03800 Verstöße gegen IT-Sicherheitsvorgaben – Wofür haftet die Unternehmensführung?
|
Die Nutzung moderner IT durch die Mitarbeiter eines Unternehmens wie z. B. der weltweit mögliche Zugriff auf das Unternehmensnetzwerk, der Einsatz von Anwendungen zur Virtualisierung, die Nutzung von Cloud-Services oder der Einsatz mobiler Endgeräte birgt Chancen und Risiken gleichermaßen. Vor dem Hintergrund steigender Komplexität und gestiegener Sicherheitsanforderungen an die unternehmenseigene IT stellt sich die Frage, welche spezifischen Pflichten es von Gesetzes wegen für die Unternehmensführung von Kapitalgesellschaften, sprich Vorstand und Geschäftsführer, einzuhalten gilt, um persönliche Haftungsrisiken zu minimieren bzw. im Idealfall zu vermeiden. IT-Sicherheit, als wichtigster Bestandteil von IT-Compliance, stellt dabei einen Baustein der üblichen Risikovorsorge im eigenen Unternehmen dar. Der Beitrag erläutert den Rechtsrahmen der Vorstands- und Geschäftsführerhaftung und versucht die konkreten Pflichten eines IT-Risikomanagements näher zu bestimmen. von: |
Einleitung
Haftungsgefahren für geschäftsleitende Organe drohen bei einer Vielzahl geschäftsbezogener Tätigkeiten. Eine möglichst umfassende Haftungsvermeidung durch bestmögliche Organisation muss daher oberste Maxime eines jeden Unternehmens sein. Diesbezüglich zwingt eine unüberschaubare Vielzahl von Richtlinien, Verordnungen, Gesetzen, regulativen Bestimmungen, neuen Standards und Best Practices Unternehmen dazu, ein Konzept zu entwickeln, um eine ganzheitliche Corporate Compliance sicherzustellen. Dieses gilt insbesondere auch hinsichtlich IT-bezogener Risiken bzw. Risiken, die in Zusammenhang mit der IT-Sicherheit stehen. Der Baustein der IT-Sicherheit hat bei der Erfüllung der Compliance-Vorgaben als Risikovorsorge im Zusammenhang mit der IT-gestützten Datenverarbeitung eine Schlüsselfunktion. Unabhängig davon, welche Anforderungen im Einzelnen an die IT-Sicherheit in einem Unternehmen zu stellen sind, bergen Verstöße gegen IT-Sicherheitsvorgaben insbesondere für die Unternehmensführung ein potenzielles (persönliches) Haftungsrisiko.
Haftungsgefahren für geschäftsleitende Organe drohen bei einer Vielzahl geschäftsbezogener Tätigkeiten. Eine möglichst umfassende Haftungsvermeidung durch bestmögliche Organisation muss daher oberste Maxime eines jeden Unternehmens sein. Diesbezüglich zwingt eine unüberschaubare Vielzahl von Richtlinien, Verordnungen, Gesetzen, regulativen Bestimmungen, neuen Standards und Best Practices Unternehmen dazu, ein Konzept zu entwickeln, um eine ganzheitliche Corporate Compliance sicherzustellen. Dieses gilt insbesondere auch hinsichtlich IT-bezogener Risiken bzw. Risiken, die in Zusammenhang mit der IT-Sicherheit stehen. Der Baustein der IT-Sicherheit hat bei der Erfüllung der Compliance-Vorgaben als Risikovorsorge im Zusammenhang mit der IT-gestützten Datenverarbeitung eine Schlüsselfunktion. Unabhängig davon, welche Anforderungen im Einzelnen an die IT-Sicherheit in einem Unternehmen zu stellen sind, bergen Verstöße gegen IT-Sicherheitsvorgaben insbesondere für die Unternehmensführung ein potenzielles (persönliches) Haftungsrisiko.
Die allgemeinen Sorgfaltspflichten der Unternehmensführung wurden bereits durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich – kurz KonTraG – gesetzlich fixiert. Das KonTraG ist ein sog. Artikelgesetz, das bestehende Gesetzeswerke wie das Aktiengesetz (AktG), das Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) oder das Handelsgesetzbuch (HGB) ergänzt bzw. ändert. Die durch das KonTraG eingeführte gesetzliche Pflicht zur Einrichtung eines Risikomanagementsystems in § 91 Abs. 2 AktG erfuhr eine Erweiterung insbesondere hinsichtlich neuer Berichtspflichten durch das Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz, kurz BilMoG). Die allgemeine Compliance-Pflicht, d. h., die Gesellschaft zu fördern, ihr die Vorteile zu wahren und Schaden von ihr abzuwenden, wird daneben aus einer Vielzahl von Einzelnormen wie § 130 OWiG, § 14 Abs. 2 GeldwäscheG oder der Sorgfalt eines ordentlichen Kaufmanns aus § 347 HGB abgeleitet. Unterhalb der gesetzlichen Ebene ist im Deutschen Corporate Governance Kodex (DCGK) die Einhaltung der gesetzlichen Vorgaben und unternehmensinternen Richtlinien als Compliance definiert.
1.1 KonTraG
§ 91 Abs. 2 AktG
Sinn und Zweck der Verabschiedung des KonTraG war die Verbesserung der Aussagekraft und Qualität der Abschlussprüfungen als Reaktion auf zahlreiche Unternehmenskrisen in den 1990er-Jahren. Kern des KonTraG, eine verstärkt risikoorientierte Prüfung vorzunehmen, ist die Vorschrift des § 91 Abs. 2 AktG. Die Unternehmensführung hat danach „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”.
Sinn und Zweck der Verabschiedung des KonTraG war die Verbesserung der Aussagekraft und Qualität der Abschlussprüfungen als Reaktion auf zahlreiche Unternehmenskrisen in den 1990er-Jahren. Kern des KonTraG, eine verstärkt risikoorientierte Prüfung vorzunehmen, ist die Vorschrift des § 91 Abs. 2 AktG. Die Unternehmensführung hat danach „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”.
