Informations-Sicherheit muss im Rahmen der "Compliance" zahlreiche rechtliche Bestimmungen beachten. Ausschlaggebend hierfür ist vor allem die anzuwendende Sorgfaltspflicht. Darüber hinaus existieren spezielle Anforderungen durch Buchführungs- und Aufbewahrungspflichten sowie beim Umgang mit personenbezogenen und Fernmeldedaten.
Für Unternehmen ist es wichtig, nicht nur etwaige Bedrohungen der eingesetzten IT-Systeme erfolgreich abzuwehren, sondern auch im Rahmen der so genannten Compliance die eigene Rechtskonformität sicherzustellen. Dies betrifft nicht nur international tätige, börsennotierte Unternehmen, die in der Regel durch den US-amerikanischen Sarbanes-Oxley-Act (SOX) hierzu verpflichtet sind.
Die einschlägigen Rechtsvorschriften im Bereich der Informations-Sicherheit sind jedoch nicht in einem einzelnen Gesetz zusammengeführt, sodass ihre Zusammenhänge oftmals unterschätzt werden. Da Zuwiderhandlungen nicht nur haftungsbedingt zivilrechtlichen Schadensersatz, sondern auch Ordnungswidrigkeiten oder gar Strafen zur Folge haben können, sind Unternehmen und ihre verantwortlichen Personen gut beraten, die rechtlichen Anforderungen zur Informations-Sicherheit zu beachten. Zudem kann der Nachweis der Verlässlichkeit und Stabiltät des eingesetzten IT-Systems im Rahmen von Basel II zu einem besseren Rating führen und so Wettbewerbsvorteile bringen.
In Deutschland wurden insbesondere im Zuge des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) maßgebliche Vorschriften verabschiedet, die zusammen mit der nationalen Umsetzung der EU-Richtlinien zum Datenschutz (RL 95/46/EG), zur elektronischen Signatur (RL 1999/93/EG) und zur elektronischen Kommunikation (RL 2002/19/EG, 2002/21/EG und 2002/58/EG) gewissermaßen einen Rahmen für die Informations-Sicherheit schaffen. Zudem gibt es spezifische rechtliche Anforderungen (etwa beim Umgang mit Gesundheits- bzw. Sozialdaten oder bei Kreditinstituten – vgl. [1]), die hier den Rahmen sprengen würden.
Sorgfaltspflichten
Die rechtlichen Vorschriften zur Informations-Sicherheit hat die Unternehmensleitung bereits im Rahmen ihrer Sorgfaltspflicht zu erfüllen. So hat etwa der Vorstand einer AG gemäß Aktiengesetz geeignete Maßnahmen zu treffen, um für den Fortbestand der Gesellschaft gefährdende Entwicklungen früh zu erkennen und hierzu ein Überwachungssystem einzurichten (§ 91 Abs. 2 AktG). Bei ihrer Geschäftsführung haben Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (§ 93 Abs. 1 AktG). Der Geschäftsführer einer GmbH hat in den Angelegenheiten der Gesellschaft ebenfalls die Sorgfalt eines ordentliches Geschäftsmannes anzuwenden (§ 43 Abs. 1 GmbHG).
Im Rahmen der Sorgfaltspflicht wird in erster Linie die Übereinstimmung des Handelns verantwortlicher Personen mit Gesetz und Gesellschaftsbeschlüssen sowie das Vermeiden risikoreicher Geschäftsvorfälle verstanden. Deshalb ist es bei allen Kapitalgesellschaften und Mehrpersonengesellschaften unerlässlich, ein Risikomanagementsystem einzurichten, das vor allem auch die Informations-Sicherheit gewährleistet, da die IT mittlerweile vitale Komponente jedes Unternehmens ist.
Im Streitfall muss die Unternehmensleitung ihre Sorgfalt nachweisen. Für AGs ist dies ausdrücklich vorgeschrieben (§ 93 Abs. 2 AktG), für den GmbH-Geschäftsführer hat dies der Bundesgerichtshof (BGH) in einem Urteil vom 4. November 2002 festgestellt (Az. II ZR 224/00). Auch der Aufsichtsrat einer AG muss sich davon überzeugen, dass die erforderlichen Maßnahmen im Rahmen des Risikomangements durch den Vorstand ergriffen wurden (Urteil des BGH vom 21. April 1997, Az. II ZR 175/95).
Wenn rechtliche Verpflichtungen gegenüber Dritten nicht eingehalten werden, trifft die Verantwortlichen ein Verschulden bei Vorsatz und Fahrlässigkeit (§ 276 Abs. 1 BGB), wobei fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt (§ 276 Abs. 2 BGB). In eigenen Angelegenheiten besteht ab grober Fahrlässigkeit Haftung (§ 277 BGB).
Der gesamte Artikel unter www.kes.info .
