Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator?

Veröffentlicht von:Suse Lehn Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator?"—  Präsentation transkript:

1 Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator?
Rechtsanwalt Thomas Feil Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator? Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Fachanwalt für Arbeitsrecht

2 Überblick Teil 1 Grundzüge der Arbeitnehmerhaftung Teil 2 Delegation – klare Verantwortungen Teil 3 Typische Risikofelder

3 Grundzüge der Arbeitnehmerhaftung
Teil 1 Grundzüge der Arbeitnehmerhaftung

4 Inhalt Was bedeutet Arbeitnehmerhaftung? Rechtliche Vorgaben
Voraussetzungen der Haftung

5 Was bedeutet Arbeitnehmerhaftung?
Inhalt Was bedeutet Arbeitnehmerhaftung? Rechtliche Vorgaben Voraussetzungen der Haftung

6 Arbeitnehmerhaftung Begriff Ziele
Der Begriff Arbeitnehmerhaftung beschreibt die Haftung des AN für solche Schäden, die er seinem AG in Verrichtung seiner beruflichen Tätigkeiten zufügt. Ziele Es geht also um die Klärung der Frage, ob und wenn ja, in welchem Umfang, ein AN für Schäden verantwortlich gemacht werden kann, die ihm in Erfüllung seiner arbeitsvertraglichen Pflichten unterlaufen.

7 Inhalt Rechtliche Vorgaben Was bedeutet Arbeitnehmerhaftung?
Voraussetzungen der Haftung

8 Rechtliche Vorgaben Grundsatz:
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die Schäden zu ersetzen, die er auch zu vertreten hat (Stichwort Verschulden). Gehaftet wird für - vertragliche Pflichtverletzungen (§ 280 Abs. 1 BGB) - unerlaubte Handlungen (§ 823 ff. BGB) Bezogen auf den Arbeitsvertrag sind somit relevant - Verstöße gegen arbeitsvertragliche Pflichten - Verletzungen von absolut geschützten Rechten oder Schutzrechten

9 Einschränkungen im Arbeitsverhältnis
§ 619a BGB – Beweislastumkehr Bei einem Verstoß gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen, dass der Schaden auf ein Verschulden des AN zurückzuführen ist. Haftungsbeschränkung bei „betrieblich veranlasster Tätigkeit“ (sog. „innerbetrieblicher Schadensausgleich“) Dazu später mehr.

10 Voraussetzungen der Haftung
Inhalt Was bedeutet Arbeitnehmerhaftung? Rechtliche Vorgaben Voraussetzungen der Haftung

11 Voraussetzungen der Haftung eines Arbeitnehmers
Es müssen vorliegen Verletzungshandlung Schaden Kausalität Verschulden

12 Verletzungshandlung Pflichtverletzung (§ 280 Abs. 1 BGB)
gemeint ist Verletzung einer arbeitsvertraglichen Pflicht maßgeblich in erster Linie Vorgaben des Arbeitsvertrages daneben Grundsatz, dass berufsgruppenspezifische Fertigkeiten und Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind Rechtsgutsverletzung (§ 823 ff. BGB) Verletzung Rechtsgütern wie Leib, Leben, Gesundheit oder Eigentum Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen

13 Nichtvermögensschäden
Schaden Der AG muss einen Schaden erlitten haben. Schaden ist jede Einbuße an Lebens- oder Vermögensgütern. Schadensarten Vermögensschäden §§ BGB - alle Nachteile, die sich geldwert beziffern lassen Nichtvermögensschäden § 253 BGB wenig relevant; nur wenn durch Gesetz ausdrücklich bestimmt im Prinzip nur Schmerzensgeld

14 Typische Vermögensschäden
Restitutionskosten für geschädigte Rechtsgüter Kosten aufgrund einer Haftung gegenüber Dritten (Gewährleistung, Schadensersatz) entgangener Gewinn ferner Heil- und Pflegekosten bei Personenschäden Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme von Versicherungen Kosten der Rechtsverfolgung / -verteidigung

15 Kausalität Ursächlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein. Kausal ist ein Verhalten wenn: ohne das Verhalten die Rechtsgutsverletzung ausgeblieben wäre und das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umständen zu der Verletzung führen konnte

16 Verschulden Grundsätzlich wird für Vorsatz und jede Form der Fahrlässigkeit gehaftet. Vorsatz liegt vor bei bewusstem und gewolltem Handeln. Fahrlässigkeit liegt vor, wenn der AN die für seine Arbeit erforderliche Sorgfalt außer Acht lässt.

17 Haftungsbeschränkung im Arbeitsverhältnis
Der AN haftet nur begrenzt gegenüber dem AG. Die Haftung ist abhängig vom Grad des Verschuldens - keine Haftung bei leichter Fahrlässigkeit - quotale Haftung bei mittlerer Fahrlässigkeit - volle Haftung bei Vorsatz des AN bzgl. Pflichtverstoß und Schaden (Urt. des BAG vom )

18 Leichte Fahrlässigkeit
geringfügige und leicht entschuldbare Pflichtwidrigkeiten, die jedem Arbeitnehmer unterlaufen können. „Schussel!“ Beispiele: Sich vergreifen Sich versprechen Sich vertun Leichte(ste) Fahrlässigkeit Keine Haftung!

19 Mittlere Fahrlässigkeit
Normale Fahrlässigkeit: Außerachtlassen der erforderlichen Sorgfalt ohne Vorwurf besonderer Schwere, wenn bei Anwendung der gebotenen Sorgfalt der Schaden vorhersehbar und vermeidbar gewesen wäre. „Trottel“. Haftungsquote je nach Verschuldensgrad, Gefährlichkeit der Arbeit, Schadenshöhe, Gehaltshöhe, Stellung des Arbeitnehmers, „Sozialdaten“, Deckbarkeit durch Versicherung, Mitverschulden Arbeitgeber durch Unterlassen von Kontrollen oder Organisationsmaßnahmen

20 Grobe Fahrlässigkeit Leichtfertigkeit: Außerachtlassen der erforderlichen Sorgfalt nach den gesamten Umständen in ungewöhnlich hohem Masse, wenn unbeachtet bleibt, was „jedem“ hätte einleuchten müssen - „Idiot!“ - subj. Maßstab Haftungsquote grundsätzlich 100 % Arbeitnehmer Ausnahme: Missverhältnis Schaden - Gehalt BAG: 1 Gehalt kein Problem

21 Vorsatz Bedingter Vorsatz reicht: Wenn nicht nur die Pflichtverletzung, sondern auch der Eintritt des Schadens vorausgesehen und zumindestens billigend in Kauf genommen wird - „Schuft!“ Haftungsquote grundsätzlich 100 % Arbeitnehmer Ausnahme: Mitverschulden Arbeitgeber

22 Mitverschulden Arbeitgeber
Mitverursachung des Schadens, Mängel bei Schadensabwendung Beispiele: Fehlerhafte Anweisungen Organisationsmängel Überforderung des Arbeitnehmers Mängel bei Schadensabwendung Mängel bei Schadensminderung

23 Schädigung Dritter Neben oder anstelle des AG kann ein AN auch Dritte verletzen.  grundsätzlich: Verpflichtung des AN zum Schadensersatz gegenüber dem Dritten (z.B. gemäß § 823 BGB)  jedoch: Freistellungsanspruch des AN gegenüber dem AG, wenn die Voraussetzungen der Haftungsbeschränkung vorliegen

24 Keine Abdingbarkeit Die Regeln der Haftungsbeschränkung sind nach der Rechtsprechung des BAG einseitig zwingendes Arbeitnehmerrecht. Sie sind daher nicht abdingbar, weder durch Arbeitsvertrag, noch durch Betriebsvereinbarungen oder Tarifverträge. Konstruktionen über Risikoprämien sind möglich, aber nicht sinnvoll.

25 Unerlaubte private Internetnutzung
Auch hierdurch können dem AG Schäden entstehen. Beispiel: Virenbefall der Computeranlage Hier greift Haftungsprivilegierung allenfalls äußerst eingeschränkt – idR jedoch gar nicht! AN haftet gegenüber AG voll Grund: fehlende Schutzwürdigkeit des AN, da nicht zu Arbeitsaufgaben zählt

26 Klare Verantwortungen
Teil 2 Delegation Klare Verantwortungen

27 Inhalt Begriff der Delegation Warum delegieren? Was zu beachten ist

28 Begriff der Delegation
Inhalt Begriff der Delegation Warum delegieren? Was zu beachten ist

29 Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der Aufgabenübertragung durch eine Führungskraft auf einen Mitarbeiter. Dabei muss die Führungskraft dem Mitarbeiter die dafür notwendigen Befugnisse einräumen, sicherstellen, dass der Mitarbeiter über die notwendigen Kompetenzen verfügt, einen Teil der Verantwortung für die Erledigung der Aufgabe übertragen, die Aufgabenausführung und deren Ergebnis überprüfen.

30 Möglichkeiten der Delegation
Normalfall: Delegation einzelner Aufgaben Möglich aber ebenso: Delegation komplexer Tätigkeitsbereiche, Projekte oder Funktionen im Unternehmen Delegation des Erreichens eines Ziels

31 Inhalt Begriff der Delegation Warum delegieren? Was zu beachten ist

32 Vorteile der Delegation…
Wer Aufgaben richtig delegiert, hat mehr Zeit für die wichtigen Dinge. Der Blick für Prioritäten schärft sich. Aufgaben werden von Personen mit entsprechender Qualifikation erfüllt. Führungskräfte setzen sich mit dem Potential ihrer Mitarbeiter stärker auseinander. Mitarbeiter können sich besser entwickeln.

33 …auch für Ihr Unternehmen
Möglichkeit den Bereich der IT-Sicherheit an fachkundige Mitarbeiter zu übertragen. Keine Kenntnis vom Gebiet der IT-Sicherheit beim Delegierenden notwendig, um Haftung zu vermeiden. Gehaftet wird nur noch für die sorgfältige Auswahl des Mitarbeiters sowie Überwachung der Aufgabenausführung und des Ergebnisses.

34 Inhalt Begriff der Delegation Warum delegieren? Was zu beachten ist

35 Voraussetzungen „ordentlicher“ Delegation
Zwei grundlegende Aspekte 1. Auswahl der verantwortlichen Mitarbeiter 2. Sicherstellung einer hinreichenden Organisationsstruktur

36 Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder ordentlichen Delegation. Delegiert werden sollte nur an fachlich kompetente und generell zuverlässige Mitarbeiter.

37 Beispiel IT-Sicherheitsbeauftragter
Will eine Geschäftsführung den Posten eines IT-Sicherheitsbeauftragten einrichten, sollte sie bei der Personalentscheidung Folgendes beachten: Der Mitarbeiter sollte ein „Experte“ auf dem Gebiet der IT-Sicherheit sein, über entsprechende Nachweise ihrer Erfahrung verfügen. Soll sie auch Personal führen, muss sie entsprechende Führungserfahrung besitzen. Keine Zweifel an der Zuverlässigkeit der Person vorliegen.

38 Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil: Möglich ist Delegation der fachlichen Verantwortung und der Handlungsverantwortung. Führungsverantwortung verbleibt bei der Geschäftsführung.

39 Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der übertragenen Verantwortungen. Grund: 1. Delegierter muss seine Befugnisse und Verpflichtungen kennen. 2. Möglichkeit der Haftungserleichterung des Delegierenden für den übertragenen Bereich; Exkulpation § 831 Abs.2 S.1 BGB; Delegierender haftet dann nur bei Organisationsverschulden.

40 Organisationsverschulden
Delegierender haftet für: Auswahlverschulden (oben behandelt) Instruktionsverschulden Fehler bei der Unterweisung des Delegierten Kontrollverschulden fehlerhafte Überwachung/Prüfung der Arbeitsweise/Ergebnisse

41 Organisationsstruktur
Wichtig daher: Schaffung einer strukturierten Organisation für die jeweilige Delegation durch klare Beschreibung und Abgrenzung der Aufgaben und der übertragenen Verantwortungen (Schaffung eines Rahmens), ggf. Anleitung, wie bestimmte Aufgaben zu erfüllen sind.

42 Ordnungsgemäße Delegation haftungsrechtliche Folgen
Liegt kein Führungsverschulden vor, haftet Delegierender nicht für Schäden aufgrund unerlaubter Handlungen des Delegierten (§ 831 Abs.1 S.2 BGB). Delegierter haftet selbst aus § 823 BGB. Haftung im Bereich vertraglicher Verpflichtungen bleibt unverändert. AG haftet ggü. Vertragspartner gemäß § 278 BGB für Mitarbeiterverschulden. Interner Regress nur nach innerbetrieblichen Schadensausgleich möglich.

43 Typische Risikofelder
Teil 3 Typische Risikofelder

44 Schutzbereich des Urheberrechts
Geschützt sind durch das Urheberrecht Werke der Literatur Wissenschaft Kunst sofern sie persönliche geistige Schöpfungen sind (§§ 1, 2 Abs. 2 UrhG). Auch Computerprogramme fallen darunter (§ 2 Abs.1 Nr.1 UrhG).

45 Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN können aus zweierlei Bereichen erfolgen. 1. Im Rahmen der Arbeitsleistung, 2. durch private Internetnutzung am Arbeitsplatz.

46 Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschütztem Material zur Erbringung der eigenen Arbeitsleistung Beispiele: Kopieren fremder Texte für eigene Homepage, Bücher, Anleitungen Verwendung von fremden Bildmaterial Verwendung fremder Programme, Programmteile oder Routinen Kein Verstoß durch Verwendung fremder Ideen!

47 Private Internetnutzung
Unternehmens-IT bietet Möglichkeiten und Anreize für den AN Download von geschützten Werken wie Musik (.mp3), Filmen oder Programmen Filesharing (Bereitstellen der Daten auch zum Upload) Betreiben illegaler Download Server (FTP Server)

48 Möglichkeiten strafrechtlich relevanten Handelns des AN
Missbräuchliche Nutzung der Unternehmens-IT für z.B.: § 130 StGB Volksverhetzung § 184b StGB Verbreitung, Erwerb und Besitz kinderpornographischer Schriften § 263a StGB Computerbetrug Urheberrechtsverletzungen durch Filesharing Fehlverhalten bei der Arbeit im IT-Bereich allgemein § 202a-c StGB Ausspähen und Abfangen von Daten § 303a StGB Datenveränderung § 303b Computersabotage § 317 StGB Störung von Telekommunikationsanlagen

49 Möglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet z.B. durch § StGB Beleidigung, üble Nachrede oder Verleumdung z.B. durch Verbreitung ehrverletzender oder wahrheitswidriger Behauptungen über Kollegen oder den AG § 238 StGB Stalking z.B. andauernde Belästigung unter Verwendung von Telekommunikationsmitteln

50 …und noch einmal die Rechtsprechung
Urteil des AG Hannover vom (10 Ca 791/04) Das unaufgeforderte Weiterleiten von Dateien mit pornographischem Inhalt im Intranet an Dritte erfüllt den Straftatbestande von § 184 Abs 1 Nr 6 StGB. Eine strafbare Handlung durch Datenmissbrauch ist eine so schwerwiegende Vertragsverletzung, dass sie einen Grund für eine Beendigungskündigung darstellt.

51 Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten, denn: Strafrechtliche Relevanz besteht auch für die Unternehmensleitung! Stichwort „Beihilfe“ (§ 27 StGB) Kenntnis der Unternehmensleitung von missbräuchlicher Nutzung der Unternehmens-IT führt zu Handlungszwang, sofortige Gegenmaßnahmen sind zu ergreifen, sonst droht Gefahr des Vorwurfs der Beihilfe.

52 § 202a StGB Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

53 § 202b StGB Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

54 § 202 c StGB (1) Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend.

55 Worte des Gesetzgebers
Drucksache 16/3656 vom „Erfasst werden insbesondere die so genannten Hacker-Tools, die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, und die aus dem Internet weitgehend anonym geladen werden können. Insbesondere die durch das Internet mögliche Weiterverbreitung und leichte Verfügbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar, die nur dadurch effektiv bekämpft werden kann, dass bereits die Verbreitung solcher an sich gefährlichen Mittel unter Strafe gestellt wird.“ „Somit ist sichergestellt, dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools, -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen. Das Programm muss aber nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein. Es reicht, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist.“

56 Optimismus der Regierung
Sicht der Bundesregierung „Die Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert. Einerseits muss es sich objektiv um ein Computerprogramm handeln, dessen Zweck die Begehung einer Computerstraftat ist, und andererseits muss die Tathandlung – also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen – zur Vorbereitung einer Computerstraftat erfolgen.“ Dann ist „gutwillige“ Nutzung nicht strafbar!

57 ABER … Abstraktes Gefährdungsdelikt, daher kein Antragsdelikt (dagegen fordern §§ 202a, 202b Strafantrag, obwohl Täter geschütztes Rechtsgut verletzt) Auffangtatbestand bei Beweisnot Objektiver Tatbestand Computerprogramm geeignet, Abläufe eines Computers zu steuern Skripte, die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloße Beschreibung von Sicherheitslücken, da kein Computerprogramm zugänglich gemacht wird.

58 Objektiver Tatbestand
Zweck „…deren Zweck die Begehung einer solchen Tat ist …“ Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware Nicht Programmiersprachen, kommerzielle Sicherheitssoftware Schwierig: Dual-use Programme Zweck wird durch den Anwender bestimmt Art 6 Cybercrime Convention „… designed or adapted primarily for the purpose of committing…“

59 Subjektiver Tatbestand
bedingter Vorsatz“ genügt Ein Täter muss zumindest billigend in Kauf nehmen, durch die Handlung eine Computerstraftat zu ermöglichen oder zu fördern. Selbständiges subjektives Tatbestandsmerkmal „Wer eine Straftat nach … vorbereitet, indem er …“ Keine Kriminalisierung bei Einwilligung (z.B. Penetrationstest) Überschießende Innentendenz: Täter oder Dritter muss eine Straftat in Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein, entsprechend muss auch der Vorsatz konkretisiert sein (umstritten; aA: Täter handelt in dem Bewusstsein, dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen können)

60 Das Grundgesetz Aufgabe des Gesetzgebers: Überkriminalisierung durch hinreichend bestimmte Fassung von Straftatbeständen vorbeugen Art. 103 Abs. 2 GG „Eine Tat kann nur bestraft werden, wenn die Strafbarkeit gesetzlich bestimmt war, bevor die Tat begangen wurde.“

61 Kritische Situationen
Hacking Live-Demonstration Einsatz von dual-use-Programmen Öffentliche/halb-öffentliche Foren: Abwehrstrategien gegen Schadprogramme

62 Noch nicht alles.. Auswirkung für Arbeitsverhältnisse
Risiken für IT-Administratoren und Mitarbeiter der IT-Abteilungen

63 So entscheiden Arbeitsgerichte
LAG Hamm vom (Az.: 9 Sa 502/03) 1. Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfügung, der nur unter Verwendung eines Passworts in Betrieb genommen werden kann, welches der Arbeitnehmer selbst bestimmt, hat dies ohne Hinzutreten weiterer Umstände (z.B. Erlaubnis oder Duldung privater Nutzung) nicht die Folge, dass die auf der Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen "private" Dateien darstellen. Der Arbeitgeber kann jedenfalls aus begründetem Anlass ohne Einverständnis des betroffenen Arbeitnehmers Zugriff auf diese Dateien nehmen. 2. Das Speichern von 17 "Hacker"-Dateien, unter denen sich eine Datei zum Entschlüsseln des "BIOS"-Passworts befindet, stellt grundsätzlich einen Grund zur fristlosen Kündigung des Arbeitnehmers dar. Die abschließende Interessenabwägung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen, wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre seine Arbeitsleistung unbeanstandet erbracht hat.

64 Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen als Arbeitnehmer als Dienstleister Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsächliche Verwendung Unveränderbare Speicherung zu Beweiszwecken

65 Weitergabe von Passwörter
§ 202 c StGB Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

66 Kritische Situationen
Weitergabe von Passwörter bei Abwesenheit, z.B. Urlaub oder Krankheit „billigend in Kauf nehmen“ Weitergabe Passwörter an externe Dienstleister

67 BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom (Az 5 StR 394/08) einen Leiter einer Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von 120 Tagessätzen verurteilt. Dieses Urteil hat auch wesentliche Bedeutung für das persönliche Haftungsrisiko von Compliance Officern. Für eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog. Garantenpflicht). Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des öffentlichen Rechts. Die Garantenpflicht folge aus der Überlegung, dass denjenigen, dem Obhutspflichten für eine bestimmte Gefahrenquelle übertragen seien, dann auch eine „Sonderverantwortlichkeit“ für die Integrität des von ihm übernommenen Verantwortungsbereichs treffe. Maßgeblich sei die Bestimmung des Verantwortungsbereichs, den der Verpflichtete übernommen habe.

68 Das Gericht erwähnt in seinem Urteil explizit auch Compliance Officer in Unternehmen:
„ … Deren Aufgabengebiet ist die Verhinderung von Rechtsverstößen, insbesondere auch von Straftaten, die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können (vgl. Bürkle in Hauschka aaO S. 128 ff.). Derartige Beauftragte wird regelmäßig strafrechtlich eine Garantenpflicht im Sinne des § 13 StGB treffen, solche im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern. Dies ist die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu verhindern (vgl. Kraft/Winkler CCZ 2009, 29, 32). …“ Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden. Er soll dafür einstehen, dass Straftaten im Unternehmen nicht vorkommen. Dies wird in der Praxis sehr schwer zu erreichen sein. Auch das beste Compliance-System wird nicht verhindern können, dass Unternehmensangehörige Straftaten begehen. Aufgabe von Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen, organisatorische Voraussetzungen zu schaffen, um das Haftungsrisiko für Unternehmen und Unternehmensleiter zu verringern.

69 Fazit Konsequenz der Entscheidung für Compliance Officer ist, darauf zu achten, dass ihre Zuständigkeit, Aufgaben und Befugnisse klar geregelt werden. Dies kann etwa im Arbeitsvertrag oder einer Stellenbeschreibung erfolgen. Zudem zeigt das Urteil das mögliche persönliche Haftungsrisiko eines Compliance Officers auf, der gut beraten ist, gegenüber seinem Arbeitgeber auf haftungsbeschränkende Maßnahmen für seine Person zu drängen.

70 Kündigung Administrator Missbrauch von Zugriffsrechten
Das Landesarbeitsgericht Köln hat in einem Urteil vom (Az.: 4 Sa 1257/09) zu der Frage Stellung genommen, ob eine Kündigung des IT-Administrators wegen Missbrauchs von Zugriffsrechten zulässig ist. Streitpunkt war eine fristlose Kündigung. Das Landesarbeitsgericht weist deutlich darauf hin, dass der Mitarbeiter seine Pflichten als Computer-Administrator mehrfach grob verletzt hat. Es war dann zu einer Abmahnung gekommen, die anschließend neue Pflichten nach sich zog. Der Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein Vorstandsmitglied gerichteten unter Nutzung seiner Administratorenrechte ausgedruckt. Er räumte ein, dass er schon vorher einige Mails aus Vorstandspostkästchen geöffnet hatte.

71 Im vorliegenden Fall kam ergänzend hinzu, dass der Mitarbeiter auch als Innenrevisor tätig war. Hier stellte aber das Landesarbeitsgericht Köln klar, dass diese Aufgabe als Innenrevisor ihm nicht das Recht gab, aus freien Stücken und ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner Administratorenrechte Datenbestände des Vorstands, insbesondere s, und den Vorstandskalender einzusehen. Im Ergebnis wurde vom Landesarbeitsgericht Köln die fristlose Kündigung als rechtmäßig bestätigt.

72 Haben Sie noch Fragen?

73 Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Fachanwalt für Arbeitsrecht Rechtsanwalt Timo Bönig Georgsplatz 9 · Hannover Tel / Fax 0511 / recht-freundlich.de

Herunterladen ppt "Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator?"

Ähnliche Präsentationen

Gerne unterbreite ich Ihnen ein konkretes Angebot

Gerne unterbreite ich Ihnen ein konkretes Angebot
Unterbringungsähnliche Maßnahmen in der rechtlichen Betreuung und Pflege 04. Februar 2009 Veranstalter ISGE (Institut für Soziale Arbeit und Gesundheit.

Unterbringungsähnliche Maßnahmen in der rechtlichen Betreuung und Pflege 04. Februar 2009 Veranstalter ISGE (Institut für Soziale Arbeit und Gesundheit.
Juristische Aspekte der IT-Sicherheit

Juristische Aspekte der IT-Sicherheit
Schaffung von Rechtsbewusstsein

Schaffung von Rechtsbewusstsein
Arbeitnehmerhaftung und Arbeitgeberrisiko

Arbeitnehmerhaftung und Arbeitgeberrisiko
Was tun, wenn die Arbeit nicht mehr zu schaffen ist?

Was tun, wenn die Arbeit nicht mehr zu schaffen ist?
Gesetzliche Bestimmungen zu

Gesetzliche Bestimmungen zu
Was versteht man unter Haftung? (1)

Was versteht man unter Haftung? (1)
Culpa in Contrahendo §§ 311 II, 241 II.

Culpa in Contrahendo §§ 311 II, 241 II.
Prüfungsthemen.

Prüfungsthemen.
Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.

Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.
Schadensausgleich im Arbeitsverhältnis

Schadensausgleich im Arbeitsverhältnis
Tutorium Privatrecht I + II

Tutorium Privatrecht I + II
Haftungsfragen bei Debit - Kartenzahlungsvorgängen

Haftungsfragen bei Debit - Kartenzahlungsvorgängen
Geplant zum 01.01.2002: Das Zweite Gesetz zur Änderung schadensersatzrechtlicher Vorschriften.

Geplant zum : Das Zweite Gesetz zur Änderung schadensersatzrechtlicher Vorschriften.
II. Teil: Individualarbeitsrecht

II. Teil: Individualarbeitsrecht
Versicherungsschutz im Ehrenamt

Versicherungsschutz im Ehrenamt
Datenschutz? Unwissenheit schützt vor Strafe nicht!

Datenschutz? Unwissenheit schützt vor Strafe nicht!
Hochschulen Online Rechtliche Fallbeispiele und ihre grundsätzliche Bedeutung Kassel, 19. Februar 2001 Joachim Lehnhardt.

Hochschulen Online Rechtliche Fallbeispiele und ihre grundsätzliche Bedeutung Kassel, 19. Februar 2001 Joachim Lehnhardt.
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Ähnliche Präsentationen

Google-Anzeigen