Sie sind hier: Home » Fachartikel » Recht

Sorgfaltspflichten der Geschäftsführung


IT-Security ist Chefsache: Geschäftsführer haften persönlich
Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung kann teuer werden: Bei IT-Sicherheitsmängeln geht es um Kopf und Kragen



Von Benjamin Stehr und Ines Scheerenberg

(11.02.09) - Datenklau, Hackerangriffe, Betriebsspionage oder Malware sind nur einige der gefürchteten Super-GAUs, die durch Schwachstellen in der IT entstehen können. Dabei ist vielen Unternehmern nicht einmal bewusst, welche rechtlichen Konsequenzen sie über die unmittelbaren wirtschaftlichen Schäden hinaus erwarten: Auch für die IT regelt das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) den Umgang mit potenziellen Risikobereichen – und droht bei Verstößen mit empfindlichen Strafen. Darauf weist jetzt die BCC Business Communication Company GmbH hin.

Gerade mittelständische Unternehmen schützen sich erfahrungsgemäß oft unzureichend und gehen zu sorglos mit dem Thema Sicherheit um. Dabei ist IT-Security Chefsache: Geschäftsführer und CIOs haben für den lückenlosen Schutz der Unternehmensdaten Sorge zu tragen. In einem mangelhaft gesicherten Unternehmen riskiert der Geschäftsführer eine persönliche Haftung, die sich auch auf sein persönliches Vermögen erstrecken kann.

Das rechtliche Risiko reicht von der Haftung aus Regressansprüchen von geschädigten Kunden über mögliche Buß- und Schmerzensgelder bis hin zu Haft- und Geldstrafen oder sogar dem Verlust der Gewerbeerlaubnis. Außerdem kann sich, seit Basel II, eine unzureichende ITK-Infrastruktur negativ auf das Unternehmens-Rating und damit auch auf Kreditvergaben auswirken.

Wie teuer eine Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung werden kann, zeigt auch die Rechtsprechung: So verurteilte der Bundesgerichtshof (BGH) den Geschäftsführer eines EDV-Dienstleisters zu Schadenersatz wegen unzureichender Backup-Kontrolle (Aktenzeichen X ZR 64/94). Der Dienstleister, eine GmbH, hatte an seinen Kunden EDV-Systeme inklusive Bandsicherung (Streamer) und Anwendungssoftware geliefert.

Aufgrund einer fehlerhaften Implementierung der Sicherungsroutine blieben die Backup-Bänder unbeschrieben, sodass bei einem Systemabsturz alle gespeicherten Daten verloren gingen. Der BGH gab dem geschädigten Kunden Recht: Der Geschäftsführer des EDV-Dienstleisters haftet persönlich und hätte sich durch geeignete Prozesse oder Maßnahmen davon überzeugen müssen, dass die Sicherungsmechanismen des Backups voll funktionsfähig sind.

Das Risiko abschätzen
Die Szenarien für mangelnde IT-Sicherheit und potenzielle Risiken sind vielfältig. Die Spannweite reicht beispielsweise von unzureichenden und ungeprüften Backups über mangelnde Archivierung bis hin zu lückenhaftem Viren- und Spamschutz. Es kommt auch immer wieder vor, dass ein Administrator unerwartet ausfällt, beispielsweise durch einen Verkehrsunfall, und die gesamten Konfigurationen und Passwörter nicht hinterlegt sind.

Doch um Risiken zu begegnen, müssen diese zunächst einmal bekannt sein: Eine Risikoanalyse hilft, Risikofelder zu definieren und deren Gefahrenpotenziale im Detail abzuschätzen. Basierend auf den Ergebnissen der Analyse lassen sich Risikoquellen strukturieren und systematisieren. Management-Systeme wie die ISO 27001 (Informationssicherheit) geben hier Strukturen, Verfahren und Prozesse vor. So ist es möglich, den Grad der Gefährdung zu bewerten und in Relation zu den Kosten zu setzen, die durch etwaige Gegenmaßnahmen entstehen.

Dynamisches Sicherheitskonzept als Teil der Risikostrategie
Um seine ITK-Landschaft nachhaltig abzusichern, ist ein umfassendes, dynamisches IT-Sicherheitskonzept notwendig, dessen Grundsätze in einer unternehmensweiten Security Policy festgeschrieben sind. Darin spielen organisatorische, personelle und baulich-infrastrukturelle Fragen eine gleichwertige Rolle wie Hard- und Software. Zusätzlich zum gesetzlich vorgeschriebenen Datenschutzbeauftragten sollten Unternehmen einen regelmäßig zu schulenden IT-Sicherheitsbeauftragten benennen.

Die Unternehmensleitung ist verpflichtet, auf eine kontinuierliche schriftliche Dokumentation des Sicherheitskonzepts und aller Maßnahmen zu achten. Denn im Falle einer Unternehmenskrise obliegt es dem Geschäftsführer, die Einhaltung seiner Sorgfaltspflichten nachzuweisen.

Daneben sollte die Verantwortung für IT-Sicherheitsaufgaben eindeutig delegiert sein, beispielsweise an verschiedene Administratoren. Wie wichtig es ist, diese Personen sorgfältig auszuwählen und regelmäßig zu kontrollieren zeigt ein aktuelles Beispiel: In San Francisco manipulierte ein städtischer Netzwerk-Administrator jüngst alle Router und Switche des gesamten Verwaltungsnetzes so, dass der Zugriff nur noch über ein einziges Masterpasswort möglich war. Und dieses gab der zwischenzeitlich wegen Computersabotage inhaftierte Admin über eine Woche lang nicht preis.

Doch auch technische Rahmenbedingungen wie Firewall, Viren- und Spam-Schutz gehören zu den Maßnahmen, die Geschäftsführer und CIOs nicht vergessen sollten. Das Nutzen moderner Technologien hilft vor allem Angriffe von außen zu vermeiden. Dienstleistungen von Dritten, wie Provider-Services, sind zuverlässig über Pönalen oder Service Level Agreements (SLA) vertraglich abzusichern. Damit sichern sich Unternehmen eindeutige Verfügbarkeiten und im Störfall garantierte Servicezeiten.

Die Liste möglicher Risiko-Management-Maßnahmen lässt sich beliebig erweitern, doch letztlich ist vor allem ein Aspekt von Bedeutung. Die einmal getroffenen Sicherheitsmaßnahmen müssen sich fortwährend an veränderte Rahmenbedingungen anpassen. Diese dazu notwendige Steuerung und Kontrolle leistet jedoch nur ein intaktes, aussagekräftiges Risiko-Management-System, das flexibel auf neue Anforderungen reagiert.

Was ist das KonTraG?
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich trat am 01.05.1998 in Kraft. Ziel dieses Artikelgesetzes ist es, die Corporate Governance – den rechtlichen und praktischen Rahmen der Leitung und Überwachung eines Unternehmens – zu verbessern. So erweitert es die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen und verpflichtet Unternehmensführungen, ein Risikofrühwarnsystem zu betreiben sowie Aussagen zu Risiko und Risikostruktur im Jahresabschlussbericht zu veröffentlichen.

Das KonTraG bezieht sich hauptsächlich auf Aktiengesellschaften, erfasst aber auch andere Unternehmensformen wie die OHG oder GmbH.

Die Autoren:
Benjamin Stehr ist Informationssicherheitsbeauftragter und IT-Security-Experte bei BCC, Ines Scheerenberg ist Mitarbeiterin der Abteilung Recht bei BCC Business Communication Company GmbH.
(BCC Business Communication Company: ra)



Meldungen: Recht

  • Cyberkrieg: Wenn der Verhandlungspartner fehlt

    Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.

  • Nutzung von "Compliance-Storage"

    Auf dem Weg zur Digitalisierung von Akten müssen Unternehmen gesetzliche Vorgaben, Branchenanforderungen sowie Vorschriften für spezielle Akten oder Steuerunterlagen berücksichtigen. Das macht ihnen die Wahl einer geeigneten IT-Lösung nicht unbedingt leichter. Eine Orientierungshilfe bieten hier Zertifizierungen die den Nachweis für die Konformität der Archivierungsmaßnahmen mit gesetzlichen Vorschriften wie der GoBD oder der Schweizer GeBüV erbringen. In Zusammenarbeit mit Daniel Spichty, Partner beim Schweizer Kompetenzzentrum Records Management, gibt DMS-Spezialist Kendox einen Überblick über den Status Quo, die Anforderungen sowie Herausforderungen und fasst zusammen, worauf Unternehmen zukünftig bei der digitalen Archivierung achten müssen und warum die GeBüV als Benchmark für Compliance-Anforderungen gilt.

  • Umsetzung in nationales Recht: FATCA wird konkret

    Die iBS - Innovative Banking Solutions AG kommentiert das zwischen den USA und den fünf größten EU-Staaten getroffene zwischenstaatliche Musterabkommen zur Verbesserung der Steuerehrlichkeit und Umsetzung des Foreign Account Tax Compliance Act (FATCA). Vor dem Hintergrund der US-amerikanischen Bestrebungen, FATCA international durchzusetzen, haben sich die USA und die fünf großen europäischen Volkswirtschaften Deutschland, Frankreich, Großbritannien, Italien und Spanien auf ein Musterabkommen zur bilateralen Bekämpfung von Steuerhinterziehung verständigt. Die Zusammenarbeit hatten die Staaten im Februar 2012 angekündigt.

  • Compliance im Außenhandel

    Im Außenhandel spielen heute über die reine Einfuhr- und Ausfuhranmeldung hinaus zahlreiche steuerliche und rechtliche Aspekte eine Rolle. Sanktionsverordnungen und Präferenzkalkulation sind hierfür nur zwei Beispiele. Hinzu kommt, dass Einfuhren, Ausfuhren und alle weiteren zollrechtlich relevanten Vorgänge zukünftig ausschließlich elektronisch über das ATLAS-Verfahren abgewickelt werden sollen. Zoll und Außenhandel sind heute derart komplex, dass Unternehmen sie - ähnlich wie Steuerangelegenheiten - nur noch mit Hilfe erfahrener Experten und einer leistungsstarken Software effizient und konform mit den geltenden rechtlichen Bestimmungen abwickeln können.

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

GmbH-Geschäftsführer und steuerrechtliche Haftung Offenlegungspflichten und Darlehensverträge

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen