der CIO? Ein CIO ist dann gut, wenn er überlebt», sagte Rainer

Janßen, CIO der Münchener Rück, einmal anlässlich eines Interviews. In diesem prägnanten Satz liegt sicher ein Körnchen Wahrheit. Einerseits muss der

CIO den Wertbeitrag der IT im Unternehmen erhöhen und innovative Geschäftsprozesse zeitnah umsetzen. Anderer-seits steht er unter ständigem Kostendruck und muss den hohen Sicherheits- sowie Compliance-Anforderungen Ge-nüge tun. Der Umgang mit diesem Spannungsfeld ist be-reits heute anspruchsvoll und wird in den nächsten Jahren noch fordernder. Die ständig steigende Flut an relevanten Normen, die zunehmende Bedeutung der IT sowie neue, progressive Technologien wie Cloud Computing zwingen den CIO, sich künftig noch mehr zu exponieren. Damit ver-bunden ist die steigende Gefahr, Fehler zu begehen und dafür zur Verantwortung gezogen zu werden.

Haftung als arbeitneHmerDas Schweizer Recht sieht vor, dass der CIO als Arbeitneh-mer die ihm übertragene Arbeit sorgfältig auszuführen und die berechtigten Interessen des Arbeitgebers in guten Treuen zu wahren hat. Er ist für den Schaden verantwort-lich, den er dem Arbeitgeber absichtlich oder fahrlässig zufügt. Das Mass der anzuwendenden Sorgfalt bestimmt sich nach dem Arbeitsvertrag. Berücksichtigt werden ins-besondere Berufsrisiko, Bildungsgrad sowie die Fach-kenntnisse des CIOs.

Für den CIO ist es wichtig, dass seine Funktion im Ar-beitsvertrag genau umschrieben und zu anderen Funktio-nen klar abgegrenzt wird. Auch hat er kritisch zu prüfen, ob er die ihm übertragenen Aufgaben erfüllen kann. Denn wenn er Aufgaben übernimmt, denen er aufgrund seiner Ausbildung oder Leistungsfähigkeit nicht gewachsen ist,

kann ihm ein Übernahmeverschulden vorgeworfen werden, für das er unter gegebenen Voraussetzungen haftbar ge-macht werden kann.

Gestützt auf den Arbeitsvertrag, sind nur der Arbeitgeber und der Arbeitnehmer klageberechtigt. Daher kann es sinn-voll sein, die Haftung des CIOs gegenüber dem Arbeitgeber arbeitsvertraglich zu beschränken. Rechtlich möglich ist dies jedoch nur für leichte Fahrlässigkeit. Ein Haftungsaus-schluss für vorsätzliche oder grob fahrlässige Handlungen oder Unterlassungen ist demgegenüber nicht zulässig.

Haftung als OrganNicht nur als Arbeitnehmer ist der CIO Haftungsrisiken aus-gesetzt, sondern unter Umständen auch als eine Person, die mit der Geschäftsführung befasst ist. Unangenehm dabei ist, dass der CIO in solchen Fällen gemäss der relevanten aktienrechtlichen Bestimmung nicht nur gegenüber dem Unternehmen, sondern auch gegenüber den einzelnen Ak-tionären und Gesellschaftsgläubigern für den von ihm ab-sichtlich oder fahrlässig verursachten Schaden haftet. Ähn-liche Vorschriften bestehen im Übrigen auch bei anderen Gesellschaftsformen wie beispielsweise der GmbH.

Als Person, die mit der Geschäftsführung befasst ist und damit unter gegebenen Voraussetzungen als Organ haftbar gemacht werden kann, werden sowohl formelle als auch sogenannte faktische Organe der Gesellschaft verstanden. Formelle Organe sind bei einer Aktiengesellschaft die Mit-glieder des Verwaltungsrats. Als faktische Organe werden gemäss bundesgerichtlicher Rechtsprechung Personen verstanden, die Entscheide treffen, die tatsächlich Organen vorbehalten sind und so die Willensbildung der Gesell-schaft massgebend mitbestimmen. In der Praxis dürfte ein CIO vielfach als faktisches Organ zu qualifizieren sein. Die

Zur PErsOn Oliver Staffelbach Der Zürcher Anwalt hat über die Dekompilierung von Software promoviert und ein Nachdiplomstudium zu IT- und Immaterialgüter-recht in New York absolviert. Sein Fokus liegt im Lizenz-, Internet- und Software-Recht. Von seiner Kanzlei Wenger & Vieli wird er regelmässig zu Mergers-&- Acquisitions-Verhandlun-gen beigezogen.

gröSSte herauSfOrderung Die komplexen Vertrags-verhandlungen beim Out-sourcing-Projekt einer namhaften Bank.

BILD

ER: W

ENGE

R &

VIE

LI, C

OMPU

TERW

OCHE

Folge davon wäre, dass er nicht nur von der Gesellschaft, sondern unter Umständen auch von Aktionären oder Gläu-bigern haftbar gemacht werden kann.

Die Haftung des CIOs als Organ kann verhindert werden, indem seine konkrete Funktion in der Weise ausgestaltet wird, dass ihm keine Organstellung zukommt. Der CIO kann seine Funktion in der Gesellschaft und damit auch seine Stellung als Organ aber meist nicht beeinflussen. Eine wei-tere Möglichkeit der Haftungsverminderung sind Schadlos-haltungsklauseln zugunsten des CIOs. Diese verpflichten den Arbeitgeber, dem CIO den Schaden, der ihm durch An-sprüche von Dritten (zum Beispiel Aktionären) entsteht, zu ersetzen. Schliesslich werden teilweise Haftpflichtversiche-rungen zugunsten des CIOs abgeschlossen (sogenannte Directors & Officers Liability Insurances). Sie bieten jedoch keinen umfassenden Schutz.

transparenz und ausreicHende budgetsSowohl arbeitsvertragliche Haftungsbeschränkungen als auch Schadloshaltungsklauseln zugunsten des CIOs sind in der Praxis eher selten. Haftpflichtversicherungen helfen nur bei einem Teil der möglichen Risiken weiter. Welche anderen Möglichkeiten bestehen also? Oft unterschätzt der CIO die Wichtigkeit, Transparenz zu schaffen und Vorgänge zu doku-mentieren. Eine ursprünglich saubere und umfassende Do-kumentation ist kosteneffizienter als der Versuch, die erfor-derlichen Unterlagen im Nachhinein zusammenzutragen. Dadurch kann der CIO bei verursachten Schäden einen allen-falls erforderlichen Entlastungsbeweis erbringen. Denn bei Schadensfällen hat der Arbeitgeber lediglich die Vertragsver-letzung und den dadurch verursachten Schaden nachzuwei-sen. Es ist demgegenüber Sache des Arbeitnehmers, also des CIOs, zu beweisen, dass ihn kein Verschulden trifft.

Der CIO hat für ein ausgewogenes Verhältnis zwischen dem Einsatz technischer Mittel und dem notwendigen finanziel-len und personellen Aufwand zu sorgen. Vor allem bei ge-schäftskritischen Neuanschaffungen ist es dennoch wichtig, dass er ein für die erforderlichen Abklärungen ausreichendes Budget zur Verfügung hat. Denn bei mangelhaften IT-Projek-

ten schützt ein zu kleines Budget in der Regel nicht vor Haf-tungsansprüchen. Sollten etwa externe Berater für komplexe IT-Projekte nötig sein, müssen diese beigezogen und bezahlt werden können. Andernfalls läuft der CIO Gefahr, für verur-sachte Schäden haftbar gemacht zu werden.

cOmpliance-VerantwOrtungDer CIO hat zahlreiche Pflichten zu erfüllen, die sich insbe-sondere aus dem Arbeitsvertrag ergeben. In der Regel ist er bis zu einem gewissen Grad auch verantwortlich für

Die Anforderungen an den CIO steigen kontinuierlich. Durch die zunehmende Verzahnung von Technologie und recht sind dessen Aufgaben vielschichtiger denn je. Eine Anleitung zur Ver-minderung von Haftungsrisiken.

vOn Oliver Staffelbach

haftetwofür

die«Oft unterschätzt der CIO

Wichtigkeit,Vorgänge zu

dokumentieren»Oliver Staffelbach

38 Immer aktuell informiert www.computerworld.ch 39SwiSS ciO Haftungsrisiken minimieren

Compliance (Einhaltung der Gesetzgebung, Statuten, Bran-chenstandards, Weisungen etc.). Ein bewährter Ansatz ist, die Umsetzung der Compliance als Projekt mit drei Phasen anzugehen: In einer ersten Phase werden die relevanten Vorschriften ermittelt. In der zweiten Phase müssen diese Vorschriften auf die konkreten IT-Systeme des Unterneh-mens angewendet werden. Schliesslich ist die Einhaltung der Vorschriften im täglichen Betrieb sicherzustellen. Da sich Vorschriften ändern können, sollten zudem periodisch Überprüfungen erfolgen.

Thematisch hat sich das Verständnis von Compliance in den letzten Jahren verändert. Von einer ursprünglich punk-tuellen Betrachtung bestimmter Rechtsgebiete entwickelte sich die Compliance zu einer viel umfassenderen Sicht-weise, die heute unter anderem strafrechtliche, handels-rechtliche, steuerrechtliche, immaterialgüterrechtliche, datenschutzrechtliche, kartellrechtliche und lauterkeits-rechtliche Vorschriften erfasst. Allenfalls haben Schweizer Unternehmen zudem ausländische Gesetze, beispielsweise den Sorbanes-Oxley Act (US-Gesetz), zu befolgen.

gOVernance und interne ricHtlinienImmer wichtiger werden Governance-Regelwerke. Inwieweit deren Nichteinhaltung eine haftungsrelevante Sorgfalts-pfl ichtverletzung begründet, ist in der Schweiz noch nicht abschliessend geklärt. Fest steht immerhin, dass solche Empfehlungen in Haftungsprozessen vom Richter im Rah-men einer Prüfung der vorgeworfenen Pfl ichtverletzung bei-gezogen werden können. Die Bedeutung, die der Richter der Empfehlung beimisst, richtet sich dabei insbesondere nach dem Mass der Branchenüblichkeit.

Compliance setzt unter Umständen voraus, dass unter-nehmensinterne Reglemente und Richtlinien erlassen wer-den. Vielfach ist es beispielsweise sinnvoll, die Internet- und E-Mail-Überwachung am Arbeitsplatz festzulegen. Eine erste Orientierungshilfe für ein entsprechendes Reglement kann das «Musterreglement über die Internet- und E-Mail-Überwachung am Arbeitsplatz» des Eidgenössischen Daten-schutz- und Öffentlichkeitsbeauftragten sein, das auf www.edoeb.admin.ch unentgeltlich erhältlich ist. Weiter kann es sich insbesondere aufdrängen, die Nutzung von sozialen Medien durch die Arbeitnehmer in Richtlinien zu defi nieren. Eine Checkliste für solche Richtlinien stellt Computerworld online kostenlos zur Verfügung (webcode: 56258).

Vertrags- und lizenzmanagementIT-Verträge sind oft komplex und können weitreichende Auswirkungen auf die Geschäftsprozesse eines Unterneh-mens haben. Was auf den ersten Blick unproblematisch aussieht, kann sich bei genauerem Hinsehen als beträcht-liches Risiko erweisen. Die Liste von möglichen Fallstricken bei IT-Verträgen ist lang. Der Beizug eines fachkundigen Dritten, vielfach eines spezialisierten Rechtsanwalts, ist oft unerlässlich. Wer das nicht tut, handelt vielfach fahrlässig und kann sich damit Haftungsrisiken aussetzen.

Ein wichtiger Teil des Vertragsmanagements besteht darin, dass der Umfang der vorhandenen Lizenzen mit der tatsächlichen Nutzung innerhalb des Unternehmens über-einstimmt. Untersuchungen zeigen, dass zahlreiche Unter-nehmen zu viel oder zu wenig Lizenzen für Software-Pro-dukte erworben haben. Beide Fälle können zur Haftbarkeit des CIOs führen. Deshalb ist es ratsam, die Einhaltung der erworbenen Lizenzrechte regelmässig zu kontrollieren und zu dokumentieren. Die Frage, ob der Geltungsbereich der erworbenen Lizenzrechte mit der tatsächlichen Nutzung der eingesetzten Software übereinstimmt, kann teilweise kom-plex sein. Um das Risiko von allfälligen Strafzahlungen oder gar den Verlust der Lizenzrechte zu vermeiden, lohnt es sich, unsichere Fälle zu klären bzw. klären zu lassen.

die einhaltung der folgenden regeln hilft ciOs, haftungsrisiken zu reduzieren:

Die Funktion des CIOs sollte im Arbeitsvertrag genau umschrieben und zu anderen Funktionen klar abgegrenzt werden.

Der CIO sollte ausschliesslich Auf-gaben übernehmen, die er aufgrund seiner Fähigkeiten ausführen kann. Im Zweifelsfall tut er gut daran, fachkundige Personen (allenfalls auch externe Berater) beizuziehen.

Haftungsrisiken aus dem Arbeits-vertrag können durch entspre-chende Haftungsbeschränkungen verringert werden.

Haftungsrisiken aus einer mögli-chen Organstellung lassen sich mit Schadloshaltungsklauseln und Haft-pfl ichtversicherungen verringern.

Die Schaffung von Transparenz und die Dokumentierung von relevanten Vorgängen sind aus diversen Grün-den wichtig.

Zur Klärung der Frage, ob und in welcher Form ein IT-Projekt durch-geführt werden soll, sind ausrei-chende Budgets bereitzustellen. Denn ein zu kleines Budget schützt in der Regel nicht vor Haftungs-ansprüchen.

Die Sicherstellung von Compliance ist regelmässig eine zentrale Auf-gabe des CIOs. Ein bewährter Ansatz zur Umsetzung von Compliance ist, diese als Projekt zu behandeln.

Eine weitere wichtige Aufgabe des CIOs ist das IT-Vertragsma-nagement. Besondere Vorsicht ist erfahrungsgemäss bei Lizenzver-trägen geboten.

haftungSriSiKen MiniMieren

«Ein CIO ist dann gut,wenn er überlebt»

DIE FIrMA wenger & vieli Die Rechtsanwaltskanzlei ist seit bald 40 Jahren vorwiegend im Bereich Wirtschaftsrecht tätig. Sie ist im Raum Zürich stark verankert, aber auch international ausgerichtet und hat ein Beziehungs-netz zu Kanzleien in aller Welt aufgebaut.

www.vengervieli.ch

Rainer Janßen, CIO Münchner Rück

40 SwiSS ciO Haftungsrisiken minimieren