IT-Compliance, Teil 2: Persönliche Manager-Haftung für IT-Sicherheitsmängel

Wie fehlende IT-Compliance zu Schadenersatzforderungen gegen die Geschäftsleitung führen kann.

  • Im ersten Teil ging es um Compliance generell, und warum Compliance-Verstöße schnell zur persönlichen Haftung aus Geschäftsleiterverantwortung führen können.
  • In dieser Folge wollen wir uns speziell mit IT-Compliance als Risiko für persönliche Schadenersatzansprüche befassen.

Zur Compliance gehört die IT-Sicherheit des Unternehmens

Maßnahmen, die IT-Sicherheitsstandards und Datenschutz-Vorschriften im Unternehmen verankern, sind für die Compliance genauso wichtig wie Abläufe, die eine korrekte Buchführung garantieren oder Bestechung verhindern. Ohne solide, professionelle IT-Security lässt sich weder das vom Gesetzgeber vorgeschriebene Risikomanagement betreiben noch das von Investoren und Kapitalgebern erwartete Niveau an Corporate Governance erreichen.

Ein großer Teil der Werte des Unternehmens ist digital: Ohne Daten, Hardware, Netzwerke und Systeme sind weder Produktion noch Rechnungswesen, Vertrieb oder Marketing denkbar. Datenbestände bilden das Wissen eines Betriebs ab. Selbst so schwer fassbare Dinge wie das Vertrauen der Kunden in die Datensicherheit und das Prestige der Marke in den sozialen Netzwerken sind digital assets. Sie müssen geschützt werden, weil jede Beschädigung immer auch ein finanzieller Schaden ist.

Diese digitalen Werte sind ein Teil des Kapitals, das der Unternehmensleitung anvertraut wurde. Sie ist rechenschaftspflichtig: Der Vorstand oder die Geschäftsführer müssen ihren verantwortungsvollen Umgang nachweisen. Ein wichtiger Teil davon sind angemessene Vorsorgemaßnahmen zum Schutz und zur Erhaltung dieser Werte. All das gehört zu den Geschäftsführungspflichten.

Die Aufgaben lassen sich delegieren – die Haftung nicht

Dass bedeutet nicht, dass sich das Management selbst um technische Maßnahmen wie die Installation von Datensicherungsroutinen kümmern muss oder persönlich den Verschlüsselungsgrad des Cloud-Anbieters überprüfen sollte. Natürlich werden die fachlichen Aufgaben in aller Regel delegiert – an die IT-Abteilung, andere Fachabteilungen oder auch an externe Dienstleister. Aber die Geschäftsleitung muss Sorge tragen, dass alle Maßnahmen, die zur Herstellung von IT-Compliance nötig sind, von qualifizierten Kräften erledigt werden. Und in jedem Fall bleibt die Geschäftsleitung dafür verantwortlich, dass sie die Beauftragten sinnvoll auswählt und die Ausführung angemessen überwacht. Diese Pflicht selbst lässt sich nicht delegieren, genauso wenig wie die Haftung für Versäumnisse, die daraus folgt.

Es geht auch keineswegs nur um technische Lösungen. IT-Compliance schließt die betrieblichen Prozesse ein. Schließlich nützt die Technik wenig, wenn dann ein von Sorglosigkeit oder Unwissen geprägter Umgang damit Sicherheitslücken aufreißt. Deshalb müssen zur technischen Ausstattung und Überwachung entsprechende betriebsorganisatorische Maßnahmen kommen: Angefangen von der Fortbildung der Mitarbeiter über genau abgestufte Zugriffsmöglichkeiten bis zu klaren, arbeitsrechtlich verbindlichen Regeln zur IT-Nutzung: Dürfen Mitarbeiter das Internet auch für private Zwecke nutzen? Können private Geräte für Arbeitszwecke gebraucht werden? Wer ist für Passwortsicherheit verantwortlich? Wer hat Zutritt zum Serverraum? Was muss wie archiviert werden? Nur wenn auch solche Punkte verbindlich geregelt sind, und alle Mitarbeiter wissen, dass diese Regeln durchgesetzt werden, kann man von IT-Compliance sprechen.

Im Umkehrschluss bedeutet das: Wenn die Geschäftsleitung es versäumt hat, für ausreichende technische und organisatorische Sicherheitsmaßnahmen zu sorgen, dann kann ihr das als Pflichtverletzung ausgelegt werden – und dann drohen Regressansprüche im Schadensfall.

Ein wichtiger Teil der Risikomanagements: IT-Risiken versichern

IT-Risiken lassen sich wie andere betriebliche Risiken in vielen Fällen durch eine Versicherung in den Griff bekommen. Soweit Rechner, Software und Daten betroffen sind, schützen Cyber-Versicherungen vor den finanziellen Folgen von Angriffen, Computer-Sabotage, mangelnder Vorsicht oder Havarien. Weitere einschlägige Versicherungen sind Maschinen- und Elektronikversicherungen. Cyber-Versicherungen bieten den Vorteil, dass sie nicht nur den Wert der betroffenen Geräten und Daten selbst in der Deckung enthalten, sondern auch Bausteine für andere Schadensfolgen wie Ansprüche von Geschädigten, Lieferverzögerungen, Rechtskosten und Kosten für Notfall- und Aufklärungsmaßnahmen.

Vor allem machen Versicherungen das Risiko bilanziell beherrschbar. Anstatt im Schadensfall schlagartig und unvorhergesehen den gesamten Schaden finanzieren zu müssen, lassen sich die Kosten des Schadens in planbare Prämien umwandeln – die zudem als Betriebsausgaben die Steuerlast senken. Ohne Versicherung muss der Schaden dagegen aus dem – versteuerten – Eigenkapital bezahlt oder teuer durch Fremdkapitalaufnahme finanziert werden.

Sinnvoller, angepasster Versicherungsschutz ist ein wichtiger Baustein für IT-Compliance.

Ein Haftungsrisiko: Datenschutzrecht

Datenschutzbestimmungen können besonders leicht zur Stolperfalle für Führungskräfte werden und zu persönlicher Haftung führen. In vielen Fällen übertragen die Gesetze die Verantwortung für die Einhaltung sogar explizit an die Geschäftsführung. Allerdings gibt es viele Regelungen: Einschlägig sind Bundesdatenschutzgesetz (BDSG) , das Telemediengesetz (TMG) , das Telekommunikationsgesetz (TKG) das Signaturgesetz (SigG) und das IT-Sicherheitsgesetz samt der zugehörigen KRITIS-Verordnung, die die Bereiche Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung betrifft. Für 2017 steht die KRITIS-Regelung der Bereiche Finanzen, Transport, Verkehr und Gesundheit an. Und ab 2018 wird die europäische Datenschutzgrundverordnung (EU-DSGVO) zur Anwendung kommen.

Die Strafen, mit denen Unternehmen bei Datenschutzverstößen belegt werden können, haben es in sich. Das BDSG sieht Geldbußen von bis 50.000 Euro vor, für schwere Verstöße bis 300.000 Euro. Das IT-Sicherheitsgesetz ermöglicht Bußgelder bis zu 100.000 Euro. Die EU-DSGVO legt sogar Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes fest.

Ein Kostentreiber neben Bußgeldern ist die gesetzliche Pflicht, nach einem Datenschutzverstoß alle Betroffenen zu informieren. Das muss, rasch, individuell und in rechtlich angemessener Form geschehen – und führt zu entsprechenden Ausgaben. Kopiert hat ein Hacker die Daten von zehntausend Kunden und Interessenten schnell. An jeden ein juristisch stichhaltiges Schreiben aufzusetzen, kostet dagegen viel Zeit und noch mehr Geld.

Und da die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Geschäftsführung liegt, können aus den Kosten von Versäumnissen sehr schnell Schadenersatzforderungen gegen das Führungspersonal werden.

Ein weiteres Haftungsrisiko: Digitale Buchhaltung

Buchführungspflichten waren schon immer mit Haftungsrisiken belastet. Seitdem die Bücher elektronisch geführt werden, gilt das noch mehr. Zum einen stellt das Handelsgesetzbuch Anforderungen an digitale Handelsbücher (§§ 238, 239, 257 HGB). Zum anderen hat das Bundesfinanzministerium die GoBD veröffentlicht, Grundsätze zur Führung und Aufbewahrung von Unterlagen in elektronischer Form. Sie verlangen, dass digital geführte Bücher vollständig, richtig, übersichtlich und zeitgerecht sein müssen. Jede nachträgliche Änderung, etwa nach einer Fehlbuchung, muss erkennbar sein. Für jede Buchung müssen Belege existieren. Außerdem gilt die Pflicht zur Archivierung: sämtliche Dokumente, auch E-Mails, müssen abrufbereit vorgehalten werden, solange für sie die gesetzliche Aufbewahrungsfrist gilt.

Versäumnisse können sogar ein Straftatbestand sein (§ 283b StGB). In jedem Fall drohen jedoch teure Folgen, denn wenn das Finanzamt Grund hat, an dem Aufzeichnung zu zweifeln oder keine mehr vorliegen, dann wird die steuerliche Bemessungsgrundlage einfach geschätzt.

Noch ein Haftungsrisiko: Vertragsvereinbarungen

Inzwischen sind Vereinbarungen zur IT-Sicherheit und zum Datenschutz Teil vieler Verträge, direkt oder über Liefer- und Geschäftsbedingungen. Der Lieferant kann etwa dazu verpflichtet werden, die IT-Sicherheitsnorm ISO 27001 oder einen BSI-Grundschutzlevel einzuhalten. An Verstöße gegen diese Pflicht kann eine Vertragsstrafe gebunden sein. In anderen Fällen führt das Fehlen oder der Verlust der Zertifizierung zu einer außerordentlichen Kündigung. Auch hier können die resultierenden Einbußen wiederum die persönliche Haftung eines verantwortlichen Geschäftsführers oder Vorstands aktivieren.

Die möglichen Folgen von IT-Sicherheitslücken

Eine mangelhafte oder komplett versäumte IT-Compliance hat teure Folgen. Neben rein wirtschaftlichen Folgen wie Reputationsverlust und entgangenen Aufträgen etwa:

  • Den verantwortlichen Organmitgliedern drohen wegen Organisationsverschulden Bußgelder, im Extremfall sogar Freiheitsstrafen.
  • Dem Unternehmen stehen Schadenersatzforderungen gegen die Organe zu (§§ 91, 93, 116 AktG).
  • Im Raum steht die Abschöpfung des „gesamten wirtschaftlichen Vorteils“ durch Verfall, § 73 StGB, § 29a OWiG
  • Schmerzhaft können Schadenersatzansprüche von Wettbewerbern gemäß § 33 GWB werden.
  • Von Seiten des Finanzamts drohen ein Abzugsverbot, eine Schätzung und die Weiterleitung des Vorgangs an die Staatsanwaltschaft.
  • Gefährdet ist auch das Unternehmens-Rating.
  • Für öffentliche Aufträge kann national eine Sperre die Folge von Compliance-Verstößen sein, international droht die Aufnahme in die „Black List“.