IT-Sicherheitsrecht: IT-Sicherheitspflichten der Geschäftsleitung
Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht.
Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro
Im Rahmen der IT-Compliance (Voigt, "Die wichtigsten IT-sicherheitsrechtlichen Pflichten – Checkliste", CRonline Blog v. 28.6.2018) stellt sich stets die Frage nach der Verteilung der Verantwortlichkeiten und Haftung der Organe einer Gesellschaft. Den Geschäftsführungsorganen von Kapitalgesellschaften obliegen die Pflichten zur Leitung der Gesellschaft und zur Einhaltung von Rechtspflichten, die die Gesellschaft treffen. Als Ausfluss dieser Leitungsaufgabe obliegt auch die Gewährleistung der IT-Sicherheit der Geschäftsleitung.
Die jeweils anwendbaren gesellschaftsrechtlichen Vorschriften konkretisieren den allgemeinen Pflichtenkreis der Gesellschaftsorgane und können daher auch zur Bestimmung des Umfangs der Pflicht zur IT-Sicherheit herangezogen werden. Als ersten Überblick hier das Wesentliche in Kürze:
Überblick:Einrichtung und Aufrechterhaltung von IT-Sicherheit im Unternehmen:
Grundlegende gesellschaftsrechtliche IT-Sicherheitspflichten:
- Verantwortlicher: Aufgabenbereich der Geschäftsleitung (vgl. § 91 Abs. 2 AktG)
- Praktische Umsetzung: Benennung eines IT-ressortverantwortlichen Geschäftsleitungsmitglieds, das von den anderen Mitgliedern überwacht wird.
- Maßnahmen: Konkrete IT-Sicherheitsmaßnahmen beruhen auf unternehmerischer Entscheidung der Geschäftsleitung im Einzelfall.
- Umfang: IT-Compliance = Einhaltung der anwendbaren IT-sicherheitsrechtlichen Vorschriften
- Früherkennung: Einrichtung eines Systems zur Früherkennung und Überwachung bestandsgefährdender (= existenzbedrohender) IT-Sicherheitsrisiken (vgl. § 91 Abs. 2 AktG)
- Risikomanagement: Pflicht zur Überwachung und Steuerung aller IT-Risiken (vgl. § 93 AktG) → praktische Umsetzung regelmäßig über Einrichtung eines allgemeinen (IT-)Risikomanagementsystems
1. Grundlagen der Verantwortlichkeit von Vorstand bzw. Geschäftsführung
Als Ausprägung seines Rechts und seiner Pflicht zu Geschäftsleitung nach § 76 Abs. 1 AktG hat in der AG der Vorstand die Aufgabe, den Fortbestand des Unternehmens zu sichern (Spindler in MünchKomm/AktG, 4. Aufl. 2014, § 76 Rz. 14 f.). Der Vorstand muss im Wege eines Früherkennungs- und Überwachungssystems in der Lage sein, bestandsgefährdenden Krisen vorzubeugen (Fleischer in Spindler/Stilz, AktG, 3. Aufl. 2015, § 91 Rz. 29). Bei derartigen Krisen kann es sich auch um durch IT-Sicherheitsverstöße ausgelöste Bedrohungen für das Unternehmen handeln.
a) Grundsatz der Risikoverteilung
Daher besteht ausgehend von § 91 Abs. 2 AktG Einigkeit, dass die Erreichung und Aufrechterhaltung von IT-Sicherheit in der AG die Aufgabe des Vorstands ist (Lensdorf, CR 2007, 413, 414; von Holleben/Menz, CR 2010, 63, 63 ff.). Dieser allgemein normierte Risikoverteilungsgrundsatz hat eine „Ausstrahlungswirkung“ auf den Pflichtenkreis der Geschäftsführer anderer Gesellschaftsformen (Bundesrat, Drucksache 872/97, S. 37; von Holleben/Menz, CR 2010, 63, 63).
b) Verantwortlicher
Damit ist die IT-Sicherheit Aufgabe der Geschäftsleitung. Der konkrete Pflichtenumfang ist dabei jeweils von der Größe, Komplexität und Struktur des Unternehmens abhängig (Spindler in MünchKomm/AktG, 4. Aufl. 2014, § 91 Rz. 80; vgl. Deutscher Bundestag, Drucksache 13/9712, S. 15; von Holleben/Menz, CR 2010, 63, 63).
2. Pflicht zur Früherkennung bestandsgefährdender Risiken
Die Geschäftsführungspflichten zur IT-Sicherheit umfassen Maßnahmen zur Prävention von sowohl internen als auch externen Risiken in Bezug auf die eingesetzte IT. Gem. § 91 Abs. 2 AktG erstreckt sich diese Pflicht insbesondere auf die Einrichtung eines Überwachungssystems, um die Gesellschaft gefährdende Entwicklungen früh zu erkennen.
a) Relevantes Risikopotential
Die Geschäftsleitung hat demnach interne Maßnahmen zu ergreifen, um bestandsgefährdende Entwicklungen frühzeitig zu erkennen. Darunter sind Risiken zu verstehen, die sich wesentlich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft auswirken können (Fleischer in Spindler/Stilz, AktG, 3. Aufl. 2015, § 91 Rz. 32). Hinsichtlich des Risikopotentials kann als Anhaltspunkt dienen, ob die Situation das Insolvenzrisiko der Gesellschaft erheblich steigert oder hervorruft (Koch in Hüffer/Koch, AktG, 12. Aufl. 2016, § 91 Rz. 6).
b) Notwendiges Risikomanagement
Die frühzeitige Erkennung bestandsgefährdender Entwicklungen erfordert, dass die Geschäftsleitung sie zu einem solchen Zeitpunkt identifiziert, zu dem noch geeignete Maßnahmen zur Sicherung des Fortbestands der Gesellschaft getroffen werden können (Deutscher Bundestag, Drucksache 13/9712, S. 15). Das Unternehmen muss bestandsgefährdende IT-Sicherheitslücken also so frühzeitig erkennen, dass risikoreiche Entwicklungen noch verhindert werden können (Spindler in MünchKomm/AktG, 4. Aufl. 2014, § 91 Rz. 27). Diesem Zweck soll nach § 91 Abs. 2 AktG insbesondere die Einrichtung eines Überwachungssystems, ggf. als Bestandteil eines allgemeinen Risikomanagementsystems, dienen (s. hierzu im Detail Voigt, IT-Sicherheitsrecht, Rz. 44 ff.).
3. Weitere Compliance-Pflichten
Nach § 76 Abs. 1 AktG hat der Vorstand das Recht und die Pflicht, die Gesellschaft zu leiten (Spindler in MünchKomm/AktG, 4. Aufl. 2014, § 76 Rz. 14 m.w.N.). Verschiedene dieser Leitungs- und Organisationsaufgaben weisen einen Bezug zur IT-Sicherheit auf. Diese betrifft insbesondere die Pflicht zur sog. Compliance, die auch die Sicherstellung der IT-Sicherheit im Unternehmen umfasst und sich im Allgemeinen grob in folgende Teilbereiche untergliedern lässt (Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rz. 37):
- Verhalten im Einklang mit der Rechtsordnung: Diese in Bezug auf die EDV häufig mit dem Schlagwort „IT-Compliance“ umschriebene Legalitätspflicht erfordert die Einhaltung der rechtlichen Anforderungen, die sich auf den Einsatz von IT beziehen. Der Pflichtenkreis ergibt sich aus einer Vielzahl ganz unterschiedlicher Rechtsquellen. Zu Einzelheiten Voigt, IT-Sicherheitsrecht, Rz. 290 ff., Rz. 342 ff. und Rz. 471 ff.
- Überwachungspflicht: Die Geschäftsleitung muss Aufsichtsmaßnahmen ergreifen, um zu verhindern, dass die Gesellschaft Schäden erleidet (Koch, WM 2009, 1013, 1014). IT-Sicherheitsrisiken müssen daher möglichst frühzeitig erkannt werden. Wie diese Überwachung organisatorisch umgesetzt wird, liegt grundsätzlich im Ermessen der Geschäftsleitung (Koch in Hüffer/Koch, AktG, 12. Aufl. 2016, § 76 Rz. 13 ff.; Fleischer in Spindler/Stilz, AktG, 3. Aufl. 2015, § 76 Rz. 59).
- Pflicht zur sorgfältigen Unternehmensführung im engeren Sinne: Es ist notwendiger Teil der ordnungsgemäßen Unternehmensführung, auf erkannte IT-Sicherheitsrisiken auch entsprechend zu reagieren, um Schäden der Gesellschaft zu verhindern (Koch in Hüffer/Koch, AktG, 12. Aufl. 2016, § 76 Rz. 13; zur Abgrenzung von der Pflicht zur Risikoerkennung Spindler in MünchKomm/AktG, 4. Aufl. 2014, § 91 Rz. 28).
4. Umfang der Compliance-Pflichten
Die konkrete Umsetzung und der Umfang der Pflichten ist von der Einschätzung der Geschäftsleitung abhängig (siehe hierzu im Detail Voigt, IT-Sicherheitsrecht, Rz. 54ff.).
a) Relevante Kriterien
Es wird unterschiedlich beurteilt, wie weit die einzelnen Compliance-Pflichten reichen und ob sie sich derart standardisieren lassen, dass daraus allgemeine Verhaltensanforderungen und konkrete Strukturvorgaben gefolgert werden können (Koch in Hüffer/Koch, AktG, 12. Aufl. 2016, § 76 Rz. 13). Hinsichtlich der Anforderungen an die Umsetzung sind jedenfalls die Art und Größe, die besondere Lage des Unternehmens sowie das Risikopotential der verfolgten Geschäftstätigkeiten zu berücksichtigen (Deutscher Bundestag, Drucksache 13/9712, S. 15; Spindler in MünchKomm/AktG, 4. Aufl. 2014, § 91 Rz. 28).
b) Einzelfallbetrachtung
Vor allem bei kleineren Unternehmen mit geringem Risikopotential können institutionalisierte Compliance-Strukturen von Gesetzes wegen nicht gefordert werden (Koch in Hüffer/Koch, AktG, 12. Aufl. 2016, § 76 Rz. 15). Allerdings werden im Falle vermuteter Verstöße gegen die Organisations- und Leitungspflichten aus §§ 76, 93 AktG die getroffenen Maßnahmen unter Umständen an den herkömmlichen Praxisstandards gemessen, nach denen standardisierte Compliance-Strukturen in Form eines umfassenden Compliance-Systems üblich sind (Koch in Hüffer/Koch, AktG, 12. Aufl. 2016, § 76 Rz. 15).
c) Gegenmaßnahmen
Da die Compliance-Pflichten gesellschaftsschädigende Vorgänge verhindern sollen, dienen sie u.a. auch der Verhinderung von IT-Sicherheitsvorfällen (Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rz. 37). Es handelt sich aus Unternehmenssicht um einen Risikobereich von hoher Relevanz, so dass eine gewissenhafte Umsetzung der IT-Compliance erforderlich ist. Dabei müssen sowohl präventive Maßnahmen, wie ein umfassendes IT-Sicherheitskonzept und regelmäßige interne Personalschulungen, als auch organisatorische Sicherheitsmaßnahmen zur Einhaltung rechtlicher Vorgaben und zur Eindämmung erkannter Risiken getroffen werden.