IT Sicherheit Teil 5/2 Rechtliche Vorgaben


4.2.3 Das Gesetz über Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

Bei diesem 1998 in Kraft getretenen Gesetz handelt es sich wiederum um ein Rahmengesetz und präzisiert und erweitert hauptsächlich Vorschriften des Handelsgesetzbuches (HGB) und des Aktiengesetzes (AktG). Dies hat vor allem Auswirkungen für den Vorstand, den Aufsichtsrat und die Geschäftsleitung eines Unternehmens, sowie auch für deren Wirtschaftsprüfer und Berater.
§ 91 Abs. 2 des Aktiengesetzes besagt:

Abs. 1 Der Vorstand hat dafür zu sorgen, dass die erforderlichen Handelsbücher geführt werden.
Abs. 2 Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Auf diesem Wege wird der Vorstand einer Aktiengesellschaft zur Einführung eines Risikomanagements verpflichtet. Er hat das Unternehmen so zu organisieren, dass ein Fortbestand der Gesellschaft gewährleistet ist. Hierzu zählt konkret vor allem die Einhaltung der Sicherheitsstandards im Bereich der Informationstechnologie. Hält er diese Standards nicht ein, so kann er im Schadensfall der Gesellschaft zum Ersatz des entstandenen Schadens verpflichtet werden.

Gemäß der durch das KonTraG geänderten Form des Handelsgesetzbuches (HGB) ist im Jahresabschluss der Gesellschaft ein ausführlicher Lagebericht über die Gesellschaft anzufertigen. Er hat eine ausgewogene und umfassende, dem Umfang und der Komplexität der Gesellschaftstätigkeit entsprechende Analyse des Geschäftsverlaufs und der Lage der Gesellschaft zu enthalten.

Für den Bereich der IT-Sicherheit bedeutet dies, dass im Jahresabschluss der Gesellschaft genaue Angaben über die Art und Weise des Risikomanagements sowie auch über die IT-Sicherheitsstandards des Unternehmens aufgeführt sein müssen.

Die Vorgaben des KonTraG enthalten auch eine Haftungserweiterung für den Vorstand, den Aufsichtsrat, sowie auch die Wirtschaftsprüfer und Berater eines Unternehmens.

Entsteht aus der Nichteinhaltung von Sicherheitsvorschriften im Rahmen der Informationssicherheit ein Schaden, so haftete nicht nur die Gesellschaft, sondern die Haftung kann neben den oben aufgeführten Personenkreisen auf die Geschäftsleitung erweitert werden. Diese haften, sofern sie ein Verschulden durch mangelndes IT-Sicherheitsmanagement trifft, mit ihrem Privatvermögen.

Außerdem trifft sie im Falle eines Schadens die Beweislast, sofern vom Unternehmer geltend gemacht wird, die ihm als Geschäftsführung obliegende Sorgfalt beachtet zu haben. Dies spielt insoweit eine Rolle, dass im Rahmen eines Prozesses nur der Aussicht auf Erfolg hat, der nicht nur Recht hat, sondern sein Recht vor allem beweisen kann.

Diese Haftungserweiterung auf die persönliche Haftung neben der Haftung der Gesellschaft betrifft keinesfalls nur die Aktiengesellschaften. Liegen vergleichbare Sacherverhalte sowie Organisationsstrukturen vor, so gelten diese Grundsätze auch für Kommanditgesellschaften (KG) und GmbHs und deren Funktionäre.

Wer zur persönlichen Haftung mit seinem Privatvermögen herangezogen werden kann, hängt in der Regel von den Aufgaben und Befugnissen der einzelnen Personen oder Personenkreise ab. Neben der Haftung der Geschäftsleitung können gegebenenfalls jedoch auch einzelne Mitarbeiter oder IT-Verantwortliche zur persönlichen Haftung verpflichtet werden, sofern sie die ihnen obliegende Sorgfalt grob außer Acht gelassen haben oder gar Vorsatz hinzukommt.

Beispiel:

Das Unternehmen A muss seinem bisherigen System-Administrator betriebsbedingt kündigen. Dieser ist so enttäuscht und verärgert, dass er am letzten Tag vor seinem Austritt aus der Firma absichtlich alle Zugangspasswörter ändert. Der Mitarbeiter, der die Aufgaben des bisherigen System-Administrators anschließend übernehmen will, kommt gar nicht ins System. Zur Wiederherstellung der Zugriffskontrolle ist ein externer Dienstleister notwendig. Auf Zahlung dieser notwendigen Kosten kann der ehemalige Mitarbeiter verklagt werden.

4.2.4 Sonstige rechtliche Vorgaben

Neben den bisher erwähnten rechtlichen Vorgaben existieren auch eine Reihe weiterer Vorschriften, die für den Bereich IT-Sicherheit relevant sind.

Die Grundsätze ordnungsgemäßer Buchführung (GoB) sind teils geschriebene, teils ungeschriebene Regeln zur Buchführung und Bilanzierung. Sie beruhen auf einem Best Practice Ansatz und ergeben sich aus Erfahrungen aus Wirtschaft, Wissenschaft, Rechtsprechung und Wirtschaftsverbänden. Die Grundsätze sollen Unternehmenseigner und Gläubiger vor unkorrekten Daten und Informationen, sowie vor möglichen Verlusten weitestgehend schützen.

Inhaltlich formulieren diese Grundsätze Richtigkeit und Willkürfreiheit, Vollständigkeit, Kontinuität und weitere Kriterien im Rahmen der Buchhaltung. Diese Grundsätze entfalten ihre Wirkung auch im Bereich der elektronischen Datenverarbeitung und Bilanzierung.

Die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) sind Regeln zur Buchführung mittels Datenverarbeitungssystemen, die vom Bundesfinanzministerium und der deutschen Finanzverwaltung aufgestellt wurden. Gesetzestechnisch handelt es sich dabei um eine Verwaltungsanweisung und sind eine Ergänzung zum Handelsgesetzbuch und zur Abgabenordnung.

Die GoBS stehen in engem Zusammenhang mit den GoB. Sie enthalten spezielle Regelungen im Bezug auf die ordnungsgemäße Behandlung elektronischer Dokumente. Insbesondere werden die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen, sowie in revisionssicheren Dokumentmanagement und Archivsystemen geregelt. Auch beinhalten die GoBS die Vorgaben für die Verfahrensdokumentation, die zum Nachweis eines ordnungsgemäßen Systems erforderlich sind.

 

Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches

Links zu allen Beiträgen der Serie IT-Sicherheit


Kontakt: info@brennecke-rechtsanwaelte.de
Stand: 03/07


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Das Referat IT-Recht wird bei Brennecke & Partner Rechtsanwälte betreut von:

Portrait Tilo-Schindele Tilo Schindele, Rechtsanwalt, Stuttgart

Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.

Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.

Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:

  • Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
  • Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
  • Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen


Kontaktieren Sie Rechtsanwalt Tilo Schindele unter: 
Mail: tilo.schindele@brennecke-rechtsanwaelte.de 
Telefon: 0721-20396-28


Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosSteuerrechtGesellschaftsbesteuerung
RechtsinfosDatenschutzrechtIT-Security
RechtsinfosIT-RechtIT-Security