Embed Size (px)
DESCRIPTION
Arbeitnehmerhaftung Wie gefährlich lebt ein IT-Administrator?. Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Fachanwalt für Arbeitsrecht. Überblick. Teil 1Grundzüge der Arbeitnehmerhaftung Teil 2Delegation – klare Verantwortungen Teil 3Typische Risikofelder. - PowerPoint PPT Presentation
Citation preview
ArbeitnehmerhaftungWie gefaumlhrlich lebt ein IT-Administrator
Rechtsanwalt Thomas FeilFachanwalt fuumlr Informationstechnologierecht
Fachanwalt fuumlr Arbeitsrecht
Uumlberblick
Teil 1 Grundzuumlge der Arbeitnehmerhaftung
Teil 2 Delegation ndash klare Verantwortungen
Teil 3 Typische Risikofelder
Teil 1
Grundzuumlge der
Arbeitnehmerhaftung
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Inhalt
Was bedeutet Arbeitnehmerhaftung Rechtliche Vorgaben
Voraussetzungen der Haftung
Arbeitnehmerhaftung
Begriff
Der Begriff Arbeitnehmerhaftung beschreibt die Haftung des AN fuumlr solche Schaumlden die er seinem AG in Verrichtung seiner beruflichen Taumltigkeiten zufuumlgt
Ziele
Es geht also um die Klaumlrung der Frage ob und wenn ja in welchem Umfang ein AN fuumlr Schaumlden verantwortlich gemacht werden kann die ihm in Erfuumlllung seiner arbeitsvertraglichen Pflichten unterlaufen
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben Voraussetzungen der Haftung
Rechtliche Vorgaben
Grundsatz
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die
Schaumlden zu ersetzen die er auch zu vertreten hat (Stichwort
Verschulden)
Gehaftet wird fuumlr
- vertragliche Pflichtverletzungen (sect 280 Abs 1 BGB)
- unerlaubte Handlungen (sect 823 ff BGB)
Bezogen auf den Arbeitsvertrag sind somit relevant
- Verstoumlszlige gegen arbeitsvertragliche Pflichten
- Verletzungen von absolut geschuumltzten Rechten oder Schutzrechten
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Uumlberblick
Teil 1 Grundzuumlge der Arbeitnehmerhaftung
Teil 2 Delegation ndash klare Verantwortungen
Teil 3 Typische Risikofelder
Teil 1
Grundzuumlge der
Arbeitnehmerhaftung
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Inhalt
Was bedeutet Arbeitnehmerhaftung Rechtliche Vorgaben
Voraussetzungen der Haftung
Arbeitnehmerhaftung
Begriff
Der Begriff Arbeitnehmerhaftung beschreibt die Haftung des AN fuumlr solche Schaumlden die er seinem AG in Verrichtung seiner beruflichen Taumltigkeiten zufuumlgt
Ziele
Es geht also um die Klaumlrung der Frage ob und wenn ja in welchem Umfang ein AN fuumlr Schaumlden verantwortlich gemacht werden kann die ihm in Erfuumlllung seiner arbeitsvertraglichen Pflichten unterlaufen
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben Voraussetzungen der Haftung
Rechtliche Vorgaben
Grundsatz
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die
Schaumlden zu ersetzen die er auch zu vertreten hat (Stichwort
Verschulden)
Gehaftet wird fuumlr
- vertragliche Pflichtverletzungen (sect 280 Abs 1 BGB)
- unerlaubte Handlungen (sect 823 ff BGB)
Bezogen auf den Arbeitsvertrag sind somit relevant
- Verstoumlszlige gegen arbeitsvertragliche Pflichten
- Verletzungen von absolut geschuumltzten Rechten oder Schutzrechten
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Teil 1
Grundzuumlge der
Arbeitnehmerhaftung
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Inhalt
Was bedeutet Arbeitnehmerhaftung Rechtliche Vorgaben
Voraussetzungen der Haftung
Arbeitnehmerhaftung
Begriff
Der Begriff Arbeitnehmerhaftung beschreibt die Haftung des AN fuumlr solche Schaumlden die er seinem AG in Verrichtung seiner beruflichen Taumltigkeiten zufuumlgt
Ziele
Es geht also um die Klaumlrung der Frage ob und wenn ja in welchem Umfang ein AN fuumlr Schaumlden verantwortlich gemacht werden kann die ihm in Erfuumlllung seiner arbeitsvertraglichen Pflichten unterlaufen
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben Voraussetzungen der Haftung
Rechtliche Vorgaben
Grundsatz
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die
Schaumlden zu ersetzen die er auch zu vertreten hat (Stichwort
Verschulden)
Gehaftet wird fuumlr
- vertragliche Pflichtverletzungen (sect 280 Abs 1 BGB)
- unerlaubte Handlungen (sect 823 ff BGB)
Bezogen auf den Arbeitsvertrag sind somit relevant
- Verstoumlszlige gegen arbeitsvertragliche Pflichten
- Verletzungen von absolut geschuumltzten Rechten oder Schutzrechten
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Inhalt
Was bedeutet Arbeitnehmerhaftung Rechtliche Vorgaben
Voraussetzungen der Haftung
Arbeitnehmerhaftung
Begriff
Der Begriff Arbeitnehmerhaftung beschreibt die Haftung des AN fuumlr solche Schaumlden die er seinem AG in Verrichtung seiner beruflichen Taumltigkeiten zufuumlgt
Ziele
Es geht also um die Klaumlrung der Frage ob und wenn ja in welchem Umfang ein AN fuumlr Schaumlden verantwortlich gemacht werden kann die ihm in Erfuumlllung seiner arbeitsvertraglichen Pflichten unterlaufen
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben Voraussetzungen der Haftung
Rechtliche Vorgaben
Grundsatz
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die
Schaumlden zu ersetzen die er auch zu vertreten hat (Stichwort
Verschulden)
Gehaftet wird fuumlr
- vertragliche Pflichtverletzungen (sect 280 Abs 1 BGB)
- unerlaubte Handlungen (sect 823 ff BGB)
Bezogen auf den Arbeitsvertrag sind somit relevant
- Verstoumlszlige gegen arbeitsvertragliche Pflichten
- Verletzungen von absolut geschuumltzten Rechten oder Schutzrechten
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Inhalt
Was bedeutet Arbeitnehmerhaftung Rechtliche Vorgaben
Voraussetzungen der Haftung
Arbeitnehmerhaftung
Begriff
Der Begriff Arbeitnehmerhaftung beschreibt die Haftung des AN fuumlr solche Schaumlden die er seinem AG in Verrichtung seiner beruflichen Taumltigkeiten zufuumlgt
Ziele
Es geht also um die Klaumlrung der Frage ob und wenn ja in welchem Umfang ein AN fuumlr Schaumlden verantwortlich gemacht werden kann die ihm in Erfuumlllung seiner arbeitsvertraglichen Pflichten unterlaufen
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben Voraussetzungen der Haftung
Rechtliche Vorgaben
Grundsatz
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die
Schaumlden zu ersetzen die er auch zu vertreten hat (Stichwort
Verschulden)
Gehaftet wird fuumlr
- vertragliche Pflichtverletzungen (sect 280 Abs 1 BGB)
- unerlaubte Handlungen (sect 823 ff BGB)
Bezogen auf den Arbeitsvertrag sind somit relevant
- Verstoumlszlige gegen arbeitsvertragliche Pflichten
- Verletzungen von absolut geschuumltzten Rechten oder Schutzrechten
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Arbeitnehmerhaftung
Begriff
Der Begriff Arbeitnehmerhaftung beschreibt die Haftung des AN fuumlr solche Schaumlden die er seinem AG in Verrichtung seiner beruflichen Taumltigkeiten zufuumlgt
Ziele
Es geht also um die Klaumlrung der Frage ob und wenn ja in welchem Umfang ein AN fuumlr Schaumlden verantwortlich gemacht werden kann die ihm in Erfuumlllung seiner arbeitsvertraglichen Pflichten unterlaufen
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben Voraussetzungen der Haftung
Rechtliche Vorgaben
Grundsatz
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die
Schaumlden zu ersetzen die er auch zu vertreten hat (Stichwort
Verschulden)
Gehaftet wird fuumlr
- vertragliche Pflichtverletzungen (sect 280 Abs 1 BGB)
- unerlaubte Handlungen (sect 823 ff BGB)
Bezogen auf den Arbeitsvertrag sind somit relevant
- Verstoumlszlige gegen arbeitsvertragliche Pflichten
- Verletzungen von absolut geschuumltzten Rechten oder Schutzrechten
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben Voraussetzungen der Haftung
Rechtliche Vorgaben
Grundsatz
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die
Schaumlden zu ersetzen die er auch zu vertreten hat (Stichwort
Verschulden)
Gehaftet wird fuumlr
- vertragliche Pflichtverletzungen (sect 280 Abs 1 BGB)
- unerlaubte Handlungen (sect 823 ff BGB)
Bezogen auf den Arbeitsvertrag sind somit relevant
- Verstoumlszlige gegen arbeitsvertragliche Pflichten
- Verletzungen von absolut geschuumltzten Rechten oder Schutzrechten
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Rechtliche Vorgaben
Grundsatz
Jeder hat im Rahmen einer vertraglichen Beziehung dem anderen nur die
Schaumlden zu ersetzen die er auch zu vertreten hat (Stichwort
Verschulden)
Gehaftet wird fuumlr
- vertragliche Pflichtverletzungen (sect 280 Abs 1 BGB)
- unerlaubte Handlungen (sect 823 ff BGB)
Bezogen auf den Arbeitsvertrag sind somit relevant
- Verstoumlszlige gegen arbeitsvertragliche Pflichten
- Verletzungen von absolut geschuumltzten Rechten oder Schutzrechten
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Einschraumlnkungen im Arbeitsverhaumlltnis
sect 619a BGB ndash Beweislastumkehr
Bei einem Verstoszlig gegen arbeitsvertragliche Pflichten hat der AG den Nachweis zu erbringen dass der Schaden auf ein
Verschulden des AN zuruumlckzufuumlhren ist
Haftungsbeschraumlnkung bei bdquobetrieblich veranlasster Taumltigkeitldquo(sog bdquoinnerbetrieblicher Schadensausgleichldquo)
Dazu spaumlter mehr
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Inhalt
Was bedeutet Arbeitnehmerhaftung
Rechtliche Vorgaben
Voraussetzungen der Haftung
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Voraussetzungen der Haftung eines Arbeitnehmers
Es muumlssen vorliegen
Verletzungshandlung
Schaden
Kausalitaumlt
Verschulden
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Verletzungshandlung
Pflichtverletzung (sect 280 Abs 1 BGB) gemeint ist Verletzung einer arbeitsvertraglichen Pflicht
maszliggeblich in erster Linie Vorgaben des Arbeitsvertrages
daneben Grundsatz dass berufsgruppenspezifische Fertigkeiten und
Kenntnisse einzusetzen sowie erteilte Weisungen zu beachten sind
Rechtsgutsverletzung (sect 823 ff BGB) Verletzung Rechtsguumltern wie Leib Leben Gesundheit oder Eigentum
Schutzrechtsverletzungen Verletzung von Urheber- oder Markenrechten und dergleichen
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Schaden
Der AG muss einen Schaden erlitten haben
Schaden ist jede Einbuszlige an Lebens- oder Vermoumlgensguumltern
SchadensartenVermoumlgensschaumlden
- sectsect 249 - 252 BGB
- alle Nachteile die sich geldwert beziffern lassen
Nichtvermoumlgensschaumlden
- sect 253 BGB
- wenig relevant nur wenn durch Gesetz ausdruumlcklich bestimmt- im Prinzip nur Schmerzensgeld
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Typische Vermoumlgensschaumlden
Restitutionskosten fuumlr geschaumldigte Rechtsguumlter
Kosten aufgrund einer Haftung gegenuumlber Dritten
(Gewaumlhrleistung Schadensersatz)
entgangener Gewinn
ferner Heil- und Pflegekosten bei Personenschaumlden
Verlust von Schadensfreiheitsrabatten nach Inanspruchnahme
von Versicherungen
Kosten der Rechtsverfolgung -verteidigung
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Kausalitaumlt
Ursaumlchlicher Zusammenhang
Der Schaden des AG muss durch die Verletzungshandlung des AN entstanden sein
Kausal ist ein Verhalten wenn
ohne das Verhalten die Rechtsgutsverletzung ausgeblieben waumlre
und
das Verhalten allgemein und nicht nur unter ganz unwahrscheinlichen Umstaumlnden zu der Verletzung fuumlhren konnte
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Verschulden
Grundsaumltzlich wird fuumlr Vorsatz und jede Form der Fahrlaumlssigkeit
gehaftet
Vorsatz liegt vor bei bewusstem und gewolltem Handeln
Fahrlaumlssigkeit liegt vor wenn der AN die fuumlr seine Arbeit
erforderliche Sorgfalt auszliger Acht laumlsst
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Haftungsbeschraumlnkung im Arbeitsverhaumlltnis
Der AN haftet nur begrenzt gegenuumlber dem AG Die Haftung ist
abhaumlngig vom
Grad des Verschuldens
- keine Haftung bei leichter Fahrlaumlssigkeit
- quotale Haftung bei mittlerer Fahrlaumlssigkeit
- volle Haftung bei Vorsatz des AN bzgl Pflichtverstoszlig und Schaden (Urt des BAG vom 18042002)
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Leichte Fahrlaumlssigkeit
geringfuumlgige und leicht entschuldbare Pflichtwidrigkeiten die
jedem Arbeitnehmer unterlaufen koumlnnen bdquoSchusselldquo
Beispiele Sich vergreifen
Sich versprechen
Sich vertun
Leichte(ste) Fahrlaumlssigkeit Keine Haftung
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Mittlere Fahrlaumlssigkeit
Normale Fahrlaumlssigkeit Auszligerachtlassen der erforderlichen
Sorgfalt ohne Vorwurf besonderer Schwere wenn bei Anwendung
der gebotenen Sorgfalt der Schaden vorhersehbar und
vermeidbar gewesen waumlre bdquoTrottelldquo
Haftungsquote je nach Verschuldensgrad Gefaumlhrlichkeit der
Arbeit Schadenshoumlhe Gehaltshoumlhe Stellung des Arbeitnehmers
bdquoSozialdatenldquo Deckbarkeit durch Versicherung Mitverschulden
Arbeitgeber durch Unterlassen von Kontrollen oder
Organisationsmaszlignahmen
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Grobe Fahrlaumlssigkeit
Leichtfertigkeit Auszligerachtlassen der erforderlichen Sorgfalt nach
den gesamten Umstaumlnden in ungewoumlhnlich hohem Masse wenn
unbeachtet bleibt was bdquojedemldquo haumltte einleuchten muumlssen - bdquoIdiotldquo
- subj Maszligstab
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Missverhaumlltnis Schaden - Gehalt
BAG 1 Gehalt kein Problem
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Vorsatz
Bedingter Vorsatz reicht Wenn nicht nur die Pflichtverletzung
sondern auch der Eintritt des Schadens vorausgesehen und
zumindestens billigend in Kauf genommen wird - bdquoSchuftldquo
Haftungsquote grundsaumltzlich 100 Arbeitnehmer
Ausnahme Mitverschulden Arbeitgeber
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Mitverschulden Arbeitgeber
Mitverursachung des Schadens Maumlngel bei
Schadensabwendung
Beispiele
Fehlerhafte Anweisungen
Organisationsmaumlngel
Uumlberforderung des Arbeitnehmers
Maumlngel bei Schadensabwendung
Maumlngel bei Schadensminderung
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Schaumldigung Dritter
Neben oder anstelle des AG kann ein AN auch Dritte verletzen
grundsaumltzlich Verpflichtung des AN zum Schadensersatz
gegenuumlber dem Dritten
(zB gemaumlszlig sect 823 BGB)
jedoch Freistellungsanspruch des AN gegenuumlber dem
AG
wenn die Voraussetzungen der Haftungsbeschraumlnkung
vorliegen
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Keine Abdingbarkeit
Die Regeln der Haftungsbeschraumlnkung sind nach der
Rechtsprechung des BAG einseitig zwingendes
Arbeitnehmerrecht
Sie sind daher nicht abdingbar weder durch Arbeitsvertrag noch
durch Betriebsvereinbarungen oder Tarifvertraumlge
Konstruktionen uumlber Risikopraumlmien sind moumlglich aber nicht
sinnvoll
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Unerlaubte private Internetnutzung
Auch hierdurch koumlnnen dem AG Schaumlden entstehen
Beispiel Virenbefall der Computeranlage
Hier greift Haftungsprivilegierung allenfalls aumluszligerst eingeschraumlnkt ndash idR jedoch
gar nicht
AN haftet gegenuumlber AG voll
Grund fehlende Schutzwuumlrdigkeit des AN da nicht zu Arbeitsaufgaben zaumlhlt
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Teil 2
Delegation
Klare Verantwortungen
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Inhalt
Begriff der Delegation Warum delegieren
Was zu beachten ist
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Delegation von Aufgaben
Aufgabendelegation beschreibt den Prozess der
Aufgabenuumlbertragung durch eine Fuumlhrungskraft auf einen
Mitarbeiter
Dabei muss die Fuumlhrungskraft
dem Mitarbeiter die dafuumlr notwendigen Befugnisse einraumlumen
sicherstellen dass der Mitarbeiter uumlber die notwendigen Kompetenzen
verfuumlgt
einen Teil der Verantwortung fuumlr die Erledigung der Aufgabe uumlbertragen
die Aufgabenausfuumlhrung und deren Ergebnis uumlberpruumlfen
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Moumlglichkeiten der Delegation
Normalfall Delegation einzelner Aufgaben
Moumlglich aber ebenso
Delegation komplexer Taumltigkeitsbereiche Projekte
oder Funktionen im Unternehmen
Delegation des Erreichens eines Ziels
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Inhalt
Begriff der Delegation
Warum delegieren Was zu beachten ist
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Vorteile der Delegationhellip
Wer Aufgaben richtig delegiert hat mehr Zeit fuumlr die wichtigen Dinge
Der Blick fuumlr Prioritaumlten schaumlrft sich
Aufgaben werden von Personen mit entsprechender Qualifikation erfuumlllt
Fuumlhrungskraumlfte setzen sich mit dem Potential ihrer Mitarbeiter staumlrker
auseinander
Mitarbeiter koumlnnen sich besser entwickeln
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
hellipauch fuumlr Ihr Unternehmen
Moumlglichkeit den Bereich der IT-Sicherheit an fachkundige
Mitarbeiter zu uumlbertragen
Keine Kenntnis vom Gebiet der IT-Sicherheit beim
Delegierenden notwendig um Haftung zu vermeiden
Gehaftet wird nur noch fuumlr die sorgfaumlltige Auswahl des Mitarbeiters
sowie Uumlberwachung der Aufgabenausfuumlhrung und des
Ergebnisses
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Inhalt
Begriff der Delegation
Warum delegieren
Was zu beachten ist
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Voraussetzungen bdquoordentlicherldquo Delegation
Zwei grundlegende Aspekte
1 Auswahl der verantwortlichen Mitarbeiter
2 Sicherstellung einer hinreichenden Organisationsstruktur
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Die Mitarbeiterauswahl
Die Auswahl der richtigen Person ist Grundvoraussetzung jeder
ordentlichen Delegation
Delegiert werden sollte nur an
fachlich kompetente und
generell zuverlaumlssige
Mitarbeiter
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Beispiel IT-Sicherheitsbeauftragter
Will eine Geschaumlftsfuumlhrung den Posten eines IT-Sicherheitsbeauftragten
einrichten sollte sie bei der Personalentscheidung Folgendes beachten
Der Mitarbeiter sollte ein bdquoExperteldquo auf dem Gebiet der IT-Sicherheit sein
uumlber entsprechende Nachweise ihrer Erfahrung verfuumlgen
Soll sie auch Personal fuumlhren muss sie entsprechende Fuumlhrungserfahrung besitzen
Keine Zweifel an der Zuverlaumlssigkeit der Person vorliegen
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Delegation von Verantwortung
Delegiert wird auch Verantwortung - jedoch nur zum Teil
Moumlglich ist Delegation der fachlichen Verantwortung und der
Handlungsverantwortung
Fuumlhrungsverantwortung verbleibt bei der Geschaumlftsfuumlhrung
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Klare Verantwortungen schaffen
Wichtig ist eine klare Festlegung von Inhalt und Umfang der
uumlbertragenen Verantwortungen
Grund
1 Delegierter muss seine Befugnisse und Verpflichtungen kennen
2 Moumlglichkeit der Haftungserleichterung des Delegierenden fuumlr den
uumlbertragenen Bereich Exkulpation sect 831 Abs2 S1 BGB
Delegierender haftet dann nur bei Organisationsverschulden
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Organisationsverschulden
Delegierender haftet fuumlr
Auswahlverschulden (oben behandelt)
Instruktionsverschulden
Fehler bei der Unterweisung des Delegierten
Kontrollverschulden
fehlerhafte UumlberwachungPruumlfung der ArbeitsweiseErgebnisse
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Organisationsstruktur
Wichtig daher
Schaffung einer strukturierten Organisation fuumlr die jeweilige
Delegation durch
klare Beschreibung und Abgrenzung der Aufgaben und der uumlbertragenen
Verantwortungen (Schaffung eines Rahmens)
ggf Anleitung wie bestimmte Aufgaben zu erfuumlllen sind
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Ordnungsgemaumlszlige Delegationhaftungsrechtliche Folgen
Liegt kein Fuumlhrungsverschulden vor haftet Delegierender nicht fuumlr Schaumlden aufgrund unerlaubter Handlungen des Delegierten (sect 831 Abs1 S2 BGB)
Delegierter haftet selbst aus sect 823 BGB
Haftung im Bereich vertraglicher Verpflichtungen bleibt unveraumlndert
AG haftet gguuml Vertragspartner gemaumlszlig sect 278 BGB fuumlr Mitarbeiterverschulden
Interner Regress nur nach innerbetrieblichen Schadensausgleich moumlglich
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Teil 3
Typische Risikofelder
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Schutzbereich des Urheberrechts
Geschuumltzt sind durch das Urheberrecht Werke der
Literatur
Wissenschaft
Kunst
sofern sie persoumlnliche geistige Schoumlpfungen sind (sectsect 1 2 Abs 2 UrhG)
Auch Computerprogramme fallen darunter (sect 2 Abs1 Nr1 UrhG)
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Zwei Angriffsrichtungen
Urheberrechtsverletzungen durch AN koumlnnen aus zweierlei Bereichen
erfolgen
1 Im Rahmen der Arbeitsleistung
2 durch private Internetnutzung am Arbeitsplatz
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Im Rahmen der Arbeitsleistung
Verwendung von urheberrechtlich geschuumltztem Material zur
Erbringung der eigenen Arbeitsleistung
Beispiele Kopieren fremder Texte fuumlr eigene Homepage Buumlcher Anleitungen
Verwendung von fremden Bildmaterial
Verwendung fremder Programme Programmteile oder Routinen
Kein Verstoszlig durch Verwendung fremder Ideen
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Private Internetnutzung
Unternehmens-IT bietet Moumlglichkeiten und Anreize fuumlr den AN
Download von geschuumltzten Werken wie Musik (mp3)
Filmen oder Programmen
Filesharing (Bereitstellen der Daten auch zum Upload)
Betreiben illegaler Download Server (FTP Server)
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Missbraumluchliche Nutzung der Unternehmens-IT fuumlr zB sect 130 StGB Volksverhetzung
sect 184b StGB Verbreitung Erwerb und Besitz kinderpornographischer Schriften
sect 263a StGB Computerbetrug
Urheberrechtsverletzungen durch Filesharing
Fehlverhalten bei der Arbeit im IT-Bereich allgemein sect 202a-c StGB Ausspaumlhen und Abfangen von Daten
sect 303a StGB Datenveraumlnderung
sect 303b Computersabotage
sect 317 StGB Stoumlrung von Telekommunikationsanlagen
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Moumlglichkeiten strafrechtlich relevanten Handelns des AN
Auch im Intranet zB durch
sect 185-187 StGB Beleidigung uumlble Nachrede oder Verleumdung zB
durch Verbreitung ehrverletzender oder wahrheitswidriger
Behauptungen uumlber Kollegen oder den AG
sect 238 StGB Stalking zB andauernde Belaumlstigung unter Verwendung
von Telekommunikationsmitteln
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
hellipund noch einmal die Rechtsprechung
Urteil des AG Hannover vom 28042005 (10 Ca 79104)
Das unaufgeforderte Weiterleiten von Dateien mit pornographischem
Inhalt im Intranet an Dritte erfuumlllt den Straftatbestande von
sect 184 Abs 1 Nr 6 StGB
Eine strafbare Handlung durch Datenmissbrauch ist eine so
schwerwiegende Vertragsverletzung dass sie einen Grund fuumlr eine
Beendigungskuumlndigung darstellt
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Strafrecht kann auch die Unternehmensleitung treffen
Vorsicht ist geboten denn
Strafrechtliche Relevanz besteht auch fuumlr die Unternehmensleitung
Stichwort bdquoBeihilfeldquo (sect 27 StGB)
Kenntnis der Unternehmensleitung von missbraumluchlicher Nutzung der
Unternehmens-IT fuumlhrt zu Handlungszwang
sofortige Gegenmaszlignahmen sind zu ergreifen sonst droht Gefahr des
Vorwurfs der Beihilfe
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
sect 202a StGBAusspaumlhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten die
nicht fuumlr ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind unter Uumlberwindung der
Zugangssicherung verschafft wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft
(2) Daten im Sinne des Absatzes 1 sind nur solche die elektronisch
magnetisch oder sonst nicht unmittelbar wahrnehmbar
gespeichert sind oder uumlbermittelt werden
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
sect 202b StGBAbfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht fuumlr ihn bestimmte Daten (sect 202a Abs 2)
aus einer nichtoumlffentlichen Datenuumlbermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft wenn die Tat nicht in
anderen Vorschriften mit schwererer Strafe bedroht ist
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
sect 202 c StGB
(1) Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu
Daten (sect 202 a Abs 2) ermoumlglichen oder
2 Computerprogramme deren Zweck die Begehung einer solchen
Tat ist
herstellt sich oder einem anderen verschafft verkauft einem anderen
uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft
(2) sect 149 Abs 2 und 3 gilt entsprechend
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Worte des Gesetzgebers
Drucksache 163656 vom 30112006
bdquoErfasst werden insbesondere die so genannten Hacker-Tools die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden koumlnnen Insbesondere die durch das Internet moumlgliche Weiterverbreitung und leichte Verfuumlgbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar die nur dadurch effektiv bekaumlmpft werden kann dass bereits die Verbreitung solcher an sich gefaumlhrlichen Mittel unter Strafe gestellt wirdldquo
bdquoSomit ist sichergestellt dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen Das Programm muss aber nicht ausschlieszliglich fuumlr die Begehung einer Computerstraftat bestimmt sein Es reicht wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat istldquo
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Optimismus der Regierung
Sicht der Bundesregierung
bdquoDie Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsuumlberpruumlfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert Einerseits muss es sich objektiv um ein Computerprogramm handeln dessen Zweck die Begehung einer Computerstraftat ist und andererseits muss die Tathandlung ndash also das Herstellen Verschaffen Verkaufen Uumlberlassen Verbreiten oder sonst Zugaumlnglichmachen ndash zur Vorbereitung einer Computerstraftat erfolgenldquo
Dann ist bdquogutwilligeldquo Nutzung nicht strafbar
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
ABER hellip
Abstraktes Gefaumlhrdungsdelikt daher kein Antragsdelikt (dagegen fordern sectsect 202a 202b Strafantrag obwohl Taumlter geschuumltztes Rechtsgut verletzt)
Auffangtatbestand bei Beweisnot
Objektiver Tatbestand Computerprogramm
geeignet Ablaumlufe eines Computers zu steuern Skripte die Computerfunktionen steuern Nicht Beschreibung von Algorithmen in Menschensprache Bloszlige Beschreibung von Sicherheitsluumlcken da kein Computerprogramm zugaumlnglich
gemacht wird
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Objektiver Tatbestand
Zweck
bdquohellipderen Zweck die Begehung einer solchen Tat ist hellipldquo
Objektivierte Zweckbestimmung Eindeutig bei Schadsoftware
Nicht Programmiersprachen kommerzielle Sicherheitssoftware
Schwierig Dual-use Programme Zweck wird durch den Anwender bestimmt
Art 6 Cybercrime Convention bdquohellip designed or adapted primarily for the purpose of
committinghellipldquo
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Subjektiver Tatbestand
bedingter Vorsatzldquo genuumlgt Ein Taumlter muss zumindest billigend in Kauf nehmen durch die Handlung eine
Computerstraftat zu ermoumlglichen oder zu foumlrdern
Selbstaumlndiges subjektives Tatbestandsmerkmal
bdquoWer eine Straftat nach hellip vorbereitet indem er hellipldquo Keine Kriminalisierung bei Einwilligung (zB Penetrationstest) Uumlberschieszligende Innentendenz Taumlter oder Dritter muss eine Straftat in
Aussicht nehmen diese Tat muss in wesentlichen Umrissen konkretisiert sein entsprechend
muss auch der Vorsatz konkretisiert sein (umstritten aA Taumlter handelt in dem Bewusstsein dass die Tatobjekte irgendwann einmal einer Computerstraftat dienen koumlnnen)
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Das Grundgesetz
Aufgabe des Gesetzgebers Uumlberkriminalisierung
durch hinreichend bestimmte Fassung von
Straftatbestaumlnden vorbeugen
Art 103 Abs 2 GG
bdquoEine Tat kann nur bestraft werden wenn die Strafbarkeit
gesetzlich bestimmt war bevor die Tat begangen wurdeldquo
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Kritische Situationen
Hacking Live-Demonstration
Einsatz von dual-use-Programmen
Oumlffentlichehalb-oumlffentliche Foren Abwehrstrategien
gegen Schadprogramme
hellip
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Noch nicht alles
Auswirkung fuumlr Arbeitsverhaumlltnisse Risiken fuumlr IT-Administratoren und Mitarbeiter der IT-
Abteilungen
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
So entscheiden Arbeitsgerichte
LAG Hamm vom 04022004 (Az 9 Sa 50203)
1 Stellt der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfuumlgung der nur
unter Verwendung eines Passworts in Betrieb genommen werden kann welches
der Arbeitnehmer selbst bestimmt hat dies ohne Hinzutreten weiterer Umstaumlnde
(zB Erlaubnis oder Duldung privater Nutzung) nicht die Folge dass die auf der
Festplatte oder im Server vom Arbeitnehmer abgespeicherten Dateien dessen
private Dateien darstellen Der Arbeitgeber kann jedenfalls aus begruumlndetem
Anlass ohne Einverstaumlndnis des betroffenen Arbeitnehmers Zugriff auf diese
Dateien nehmen
2 Das Speichern von 17 Hacker-Dateien unter denen sich eine Datei zum
Entschluumlsseln des BIOS-Passworts befindet stellt grundsaumltzlich einen Grund zur
fristlosen Kuumlndigung des Arbeitnehmers dar Die abschlieszligende
Interessenabwaumlgung kann auch dann zu Ungunsten des Arbeitnehmers ausfallen
wenn ein Schaden noch nicht eingetreten ist und der Mitarbeiter zuvor 24 Jahre
seine Arbeitsleistung unbeanstandet erbracht hat
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Verhaltensempfehlungen
Keine Hacker-Tools verwenden Sicherung von Hacker-Tools vor unberechtigten Zugriffen Klare Einwilligung holen
als Arbeitnehmer als Dienstleister
Verwendung von Hacker-Tools protokollieren Beschaffung und beabsichtigter Zwecke sowie tatsaumlchliche
Verwendung Unveraumlnderbare Speicherung zu Beweiszwecken
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Weitergabe von Passwoumlrter
sect 202 c StGB
Wer eine Straftat nach sect 202 a oder sect 202 b vorbereitet indem er
1 Passwoumlrter oder sonstige Sicherungscodes die den Zugang zu Daten (sect 202 a Abs 2) ermoumlglichen oder
hellip
herstellt sich oder einem anderen verschafft verkauft einem anderen uumlberlaumlsst verbreitet oder sonst zugaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Kritische Situationen
Weitergabe von Passwoumlrter bei Abwesenheit zB
Urlaub oder Krankheit bdquobilligend in Kauf nehmenldquo
Weitergabe Passwoumlrter an externe Dienstleister
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
BGH zur Haftung des Compliance Officer
Der BGH hat in seinem Urteil vom 17072009 (Az 5 StR 39408) einen Leiter einer
Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer
Geldstrafe von 120 Tagessaumltzen verurteilt Dieses Urteil hat auch wesentliche Bedeutung fuumlr
das persoumlnliche Haftungsrisiko von Compliance Officern
Fuumlr eine Strafbarkeit durch Unterlassen muss eine Pflicht zum Handeln bestehen (sog
Garantenpflicht) Der BGH bejahte das Vorliegen einer Garantenstellung wegen der Stellung
des Angeklagten als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des
oumlffentlichen Rechts Die Garantenpflicht folge aus der Uumlberlegung dass denjenigen dem
Obhutspflichten fuumlr eine bestimmte Gefahrenquelle uumlbertragen seien dann auch eine
bdquoSonderverantwortlichkeitldquo fuumlr die Integritaumlt des von ihm uumlbernommenen
Verantwortungsbereichs treffe Maszliggeblich sei die Bestimmung des Verantwortungsbereichs
den der Verpflichtete uumlbernommen habe
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Das Gericht erwaumlhnt in seinem Urteil explizit auch Compliance Officer in Unternehmen
bdquo hellip Deren Aufgabengebiet ist die Verhinderung von Rechtsverstoumlszligen insbesondere auch von
Straftaten die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch
Haftungsrisiken oder Ansehensverlust bringen koumlnnen (vgl Buumlrkle in Hauschka aaO S 128 ff)
Derartige Beauftragte wird regelmaumlszligig strafrechtlich eine Garantenpflicht im Sinne des sect 13 StGB
treffen solche im Zusammenhang mit der Taumltigkeit des Unternehmens stehende Straftaten von
Unternehmensangehoumlrigen zu verhindern Dies ist die notwendige Kehrseite ihrer gegenuumlber der
Unternehmensleitung uumlbernommenen Pflicht Rechtsverstoumlszlige und insbesondere Straftaten zu
verhindern (vgl KraftWinkler CCZ 2009 29 32) hellipldquo
Das Aufgabengebiet eines Compliance Officers wird damit vom BGH sehr weit verstanden Er
soll dafuumlr einstehen dass Straftaten im Unternehmen nicht vorkommen Dies wird in der
Praxis sehr schwer zu erreichen sein Auch das beste Compliance-System wird nicht
verhindern koumlnnen dass Unternehmensangehoumlrige Straftaten begehen Aufgabe von
Compliance - und auch eines Compliance Officers - muss vielmehr darin bestehen
organisatorische Voraussetzungen zu schaffen um das Haftungsrisiko fuumlr Unternehmen und
Unternehmensleiter zu verringern
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Fazit
Konsequenz der Entscheidung fuumlr Compliance Officer ist darauf
zu achten dass ihre Zustaumlndigkeit Aufgaben und Befugnisse klar
geregelt werden Dies kann etwa im Arbeitsvertrag oder einer
Stellenbeschreibung erfolgen Zudem zeigt das Urteil das
moumlgliche persoumlnliche Haftungsrisiko eines Compliance Officers
auf der gut beraten ist gegenuumlber seinem Arbeitgeber auf
haftungsbeschraumlnkende Maszlignahmen fuumlr seine Person zu
draumlngen
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Kuumlndigung AdministratorMissbrauch von Zugriffsrechten
Das Landesarbeitsgericht Koumlln hat in einem Urteil vom 14052010 (Az 4 Sa
125709) zu der Frage Stellung genommen ob eine Kuumlndigung des IT-
Administrators wegen Missbrauchs von Zugriffsrechten zulaumlssig ist Streitpunkt
war eine fristlose Kuumlndigung
Das Landesarbeitsgericht weist deutlich darauf hin dass der Mitarbeiter seine
Pflichten als Computer-Administrator mehrfach grob verletzt hat Es war dann zu
einer Abmahnung gekommen die anschlieszligend neue Pflichten nach sich zog Der
Mitarbeiter hatte ohne vorherige Genehmigung einen Anhang zu einer an ein
Vorstandsmitglied gerichteten E-Mail unter Nutzung seiner Administratorenrechte
ausgedruckt Er raumlumte ein dass er schon vorher einige Mails aus
Vorstandspostkaumlstchen geoumlffnet hatte
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Im vorliegenden Fall kam ergaumlnzend hinzu dass der Mitarbeiter auch als
Innenrevisor taumltig war Hier stellte aber das Landesarbeitsgericht Koumlln klar dass
diese Aufgabe als Innenrevisor ihm nicht das Recht gab aus freien Stuumlcken und
ohne Abstimmung mit dem Vorstand unter Ausnutzung seiner
Administratorenrechte Datenbestaumlnde des Vorstands insbesondere E-Mails und
den Vorstandskalender einzusehen
Im Ergebnis wurde vom Landesarbeitsgericht Koumlln die fristlose Kuumlndigung als
rechtmaumlszligig bestaumltigt
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Haben Sie noch Fragen
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
Rechtsanwalt Thomas FeilFachanwalt fuumlr InformationstechnologierechtFachanwalt fuumlr Arbeitsrecht
Rechtsanwalt Timo Boumlnig
Georgsplatz 9 30159 Hannover
Tel 0511 473906-01 Fax 0511 473906-09kanzlei recht-freundlichde
