- Anzeigen -

Sie sind hier: Home » Fachartikel » Recht

Sorgfaltspflichten der Geschäftsführung


IT-Security ist Chefsache: Geschäftsführer haften persönlich
Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung kann teuer werden: Bei IT-Sicherheitsmängeln geht es um Kopf und Kragen


Von Benjamin Stehr und Ines Scheerenberg

(11.02.09) - Datenklau, Hackerangriffe, Betriebsspionage oder Malware sind nur einige der gefürchteten Super-GAUs, die durch Schwachstellen in der IT entstehen können. Dabei ist vielen Unternehmern nicht einmal bewusst, welche rechtlichen Konsequenzen sie über die unmittelbaren wirtschaftlichen Schäden hinaus erwarten: Auch für die IT regelt das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) den Umgang mit potenziellen Risikobereichen – und droht bei Verstößen mit empfindlichen Strafen. Darauf weist jetzt die BCC Business Communication Company GmbH hin.

Gerade mittelständische Unternehmen schützen sich erfahrungsgemäß oft unzureichend und gehen zu sorglos mit dem Thema Sicherheit um. Dabei ist IT-Security Chefsache: Geschäftsführer und CIOs haben für den lückenlosen Schutz der Unternehmensdaten Sorge zu tragen. In einem mangelhaft gesicherten Unternehmen riskiert der Geschäftsführer eine persönliche Haftung, die sich auch auf sein persönliches Vermögen erstrecken kann.

Das rechtliche Risiko reicht von der Haftung aus Regressansprüchen von geschädigten Kunden über mögliche Buß- und Schmerzensgelder bis hin zu Haft- und Geldstrafen oder sogar dem Verlust der Gewerbeerlaubnis. Außerdem kann sich, seit Basel II, eine unzureichende ITK-Infrastruktur negativ auf das Unternehmens-Rating und damit auch auf Kreditvergaben auswirken.

Wie teuer eine Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung werden kann, zeigt auch die Rechtsprechung: So verurteilte der Bundesgerichtshof (BGH) den Geschäftsführer eines EDV-Dienstleisters zu Schadenersatz wegen unzureichender Backup-Kontrolle (Aktenzeichen X ZR 64/94). Der Dienstleister, eine GmbH, hatte an seinen Kunden EDV-Systeme inklusive Bandsicherung (Streamer) und Anwendungssoftware geliefert.

Aufgrund einer fehlerhaften Implementierung der Sicherungsroutine blieben die Backup-Bänder unbeschrieben, sodass bei einem Systemabsturz alle gespeicherten Daten verloren gingen. Der BGH gab dem geschädigten Kunden Recht: Der Geschäftsführer des EDV-Dienstleisters haftet persönlich und hätte sich durch geeignete Prozesse oder Maßnahmen davon überzeugen müssen, dass die Sicherungsmechanismen des Backups voll funktionsfähig sind.

Das Risiko abschätzen
Die Szenarien für mangelnde IT-Sicherheit und potenzielle Risiken sind vielfältig. Die Spannweite reicht beispielsweise von unzureichenden und ungeprüften Backups über mangelnde Archivierung bis hin zu lückenhaftem Viren- und Spamschutz. Es kommt auch immer wieder vor, dass ein Administrator unerwartet ausfällt, beispielsweise durch einen Verkehrsunfall, und die gesamten Konfigurationen und Passwörter nicht hinterlegt sind.

Doch um Risiken zu begegnen, müssen diese zunächst einmal bekannt sein: Eine Risikoanalyse hilft, Risikofelder zu definieren und deren Gefahrenpotenziale im Detail abzuschätzen. Basierend auf den Ergebnissen der Analyse lassen sich Risikoquellen strukturieren und systematisieren. Management-Systeme wie die ISO 27001 (Informationssicherheit) geben hier Strukturen, Verfahren und Prozesse vor. So ist es möglich, den Grad der Gefährdung zu bewerten und in Relation zu den Kosten zu setzen, die durch etwaige Gegenmaßnahmen entstehen.

Dynamisches Sicherheitskonzept als Teil der Risikostrategie
Um seine ITK-Landschaft nachhaltig abzusichern, ist ein umfassendes, dynamisches IT-Sicherheitskonzept notwendig, dessen Grundsätze in einer unternehmensweiten Security Policy festgeschrieben sind. Darin spielen organisatorische, personelle und baulich-infrastrukturelle Fragen eine gleichwertige Rolle wie Hard- und Software. Zusätzlich zum gesetzlich vorgeschriebenen Datenschutzbeauftragten sollten Unternehmen einen regelmäßig zu schulenden IT-Sicherheitsbeauftragten benennen.

Die Unternehmensleitung ist verpflichtet, auf eine kontinuierliche schriftliche Dokumentation des Sicherheitskonzepts und aller Maßnahmen zu achten. Denn im Falle einer Unternehmenskrise obliegt es dem Geschäftsführer, die Einhaltung seiner Sorgfaltspflichten nachzuweisen.

Daneben sollte die Verantwortung für IT-Sicherheitsaufgaben eindeutig delegiert sein, beispielsweise an verschiedene Administratoren. Wie wichtig es ist, diese Personen sorgfältig auszuwählen und regelmäßig zu kontrollieren zeigt ein aktuelles Beispiel: In San Francisco manipulierte ein städtischer Netzwerk-Administrator jüngst alle Router und Switche des gesamten Verwaltungsnetzes so, dass der Zugriff nur noch über ein einziges Masterpasswort möglich war. Und dieses gab der zwischenzeitlich wegen Computersabotage inhaftierte Admin über eine Woche lang nicht preis.

Doch auch technische Rahmenbedingungen wie Firewall, Viren- und Spam-Schutz gehören zu den Maßnahmen, die Geschäftsführer und CIOs nicht vergessen sollten. Das Nutzen moderner Technologien hilft vor allem Angriffe von außen zu vermeiden. Dienstleistungen von Dritten, wie Provider-Services, sind zuverlässig über Pönalen oder Service Level Agreements (SLA) vertraglich abzusichern. Damit sichern sich Unternehmen eindeutige Verfügbarkeiten und im Störfall garantierte Servicezeiten.

Die Liste möglicher Risiko-Management-Maßnahmen lässt sich beliebig erweitern, doch letztlich ist vor allem ein Aspekt von Bedeutung. Die einmal getroffenen Sicherheitsmaßnahmen müssen sich fortwährend an veränderte Rahmenbedingungen anpassen. Diese dazu notwendige Steuerung und Kontrolle leistet jedoch nur ein intaktes, aussagekräftiges Risiko-Management-System, das flexibel auf neue Anforderungen reagiert.

Was ist das KonTraG?
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich trat am 01.05.1998 in Kraft. Ziel dieses Artikelgesetzes ist es, die Corporate Governance – den rechtlichen und praktischen Rahmen der Leitung und Überwachung eines Unternehmens – zu verbessern. So erweitert es die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen und verpflichtet Unternehmensführungen, ein Risikofrühwarnsystem zu betreiben sowie Aussagen zu Risiko und Risikostruktur im Jahresabschlussbericht zu veröffentlichen.

Das KonTraG bezieht sich hauptsächlich auf Aktiengesellschaften, erfasst aber auch andere Unternehmensformen wie die OHG oder GmbH.

Die Autoren:
Benjamin Stehr ist Informationssicherheitsbeauftragter und IT-Security-Experte bei BCC, Ines Scheerenberg ist Mitarbeiterin der Abteilung Recht bei BCC Business Communication Company GmbH.
(BCC Business Communication Company: ra)



Meldungen: Recht

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

  • Im Fokus: Unternehmensexterne Compliance-Beratung

    Mit Urteil vom 08. September 2011 (1 StR 38/11) hatte sich der Bundesgerichtshof in einer Revisionsentscheidung mit grundsätzlichen Fragen zur Vorsatzproblematik beim Straftatbestand der Steuerhinterziehung (§ 370 AO) zu befassen. Dabei hat er sich insbesondere dazu positioniert, inwieweit ein der Steuerhinterziehungsvorsatz durch Irrtümer des Steuerpflichtigen ausgeschlossen werden kann oder - gleichsam als Auffangtatbestand - eine leichtfertige Steuerverkürzung (§ 378 AO) in Betracht kommt.

  • Compliance bei Datentransfers im Konzern

    In dem neuen Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern" geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden.

  • Compliance und Datenschutz im Unternehmen

    Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

  • Arbeitsrecht und Compliance-Regelungen

    Zu moderner Compliance gehört ein verbindlicher Verhaltenskodex. Dieser stellt sicher, dass die Geschäftspolitik von Mitarbeitern und Geschäftsführung auch wirklich "gelebt" wird und Gesetze eingehalten werden. Darüber, wie man diesen Kodex erarbeitet und im Unternehmen einführt, machen sich nach Ansicht der Kanzlei Aulinger Rechtsanwälte viele Unternehmen jedoch nach wie vor zu wenig Gedanken.