§ 91 Abs. 2 AktG
Sinn und Zweck der Verabschiedung des KonTraG war die Verbesserung der Aussagekraft und Qualität der Abschlussprüfungen als Reaktion auf zahlreiche Unternehmenskrisen in den 1990er-Jahren. Kern des KonTraG, eine verstärkt risikoorientierte Prüfung vorzunehmen, ist die Vorschrift des § 91 Abs. 2 AktG. Die Unternehmensführung hat danach „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”.

Entsprechend ist im (Konzern-)Lagebericht auf Risikomanagementziele und -methoden einschließlich der Risiken für die IT-Sicherheit einzugehen. Damit korrespondierend werden auch die Abschlussprüfer verpflichtet, die Einhaltung der Vorschriften insbesondere im Hinblick auf Bestehen und Betrieb eines Risikofrüherkennungssystems und der zugehörigen Maßnahmen im Bereich der internen Revision zu prüfen und in Form eines erweiterten Prüfungsberichts (Aufdeckung wesentlicher Schwächen des internen Kontroll- und Risikomanagementsystems bezogen auf den Rechnungslegungsprozess) zu veröffentlichen (vgl. § 171 Abs. 1 AktG).

Sinn und Zweck
In erster Linie dient die Verpflichtung zur Einrichtung eines Überwachungssystems neben der Korruptions- und Betrugsbekämpfung der Verhinderung existenzgefährdender Folgen für ein Unternehmen. Mögliche Bedrohungen sollen frühzeitig erkannt und so Schaden von der Gesellschaft abgewendet werden. Darüber hinaus soll im Unternehmen begangenen Gesetzesverstößen entgegengewirkt werden, die sich gleichfalls negativ, nämlich in einem Reputationsverlust, auf das Unternehmen auswirken können. Durch unzureichende Aufsichtsmaßnahmen setzt sich das Unternehmen außerdem der Gefahr aus, wegen Schadensersatzansprüchen Dritter in Anspruch genommen zu werden. In entsprechender Weise werden dann auch die Unternehmensführung, sprich Aufsichtsrat und Vorstand, aber auch Geschäftsführer direkt für die Pflichtverletzung schadensersatzpflichtig. In Bezug auf IT-Sicherheitsvorgaben bedeutet dies, dass keine, unzureichende bzw. mangelhaft kontrollierte IT-Sicherheit ein konkretes Haftungsrisiko für die Führung eines Unternehmens bedeuten kann.

Anwendungsbereich
Der Anwendungsbereich des § 91 Abs. 2 AktG ist seinem Wortlaut nach beschränkt auf Aktiengesellschaften und Kommanditgesellschaften auf Aktien. Ausweislich der Gesetzesbegründung hat der Regelungsinhalt der Vorschrift jedoch lediglich „klarstellende” Funktion und besitzt entsprechend „Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaften”. Der Gesetzgeber bringt damit zum Ausdruck, dass die Pflicht zur Anwendung der üblichen Sorgfalt bezüglich Gesellschaften mit beschränkter Haftung (GmbH) gemäß § 43 Abs. 1 GmbHG auch die IT-Sicherheit mit umfasst. Abhängig von Bilanzsumme, Umsatz, Größe und Struktur betreffen die speziellen IT-Sorgfaltspflichten daher auch Geschäftsführer von GmbHs. Entsprechend werden sich auch offene Handelsgesellschaften (oHG) sowie Kommanditgesellschaften (KG) aufgrund ihrer Gleichstellung mit den Kapitalgesellschaften mit der Einrichtung eines Risikomanagementsystems auseinanderzusetzen haben. Fasst man diese Aussagen zusammen, wird man im Ergebnis die Vorschrift des § 91 Abs. 2 AktG analog auch auf andere Kapitalgesellschaften und diesen gleichgestellte Gesellschaften anwenden müssen.

Umfang der Verpflichtung
Über den Umfang der zu treffenden Maßnahmen herrscht Streit. So wird vertreten, nach der Vorgabe des Gesetzes reiche ein System zur Erkennung etwaiger Risiken aus. Der Begriff „Erkennen” meine eben nicht auch Vermeidung von Risiken, sondern lediglich deren Erfassung. Richtigerweise lässt sich jedoch bereits aus dem Wort „überwachen” entnehmen, dass notwendigerweise auch eine Kontrolle der eingeleiteten Maßnahmen zur Früherkennung zu erfolgen hat, mithin ein Zwei-Stufen-System einzurichten ist. Dies ist indes nicht gleichzusetzen mit dem Aufbau eines flächendeckenden Kontrollsystems, das sich auch auf das Unternehmensklima und die Mitarbeiter negativ auswirken würde. Der Geschäftsführung ist vielmehr ein weiter Gestaltungsspielraum bei der Entscheidung über konkrete Kontroll- und Überwachungsmaßnahmen zuzubilligen (Organisationsermessen). Bezogen auf den Bereich der IT-Sicherheit bedeutet das, dass einzelfallabhängig Maßnahmen ergriffen werden müssen. Dabei ist zu beachten, ob es sich eventuell um besonders sensible Daten handelt, um welche Schadensszenarien es sich handelt und welche Kosten mit der Schadensbeseitigung einhergehen würden.

Business Judgement Rule
Bei der konkreten Einrichtungs- und Ausgestaltungsentscheidung dürfte der Geschäftsführung zudem der Schutz der Haftungsprivilegierung der in § 93 Abs. 1 S. 2 AktG durch das Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts (UMAG) kodifizierten sog. „Business Judgement Rule” zugutekommen (erstmals vom BGH mit Urteil vom 21. April 1997 – II ZR 175/95, in der „ARAG/Garmenbeck”-Entscheidung angewendet), soweit nachgewiesen werden kann, auf welcher informationellen Basis die Entscheidung fußt. Der Ermessensspielraum bezüglich der Intensität der Überwachung wird sich im Allgemeinen maßgeblich an der Größe des Unternehmens, Vorkommnissen in der Vergangenheit, der Sensibilität der Daten, den möglichen Schäden und den Kosten der Schadensbeseitigung sowie üblichen Branchenstandards zu orientieren haben. Letztlich wird sich jedoch bereits aus rein betriebswirtschaftlichen Gründen die zwingende Einrichtung eines umfassenden Risikomanagementsystems ergeben. Diese Sichtweise wird gestützt durch die Gesetzesbegründung zum BilMoG, das Risikomanagement als „allgemeines Risikomanagement” verstanden wissen will. Entsprechend sieht auch die Richtlinie über den Jahresabschluss von Gesellschaften bestimmter Rechtsformen (RL 78/660/EWG – Bilanzrichtlinie) in Art. 46a eine Erklärung der Unternehmensführung in einem gesonderten Abschnitt des handelsrechtlichen Jahresabschlusses vor, wonach die wichtigsten Merkmale des internen Kontroll- und Risikomanagementsystems der Gesellschaft zu beschreiben sind. Auch hier geht es um eine bessere Aufdeckung insbesondere wirtschaftlicher Risiken für das Unternehmen und die Erhöhung der Aussagekraft des Jahresabschlusses. Ergänzend ergibt sich auch aus dem allgemeinen Sorgfältigkeitsmaßstab des § 93 AktG die Pflicht, bei der Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden, d. h. potenzielle Risiken aus dem Bereich der IT in die Betrachtung mit einzubeziehen und folglich die Sicherheit der eigenen IT im Unternehmen zu gewährleisten.

Checkliste Risikomanagementsystem
Notwendige Inhalte eines Risikomanagementsystems:

Betriebswirtschaftliche Notwendigkeit
Unabhängig von gesetzlichen Vorgaben sprechen auch wirtschaftliche Gründe dafür, sich mit dem Thema IT-Sicherheit im eigenen Unternehmen näher auseinanderzusetzen. Eine transparente und effiziente Sicherheitsstruktur beugt Risiken mit ungewissen Kostenfolgen vor und kann dem Unternehmen zugleich als positiv herauszustellendes Wettbewerbsmerkmal am Markt dienen. Ferner bewerten auch Rating-Agenturen aufgrund der Eigenkapitalvorschriften für Bankinstitute des Baseler Ausschusses für Bankenaufsicht im Rahmen der Einschätzung des operationellen Risikos eines Unternehmens auch die IT-Sicherheit. In diesem Kontext relevant sind Verlustrisiken, die aufgrund inadäquater oder fehlerhafter, interner IT-gestützter Prozesse entstehen können. Folglich lohnt sich die Investition in IT-Sicherheit spätestens bei den Kosten von Kreditaufnahmen. Denn bezüglich IT-Sicherheit erkannte Mängel wirken sich in diesem Bereich als potenzieller Risikofaktor in einem schlechteren Rating aus und führen letztlich so zu unter Umständen schlechteren Konditionen bei der Kreditvergabe.

Es existiert eine so unüberschaubare Zahl von teils branchen- und bereichsspezifischen Vorgaben in Gesetzen, Standards und Richtlinien, dass deren vollständige Darstellung den Umfang dieses Kapitels bei Weitem sprengen würde. Im Folgenden soll daher nur in aller Kürze zur Abrundung auf die Richtlinie 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, auf das US-amerikanische Gesetz „The Sarbanes-Oxley Act of 2002” (SOX), die Datenschutz-Grundverordnung (DSGVO) sowie das IT-Sicherheitsgesetz und das damit verbundene Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) eingegangen werden. Denn letztlich kommt auch in diesen Regelungen die Forderung an die Geschäftsleitung ähnlich wie bei § 91 Abs. 2 AktG zur Einrichtung einer bestimmten Form eines „Kontrollsystems” zum Ausdruck.

8. EU-Richtlinie
Die wegen ihrer Ähnlichkeit zum Sarbanes-Oxley Act auch „Euro-SOX” genannte Richtlinie (in nationales Recht u. a. durch das BilMoG umgesetzt) soll u. a. eine bessere Qualität und mehr Transparenz der Abschlussprüfung gewährleisten. Dazu müssen Unternehmen von öffentlichem Interesse (z. B. börsennotierte und nicht börsennotierte Kapitalgesellschaften mit einer Bilanzsumme von mehr als 80 Mio. Euro) nach Art. 41 der Richtlinie „die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagementsystems” überwachen. Erforderlich ist daher ebenfalls, dass systematisch gestaltete organisatorische Maßnahmen und Kontrollen im Unternehmen eingeführt werden, um die Einhaltung rechtlicher Vorgaben sicherzustellen und Schäden abzuwehren, die durch das eigene Personal oder böswillige Dritte verursacht werden können. Die IT und die IT-Infrastruktur sind davon naturgemäß besonders betroffen. Als Grundlage eines internen Kontrollsystems kommen dabei häufig Kontrollmodelle wie z. B. das international anerkannte Framework zur IT-Governance „COBIT” (Control Objectives for Information and Related Technology) zum Einsatz.

Sarbanes-Oxley Act
Die gesetzlichen SOX-Vorgaben, die alle US-amerikanischen börsennotierten Unternehmen, aber auch sogenannte „Foreign Private Issuers”, d. h. ausländische Unternehmen, bei denen nur die Konzernmutter an der US-Börse gelistet ist, betreffen, sind die direkte Folge der spektakulären Bilanzskandale in den USA in den Jahren 2001 und 2002. Ziel war es, genauere und verlässlichere Publizitäts- und Offenlegungspflichten zu schaffen und mehr Transparenz der internen Prozesse von Unternehmen zu erreichen. Im Zusammenhang mit IT-Sicherheit relevant ist zum einen die Forderung nach der Schaffung eines „internen Kontrollsystems” (IKS) über die Finanzberichterstattung, das nur durch unterstützende IT entsprechende Wirksamkeit erreicht (z. B. Aufbewahrungspflicht für Rechnungsdaten oder Kontrolle von Zugangsdaten). Zum anderen muss die zur Kontrolle eingesetzte IT entsprechenden Kontrollen und Funktionstüchtigkeitsprüfungen unterzogen werden, die zu dokumentieren sind.

Jährliche Bewertung
Auf Geschäftsführungsebene stehen CEO und CFO in der Pflicht, eine jährliche Bewertung vorzunehmen und die Wirksamkeit des IKS schriftlich zu versichern („Certification”), sodass auch hier spiegelbildlich zu den deutschen Regelungen (vgl. z. B. in § 171 Abs. 1 Satz 2, Abs. 2 AktG) eine persönliche Haftung gegeben ist. Falsche Erklärungen, die wissentlich oder vorsätzlich abgegeben wurden, können mit Geldbußen bis zu einer Höhe von 5 Mio. US-Dollar sowie Freiheitsstrafen von bis zu 20 Jahren sanktioniert werden. Im Gegensatz zu den Vorgaben des KonTraG in § 91 AktG zwingen die SOX-Vorgaben daher dazu, mittels IKS für die Richtigkeit und Verlässlichkeit aller wesentlichen Informationen bezüglich der Finanzberichterstattung des Unternehmens zu sorgen, und gehen in ihrem Anwendungsbereich somit weiter. Daher reicht es für solche Unternehmen, die den SOX-Vorgaben genügen müssen, nicht aus, lediglich ein Risikofrüherkennungssystem gemäß den Anforderungen des KonTraG einzuführen.

DSGVO
Die Datenschutzgrundverordnung (DSGVO) regelt die Verarbeitung von personenbezogenen Daten, also solchen Daten, die tagtäglich in einem Unternehmen, z. B. in der Personalabteilung, verarbeitet werden. Hervorzuheben ist bezüglich IT-Sicherheit die Regelung des Art. 32 DSGVO, wonach Unternehmen technische und organisatorische Maßnahmen für ein geeignetes, nach dem Stand der Technik und dem Risiko angemessenes Schutzniveau zu treffen haben, um Datenschutz, insbesondere Datensicherheit zu gewährleisten. Die betriebliche IT und Organisation muss daher immer auch den besonderen Anforderungen des Datenschutzes gerecht werden.

Technisch-organisatorische Maßnahmen
Die DSGVO gibt zwar keine konkreten Maßnahmen zur Umsetzung eines angemessenen datenschutzrechtlichen IT-Sicherheitsstandards vor, zählt aber in Art. 32 Abs. 1 lit. a)–d) DSGVO beispielhaft technische und organisatorische Schutzmaßnahmen auf:

Grundlage Risikoabwägung
Bei der Beurteilung des angemessenen Schutzniveaus ist ein relativer Ansatz zu verfolgen, was bedeutet, dass der Aufwand der Sicherheitsmaßnahmen und das Risiko für die Datensicherheit gegeneinander abzuwägen sind: Je mehr und je höhere Risiken die Verarbeitung für die betroffenen Personen und ihre Daten mit sich bringt, desto umfangreichere Schutzmaßnahmen müssen zum Einsatz kommen. Die Planung und Umsetzung der technisch-organisatorischen Maßnahmen erfolgt daher zweckmäßigerweise auf der Grundlage einer objektiven Risikoabwägung. Es sind dabei etwa Art, Umfang und Zweck der Datenverarbeitung, Implementierungskosten, der Stand der Technik, wie auch die Eintrittswahrscheinlichkeit und Schwere einer eventuellen Rechtsverletzung zu beachten. Was zu einem bestimmten Zeitpunkt der „Stand der Technik” ist und welche relevanten Systeme und Komponenten diesem Stand entsprechen, wird allerdings nicht näher im Gesetz geregelt. Grundsätzlich wird man insoweit von der Einhaltung des Standes der Technik für alle relevanten Komponenten der Datenverarbeitung, einschließlich aller Datenübertragungs-, Datenspeicherungsmöglichkeiten, ausgehen müssen [1]. Der Stand der Technik lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen wie beispielsweise DIN, ISO oder ISO/IEC oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Hinsichtlich der mit der Datenverarbeitung verbundenen Risiken ist in Art. 32 Abs. 2 DSGVO etwa von Vernichtung, Verlust, Veränderung oder der unbefugten Offenlegung von personenbezogenen Daten zu lesen. Auch der Inhalt des verpflichtend zu erstellenden Verarbeitungsverzeichnisses (vgl. Art. 30 DSGVO) kann eine erste Hilfe zur Bewertung geben (s. a. Kap. 01620).

Auch auf den Internetseiten des Bundesbeauftragen für den Datenschutz und die Informationsfreiheit finden Sie weitere Texte und Erläuterungen zur DSGVO [2] (s. a. Kap. 01  ff.).

IT-Sicherheitsgesetz
Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG), das am 25. Juli 2015 in Kraft getreten ist, ändert verschiedene bereichsspezifische Gesetze, mit dem Ziel, eine Verbesserung der Sicherheit informationstechnischer Systeme für Unternehmen aus sensiblen Bereichen herbeizuführen. Durch das ITSiG wurden unter anderem Regelungen im BSIG für Betreiber von sogenannten kritischen Infrastrukturen (KRITIS) geschaffen. Betreiber kritischer Infrastrukturen sollen gemäß § 8a Abs. 1 BSIG ein dem Stand der Technik entsprechendes Mindestniveau an IT-Sicherheit einhalten.

Kritische Infrastrukturen
Ein Unternehmen gilt nach § 2 Abs. 10 BSIG als Betreiber kritischer Infrastrukturen, sofern es zwei Voraussetzungen erfüllt. Das Unternehmen gehört einem der Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung oder Finanz- und Versicherungswesen an und ist von hoher Bedeutung für das Funktionieren des Gemeinwesens, d. h., durch seinen Ausfall oder seine Beeinträchtigung würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten. Das Bundesministerium des Innern (BMI) ist nach § 10 Abs. 1 BSIG zum Erlass einer Rechtsverordnung ermächtigt, die festlegt, welche Einrichtungen, Anlagen oder Teile davon als kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Diese Rechtsverordnung (BSI-KritisV) zeigt anhand von Kategorien und Schwellwerten, welche Einrichtungen, Anlagen oder Teile davon als kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Die Schwellenwerte richten sich nach einer für jeden Sektor festgelegten Berechnungsformel.

Digitale Dienste
Weiterhin gelten die Regelungen des BSIG auch für Online-Marktplätze, Online-Suchmaschinen sowie Cloud-Computing-Dienste einer normierten Größe (sogenannte digitale Dienste). Der Grund dafür liegt in der EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie, (EU) 2016/1148). Diese Richtlinie wurde im April 2017 durch das NIS-Richtlinien-Umsetzungsgesetz umgesetzt und führte zu einer Ergänzung des BSIG, unter anderem in Form des § 8 c BSIG, der zusätzliche Verpflichtungen für Anbieter digitaler Dienste schafft. Auch diese Dienste haben technische und organisatorische Maßnahmen (TOMs) zum Schutze der IT-Sicherheit umzusetzen, die den Stand der Technik zu berücksichtigen haben.

Anforderungen an die IT-Sicherheit gemäß § 8 a BSIG
Betreiber kritischer Infrastrukturen sind verpflichtet, „angemessene organisatorische und technische Vorkehrungen […] zu treffen” (§ 8 a Abs. I BSIG) und diese „mindestens alle zwei Jahre […] nachzuweisen” (§ 8 a Abs. 3 BSIG). Es sind insbesondere angemessene technische und organisatorische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik einzuhalten. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht.

Anforderungen an die IT-Sicherheit gemäß § 8 c BSIG
Gemäß § 8 c Abs. 1 BSIG haben auch die Betreiber digitaler Dienste technische und organisatorische Maßnahmen zum Schutz der IT-Sicherheit umzusetzen, die den Stand der Technik zu berücksichtigen haben. Diese Maßnahmen sollen ein dem Risiko entsprechendes angemessenes Schutzniveau gewährleisten und dabei unter anderem die Sicherheit der Systeme und Anlagen, den Umgang mit Sicherheitsvorfällen sowie das Betriebskontinuitätsmanagement berücksichtigen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt auf seinen Webseiten weitergehende Informationen zum Schutz kritischer Infrastrukturen durch IT-Sicherheitsgesetz und KRITIS bereit [3].

Vertragliche Haupt- und Nebenpflichten
Mangelhafte IT-Dienstleistungen, die aus Verstößen gegen IT-Sicherheitsvorhaben resultieren, können eine Haftung des Unternehmens begründen. Dies gilt insbesondere für solche Dienstleister, die vertragliche Pflichten für die Sicherheit und Vertraulichkeit von Daten und Informationen gegenüber dem Kunden übernommen haben. Dies betrifft z. B. Dienstleister für das Outsourcing von IT oder auch Dienstleister für Cloud-Services. Soweit diese Pflichten nicht schon Hauptpflichten des Vertrags bilden, kann die Verletzung sicherheitsrelevanter Vorgaben aber auch als vertragliche Nebenpflicht Schadensersatzansprüche auslösen. Da für jede Vertragsabwicklung zwangsläufig Daten zwischen den Vertragspartnern ausgetauscht werden, kann ein „Data Breach” aufgrund mangelhafter IT-Sicherheit, z. B. unzureichende User-Identifikationssysteme, zu einer Haftung für die durch die Offenlegung der Daten verursachten Schäden führen.

Neben der vertraglichen Haftung haftet das Unternehmen auch für deliktische Handlungen, die freilich eine schuldhaft begangene Rechtsverletzung voraussetzen, die zu einem kausalen Schaden geführt haben muss. Dies kann eigene Handlungen der Mitarbeiter betreffen, die z. B. während ihrer Arbeitstätigkeit Urheberrechtsverletzungen durch den illegalen Download urheberrechtlich geschützter Werke aus dem Internet (Musik, Filme, Videos, Bilder, Texte) begehen oder die solche Werke auf Rechnern des Unternehmens speichern oder über das Intranet des Unternehmens verteilen, ohne dass das Unternehmen entsprechende Maßnahmen getroffen hat, um diese Rechtsverletzungen zu verhindern. Darüber hinaus kommen auch unterlassene Handlungen als schadensstiftende Ereignisse in Betracht, so z. B. wenn trotz positiver Kenntnis oder grob fahrlässiger Unkenntnis bestimmte Schutzmaßnahmen im Unternehmen unterlassen werden (Virenschutz, Firewall, Nutzerzugriffsberechtigungen, verschlüsselter Datenaustausch) oder auf entsprechende Risikohinweise von Mitarbeitern oder des Kunden nicht reagiert wird.

Verschuldensabhängige Haftung
Auch das Datenschutzrecht sieht in Art. 82 DSGVO eine verschuldensabhängige Haftung für diejenigen Schäden vor, die ein Unternehmen Dritten durch einen Verstoß gegen die DSGVO zugefügt hat. Die Ersatzpflicht entfällt, soweit der Verantwortliche oder Auftragsverarbeiter nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Die Beweislast liegt auf der Seite des Verantwortlichen, was sich aus der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO ergibt. Mangelhafte IT-Sicherheit führt also auch an dieser Stelle zu einem direkten Haftungsrisiko für das Unternehmen. Um eine entsprechende Haftung zu vermeiden, müssen daher dem Risiko entsprechende technisch-organisatorische Maßnahmen umgesetzt worden und die Integrität und Vertraulichkeit der Daten gewährleistet sein, die z. B. durch eine Zertifizierung nach anerkannten Standards nachgewiesen werden kann.

Datenschutzbeauftragten bestellen!
In diesem Zusammenhang sei auch darauf hingewiesen, dass unbefugte Datenverarbeitungen und insbesondere auch die Nicht- bzw. nicht rechtzeitige Bestellung sowie die nicht in der vorgeschriebenen Weise vorgenommene Bestellung eines Datenschutzbeauftragten bei Vorliegen der gesetzlichen Voraussetzungen (vgl. Art. 37 Abs. 1, 4 DSGVO i. V. m. § 38 BDSG) ein Haftungsrisiko in Form von Bußgeldern bis zu 10.000.000 Euro oder im Falle eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs bedingen und bei Vorsatz auch strafrechtlich geahndet werden können (vgl. Art. 83, 84 DSGVO).

Haftung nach IT-Sicherheitsrecht
Ein Verstoß gegen die Pflicht zur Umsetzung der gesetzlich vorgeschriebenen Sicherheitsvorkehrungen kann als Ordnungswidrigkeit mit einem Bußgeld verfolgt werden. Bei festgestellten Verstößen gegen die Pflichten aus § 8 a und § 8 c BSIG, insbesondere die Pflicht zur Einrichtung angemessener technischer und organisatorischer Vorkehrungen zum Schutz von IT-Systemen, drohen Bußgelder von bis zu 50.000 EUR (§ 14 BSIG).

Erforderliche Sorgfalt
Eine direkte Haftung der geschäftsleitenden Organe kann sich nach § 93 Abs. 2 AktG gegenüber der Gesellschaft wegen Nichtanwendung der erforderlichen Sorgfalt, sprich wegen Verstößen gegen die Pflicht zur ordnungsgemäßen Geschäftsführung, ergeben (vgl. § 91 Abs. 2 AktG). Die zehn- bzw. fünfjährige Ersatzpflicht nach § 93 Abs. 6 AktG gilt entsprechend auch für die Unternehmensführung anderer Gesellschaftsformen (vgl. nur § 43 Abs. 2 GmbHG). Eine gewisse Erleichterung bezüglich der Schuldbefreiung (Exkulpation) der Organe wird durch die sog. „Business Judgement Rule” erreicht. Danach soll eine Pflichtverletzung dann nicht vorliegen, wenn das Vorstandsmitglied respektive Organ bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Basis der Entscheidung ist mithin eine Prognose.

Business Judgement Rule
Die durch den Gesetzgeber in § 93 Abs. 1 S. 2 AktG eingefügte Business Judgement Rule stellt maßgeblich auf „die unternehmerische Entscheidung” ab und gerade nicht auf eine Entscheidung, bei der nach Gesetz, Satzung o. Ä. kein Ermessensspielraum verbleibt. Eine Ermessensentscheidung kann aber nur dann ohne Haftungsrisiko für die Unternehmensführung getroffen werden, wenn hinreichende Kenntnis über den Sachverhalt durch Beschaffung ausreichender Informationen genommen wurde („informed judgement”). Dabei war dem Gesetzgeber bewusst, dass unternehmerische Entscheidungen häufig auch auf „Instinkt, Erfahrung, Phantasie und Gespür für künftige Entwicklungen und einem Gefühl für Märkte und die Reaktion der Abnehmer und Konkurrenten” beruhen. Ein gewisses Maß an subjektiver Unbestimmtheit der Entscheidung wird daher der Unternehmensführung trotz des Erfordernisses objektiver Informiertheit verbleiben müssen. Eine IT-bezogene Ermessensentscheidung stellt z. B. der Aufbau oder die Erneuerung der IT-Infrastruktur bezüglich verschiedener Systeme oder Technologien dar oder die Auswahl einer neuen ERP-Software. Haftungsrelevant in diesem Zusammenhang wäre dann ein zu niedrig gewählter Sicherheitsstandard, gerade wenn die Geschäftstätigkeit in der Verarbeitung fremder Daten liegt.

Checkliste Business Judgement Rule
Bei der Prüfung dieser „Innenhaftung” sind fünf Tatbestandsmerkmale für das Eingreifen der Privilegierung positiv festzustellen. Dabei handelt es sich im Einzelnen um:

Das Erfordernis objektiver Informiertheit korrespondiert unmittelbar mit der Verpflichtung zur Einrichtung eines Risikomanagementsystems. Denn eine Abwägung zwischen Chancen und Risiken kann zwangsläufig nur auf entsprechend informierter Grundlage getroffen werden. Um Risiken aufzudecken und das Haftungsrisiko zu minimieren, bedarf es daher der Einrichtung des eingangs erwähnten Risikomanagementsystems. Soweit die eigenen Erkenntnismöglichkeiten nicht ausreichen, dürfte zudem die Pflicht bestehen, ggf. externen Sachverstand einzuholen. Um das eigene Entscheidungsrisiko adäquat einschätzen zu können, bedarf es – soweit nicht vorhanden – des Aufbaus entsprechender Abteilungen wie des Controllings und der internen Revision.

Dokumentationspflichten
Die Unternehmensführung sollte sich daneben auch des Risikos bewusst sein, eigenes rechtmäßiges Verhalten später unter Umständen nicht mehr darlegen und beweisen zu können. Diesbezüglich hat der Bundesgerichtshof (vgl. Urteil vom 14. Juli 2008 – II ZR 202/07, Tz. 11) ebenfalls zum einen die Pflicht zur sorgfältigen Ermittlung der Entscheidungsgrundlage unter Ausnutzung aller verfügbaren Informationsquellen durch die Unternehmensführung betont und darüber hinaus klargestellt, dass zum eigenen Schutz bei bedeutsameren Entscheidungen die einzelnen Schritte, die zu der Entscheidung geführt haben, auch dokumentiert werden sollten (sorgfältige Protokollierung). Nur die entsprechend nachvollziehbar dokumentierte Entscheidung kann daher im Fall der persönlichen Inanspruchnahme Beweis darüber erbringen, dass die engen Vorgaben der Business Judgement Rule eingehalten worden sind.

Keine Entlastung bei mangelnder Dokumentation
Eine Dokumentationspflicht ergibt sich darüber hinaus auch direkt aus den Anforderungen an eine ordentliche Geschäftsführung gemäß § 93 Abs. 2 AktG. Eine unzureichende Dokumentierung des Risikomanagementsystem, einschließlich der Darlegung des strukturierten Vorgehens, der Maßnahmen zur Identifizierung von Risiken, ihrer Bewertung und Steuerung sowie der Festlegung von Verantwortlichkeiten stellt einen Verstoß gegen § 91 Abs. 2 AktG dar. Aus einer solchen Verletzung können weitreichende Folgen resultieren. So entschied das LG München I bereits im Jahr 2007 (Urteil vom 5. April 2007 – 5HK O 15964/06), dass die Entlastung des Vorstands aufgrund mangelnder Dokumentation des Risikomanagementsystems unwirksam sei.

Verstöße gegen das Fernmeldegeheimnis
Neben den bereits oben angesprochenen strafrechtlichen Sanktionen bei Verstößen gegen Datenschutzbestimmungen kommt als IT-bezogener Tatbestand vor allem die Vorschrift über den Schutz des Fernmeldegeheimnisses in § 206 StGB in Betracht. Nicht alle Unternehmen sind sich bewusst, dass sie, wenn sie ihren Mitarbeitern die private Nutzung von Internet und E-Mail erlauben, selbst zum Anbieter von Telekommunikationsleistungen werden und für die Einhaltung des Fernmeldegeheimnisses gemäß § 88 Abs. 1 TKG verantwortlich sind. Risikopotenzial besteht daher, wenn ausnahmslos alle Rufnummern ausgehender Gespräche protokolliert werden, Einsicht in private E-Mails genommen wird oder Filter private E-Mails blocken bzw. löschen. Verletzungen des Fernmeldegeheimnisses können mit Geld- oder Freiheitsstrafen bis zu fünf Jahren geahndet werden.

Eigene Verantwortlichkeit
Soweit in einem Unternehmen bestimmten Mitarbeitern Aufgaben zur Verhinderung von Rechtsverstößen, insbesondere Straftaten, von der Unternehmensführung übertragen werden, besteht mit der Rechtsprechung des BGH eine persönliche Haftung des Compliance-Officers. Ihn trifft eine strafrechtliche Garantenpflicht, da ihm die Obhut über bestimmte Gefahren bzw. Gefahrenbereiche im Unternehmen übertragen worden ist. Der BGH führt in seinem Urteil vom 17. Juli 2009 (Az: 5 StR 394/08) wörtlich aus:

Zuständigkeit, Aufgaben und Befugnisse klar regeln
Das vom BGH angesprochene Aufgabenfeld betrifft daher vornehmlich Mitarbeiter der Innenrevision oder Leiter der Rechtsabteilung. In jedem Fall sollte der Mitarbeiter über die weitreichenden Folgen bei Unterlassen der gebotenen Compliance-Maßnahmen aufgeklärt und die Zuständigkeit, Aufgaben und Befugnisse sollen klar geregelt werden. Dies kann etwa im Arbeitsvertrag oder bereits in der Stellenbeschreibung erfolgen.

Versuch einer Definition
Vorab ist anzumerken, dass es ein „Recht der IT-Sicherheit” i. S. eines einheitlichen Gesetzes nicht gibt. Vielmehr existiert eine Reihe von Verordnungen und Gesetzen mit Bezug zu dieser Thematik, seien es Datenschutzpflichten aus der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), bereichsspezifische Normen wie § 109 Telekommunikationsgesetz (TKG) oder bezüglich sicherer Kommunikation das Signaturgesetz (SigG). Auch der Begriff selbst wird nicht einheitlich definiert. So wird gemäß § 2 Abs. 2 BSIG unter IT-Sicherheit „die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in informationstechnischen Systemen oder Komponenten oder Prozessen oder bei der Anwendung von informationstechnischen Systemen oder Komponenten oder Prozessen” verstanden. Dieser eher technische Ansatz kann erweitert werden um Aspekte wie Authentizität, d. h. die Zurechenbarkeit von IT-bezogenen Handlungen zur konkreten Person sowie die Verbindlichkeit dieser Zurechenbarkeit im Streitfall. Auf einen einfachen Nenner gebracht, ist IT-Sicherheit die Summe aller derjenigen Maßnahmen, die erforderlich sind, um die erkannten und möglichen Risiken einschließlich des Faktors Mensch, die aus der Nutzung der betrieblichen IT resultieren (können), auf ein adäquates Maß zu minimieren.

Bereits anhand einiger Grundprinzipien der IT-Sicherheit lässt sich ablesen, welche Aspekte und Bereiche kontinuierlich analysiert werden müssen und welche inhaltlichen Vorgaben an die Einrichtung eines Risikomanagementsystems zu stellen sind. Diese Grundprinzipien werden teilweise auch von Art. 32 DSGVO aufgegriffen (s. Abschnitt 1.2).

Grundprinzipien IT-Security:

Bestandsaufnahme
Bevor ein Risikomanagement eingeführt wird, ist zwingend eine sorgfältige Bestandsaufnahme erforderlich, die die vorhandene IT im Unternehmen erfasst und alle Vorgänge und deren Inhalte dokumentiert, für die diese genutzt wird. Korrespondierend damit hat eine Aufarbeitung der eingesetzten IT aus vertragsrechtlicher Sicht zu erfolgen, d. h. die genaue Erfassung des Lizenzbestands und der einschlägigen Lizenzen für genutzte Software. Die Bestandsaufnahme setzt sich fort bei technisch-organisatorischen Maßnahmen, die unter Umständen schon wegen der datenschutzrechtlichen Forderung nach einem „Verarbeitungsverzeichnis” (vgl. Art. 30 DSGVO) im Unternehmen bereits dokumentiert sein sollten; dazu zählen z. B. die Administrierung von Benutzergruppen und die Verteilung von Zugriffs- bzw. Zutrittsrechten. Ferner sind auch äußere Bedingungen wie eine sichere Infrastruktur (Gebäude, Büros, Serverraum) oder der Schutz gegen Elementargewalten sowie entsprechender Versicherungsschutz z. B. gegen Datenverlust zu prüfen. Schließlich hat sich eine Prüfung auch auf etwaige ausgelagerte Unternehmensteile oder auf an externe Dienstleister (z. B. Hosting im Rechenzentrum) ausgelagerte Aufgaben zu erstrecken.

Analyse und Bewertung
Der zweite Schritt in Richtung einer angemessenen IT-Sicherheit im Unternehmen sind die Analyse der Bestandsaufnahme, also des Ist-Zustands der IT-Infrastruktur, und die sich daran anschließende regelmäßige Analyse der Gegebenheiten. Gegebenenfalls muss man sich dabei mangels eigener Kompetenz spezialisierter Dritter bedienen. In jedem Fall muss man sich bewusst machen, dass eine sorgfältige Analyse Zeit benötigt, Personal und Sachmittel bindet und finanziellen Aufwand bedeutet. Die Analyse sollte einen weiten Ansatz verfolgen und weit über die schlichte Erfassung der eingesetzten Hard- und Software hinausgehen. So gehört zur Analyse des Softwarebestands z. B. auch die Prüfung der ordnungsgemäßen Lizenzierung und der Einhaltung der Lizenzbestimmungen. Aus der Zusammenfassung aller Risiken lässt sich dann eine Risikobewertung vornehmen. Die Einstufung der Risiken nach Wichtigkeit und Gefährdungspotenzial gibt der Unternehmensführung dabei eine wichtige Grundlage zur Priorisierung.

Weiterleitung der Ergebnisse
Die Ergebnisse müssen an die Unternehmensführung in aufbereiteter Form weitergeleitet werden, um die bereits oben angesprochene informierte Entscheidung überhaupt erst zu ermöglichen. Daher bedarf es auch einer Struktur im Unternehmen, die Verantwortliche und deren Berichtspflichten benennt, sodass ein kontinuierlicher Informationsfluss zur Unternehmensführung gewährleistet wird.

Aufbau einer IT-Security Policy
Um den vorgenannten Prozess nachhaltig zu unterstützen, empfiehlt sich der Aufbau einer IT Security Policy. Da der meist kostenintensive Faktor IT-Sicherheit aufgrund der üblichen wettbewerbsbedingten Zwangslagen, Gewinnoptimierung, Kostensenkung bei gleichbleibender oder gesteigerter Produktivität oftmals zu kurz kommt und vernachlässigt wird, existiert zumeist keine IT-Sicherheitsstrategie, die verbindliche Vorgaben zur Herstellung und Erhaltung bzw. Förderung der IT-Sicherheit trifft und die an alle Mitarbeiter ausgegeben wird. Die Entwicklung einer solchen schriftlich zu fixierenden Strategie schafft Bewusstsein und findet im besten Fall direkt im Anschluss an die oben beschriebene erste Risikoabwägung statt.

Inhalte
Zum möglichen Inhalt gehören z. B. die Festlegung von Zyklen zum Austausch veralteter Hardware bzw. Softwareprodukte, Recherche neuer Trends, z. B. Einsatz neuer Verschlüsselungsmethoden, Wartung und Support der IT, Erstellung von Richtlinien zum Umgang mit der betrieblichen IT sowie entsprechendes Training und Schulung der Mitarbeiter. Im Rahmen der Erstellung kann dabei auf bereits vorhandenes Know-how im Unternehmen zurückgegriffen werden, sodass idealerweise der Datenschutzbeauftragte und der IT-Administrator in Teilbereichen wichtige und kostengünstige Expertise liefern können. Selbstverständlich entfaltet eine solche IT Security Policy nur dann ihre volle Wirkung, wenn eine Nichteinhaltung der festgelegten Verhaltensvorgaben auch eine entsprechende Sanktionierung erfährt.

Als Orientierungshilfe für die Bestandsaufnahme, die Risikoabwägung und die Erstellung einer IT Security Policy kann auf verschiedene technische Regelwerke zurückgegriffen werden, die zwar keine rechtliche Verbindlichkeit besitzen, durch die aber ein strukturiertes Vorgehen erleichtert wird und die als etablierte „Best-Practice”-Regelwerke quasi-verbindliche Geltung erlangt haben.

IT-Grundschutz-Kompendium
An erster Stelle zu nennen ist das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene IT-Grundschutz-Kompendium (s. [4]). Der IT-Grundschutz basiert auf der Annahme, dass die in Unternehmen vorhandene IT und die Anwendungen von den Nutzern in ähnlicher Weise gebraucht und in ähnlichen Umgebungen betrieben werden. Entsprechend existieren ähnliche Gefährdungslagen, sodass auf eine umfassende Risikoabwägung verzichtet wird. Die vorgeschlagenen Sicherheitsmaßnahmen basieren daher auf bereits pauschalierten Gefährdungen und Wahrscheinlichkeiten für den Eintritt von Schäden an der IT in Unternehmen, wodurch kostenintensive Risikoabwägungen entfallen. Die Maßnahmen nach dem Grundschutz-Kompendium stellen indes lediglich Mindestsicherheitsmaßnahmen dar, um, wie es der Name sagt, einen Grundschutz, ein Minimum an IT-Sicherheit zu gewährleisten.

ISO/IEC 27001
Einen anderen Ansatz (Plan, Do, Check, Act) wählen die Standards der Internal Organization for Standardization (ISO), die insbesondere unter IT-Compliance-Gesichtspunkten eine wichtige Rolle spielen. Die ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements” beschreibt geeignete Sicherheitsmaßnahmen zum Schutz sämtlicher IT-Vermögensgegenstände im Unternehmen. Eine Zertifizierung nach ISO 27001 deckt eine Reihe von Anforderungen der gesetzlichen Vorgaben nach KonTraG, BDSG, SOX, GoBS und GDPdU ab.

Das Standard-Datenschutzmodell
Das Standard-Datenschutzmodell, das aus der Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) hervorgeht, bietet Unterstützung bei der Auswahl und Bewertung von technischen und organisatorischen Maßnahmen die erforderlich sind, um die rechtlichen Anforderungen der DSGVO umzusetzen. Rechtliche Anforderungen der DSGVO werden Gewährleistungszielen systematisch zugeordnet, die mit detailliert beschriebenen, konkreten und erprobten technischen und organisatorischen Maßnahmen dann erreicht werden können. Dabei wird im Gegensatz zum IT-Grundschutz-Kompendium die Perspektive des Betroffenen und dessen Grundrechtsausübung eingenommen.

COBIT
Die Sammlung der „Control Objectives for Information and Related Technology” (COBIT) ist das international anerkannte Regelwerk zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben) (vgl. Kap. 07525). COBIT definiert dabei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern konzentriert sich primär auf das, was umzusetzen ist. Wie ISO 27001 wählt COBIT einen Top-down-Ansatz, d. h., ausgehend von den Unternehmenszielen werden die IT-bezogenen Ziele festgelegt, die wiederum den Aufbau der IT beeinflussen. Mit über dreißig definierten kritischen IT-Prozessen in den Bereichen Planung und Organisation, Beschaffung und Implementierung, Betrieb und Support sowie Überwachung soll gewährleistet werden, dass die betriebliche IT die Geschäftsanforderungen erfüllt, wozu auch das Management von IT-Risiken gehört.

ITIL
Die IT Infrastructure Library (ITIL) ist eine Sammlung von Best Practices zum Thema IT Service Management aus Sicht des IT-Dienstleisters und wird vom Cabinet Office der britischen Regierung herausgegeben. ITIL beschreibt keine Standards, sondern in der Praxis bewährte Modelle und Organisationsformen für den Betrieb einer IT-Infrastruktur und orientiert sich dabei an dem durch den IT-Betrieb zu erbringenden wirtschaftlichen Mehrwert für den Kunden. Verallgemeinert gesprochen, dient ITIL daher ähnlich wie COBIT nicht dem „Wie” der Umsetzung, sondern dem, „was” getan werden sollte. Die Konzepte der ITIL und der darin beschriebenen Prozesse sind daher in dem Regelwerk COBIT abbildbar.

Fazit
§ 91 Abs. 2 AktG fordert von Unternehmen die Einrichtung eines umfassenden Risikomanagementsystems. Es besteht die Pflicht, die Sicherheit, Verfügbarkeit, Integrität, Authentizität und Prüfbarkeit der IT zu gewährleisten und zu überwachen. Diese allgemeinen Organisationspflichten werden durch spezielle rechtliche Vorgaben ergänzt. Mängel in der Umsetzung der IT-technischen Schutzmaßnahmen oder Nichtbeachtung zwingender gesetzlicher Vorgaben können die direkte Haftung der Geschäftsleitung zur Folge haben.