Auswirkungen der IT-Sicherheit auf das Haftungsrisiko

Der Geschäftsführer einer GmbH muss die Sorgfalt „eines ordentlichen Geschäftsmannes“ anwenden (§ 43 Abs. 1 GmbHG). Dabei hat er im Rahmen seiner Leitungsfunktion neben einschlägigen Gesetzen wie Handelsgesetzbuch (HGB), Abgabenordnung (AO) und Bundesdatenschutzgesetz (BDSG) auch die allgemeinen Anforderungen zur IT-Sicherheit zu beachten.

Denn nicht nur bei Datenverlust steht der Geschäftsführer schnell persönlich in der Haftung. Gerichtsentscheidungen, bei denen Geschäftsführer wegen ihrer Verantwortlichkeit für IT-Sicherheits-Defizite zur Zahlung von Schadensersatz verurteilt wurden, sind zurzeit zwar noch selten (z. B. OLG Hamm, Urteil vom 1. Dezember 2003 – 13 U 133/03), aber es ist schon jetzt absehbar, dass die Haftungsfälle proportional zu der Bedeutung von IT und der zunehmenden Bedrohungslage etwa durch Hacker- und Virenangriffe kontinuierlich zunehmen werden.

Führen Sicherheitsdefizite zu einem Schaden, so müssen die Verantwortlichen darlegen und beweisen, dass sie den an sie gestellten Sorgfaltsanforderungen genügt haben. Hier zeichnet sich ab, dass der Stand der Technik zusammen mit gängigen Standards (z. B. ISO/IEC 27001, IT-Grundschutz des BSI, ITIL, COBIT, IDW PS 330) als Sorgfaltsmaßstab herangezogen wird. Da der Stand der Technik sich dynamisch weiterentwickelt und an der Front des technischen Fortschritts zu verorten ist, sind die Sorgfaltsanforderungen nur innerhalb eines standardisierten Prozesses erfüllbar.

Das zentrale Instrumentarium zur Einhaltung gesetzlicher, vertraglicher, struktureller und interner Richtlinien und Vorgaben im IT-Umfeld ist folglich ein von der Unternehmensleitung initiierter und etablierter Sicherheitsprozess. Daraus lässt sich ableiten, dass Unternehmen ab einer gewissen Komplexität mittelfristig nicht mehr um die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) herumkommen. Auch Versicherer von Cyberrisiken berücksichtigen bei der Kalkulation ihrer Versicherungsbeiträge, ob ein wirksames ISMS beim Versicherungsnehmer vorhanden ist.

Zu den wesentlichen Maßnahmen in diesem Zusammenhang gehört die Übernahme der Gesamtverantwortung für die Informationssicherheit durch die Leitungsebene. Dabei müssen sowohl angemessene Sicherheitsziele als auch eine Strategie für die Informationssicherheit festgelegt und dokumentiert werden. Die Leitungsebene muss analog zum Datenschutzbeauftragten einen Informationssicherheitsbeauftragten bestellen, der die Informationssicherheit fördert und den Sicherheitsprozess steuert und koordiniert. Hierzu ist die Schaffung einer geeigneten Organisations- und Kommunikationsstruktur notwendig, in der Aufgaben, Verantwortungen und Kompetenzen nachvollziehbar definiert und zugewiesen werden.

Es wird deutlich, dass die Anforderungen an die Informationssicherheit – nicht nur aufgrund möglicher Interessenkonflikte – weit über den Kompetenzbereich der IT-Abteilungen hinausgehen. Eine reine Delegation der Aufgaben in Bezug auf IT-Sicherheit an die IT-Abteilung entspricht daher nicht mehr dem Stand der Technik.

Praxis-Hinweis:
Zur Selbstevaluierung Ihres IT-Sicherheitsmanagements stellen wir Ihnen eine Checkliste im Excel-Format zum Download bereit: Solidaris Checkliste "IT-Sicherheit". Gerne unterstützen wir Sie bei der Ermittlung des Status quo zur IT-Sicherheit in Ihrem Unternehmen und erarbeiten gemeinsam mit Ihnen konkrete Maßnahmen.

Ingo Kreutz

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM)
Ingo Kreutz
+49 (0)2203 8997-217
 
Leitung IT-Revision
Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) Ingo  Kreutz
Schwerpunkte
  • Informationssicherheitsmanagement (ISMS)
  • IT-Systemprüfungen und Prozessanalysen
  • Begleitung von Softwaremigrationen
Veröffentlichungen in der Fachpresse
2019
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S.11.
Veröffentlichungen in der Fachpresse
2016
  • Steuerung von IT-Risiken: Health&Care Management, 11/2016, S. 66-67.