IT-Sicherheitsrecht: Rechtslage im Konzern
Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht.
Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro
In der Praxis sind die meisten Gesellschaften nicht uneingeschränkt selbständig, sondern in eine Konzernstruktur eingegliedert. Seit einigen Jahren verstärkt sich daher die Diskussion über die Frage, inwieweit es eine konzernweite Compliance-Pflicht gibt, die in die Verantwortlichkeit des beherrschenden Unternehmens fällt (hierzu siehe Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2.Auflage 2016, § 33 Rz. 102).
1. Konzernweite Compliance-Pflicht
Die Geschäftsleitung des Mutterunternehmens hat grundsätzlich für eine ordnungsgemäße, konzernweite Compliance-Organisation zu sorgen.
Dazu gehört zumindest zu einem gewissen Umfang die Verabschiedung einheitlicher Konzernrichtlinien und die Schaffung einheitlicher Compliance-Strukturen (Fleischer in Spindler/Stilz, AktG, 3. Auflage 2015, § 91 Rz. 70 f. m.w.N.). Die konkrete Ausgestaltung liegt im Ermessen der Geschäftsleitung des Mutterunternehmens (Fleischer in Spindler/Stilz, AktG, 3. Auflage 2015, § 91 Rz. 71).
Während also die Compliance-Organisation zumindest zu Teilen der Geschäftsleitung des Mutterunternehmens obliegt, fällt die konkrete Umsetzung dieser Compliance-Vorgaben in den Pflichtenkreis der Geschäftsleitung der einzelnen Konzernunternehmen (Spindler, WM 2008, 905, 916).
Faustregel: Je stärker allerdings die Verantwortlichkeiten des Mutterunternehmens hinsichtlich der konzernweiten Compliance-Organisation ausgestaltet sind, desto mehr können sich die Verantwortlichkeiten der Geschäftsleitungsorgane in den Tochtergesellschaften in (bloße) Überwachungs- und Kontrollpflichten hinsichtlich der IT-Sicherheit umwandeln (Spindler in MünchKomm/AktG, 4. Auflage 2014, § 91 Rz. 78.).
2. Konzernweite Überwachungspflicht
Die Einwirkungsmacht der Muttergesellschaft auf die Tochtergesellschaften stößt mitunter auf gesellschaftsrechtliche Grenzen (Fleischer in Spindler/Stilz, AktG, 3. Auflage 2015, § 91 Rz. 74). Die Muttergesellschaft kann ihre Compliance-Vorstellungen daher ggf. nicht vollständig durchsetzen. Einflussmöglichkeiten und Verantwortungsbereich der Geschäftsleitung der Konzernmutter decken sich insofern (Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, § 36 Rz. 83).
a) Pflicht zur Risikoüberwachung
Das rechtliche Mindestmaß der Einflussnahme der Konzernleitung ergibt sich daher auch aus ihren gesellschaftsrechtlichen Pflichten. Die Geschäftsleitung muss als Teil ihrer Leitungskompetenz Schäden von der Gesellschaft abwenden. Ihre Pflicht zur Risikoüberwachung muss sich daher auch auf solche Schäden beziehen, die sich mittelbar oder unmittelbar durch die Beteiligungen an den Tochtergesellschaften ergeben können (Fleischer in Spindler/Stilz, AktG, 3. Auflage 2015, § 91 Rz. 70).
- Damit trifft die Konzernleitung zumindest eine begrenzte Compliance-Pflicht in Form einer Überwachung von IT-Sicherheitsrisiken in den Tochterunternehmen im Rahmen ihrer Möglichkeiten.
- Obwohl auch hier grundsätzlich ein weites Handlungsermessen der Geschäftsleitung bzgl. der Umsetzung besteht, dürfte die Schaffung eines konzernweiten Kontrollsystems zur Überwachung der Compliance in den Tochtergesellschaften häufig angezeigt sein (Beurskens in Baumbach/Hueck, GmbHG, 21. Auflage 2017, § 43 Rz. 60 ff.).
b) Umsetzung im Konzern
Unabhängig von einer teilweise umfassend anerkannten konzernweiten Compliance-Pflicht trifft die Konzernleitung also zumindest eine konzernweite Überwachungspflicht (OLG Jena, Urt. v. 12.8.2009 – 7 U 244/07, NZG 2010, 226, 228 ; Wilsing/Ogorek, NZG 2010, 216, 217).
Es ist erforderlich, konzerninterne Strukturen zu schaffen, die zumindest eine grundsätzliche Überwachung des wesentlichen Geschäftsgangs der Tochtergesellschaften ermöglichen. Gravierende Unregelmäßigkeiten dürfen der Konzernleitung nicht über einen längeren Zeitraum verborgen bleiben. Auch wenn eine umfassende Compliance-Pflicht an rechtliche Grenzen stößt, müssen die konzernleitenden Geschäftsführer wenigstens über Kontrollmechanismen auf die konzernweite Compliance hinwirken (Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2. Auflage 2016, § 33 Rz. 101).