Compliance

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

von

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Safe Harbor und die praktischen Folgen

von

Bye bye, Safe Harbor im Datenschutz

Der EuGH hat bekanntlich im Oktober das Safe-Harbor-Abkommen zwischen den USA und der EU gekippt, das die Übermittlung personenbezogener Daten an Rechenzentren in den USA erlaubte, wenn diese besonders zertifiziert sind. Das war einmal – wer weiterhin auf Basis dieses Abkommens Daten übermittelt, verstößt gegen Datenschutzrecht. Bis Januar 2016 werden solche Datenschutzverstöße zwar erst einmal nicht geahndet, bis dahin wollen die Politiker schauen, ob sie die Situation gelöst bekommen. Aber verlassen sollten Unternehmen sich darauf nicht. Wer  einen Cloud-Service oder E-Mail-Dienstleister mit Sitz bzw. Rechenzentrum in den USA nutzt und an diesen Kundendaten, Adressatenverzeichnisse oder Arbeitnehmerdaten übermittelt, muss damit auf die sogenannten „EU-Standardvertragsklauseln für Auftragsdatenverarbeitung“ umstellen.  Aber auch deren Geltung steht zumindest mittelfristig in Frage. Und überhaupt: Der Großteil der Unternehmen hat dem Themen bisher wenig Beachtung geschenkt und wird daran wohl nichts ändern. Zumal praktikable Lösungen Mangelware sind.

Datenschutzmanagement ist keine Nebensache mehr

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Das teilte der Berliner Rechtsanwalt Thomas Schwenke den Lesern seines Blogs nach der Safe-Harbor-Entscheidung mit – und hat damit vollkommen recht. Weiter schreibt er:

„Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen.“

Ich füge hinzu: Und außerdem brauchen Sie Versicherungsschutz! Das ist gerade jetzt wichtig, weil absolute Compliance in Bezug auf Datenschutzrecht schwierig bis unmöglich ist.

Natürlich kann eine Versicherung nicht den verantwortlichen Umgang mit dem Thema Datenschutz ersetzen. Aber Betriebshaftpflicht, D&O (Managerhaftpflicht) und Cyberversicherung sind die geeigneten Instrumente, um das Unternehmen vor finanziellen Verlusten durch Datenschutzverletzungen zu bewahren. Jedes sinnvolle Risikomanagement schließt in diesem Bereich Versicherungslösungen mit ein.

Das liegt nicht nur am Rechtsrisiko. Mitarbeitern, Kunden und Geschäftspartner erwarten, dass Datenschutz ernst genommen wird. Wer sich darauf nicht einstellt, riskiert nicht nur hohe Folgekosten (und Schadenersatzforderungen), sondern auch einen empfindlichen Reputationsverlust.

Praktische Folgen für Unternehmen

Und was bedeutet das jetzt ganz praktisch? Unternehmen sollten sich darüber klar werden, an wen sie personenbezogene Daten weitergeben, auf welcher vertraglichen Grundlage das geschieht und wer dafür haftet. (Im Zweifel ist das immer erst einmal der eigene Vorstand oder die Geschäftsführung).  Um das Thema müssen sich Betriebe auch dann kümmern, wenn sie keinen Datenschutzbeauftragten haben müssen.

  • Wenn möglich und sinnvoll, sollte man zu Geschäftspartnern wechseln, die die Daten in der EU speichern und verarbeiten.
  • Der Standort der Rechenzentren muss  bei jedem Dienstleister oder Geschäftspartner bekannt sein, an den personenbezogene Daten weitergegeben werden.
  • Wenn es noch keine Datenschutzerklärung gibt, sollte man sie erstellen.
  • Wenn Auftragsdatenverarbeitung ohne Vertrag vorliegt, sollte das unbedingt geändert werden.
  • Wenn Daten in die USA übermittelt werden, müssen die Verträge auf Safe-Harbor-Klauseln überprüft werden. Wenn man fündig wird, besteht Handlungsbedarf. Dazu sollte man sich, wenn nötig, beraten lassen.
  • Weil das Datenschutzrecht sehr im Fluss ist, müssen Unternehmen die Folgen möglicher Datenschutzverstöße versichern. Dazu gehört auch, das Management gegen persönliche Inanspruchnahme aufgrund von Versäumnissen abzusichern: Die Vermeidung von Datenschutzverstößen ist Verantwortung der Geschäftsführung.

Fragen Sie uns jederzeit

Mit dem Versichern von IT-Risiken, Rechtsrisiken und persönlichen Haftungsrisiken kennen wir genau aus.  Und wir haben für alle Ihre Fragen ein offenes Ohr: 030 863 926 990 oder info@acant.de.