Wer nicht dokumentiert, haftet
Risikofrüherkennung: Nur eine nachvollziehbare und ausreichende Dokumentation ermöglicht die Beurteilung, ob getroffene Maßnahmen ausreichen und das Überwachungssystem funktionsfähig ist
Das LG München bestätigte einen Hauptversammlungsbeschluss zur Verweigerung der Entlastung von Vorständen - Hintergrund: Es gab keine formelle Dokumentation für das Risikofrüherkennungsystem im Unternehmen
Von Dr. Matthias Orthwein, LL.M. (Boston)
(02.08.07) - Dokumentationen gehören zu den unbeliebtesten Aufgaben in der IT. Sie werden daher häufig sträflich vernachlässigt. Nach einer Untersuchung der Information Week aus dem Jahr 2005 verfügen lediglich 46,7 Prozent der Unternehmen über ein schriftlich fixiertes und kommunizierbares Sicherheitskonzept für ihre IT-Systeme. Der Trend zur stärkeren Beachtung von Compliance-Anforderungen und Risikomanagement in den Unternehmen hat jedoch dazu geführt, dass die Gerichte mittlerweile sowohl IT-Verantwortliche als auch Vorstände und Geschäftsführer von Unternehmen immer stärker ganz persönlich für diese Aufgabe in die Pflicht nehmen. Nachlässigkeiten werden mit Geldstrafen und Gefängnisandrohung empfindlich bestraft, so dass es sich kein Unternehmen mehr leisten kann, auf nachprüfbare Dokumentationen zu verzichten.
Die Erkenntnis, dass Risikomanagement nicht nur ein Bestandteil guter Unternehmensführung ist, hat sich in Zeiten der zunehmenden medialen Präsenz von Compliance und Corporate Governance in den meisten Unternehmen bereits durchgesetzt. Zusätzlich verpflichtet sie auch der Gesetzgeber – wachgerüttelt durch die Skandale der Vergangenheit – zur Einrichtung von Risikofrüherkennungssystemen. Weder börsennotierte Gesellschaften noch die nicht börsennotierten Unternehmen können sich dem entziehen. Schließlich prüft auch der Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung die vorhandenen Risikofrüherkennungssysteme. Findet er dabei keine ausreichend funktionsfähigen Systeme zur Früherkennung von künftigen Risiken für das Unternehmen vor, ist die Erteilung des Testats für den Jahresabschluss zumindest gefährdet. Gerade bei den Versicherungs- und Finanzdienstleistungsunternehmen ist eine umfassende IT-Systemprüfung sogar zwingender Bestandteil der Jahresabschlussprüfung.
Dass mit dieser Gefährdung des Wirtschaftsprüfertestats für den Jahresabschluss bei fehlender Dokumentation noch nicht Schluss ist, hat das Landgericht München I aktuell am Beispielsfall eines Großhandelsunternehmens aus der Halbleiterbranche deutlich gemacht. Danach genügt es nicht mehr nur, ein Risikofrüherkennungssystem eingerichtet zu haben, dies muss auch für Außenstehende nachvollziehbar dokumentiert sein. Das Gericht legt hier strenge Maßstäbe an die Dokumentation an und verlangt neben der Begründung unmissverständlicher Zuständigkeiten insbesondere auch ein engmaschiges Berichtswesen und eine entsprechende Dokumentation (vgl. LG München I, Urteil vom 5. April 2007, Az.: 5 HKO 15964/06).
Nur eine nachvollziehbare und ausreichende Dokumentation ermöglicht es schließlich dem Abschlussprüfer festzustellen, ob die getroffenen Maßnahmen ausreichen und das Überwachungssystem funktionsfähig ist. Zudem ist eine unternehmensinterne Kommunikation der getroffenen Maßnahmen ohne entsprechende Dokumentation kaum möglich. Die Praxis zeigt, dass in vielen Unternehmen lediglich ein "informelles Risiko-Früherkennungssystem" besteht. Aufgrund der fehlenden Dokumentation kann dieses aber weder den Mitarbeitern erläutert werden noch durch den Abschlussprüfer überprüft werden.
Wer sich als verantwortlicher IT-Mitarbeiter ebenso wie als Geschäftsleiter einmal die Konsequenzen vor Augen führt, die ein Versäumnis bei der Dokumentation auch für ihn persönlich haben kann, wird zweifellos künftig hierauf sein besonderes Augenmerk richten. Das Landgericht München I weist nämlich darauf hin, dass die Dokumentation des Früherkennungssystems nicht bloß delegierbare Abteilungsverantwortlichkeit ist, sondern viel mehr zu den zentralen Aufgaben des Vorstands beziehungsweise Geschäftsführers gehört.
Sie ist Ausdruck seiner gesetzlich normierten Bestandssicherungsverantwortung. Damit stellt eine fehlende oder unvollständige Dokumentation einen schwerwiegenden Gesetzesverstoß dar, der es zum Beispiel bei börsennotierten Aktiengesellschaften rechtfertigt beziehungsweise sogar fordert, dem Vorstand die Entlastung zu verweigern. Darüber hinaus haben Aktionäre und Gesellschafter nicht nur das Recht sondern in vielen Fällen sogar die Pflicht, entsprechende Schadenersatzforderungen an die Vorstände und Geschäftsführer zu stellen.
Für den IT-Verantwortlichen im Unternehmen folgt hieraus, dass es nicht ausreicht, ein funktionierendes System zur Risikofrüherkennung im Unternehmen zu installieren. Auch die vollständige und nachvollziehbare Dokumentation des Systems ist mehr als nur eine lästige Pflichtübung. Aber auch auf Ebene der Unternehmensführung muss spätestens jetzt jedem Geschäftsführer oder Vorstand klar sein, dass Risikomanagement für die IT-Systeme "Chefsache" ist, bei der er/sie sich nicht darauf ausruhen kann, die Verantwortlichkeit an die Fachabteilung abzuschieben.
Selbst in Großunternehmen gilt, was für den Mittelständler selbstverständlich ist, nämlich dass die Unternehmensführung sich nicht soweit vom Tagesgeschäft entfernen darf, dass ihr die operative Führung und Beherrschung des Unternehmens entgleitet. Neben den möglichen finanziellen Folgen für Unternehmensführung und IT-Verantwortliche zum Beispiel durch Schadenersatzforderungen der Gesellschafter, sollten auch entsprechende arbeitsrechtliche Sanktionen nicht aus dem Auge verloren werden. Der öffentliche Druck auf die Unternehmensführung, die Zügel im Unternehmen wieder stärker selbst in die Hand zu nehmen, ist mit einiger Verzögerung auch in den Gerichtssälen deutlich zu spüren. (Luther: ra)
"Dr. Matthias Orthwein, LL.M. (Boston) ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH
Lesen Sie auch:
Pflichtverletzungen im Bereich Compliance
Juristische IT-Haftungsrisiken
IT-Haftungsrisiken für Mandanten
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>