Thomas Feil und Alexander Fiedler betrachten die Verantwortlichkeiten aus rechtlicher Sicht.
Thomas Feil ist Rechtsanwalt, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover. Alexander Fiedler ist Dipl.-Jurist und Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover.
Viele Unternehmen setzen mittlerweile auf den Einsatz mobiler Endgeräte, wie Notebooks und Smartphones. Damit können Mitarbeiter ihre Arbeiten nicht nur lokal auf dem Firmengelände erledigen, sondern auch unterwegs, bei Kunden oder von zu Hause aus erreichbar sein. Außerdem können sie auch auf Datenbestände zugreifen oder die Geräte schlicht privat nutzen. Der Einsatz außerhalb eines festen Firmennetzwerks birgt jedoch besondere Gefahren, denn außerhalb einer gut gesicherten Infrastruktur und bei einer teilweise privaten Nutzung können sich Viren und andere Schadprogramme leichter auf einem Endgerät einnisten. Es stellt sich die Frage, wer überhaupt für die Sicherheit der Firmen-IT verantwortlich ist.
Unternehmensleitung
Zunächst einmal ist die Unternehmensleitung für ein effektives Risikomanagement verantwortlich, wozu auch die IT-Compliance gehört. Damit ist die Einhaltung von rechtlichen Pflichten und Geboten hinsichtlich der eingesetzten Computersysteme gemeint. Insbesondere müssen Gefahrenpotenziale erfasst, abgeschätzt und überwacht werden, damit gefährdende Entwicklungen früh erkannt werden.
Der Umfang der Risikomanagement-Pflichten variiert je nach Gefahrenlage und Schadenspotenzial. Mittlerweile sind jedoch Unternehmensdaten und die Funktionsfähigkeit der IT-Systeme derart wichtig geworden, dass schon Ausfälle von wenigen Tagen große finanzielle und wettbewerbliche Nachteile mit sich bringen und sogar den Bestand des Unternehmens gefährden können. Dies hat Auswirkungen auf Umfang und Stellenwert der Pflichten der Geschäftsleitung. Beispielsweise gehören die Erstellung von Notfallplanungen, Datensicherungsplänen und die Bereitstellung ausreichender Mittel zur Anschaffung erforderlicher Sicherheits-Tools zum Standardrepertoire.
Kommt die Geschäftsleitung ihrer Pflicht zum IT-Risikomanagement nicht mit der gebotenen Sorgfalt nach, ergeben sich persönliche Haftungsrisiken der Geschäftsleitung gegenüber dem Unternehmen oder gegenüber Dritten. Ein Geschäftsführer muss ggf. mit seinem Privatvermögen für die durch seine Pflichtverletzungen verursachten Schäden aufkommen. Dieses Haftungsrisiko wird bei der Aktiengesellschaft noch dadurch verschärft, dass nach § 93 Abs. 2 AktG die Unternehmensleitung im Zweifelsfall beweisen muss, dass sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat. Daher empfiehlt es sich, über alle das IT-Risikomanagement betreffenden Planungen Aufzeichnungen zu führen, damit später die Einhaltung der IT-Compliance bewiesen werden kann.