IT-Recht auf Grundlage des Datenschutzes

Verwunderung herrscht immer wieder darüber, auf welchen Rechtsrahmen regelmäßig zur Annäherung an das IT-Sicherheits-Recht zurückgegriffen wird. Das IT-Sicherheitsgesetz ist ein „Artikelgesetz”, welches weniger die Haftungsfragen regelt, als zur Unterstützung im Umgang mit Sicherheitslücken zu dienen. Es sind vielmehr die gesetzlichen Regelungen zum Datenschutz mit deren vorrangiger Beheimatung in der EU-DSGVO, dem BDSG_nF etc. sowie den Landesdatenschutzgesetzen.

Haftungsgründe

Ungeachtet der separat zu betrachtenden, sehr umfangreichen Schadensersatzthematik gibt die Betrachtung gesetzlicher Schuldverhältnisse Aufschluss über Fragen der Haftung für unerlaubte Handlungen (§823 BGB). Vorstandsmitglieder oder Geschäftsführer, die dachten oder gar darauf hofften, dass deren aktives Zutun vonnöten ist, um haftbar gemacht zu werden, müssen enttäuscht werden. Bereits das Ignorieren und/oder Unterlassen von Sorgfaltspflichten kann zur Haftung führen.

Verantwortliche, die durch die Missachtung gängiger Sicherheitsstandards Cyberangriffe ermöglichen, handeln bereits zivil- sowie strafrechtlich fahrlässig und können für deren Auswirkungen haftbar gemacht werden.

Allheilmittel Compliance-Abteilung?

Wer erleichtert davon ausgeht, dass die Einrichtung einer eigens für die Zwecke der Compliance zuständigen Abteilung ausreiche, um auch die IT-Sicherheit in deren Hände zu geben, übersieht, dass das Vorhandensein einer Compliance-Einheit nicht die Mitglieder der Geschäftsführung/des Vorstandes von deren Überwachungs- und Kontrollpflichten entbindet.

IT als Grundsatz der Unternehmensführung

Da die IT-Sicherheit unweigerlich in der Verantwortung von Vorständen, Geschäftsführung und -sofern vorhanden- von Aufsichtsräten liegt, zählt deren aktive Gestaltung unweigerlich zu ihren Aufgaben. Jene Mitglieder haben hinsichtlich aller Belange der IT-Sicherheit Ihres Unternehmens die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes” anzuwenden.

Berichts- und Prüfpflicht

Ferner sei darauf hingewiesen, dass jedem einzelnen Vorstands-/ Geschäftsführungs-Mitglied gegenüber den anderen Mitgliedern die Berichts- sowie Prüfpflicht obliegt. Konkreter bedeutet dies, dass bereits der Verdacht der Nichtausfüllung der Aufgaben ausreicht, um diesem mit dem Ziel der Vorbeugung eigenen Pflichtverletzung nachgehen zu müssen.

IT-Verständnis als Unabdingbarkeit

Die Ausübung der Überwachungspflichten ist, dem Wortsinn entsprechend, Pflicht eines jeden Vorstandsmitglieds. Was damit grundsätzlich einhergeht? Dass diese Personen zwangsläufig ein grundlegendes Verständnis der IT-Sicherheit haben müssen.

Beratung in Anspruch nehmen

Nicht nur, aber insbesondere Vorstands- und Geschäftsführungsmitglieder haben im Berufsalltag konstant eine schier endlose Zahl an mannigfaltigen Aufgaben nebeneinanderher im Blick zu behalten, durchzuführen und allem
voran zu verstehen. Dass der Fachbereich der IT-Sicherheit auch dazu gehört, sollte -spätestens jetzt- klar sein.

Die IT-Sicherheit ist ein hochkomplexer Geschäftsbereich, dessen Verständnis ein grundlegendes IT-Know-How voraussetzt. Sofern die Geschäftsführungs-/Vorstandsmitglieder dieses nicht mitbringen, sollten sich diese das notwendige Verständnis umgehend aneignen. Prüfen Sie, ob Sie sich aus internen Ressourcen umfänglich und (Interessens-)konfliktfrei beraten lassen können oder externe Beratung in Anspruch nehmen sollten.

IT-Sicherheit (vor-)leben

Bedenken Sie, dass auch Strafnormen, die zwar für die analoge Welt geschrieben wurden, gleichermaßen Regelungen für die digitale Welt beinhalten könnten (z.B. § 203 StGB Verletzung von Geheimnissen von
Berufsgeheimnisträgern).

Sofern Sie als Vorstands-/Geschäftsführungsmitglied folgende drei Fragen mit „Ja“ beantworten können, haben Sie wichtige erste Schritte weg von einer haftenden, hin zu einer haftungspriviligierten Position vollzogen:

• Ich kenne die Struktur und den Aufbau unserer IT und kann diese/n einem Dritten skizzieren.
• Ich habe nachweislich Maßnahmen ergriffen, um das IT-Sicherheitsrisiko meines/unseres Unternehmens (signifikant) zu verringern.
• Ich kann versichern, dass sich alle weiteren Vorstands-/ Geschäftsführungsmitglieder dem Thema der IT-Sicherheit annehmen und wir gemeinsam konstant daran arbeiten unser Sicherheitsniveau anzuheben.

Sie können eine oder gar alle Fragen nicht positiv beantworten? Sprechen Sie uns gerne an!