Newsletter

Abonnements

CFO-Jobkiller IT

iStock / Thinkstock / Getty Images

Zunächst kein ungewöhnlicher Fall: Das Outsourcing einer IT-Anwendung im Rahmen eines Application-Service-Modells (ASP) erfüllt nicht die Erwartungen des auslagernden Unternehmens an den Leistungsumfang der bereitgestellten Software, aber auch nicht in Hinblick auf die Leistungsqualität des Serviceproviders. Der Vertrag bietet jedoch keine hinreichende rechtliche Handhabe für ein Vorgehen gegen den Provider. Insbesondere fehlt es an klaren Leistungsparametern und an Sanktionsmitteln bei deren Nichteinhaltung. Dennoch bleibt das Unternehmen durch eine Abnahmeverpflichtung an den Provider für die nächsten zwei Jahre gebunden.

Finanzchef muss sich persönlich betroffen fühlen

Besonders wird der Fall aber, weil der zuständige Vorstand – der CFO – sich von der Situation auch persönlich betroffen fühlen muss. Der Aufsichtsrat beschuldigt ihn, einen mangelhaften Vertrag abgeschlossen zu haben. Nachdem ein Gutachten diese Sichtweise bestätigt, wird der Vorstand mit seiner fristlosen Entlassung und der Geltendmachung von Schadensersatzansprüchen konfrontiert.

Ein weiterer Fall: Die Einführung einer neuen Software zur Produktionssteuerung führt aufgrund zahlreicher Probleme zu einem dramatischen Einbruch der Produktivität und bringt das Unternehmen an den Rand der Insolvenz. Zwar sind Fehler der Software eine wesentliche Ursache für die aufgetretenen Schwierigkeiten, auf der sprichwörtlichen Anklagebank sieht sich jedoch der Geschäftsführer des Unternehmens. Der Vorwurf hier: Er habe im Vorfeld keine ausreichenden Tests, insbesondere keinen vollständigen betrieblichen Test durchführen lassen. Besonders schwer wiege aber, dass er keine Möglichkeit vorsah, wieder auf das alte System zurückzugreifen, also einen Weg ohne Umkehrmöglichkeit einschlug und dies ohne ausreichende Tests. Wieder sind die bitteren Konsequenzen für ihn die fristlose Kündigung sowie die Geltendmachung von Schadensersatzansprüchen.

Schließlich noch ein Fall zu den vieldiskutierten Cloud-Lösungen. Ein Unternehmen lagert seine betriebsnotwendigen Daten in eine Cloud aus. Nach einem Jahr erfolgreicher Zusammenarbeit kann es jedoch auf die Daten nicht mehr zugreifen, ob aus technischen Gründen oder weil der Cloud-Anbieter schlicht den Zugang sperrte, kann dahingestellt bleiben. Eine Kopie der Daten existiert nicht, weshalb der Betrieb stillgelegt werden muss. Wiederum wird der Geschäftsführer zur Verantwortung gezogen.

Vorwurf der groben Pflichtverletzung

In allen drei Fällen steht der Vorwurf der groben Pflichtverletzung und der Unfähigkeit zur ordnungsgemäßen Geschäftsführung im Raum. Zu Recht? Im ersten Fall bejahten die Richter, vor deren Gericht der Streit ausgetragen wurde, dies und sahen die Kündigung wie die Forderung nach Schadensersatz dem Grunde nach als berechtigt an. Auch der zweite Fall hat sich, hier allerdings verkürzt dargestellt, so zugetragen. Hier akzeptierte der Geschäftsführer schließlich die Kündigung. Mit den Schadensersatzforderungen beschäftigt sich die D&O-Versicherung. Der dritte Fall ist hingegen konstruiert, könnte sich aber (bald) so zutragen. Hätte ein Gericht über einen derartigen Sachverhalt zu entscheiden, würde es wohl auch eine grobe Pflichtverletzung darin sehen, dass der Geschäftsführer keine lokale Replik der Daten sicherstellte.

Finanzchef braucht Grundkenntnisse in der IT

Um zu verstehen, warum die rechtliche Beurteilung so hart für den Leitungsverantwortlichen ausfällt, muss man sich vergegenwärtigen, dass die betriebliche IT heute nicht mehr nur ein Gebiet für versierte Techniker ist. Die Grundlagen der IT und damit auch des IT-Rechts gehören ebenso zu den Anforderungen an jedes Mitglied einer Geschäftsführung beziehungsweise eines Vorstands wie die Beherrschung der Grundregeln der Bilanzkunde oder der kaufmännischen Buchführung. Wer eine Organstellung anstrebt, muss über ein Grundverständnis der IT verfügen und kann sich (nicht mehr) auf fehlendes technisches Know-how berufen. Dies gilt im Übrigen nicht nur für den konkreten IT-Verantwortlichen, sondern (eingeschränkt) für alle Organmitglieder. Die betriebliche IT hat eine zu bedeutende Rolle für das Bestehen eines Unternehmens, als dass ein Organmitglied schlicht auf die Fachzuständigkeit seines Kollegen verweisen könnte.

CFO ist kein IT-Fachmann

Auf der anderen Seite kann niemand generell die Kenntnis eines IT-Fachmannes fordern. Wie hoch aber liegt die konkrete Messlatte? Kommen wir zu dieser Frage zurück auf die Beispielsfälle. Der erste Fall betrifft die Ausgestaltung des Vertrags. Im Bereich des IT-Outsourcings haben sich mittlerweile Standards entwickelt, die bei jedem Vertrag üblicherweise erwartet werden können. Hierzu gehören insbesondere eine eindeutige und vollständige Leistungsbeschreibung mit messbaren (!) Leistungsparametern sowie die Vereinbarung sogenannter Servicelevels mit einem abgestuften Katalog von Sanktionen bei Nichteinhaltung, beginnend mit Pönalen bis hin zur Möglichkeit der vorzeitigen Vertragsbeendigung.

Weiterhin sind Mittel gegen den sogenannten „Lock-in Mechanismus“ bei den Exit-Regelungen vorzusehen, also eine Abhängigkeit von dem Dienstleister zu verhindern. Diese Standards haben sich derart durchgesetzt, dass sie bei Verträgen mit datenschutzrechtlichen Implikationen oder in besonderen Branchen wie bei Finanzdienstleistern gesetzlich beziehungsweise von den Aufsichtsbehörden vorgeschrieben sind. Kein Vorstand oder Geschäftsführer kann sich daher mit Erfolg auf Unkenntnis berufen und gefahrlos Dienstleistungsverträge abschließen, die eben nicht den üblichen Standards entsprechen.

CFO sollte sich absichern

Im zweiten Fall handelt es sich um typische Fragen der Steuerung von IT-Projekten. Hier wird nicht nur erwartet, dass sie „Start-of-the-Art“ durchgeführt werden, sondern auch, dass sich die Verantwortlichen über die Risiken und deren Minimierung Gedanken machen. Selbstverständlich ist ein ausführliches Testen, und zwar des Gesamtsystems unter realistischen Betriebsbedingungen. Gerade bei tiefgreifenden Änderungen in den IT-Systemen stößt man jedoch rasch an die Grenzen der Testmöglichkeit. Daher muss bei IT-Projekten auch immer die Möglichkeit eines Scheiterns einkalkuliert werden, und zwar auch unmittelbar nach dem GoLive-Termin. Darum muss für eine angemessene Übergangszeit die Möglichkeit geschaffen werden, zum Altsystem zurückzukehren, beispielsweise durch parallele Datenerfassungen.

In dem Cloud-Fall geht es hingegen um die Absicherung für den Fall einer Störung der Leistungsbeziehung. Gängig und wohl hinreichend sind Datensicherungsmaßnahmen. Wer in die Cloud geht, muss also die betriebsnotwendigen Daten lokal replizieren.

Nachweis erforderlich

Sicherlich ist sowohl die Einschätzung der konkreten Risiken als auch die Beurteilung geeigneter und – auch aus Kostengesichtspunkten – angemessener Maßnahmen im Einzelfall zu betrachten. Ganz wesentlich ist jedoch, dass der Entscheider dokumentieren kann, dass er sich für seine Beurteilung eine hinreichende Tatsachengrundlage verschaffte und seine Entscheidung auf vernünftigen und nachvollziehbaren Erwägungen beruhte. Ein Gericht wird ihm dann immer auch einen unternehmerischen Beurteilungsspielraum zubilligen. Kann er hingegen nicht einmal einen Beurteilungsvorgang darlegen und hält er sich nicht an die allgemeinen Standards, steht er bereits mit einem Bein in der Haftungsfalle. Seine Kollegen im jeweiligen Organ müssen hingegen nachweisen, dass sie sich zumindest durch ein geeignetes Nachfragen über den Sachstand und eine nachvollziehbare Vorgehensweise des Fachverantwortlichen kundig gemacht haben.

Thomas H. Fischer ist Rechtsanwalt und Partner der Sozietät Waldeck Rechtsanwälte Partnerschaftsgesellschaft, Frankfurt am Main, und Herausgeber des Magazins www.sourcingout.com.

FINANCE Daily Newsletter
Das Wichtigste aus der FINANCE-Welt – täglich direkt in Ihr Postfach.
Jetzt abonnieren »
Jetzt abonnieren »
FINANCE Daily Newsletter