IT-Sicherheit: Warum die Geschäftsführung etwas davon verstehen muss

Die Geschäftsführung haftet bei versäumter IT-Sicherheit. Daher gehört das Thema unbedingt auf die Agenda von Geschäftsführungen und Vorständen. Was Sie im ersten Schritt dazu wissen sollten, hat Romy Chantal Schneider, Geschäftsführerin der b-pi sec GmbH, einem Beratungshaus für Datenschutz, IT-Security und Compliance aus Limburg, für Sie in einem Überblick zusammengestellt.

Jedes Unternehmen verfügt durch den Einsatz des Internets und virtueller Systeme zwangläufig über moderne Informationstechnologie. Damit geht einher, dass das Thema IT-Sicherheit unweigerlich Aufgabe von Vorständen und Geschäftsführungen ist. Bei IT-Sicherheitslücken ergeben sich wiederum zwangsläufig Haftungssituationen für die Mitglieder der Führungsebene. Die Realität in Bezug auf Angriffsszenarien ist, dass die Frage nicht lautet, ob Ihr Unternehmen Opfer eines Hackerangriffs wird, sondern wann dies passiert. Folglich gilt es, sofern noch nicht geschehen, Wege der Haftungsbegrenzung zu finden.

Den haftungsrechtlichen Rahmen auszumachen, stellt gleich eingangs eine nicht unwesentliche Herausforderung dar. Bislang existiert kein verbindliches Regelwerk. Vielmehr wird tiefgehendes Fachwissen über eine Vielzahl von Rechtsnormen und Kodizes benötigt, um diese fassbar machen zu können.

IT-Recht auf Grundlage des Datenschutzes

Verwunderung herrscht immer wieder darüber, auf welchen Rechtsrahmen regelmäßig zur Annäherung an das IT-Sicherheits-Recht zurückgegriffen wird. Das IT-Sicherheitsgesetz ist ein „Artikelgesetz”, welches weniger die Haftungsfragen regelt, als zur Unterstützung im Umgang mit Sicherheitslücken zu dienen. Es sind vielmehr die gesetzlichen Regelungen zum Datenschutz mit deren vorrangiger Beheimatung in der EU-DSGVO, dem BDSG_nF etc. sowie den Landesdatenschutzgesetzen.

Haftungsgründe

Ungeachtet der separat zu betrachtenden, sehr umfangreichen Schadensersatzthematik gibt die Betrachtung gesetzlicher Schuldverhältnisse Aufschluss über Fragen der Haftung für unerlaubte Handlungen (§823 BGB). Vorstandsmitglieder oder Geschäftsführer, die dachten oder gar darauf hofften, dass deren aktives Zutun vonnöten ist, um haftbar gemacht zu werden, müssen enttäuscht werden. Bereits das Ignorieren und/oder Unterlassen von Sorgfaltspflichten kann zur Haftung führen.

Verantwortliche, die durch die Missachtung gängiger Sicherheitsstandards Cyberangriffe ermöglichen, handeln bereits zivil- sowie strafrechtlich fahrlässig und können für deren Auswirkungen haftbar gemacht werden.

Allheilmittel Compliance-Abteilung?

Wer erleichtert davon ausgeht, dass die Einrichtung einer eigens für die Zwecke der Compliance zuständigen Abteilung ausreiche, um auch die IT-Sicherheit in deren Hände zu geben, übersieht, dass das Vorhandensein einer Compliance-Einheit nicht die Mitglieder der Geschäftsführung/des Vorstandes von deren Überwachungs- und Kontrollpflichten entbindet.

IT als Grundsatz der Unternehmensführung

Da die IT-Sicherheit unweigerlich in der Verantwortung von Vorständen, Geschäftsführung und -sofern vorhanden- von Aufsichtsräten liegt, zählt deren aktive Gestaltung unweigerlich zu ihren Aufgaben. Jene Mitglieder haben hinsichtlich aller Belange der IT-Sicherheit Ihres Unternehmens die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes” anzuwenden.

Berichts- und Prüfpflicht

Ferner sei darauf hingewiesen, dass jedem einzelnen Vorstands-/ Geschäftsführungs-Mitglied gegenüber den anderen Mitgliedern die Berichts- sowie Prüfpflicht obliegt. Konkreter bedeutet dies, dass bereits der Verdacht der Nichtausfüllung der Aufgaben ausreicht, um diesem mit dem Ziel der Vorbeugung eigenen Pflichtverletzung nachgehen zu müssen.

IT-Verständnis als Unabdingbarkeit

Die Ausübung der Überwachungspflichten ist, dem Wortsinn entsprechend, Pflicht eines jeden Vorstandsmitglieds. Was damit grundsätzlich einhergeht? Dass diese Personen zwangsläufig ein grundlegendes Verständnis der IT-Sicherheit haben müssen.

Beratung in Anspruch nehmen

Nicht nur, aber insbesondere Vorstands- und Geschäftsführungsmitglieder haben im Berufsalltag konstant eine schier endlose Zahl an mannigfaltigen Aufgaben nebeneinanderher im Blick zu behalten, durchzuführen und allem
voran zu verstehen. Dass der Fachbereich der IT-Sicherheit auch dazu gehört, sollte -spätestens jetzt- klar sein.

Die IT-Sicherheit ist ein hochkomplexer Geschäftsbereich, dessen Verständnis ein grundlegendes IT-Know-How voraussetzt. Sofern die Geschäftsführungs-/Vorstandsmitglieder dieses nicht mitbringen, sollten sich diese das notwendige Verständnis umgehend aneignen. Prüfen Sie, ob Sie sich aus internen Ressourcen umfänglich und (Interessens-)konfliktfrei beraten lassen können oder externe Beratung in Anspruch nehmen sollten.

IT-Sicherheit (vor-)leben

Bedenken Sie, dass auch Strafnormen, die zwar für die analoge Welt geschrieben wurden, gleichermaßen Regelungen für die digitale Welt beinhalten könnten (z.B. § 203 StGB Verletzung von Geheimnissen von
Berufsgeheimnisträgern).

Sofern Sie als Vorstands-/Geschäftsführungsmitglied folgende drei Fragen mit „Ja“ beantworten können, haben Sie wichtige erste Schritte weg von einer haftenden, hin zu einer haftungspriviligierten Position vollzogen:

  • Ich kenne die Struktur und den Aufbau unserer IT und kann diese/n einem Dritten skizzieren.
  • Ich habe nachweislich Maßnahmen ergriffen, um das IT-Sicherheitsrisiko meines/unseres Unternehmens (signifikant) zu verringern.
  • Ich kann versichern, dass sich alle weiteren Vorstands-/ Geschäftsführungsmitglieder dem Thema der IT-Sicherheit annehmen und wir gemeinsam konstant daran arbeiten unser Sicherheitsniveau anzuheben.

Sie können eine oder gar alle Fragen nicht positiv beantworten? Sprechen Sie uns gerne an!

Über die Autorin

Romy Chantal Schneider

Romy Chantal Schneider ist Mitglied der Geschäftsführung und Prokuristin der b-pi sec GmbH aus Limburg, einem Beratungshaus für Datenschutz, Informationssicherheit, IT-Security und Compliance.

Kontakt:
kontakt@b-pisec.com

Meistgelesen

Anzeige

WEITERE BEITRÄGE

40 % mehr Umsatz sind nur der Anfang

Stolzsign macht Erfolg sichtbar

Posen, knipsen, posten: Social Media als Chance verstehen!

„Wer emotional verhandelt, macht Fehler!“

Schreibe einen Kommentar