharing Fehlverhalten bei der Arbeit im IT-Bereich allgemein § 202a-c StGB Ausspähen und Abfangen von Daten § 303a StGB Datenveränderung § 303b Computersabotage § 317 StGB Störung von Telekommunikationsanlagen Möglichkeiten strafrechtlich relevanten Handelns des AN Auch im Intranet z.B. durch § 185-187 StGB Beleidigung, üble Nachrede oder Verleumdung z.B. durch Verbreitung ehrverletzender oder wahrheitswidriger Behauptungen über Kollegen oder den AG § 238 StGB Stalking z.B. andauernde Belästigung unter Verwendung von Telekommunikationsmitteln …und noch einmal die Rechtsprechung Urteil des AG Hannover vom 28.04.2005 (10 Ca 791/04) Das unaufgeforderte Weiterleiten von Dateien mit pornographischem Inhalt im Intranet an Dritte erfüllt den Straftatbestande von § 184 Abs 1 Nr 6 StGB. Eine strafbare Handlung durch Datenmissbrauch ist eine so schwerwiegende Vertragsverletzung, dass sie einen Grund für eine Beendigungskündigung darstellt. Strafrecht kann auch die Unternehmensleitung treffen Vorsicht ist geboten, denn: Strafrechtliche Relevanz besteht auch für die Unternehmensleitung! Stichwort „Beihilfe“ (§ 27 StGB) Kenntnis der Unternehmensleitung von missbräuchlicher Nutzung der Unternehmens-IT führt zu Handlungszwang, sofortige Gegenmaßnahmen sind zu ergreifen, sonst droht Gefahr des Vorwurfs der Beihilfe. § 202a StGB Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. § 202b StGB Abfangen von Daten Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. § 202 c StGB (1) Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend. Worte des Gesetzgebers Drucksache 16/3656 vom 30.11.2006 „Erfasst werden insbesondere die so genannten Hacker-Tools, die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, und die aus dem Internet weitgehend anonym geladen werden können. Insbesondere die durch das Internet mögliche Weiterverbreitung und leichte Verfügbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar, die nur dadurch effektiv bekämpft werden kann, dass bereits die Verbreitung solcher an sich gefährlichen Mittel unter Strafe gestellt wird.“ „Somit ist sichergestellt, dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools, -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen. Das Programm muss aber nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein. Es reicht, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist.“ Optimismus der Regierung Sicht der Bundesregierung „Die Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert. Einerseits muss es sich objektiv um ein Computerprogramm handeln, dessen Zweck die Begehung einer Computerstraftat ist, und andererseits muss die Tathandlung – also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen – zur Vorbereitung einer Computerstraftat erfolgen.“ Dann ist „gutwillige“ Nutzung nicht strafbar! ABER … Abstraktes Gefährdungsdelikt, daher kein Antragsdelikt (dagegen fordern §§ 202a, 202b Strafantrag, obwohl Täter geschütztes Rechtsgut verletzt) Auffangtatbestand bei Beweisnot Objektiver Tatbestand Computerprogramm geeignet, Abläufe eines Computers zu steuern Skripte, die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloße Beschreibung von Sicherheitslücken, da kein Computerprogramm zugänglich gemacht wird. Objektiver Tatbestand Zweck „…deren Zweck die Begehung einer solchen Tat ist …“ Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware Nicht Programmiersprachen, kommerzielle Sicherheitssoftware Schwierig: Dual-use Programme Zweck wird durch den Anwender bestimmt Art 6 Cybercrime Convention „… designed or adapted primarily for the purpose of committing…“ Subjektiver Tatbestand bedingter Vorsatz“ genügt Ein Täter muss zumindest billigend in Kauf nehmen, durch die Handlung eine Computerstraftat zu ermöglichen oder zu fördern. Selbständiges subjektives Tatbestandsmerkmal „Wer eine Straftat nach … vorbereitet, indem er …“ Keine Kriminalisierung bei Einwilligung (z.B. Penetrationstest) Überschießende Innentendenz: Täter oder Dritter muss eine Straftat in Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein, entsprechend muss auch der Vorsatz konkretisiert sein (umstritten; aA: Täter handelt in dem Bewusstsein, dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen können) Das Grundgesetz Aufgabe des Gesetzgebers: Überkriminalisierung durch hinreichend bestimmte Fassung von Straftatbeständen vorbeugen Art. 103 Abs. 2 GG „Eine Tat kann nur bestraft werden, wenn die Strafbarkeit gesetzlich bestimmt war, bevor die Tat begangen wurde.“ Kritische Situationen Hacking Live-Demonstration Einsatz von dual-use-Programmen Öffentliche/halb-öffentliche Foren: Abwehrstrategien gegen Schadprogramme … Noch nicht alles.. Auswirkung für Arbeitsverhältnisse Risiken für IT-Administratoren und Mitarbeiter der ITAbteilungen So entscheiden Arbeitsgerichte LAG Hamm vom 04.02.2004 (Az.: 9 Sa 502/03) 1. Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfügung, der nur unter Verwendung eines Passworts in Betrieb genommen werden kann, welches der Arbeitnehmer selbst bestimmt, hat dies ohne Hinzutreten weiterer Umstände (z.B. Erlaubnis oder Duldung privater Nutzung) nicht die Folge, dass die auf der Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen "private" Dateien darstellen. Der Arbeitgeber kann jedenfalls aus begründetem Anlass ohne Einverständnis des betroffenen Arbeitnehmers Zugriff auf diese Dateien nehmen. 2. Das Speichern von 17 "Hacker"-Dateien, unter denen sich eine Datei zum Entschlüsseln des "BIOS"-Passworts befindet, stellt grundsätzlich einen Grund zur fristlosen Kündigung des Arbeitnehmers dar. Die abschließende Interessenabwägung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen, wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre seine Arbeitsleistung unbeanstandet erbracht hat. Verhaltensempfehlungen Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen als Arbeitnehmer als Dienstleister Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsächliche Verwendung Unveränderbare Speicherung zu Beweiszwecken Weitergabe von Passwörter § 202 c StGB Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er 1. zu Passwörter oder sonstige Sicherungscodes, die den Zugang Daten (§ 202 a Abs. 2) ermöglichen, oder … herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. Kritische Situationen Weitergabe von Passwörter bei Abwesenheit, z.B. Urlaub oder Krankheit „billigend in Kauf nehmen“ Weitergabe Passwörter an externe Dienstleister BGH zur Haftung des Compliance Officer Der BGH hat in seinem Urteil vom 17.07.2009 (Az 5 StR 394/08) einen Leiter einer Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von 120 Tagessätzen verurteilt. Dieses Urteil hat auch wesentliche Bedeutung für das persönliche Haftungsrisiko von Compliance Officern. Für eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog. Garantenpflicht). Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des öffentlichen Rechts. Die Garantenpflicht folge aus der Überlegung, dass denjenigen, dem Obhutspflichten für eine bestimmte Gefahrenquelle übertragen seien, dann auch eine „Sonderverantwortlichkeit“ für die Integrität des von ihm übernommenen Verantwortungsbereichs treffe. Maßgeblich sei die Bestimmung des Verantwortungsbereichs, den der Verpflichtete übernommen habe. Das Gericht erwähnt in seinem Urteil explizit auch Compliance Officer in Unternehmen: „ … Deren Aufgabengebiet ist die Verhinderung von Rechtsverstößen, insbesondere auch von Straftaten, die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können (vgl. Bürkle in Hauschka aaO S. 128 ff.). Derartige Beauftragte wird regelmäßig strafrechtlich eine Garantenpflicht im Sinne des § 13 StGB treffen, solche im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern. Dies ist die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu verhindern (vgl. Kraft/Winkler CCZ 2009, 29, 32). …“ Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden. Er soll dafür einstehen, dass Straftaten im Unternehmen nicht vorkommen. Dies wird in der Praxis sehr schwer zu erreichen sein. Auch das beste Compliance-System wird nicht verhindern können, dass Unternehmensangehörige Straftaten begehen. Aufgabe von Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen, organisatorische Voraussetzungen zu schaffen, um das Haftungsrisiko für Unternehmen und Unternehmensleiter zu verringern. Fazit Konsequenz der Entscheidung für Compliance Officer ist, darauf zu achten, dass ihre Zuständigkeit, Aufgaben und Befugnisse klar geregelt werden. Dies kann etwa im Arbeitsvertrag oder einer Stellenbeschreibung erfolgen. Zudem zeigt das Urteil das mögliche persönliche Haftungsrisiko eines Compliance Officers auf, der gut beraten ist, gegenüber seinem Arbeitgeber auf haftungsbeschränkende Maßnahmen für seine Person zu drängen. Kündigung Administrator Missbrauch von Zugriffsrechten Das Landesarbeitsgericht Köln hat in einem Urteil vom 14.05.2010 (Az.: 4 Sa 1257/09) zu der Frage Stellung genommen, ob eine Kündigung des ITAdministrators wegen Missbrauchs von Zugriffsrechten zulässig ist. Streitpunkt war eine fristlose Kündigung. Das Landesarbeitsgericht weist deutlich darauf hin, dass der Mitarbeiter seine Pflichten als Computer-Administrator mehrfach grob verletzt hat. Es war dann zu einer Abmahnung gekommen, die anschließend neue Pflichten nach sich zog. Der Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte ausgedruckt. Er räumte ein, dass er schon vorher einige Mails aus Vorstandspostkästchen geöffnet hatte. Im vorliegenden Fall kam ergänzend hinzu, dass der Mitarbeiter auch als Innenrevisor tätig war. Hier stellte aber das Landesarbeitsgericht Köln klar, dass diese Aufgabe als Innenrevisor ihm nicht das Recht gab, aus freien Stücken und ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner Administratorenrechte Datenbestände des Vorstands, insbesondere E-Mails, und den Vorstandskalender einzusehen. Im Ergebnis wurde vom Landesarbeitsgericht Köln die fristlose Kündigung als rechtmäßig bestätigt. Haben Sie noch Fragen? Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Fachanwalt für Arbeitsrecht Rechtsanwalt Timo Bönig Georgsplatz 9 · 30159 Hannover Tel. 0511 / 473906-01 Fax 0511 / 473906-09 kanzlei @ recht-freundlich.de