Fachartikel

Sorgfaltspflichten der Geschäftsführung

IT-Security ist Chefsache: Geschäftsführer haften persönlich
Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung kann teuer werden: Bei IT-Sicherheitsmängeln geht es um Kopf und Kragen

Von Benjamin Stehr und Ines Scheerenberg

(11.02.09) - Datenklau, Hackerangriffe, Betriebsspionage oder Malware sind nur einige der gefürchteten Super-GAUs, die durch Schwachstellen in der IT entstehen können. Dabei ist vielen Unternehmern nicht einmal bewusst, welche rechtlichen Konsequenzen sie über die unmittelbaren wirtschaftlichen Schäden hinaus erwarten: Auch für die IT regelt das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) den Umgang mit potenziellen Risikobereichen – und droht bei Verstößen mit empfindlichen Strafen. Darauf weist jetzt die BCC Business Communication Company GmbH hin.

Gerade mittelständische Unternehmen schützen sich erfahrungsgemäß oft unzureichend und gehen zu sorglos mit dem Thema Sicherheit um. Dabei ist IT-Security Chefsache: Geschäftsführer und CIOs haben für den lückenlosen Schutz der Unternehmensdaten Sorge zu tragen. In einem mangelhaft gesicherten Unternehmen riskiert der Geschäftsführer eine persönliche Haftung, die sich auch auf sein persönliches Vermögen erstrecken kann.

Das rechtliche Risiko reicht von der Haftung aus Regressansprüchen von geschädigten Kunden über mögliche Buß- und Schmerzensgelder bis hin zu Haft- und Geldstrafen oder sogar dem Verlust der Gewerbeerlaubnis. Außerdem kann sich, seit Basel II, eine unzureichende ITK-Infrastruktur negativ auf das Unternehmens-Rating und damit auch auf Kreditvergaben auswirken.

Wie teuer eine Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung werden kann, zeigt auch die Rechtsprechung: So verurteilte der Bundesgerichtshof (BGH) den Geschäftsführer eines EDV-Dienstleisters zu Schadenersatz wegen unzureichender Backup-Kontrolle (Aktenzeichen X ZR 64/94). Der Dienstleister, eine GmbH, hatte an seinen Kunden EDV-Systeme inklusive Bandsicherung (Streamer) und Anwendungssoftware geliefert.

Aufgrund einer fehlerhaften Implementierung der Sicherungsroutine blieben die Backup-Bänder unbeschrieben, sodass bei einem Systemabsturz alle gespeicherten Daten verloren gingen. Der BGH gab dem geschädigten Kunden Recht: Der Geschäftsführer des EDV-Dienstleisters haftet persönlich und hätte sich durch geeignete Prozesse oder Maßnahmen davon überzeugen müssen, dass die Sicherungsmechanismen des Backups voll funktionsfähig sind.

Das Risiko abschätzen
Die Szenarien für mangelnde IT-Sicherheit und potenzielle Risiken sind vielfältig. Die Spannweite reicht beispielsweise von unzureichenden und ungeprüften Backups über mangelnde Archivierung bis hin zu lückenhaftem Viren- und Spamschutz. Es kommt auch immer wieder vor, dass ein Administrator unerwartet ausfällt, beispielsweise durch einen Verkehrsunfall, und die gesamten Konfigurationen und Passwörter nicht hinterlegt sind.

Doch um Risiken zu begegnen, müssen diese zunächst einmal bekannt sein: Eine Risikoanalyse hilft, Risikofelder zu definieren und deren Gefahrenpotenziale im Detail abzuschätzen. Basierend auf den Ergebnissen der Analyse lassen sich Risikoquellen strukturieren und systematisieren. Management-Systeme wie die ISO 27001 (Informationssicherheit) geben hier Strukturen, Verfahren und Prozesse vor. So ist es möglich, den Grad der Gefährdung zu bewerten und in Relation zu den Kosten zu setzen, die durch etwaige Gegenmaßnahmen entstehen.

Dynamisches Sicherheitskonzept als Teil der Risikostrategie
Um seine ITK-Landschaft nachhaltig abzusichern, ist ein umfassendes, dynamisches IT-Sicherheitskonzept notwendig, dessen Grundsätze in einer unternehmensweiten Security Policy festgeschrieben sind. Darin spielen organisatorische, personelle und baulich-infrastrukturelle Fragen eine gleichwertige Rolle wie Hard- und Software. Zusätzlich zum gesetzlich vorgeschriebenen Datenschutzbeauftragten sollten Unternehmen einen regelmäßig zu schulenden IT-Sicherheitsbeauftragten benennen.

Die Unternehmensleitung ist verpflichtet, auf eine kontinuierliche schriftliche Dokumentation des Sicherheitskonzepts und aller Maßnahmen zu achten. Denn im Falle einer Unternehmenskrise obliegt es dem Geschäftsführer, die Einhaltung seiner Sorgfaltspflichten nachzuweisen.

Daneben sollte die Verantwortung für IT-Sicherheitsaufgaben eindeutig delegiert sein, beispielsweise an verschiedene Administratoren. Wie wichtig es ist, diese Personen sorgfältig auszuwählen und regelmäßig zu kontrollieren zeigt ein aktuelles Beispiel: In San Francisco manipulierte ein städtischer Netzwerk-Administrator jüngst alle Router und Switche des gesamten Verwaltungsnetzes so, dass der Zugriff nur noch über ein einziges Masterpasswort möglich war. Und dieses gab der zwischenzeitlich wegen Computersabotage inhaftierte Admin über eine Woche lang nicht preis.

Doch auch technische Rahmenbedingungen wie Firewall, Viren- und Spam-Schutz gehören zu den Maßnahmen, die Geschäftsführer und CIOs nicht vergessen sollten. Das Nutzen moderner Technologien hilft vor allem Angriffe von außen zu vermeiden. Dienstleistungen von Dritten, wie Provider-Services, sind zuverlässig über Pönalen oder Service Level Agreements (SLA) vertraglich abzusichern. Damit sichern sich Unternehmen eindeutige Verfügbarkeiten und im Störfall garantierte Servicezeiten.

Die Liste möglicher Risiko-Management-Maßnahmen lässt sich beliebig erweitern, doch letztlich ist vor allem ein Aspekt von Bedeutung. Die einmal getroffenen Sicherheitsmaßnahmen müssen sich fortwährend an veränderte Rahmenbedingungen anpassen. Diese dazu notwendige Steuerung und Kontrolle leistet jedoch nur ein intaktes, aussagekräftiges Risiko-Management-System, das flexibel auf neue Anforderungen reagiert.

Was ist das KonTraG?
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich trat am 01.05.1998 in Kraft. Ziel dieses Artikelgesetzes ist es, die Corporate Governance – den rechtlichen und praktischen Rahmen der Leitung und Überwachung eines Unternehmens – zu verbessern. So erweitert es die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen und verpflichtet Unternehmensführungen, ein Risikofrühwarnsystem zu betreiben sowie Aussagen zu Risiko und Risikostruktur im Jahresabschlussbericht zu veröffentlichen.

Das KonTraG bezieht sich hauptsächlich auf Aktiengesellschaften, erfasst aber auch andere Unternehmensformen wie die OHG oder GmbH.

Die Autoren:
Benjamin Stehr ist Informationssicherheitsbeauftragter und IT-Security-Experte bei BCC, Ines Scheerenberg ist Mitarbeiterin der Abteilung Recht bei BCC Business Communication Company GmbH.
(BCC Business Communication Company: ra)

Meldungen: Recht

Im Fokus: Unternehmensexterne Compliance-Beratung Mit Urteil vom 08. September 2011 (1 StR 38/11) hatte sich der Bundesgerichtshof in einer Revisionsentscheidung mit grundsätzlichen Fragen zur Vorsatzproblematik beim Straftatbestand der Steuerhinterziehung (§ 370 AO) zu befassen. Dabei hat er sich insbesondere dazu positioniert, inwieweit ein der Steuerhinterziehungsvorsatz durch Irrtümer des Steuerpflichtigen ausgeschlossen werden kann oder - gleichsam als Auffangtatbestand - eine leichtfertige Steuerverkürzung (§ 378 AO) in Betracht kommt.

Compliance bei Datentransfers im Konzern In dem neuen Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern" geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden.

Compliance und Datenschutz im Unternehmen Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

Arbeitsrecht und Compliance-Regelungen Zu moderner Compliance gehört ein verbindlicher Verhaltenskodex. Dieser stellt sicher, dass die Geschäftspolitik von Mitarbeitern und Geschäftsführung auch wirklich "gelebt" wird und Gesetze eingehalten werden. Darüber, wie man diesen Kodex erarbeitet und im Unternehmen einführt, machen sich nach Ansicht der Kanzlei Aulinger Rechtsanwälte viele Unternehmen jedoch nach wie vor zu wenig Gedanken.

Datenschutzrecht beim Outsourcing Datenverarbeitungsverträge müssen bestimmte Mindestregelungen beinhalten, so will es das neue Bundesdatenschutzgesetz (BDSG). So müssen zum Bespiel Klauseln aufgenommen werden über die Benachrichtigung bei Datenschutzverstößen, Prüfrechte, die Einschaltung von Unterauftragnehmern sowie eine Reihe weiterer Punkte. Betroffen sind zum Beispiel Verträge über die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung oder Verträge mit Unternehmen, die Personalinformationsssyteme anbieten, auch wenn es sich nur um Tochtergesellschaften oder die Konzernmutter handelt.

Auskunftsrecht und Urheberrechtsverstöße Im digitalen Zeitalter werden Musik- oder Filmdateien über Peer-to-Peer-Netzwerke illegal verbreitet. Gegen diese Art der Urheberrechtsverletzung geht die Musik- und Filmindustrie als Rechteinhaber nun vor. Der "Bundesbeauftragte für den Datenschutz und die Informationsfreiheit" (BfDI) informiert aus aktuellem Anlass in einem Artikel zum Auskunftsrecht bei Urheberrechtsverstößen:

Neu: Änderungen bei Standardvertragsklauseln Am 5. Februar 2010 hat die EU-Kommission eine neue Fassung der "Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern" beschlossen. Standardvertragsklauseln sind ein häufig genutztes Instrument, um datenschutzrechtliche Anforderungen umzusetzen, wenn personenbezogene Daten in einem Land außerhalb der EU und des Europäischen Wirtschaftsraumes (EWR) genutzt oder verarbeitet werden. Am 15. Mai 2010 treten die bisher gültigen Standardklauseln außer Kraft.

AGG und Diskriminierende Bluttests bei Einstellung Wie jüngst bekannt wurde, werden Bewerber des Autobauers Daimler, des Medienriesen Axel Springer und sogar öffentlich-rechtlicher Sendeanstalten vor einer etwaigen Einstellung mittels Blutuntersuchung auf "Herz und Nieren" geprüft. Und zwar pauschal, d.h. auch dann, wenn für den in Rede stehenden Arbeitsplatz keine bestimmte gesundheitliche Eignung erforderlich ist. "Abgesehen von moralischen Bedenken kann ein solches Vorgehen vor dem Hintergrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) für Arbeitgeber teuer werden", warnt Rechtsanwältin Stephanie Musiol von der Kanzlei Bethge.Reimann.Stari in Berlin.

Wesentliche Inhalte der Datenschutz-Reform Der Deutsche Bundestag hat am 3. Juli 2009 und damit am letzten Tag der Sitzungswoche vor der Sommerpause eine Reihe von neuen Bestimmungen im Datenschutz verabschiedet (BT-Drs. 16/12011, 16/13657). Am 10. Juli 2009 haben die Änderungen des Bundesdatenschutzgesetzes (BDSG), des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) auch den Bundesrat passiert. Dr. Michael Rath, Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei der Luther Rechtsanwaltgesellschaft mbH, erörtert die wesentlichen Inhalte der Datenschutz-Reform.

Datenschutz: Dienstleisterkontrolle verschärft Der Bundestag hat in seiner Sitzung am 03. Juli nunmehr doch die 2. Datenschutznovelle auf dem Weg gebracht. Die Änderungen des Bundesdatenschutzgesetzes bringen für die praktische Arbeit der Unternehmen erhebliche Konsequenzen mit sich. Die Ankündigungen der Koalitionsparteien im Rahmen des so genannten Datenschutzgipfels im September 2008 wurden nur teilweise umgesetzt. Vergangenen Mittwoch hatten sich die Koalitionsparteien zunächst im Innenausschuss des Bundestages über die Änderungen des Bundesdatenschutzgesetzes geeinigt.