Werden Beamte bei der IT-Sicherheit besser behandelt?
Viele Unternehmensführer von öffentlichen Unternehmen sind sich ihrer persönlichen Haftung nicht bewusst. Wie weit schützt das Beamtenprivileg?
‘Öffentliche Unternehmen’ sind Wirtschaftsbetriebe der öffentlichen Hand. Es handelt sich dabei um einen organisatorisch abgrenzbaren Leistungsbereich im Sinne einer Wirtschaftseinheit, deren Träger vollständig – bei Kapitalgesellschaften mehrheitlich – die öffentliche Hand ist. Zu denken ist hier etwa an Stadtwerke oder städtische Betriebe.
Zu unterscheiden ist zwischen einer privatrechtlichen und einer öffentlich-rechtlichen Rechtsform, in der die Wirtschaftsbetriebe geführt werden können. Der sogenannte ‘öffentlich-rechtliche Bruttobetrieb’ besitzt dabei den rechnerisch und organisatorisch geringsten Grad an Eigenständigkeit. Er wird zwar von der Verwaltung getrennt geführt, alle Ausgaben und Einnahmen sind jedoch Teil des Haushalts der Körperschaft des öffentlichen Rechts, zu der er gehört (zum Beispiel einer Stadt oder eines Landkreises).
Im Rahmen der Verwaltungsreform verliert der Bruttobetrieb aber zunehmend an Bedeutung. Die Eigengesellschaften der Gebietskörperschaften in Form der GmbH oder AG sind auch im öffentlichen Sektor auf dem Vormarsch. Sie weisen den höchsten Grad an Selbständigkeit auf mit einer vom Haushalt vollständig losgelösten, durch das private Handelsrecht vorgegebenen Rechnungslegung. Die Entwicklung in der Vergangenheit hat eine deutliche Tendenz vom Bruttobetrieb zum Eigenbetrieb und eine generelle Tendenz der Umwandlung von öffentlich-rechtlichen zu privatrechtlichen Unternehmen erkennen lassen. Die Gründe hierfür liegen darin eine größere unternehmerische Flexibilität zu erreichen.
Wie verhält es sich aber mit der Haftung ihrer Unternehmensführer im Vergleich zu Kapitalgesellschaften? Sie ist unterschiedlich. Zu recht?
Ein Beispiel: Ein Stadtwerk ohne ausreichendes Schutzniveau seiner IT-Landschaft wird Opfer eines gezielten Hackerangriffs. Die Kundendaten zur Stromabrechnung werden verändert, wodurch den Kunden ein beachtlicher Schaden entsteht.
IT-Sicherheit ist kein Thema mehr, das sich auf der Liste der ‘wahlfreien Projekte’ wiederfindet, sie ist Pflicht. Dass heutzutage ein erhebliches Bedrohungspotential für die IT-Infrastrukturen existiert, muss den Unternehmensführern bekannt sein. In der Implementation stellt IT-Sicherheit ein Bündel von organisatorischen Maßnahmen dar mit technischen, organisatorischen und rechtlichen Aspekten (der sogenannte T/O/R-Ansatz). Gar keines oder ein unzureichendes Sicherheitskonzept vorzuhalten, dürfte damit aus Sicht der Unternehmensspitze hochgradig gefährlich werden.
Die Haftung des Unternehmens kann schnell zu einer persönlichen Haftung der Geschäftsleitung führen. Der Vorstand einer Aktiengesellschaft oder der Geschäftsführer einer GmbH haben geeignete Maßnahmen zu treffen damit gefährliche Entwicklungen früh erkannt werden. Erkennt die Geschäftsleitung die Risiken nicht, denen ihre IT heutzutage ausgesetzt ist, dürfte sie in aller Regel zumindest fahrlässig handeln. Die Ausrede, man besitze eine fachkundige IT-Abteilung, die das Risiko nicht kommuniziert habe, kann hierbei nicht gelten, da die Geschäftsführung damit nur ihr eigenes Organisationsverschulden belegt.
Das Bürgerliche Gesetzbuch sieht Unterlassungsansprüche und Schadensersatzansprüche für diejenigen vor, denen aufgrund einer zumindest fahrlässig zu niedrigen Sicherheitspolitik eines Unternehmens (in unserem Fall das Stadtwerk) ein Schaden entstanden ist. Dies ist im geschilderten Ausgangsfall gegeben. Dabei ist eine Haftung der Unternehmensspitze ausdrücklich im Gesetz geregelt, zum Beispiel im GmbH-Gesetz, §43. Darin steht:
“(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.”
Im Aktiengesetz, §93, steht über die Verantwortlichkeit der Vorstandsmitglieder:
“(2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.”
Für die Haftung der Geschäftsführer und Vorstände reicht somit schon einfache oder mittlere Fahrlässigkeit, die bei einem unzureichenden IT-Sicherheitsniveau stets angenommen werden muss. Was gilt aber für die von Beamten geführten Bruttobetriebe? Das Bundesbeamtengesetz sieht in § 78 folgendes vor: “(1) Verletzt ein Beamter vorsätzlich oder grob fahrlässig die ihm obliegenden Pflichten, so hat er dem Dienstherrn, dessen Aufgaben er wahrgenommen hat, den daraus entstehenden Schaden zu ersetzen.”
Aus dem Bundesbeamtengesetz ergibt sich, dass ein Beamter seinem Dienstherren nur den Schaden zu ersetzen hat, den er vorsätzlich oder grob fahrlässig in Ausübung seiner Pflichten verursacht hat. Die Verursachung liegt hier in dem Unterlassen der Erarbeitung eines Sicherheitskonzeptes und dessen entsprechende Umsetzung. Zudem kommt den Beamten über die Vorschriften des Artikels 34 im Grundgesetz und über den Paragraphen 839 des Bürgerlichen Gesetzbuchs ein weiteres Privileg zu. Darin heißt es, dass der Beamte für fahrlässig verursachte Schäden im Rahmen seiner Tätigkeit nicht von Dritten in Anspruch genommen werden kann. Hier haftet ausschließlich der Staat.
Eine Regressmöglichkeit des Staates gegen den Beamten besteht nicht, es sei denn, fehlende IT-Sicherheit wird zumindest als grob fahrlässig eingestuft. Ob dies der Fall ist, hängt vom Einzelfall ab. Ohne ausreichende Sicherheitsrichtlinien ist nach Auffassung des Verfassers zunächst einmal von grober Fahllässigkeit auszugehen. Denn dadurch wird aufgezeigt, das sich die Unternehmensspitze mit dem Thema IT-Sicherheit noch nicht ausreichend befasst hat. Dann haftet auch der Beamte persönlich.