Geschäftsleitung - Administrator - Arbeitnehmer

Wer ist für die Sicherheit der Firmen-IT verantwortlich?

17.12.2009
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.
Thomas Feil und Alexander Fiedler betrachten die Verantwortlichkeiten aus rechtlicher Sicht.

Thomas Feil und Alexander Fiedler betrachten die Verantwortlichkeiten aus rechtlicher Sicht.

Thomas Feil ist Rechtsanwalt, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover. Alexander Fiedler ist Dipl.-Jurist und Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover.

Viele Unternehmen setzen mittlerweile auf den Einsatz mobiler Endgeräte, wie Notebooks und Smartphones. Damit können Mitarbeiter ihre Arbeiten nicht nur lokal auf dem Firmengelände erledigen, sondern auch unterwegs, bei Kunden oder von zu Hause aus erreichbar sein. Außerdem können sie auch auf Datenbestände zugreifen oder die Geräte schlicht privat nutzen. Der Einsatz außerhalb eines festen Firmennetzwerks birgt jedoch besondere Gefahren, denn außerhalb einer gut gesicherten Infrastruktur und bei einer teilweise privaten Nutzung können sich Viren und andere Schadprogramme leichter auf einem Endgerät einnisten. Es stellt sich die Frage, wer überhaupt für die Sicherheit der Firmen-IT verantwortlich ist.

Unternehmensleitung

Zunächst einmal ist die Unternehmensleitung für ein effektives Risikomanagement verantwortlich, wozu auch die IT-Compliance gehört. Damit ist die Einhaltung von rechtlichen Pflichten und Geboten hinsichtlich der eingesetzten Computersysteme gemeint. Insbesondere müssen Gefahrenpotenziale erfasst, abgeschätzt und überwacht werden, damit gefährdende Entwicklungen früh erkannt werden.

Fotolia, pmphoto
Fotolia, pmphoto
Foto: Fotolia, pmphoto

Der Umfang der Risikomanagement-Pflichten variiert je nach Gefahrenlage und Schadenspotenzial. Mittlerweile sind jedoch Unternehmensdaten und die Funktionsfähigkeit der IT-Systeme derart wichtig geworden, dass schon Ausfälle von wenigen Tagen große finanzielle und wettbewerbliche Nachteile mit sich bringen und sogar den Bestand des Unternehmens gefährden können. Dies hat Auswirkungen auf Umfang und Stellenwert der Pflichten der Geschäftsleitung. Beispielsweise gehören die Erstellung von Notfallplanungen, Datensicherungsplänen und die Bereitstellung ausreichender Mittel zur Anschaffung erforderlicher Sicherheits-Tools zum Standardrepertoire.

Kommt die Geschäftsleitung ihrer Pflicht zum IT-Risikomanagement nicht mit der gebotenen Sorgfalt nach, ergeben sich persönliche Haftungsrisiken der Geschäftsleitung gegenüber dem Unternehmen oder gegenüber Dritten. Ein Geschäftsführer muss ggf. mit seinem Privatvermögen für die durch seine Pflichtverletzungen verursachten Schäden aufkommen. Dieses Haftungsrisiko wird bei der Aktiengesellschaft noch dadurch verschärft, dass nach § 93 Abs. 2 AktG die Unternehmensleitung im Zweifelsfall beweisen muss, dass sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat. Daher empfiehlt es sich, über alle das IT-Risikomanagement betreffenden Planungen Aufzeichnungen zu führen, damit später die Einhaltung der IT-Compliance bewiesen werden kann.