IT-Compliance, also die Einhaltung
- gesetzlicher Bestimmungen,
- vertraglicher Pflichten und
- anerkannter Standards,
ist nicht nur ein Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen.
KonTraG - Haftung der Geschäftsleitung
Die Unternehmensleitung von Kapitalgesellschaften (z. B. AG, GmbH) hat für ein wirksames Risikomanagement-System zu sorgen. Im KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) schreibt der Gesetzgeber Sicherungsmaßnahmen vor, nach denen ein Überwachungssystem einzurichten ist, das bestandsgefährdende Entwicklungen frühzeitig erkennt. Dieses Frühwarnsystem erfordert u. a. eine präventive Überwachung und Erkennung von Fehlentwicklungen in der IT-Sicherheit. Auch das BSI verweist in seinen Standards ausdrücklich auf die Vorgaben des KonTraG.
Foto: Fotolia, Mapoli-Photo
Das KonTrag ist ein Eingriff des Gesetzgebers in die "Corporate Governance" (= Führung und Überwachung) des Unternehmens. Zweck des KonTraG sind:
- Verpflichtung des Vorstands zu Risikomanagement
- Risikomanagement = Risiko-Klassifizierung und -Controlling
- Früherkennung von gefährlichen Schieflagen = Frühwarnsystem
- präventive Überwachung und Erkennung von Fehlentwicklungen, z. B. im Bereich Viren, illegale Inhalte, IT-Sicherheit
- Es soll die Prüfung von Unternehmen erleichtern für Anleger und Wirtschaftsprüfer.
Der Vorstand hat nach § 91 Abs. 2 AktG geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
Nachteilige Folgen bei Verstößen:
- Persönliche Haftung des Vorstands mit dem eigenen Vermögen
- Keine Entlastung des Vorstands: das LG München hat am 05.04.2007 entschieden, dass der Vorstand bei Verstößen gegen das Risikofrüherkennungssystem nicht entlastet werden darf.
Anerkannte Standards und Zertifizierung
Effektivster Schutz vor persönlicher Haftung und Organisationsverschulden ist die Nachweisbarkeit der geprüften Sicherheit nach außen, etwa für Anforderungen von Dritten wie:
- Wirtschaftsprüfer (KonTraG)
- Kreditgeber (Basel II), denn IT-Sicherheit ist Rating-Faktor im Rahmen von Basel II
- Interne Revision
Anerkannte Standards und Zertifizierungen wie
- ISO/IEC 27001 - der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung
- BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement
-- 100-1 Managementsystem für Informationssicherheit (ISMS)
-- 100-2 IT-Grundschutz-Vorgehensweise
-- 100-3 Risikoanalyse auf der Basis von IT-Grundschutz
-- 100-4 Notfallmanagement
-- ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz
machen die Schaffung von Informationssicherheit nachprüfbar und führen zu höherer Beweissicherheit und Haftungsentlastung.
BilMoG
Als Reaktion auf Finanzskandale wie Parmalat oder Ahold hat die EU die Richtlinie 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen zur Anpassung der 8. EU-Prüferrichtlinie erlassen. Umgesetzt wurde die EU-Richtlinie durch das Bilanzrechtsmodernisierungsgesetz (BilMoG), das inzwischen in Kraft getreten ist. Wirtschaftsprüfer sollen verstärkt die Anforderungen an die Informationssicherheit in den Unternehmen prüfen, weil sie selbst strengeren Kontrollen der Aufsichtsbehörden unterliegen. Die Notwendigkeit eines Internen Kontrollsystems (IKS) wurde durch das BilMoG bestätigt.
Der Autor Horst Speichert ist Rechtsanwalt in der Kanzlei esb in Stuttgart mit Spezialgebiet Neue Medien, EDV-Recht, IT-Vertragsgestaltung, IT-Security und Datenschutz, Fachbuchautor, Ausbilder für Datenschutzbeauftragte und Lehrbeauftragter für Informationsrecht an der Universität Stuttgart.
Für Sie vielleicht auch interessant:
Die rechtlichen Aspekte der IT-Sicherheit, Teil 1: Haftungsfragen rund um die IT-Sicherheit
Die rechtlichen Aspekte der IT-Sicherheit, Teil 3: So archivieren Sie E-Mails revisionssicher
Kontakt:
E-Mail: horst@speichert.de, Internet: www. speichert.de
Hinweis:
Der IT-Rechtsleitfaden wurde 2009 von Rechtsanwalt Horst Speichert in Zusammenarbeit mit der Blue Coat Systems GmbH erstellt. Eine Kopie des Dokuments kann über folgenden Link bestellt werden: www.bluecoat.de/resources/leitfaeden.php. Das Werk einschließlich aller Texte ist urheberrechtlich geschützt. Veröffentlichung und Vervielfältigung nur mit schriftlicher Genehmigung von Blue Coat Systems.