IT-Compliance

Haftung von Unternehmen und deren Leitung

Moderne Unternehmen stehen im Spannungsfeld zwischen Lieferanten- und Kundenbeziehungen sowie rechtlichen Anforderungen. Immer häufiger fällt hier der Begriff „Compliance“ in Verbindung mit Gesetzen und Vorschriften. Die Bedeutung ist dabei weit gefasst und beschreibt normalerweise einen Rahmen, in dem sich Unternehmen zu bewegen haben.

Jeder Unternehmer weiß um die Wichtigkeit der Produktion und des Vertriebs seiner Produkte. Wird er hier allein gelassen ist das Unternehmen schnell an den Rand des Ruins getrieben. Kaum einer weiß jedoch, dass ihn die Rechtsprechung allein lässt, wenn er sich nicht bestimmten unterwirft, also Compliance- Regeln einhält. Beispielsweise muss keine Versicherung zahlen, wenn der Unternehmer keine sorgsam protokollierte und dokumentierte Datensicherung unterhält.

Unter dem Oberbegriff „Compliance“ wird generell die Befolgung von rechtlichen Pflichten und Geboten durch Unternehmen verstanden. Dies gilt auch für die entsprechende Haftung der Unternehmensleitung.

IT-Compliance bedeutet, dass die rechtlich gestellten Anforderungen durch die IT eines Unternehmens erfüllt werden müssen. Dabei ist auf Anforderungen im engeren als auch im weiteren Sinne auszugehen. Die Anforderungen im engeren Sinne haben Anforderungen und Vorgaben, die unmittelbar auf die IT abzielen. Haftung im weiteren Sinne zielen zwar nicht auf die IT ab, werden aber durch diese umgesetzt und dürfen daher nicht vernachlässigt werden.

Die Anforderungen im engeren Sinne stammen meist aus dem Bereich der IT- Sicherheit. Damit sind Datenschutzrecht und Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen ( GDPdU) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme ( GoBS) gemeint. Darüber hinaus wird aber auch die Anzahl der erforderlichen Lizenzen für Computerprogramme als Sicherheitsrelevantes Problem verstanden, ebenso wie die Nutzung von urheberrechtlichem Material z. B. auf der Internetseite, die zu einer Urheberrechtverletzung führen kann. Dass Urheberrechtsverstöße strafbar sein können sollten Unternehmer wissen.

Eine IT-Compliance im weiteren Sinne betrifft von der IT unabhängige Anforderungen. So können bilanz-, bank - oder versicherungsrechtliche Vorgaben wie Basel II oder Solvency II nicht ohne IT umgesetzt werden. Auch die Sorgfaltspflicht und Verantwortung des Vorstandes oder Geschäftsführers zwingt zu Maßnahmen der Geschäftsleitung, sich vor persönlicher Haftung zu schützen.

Einen angemessenen Schutz vor persönlicher Haftung kann die Delegation an qualifizierte Mitarbeiter darstellen. Ein möglicher Weg hierzu ist die Einführung eines Informationssicherheitsmanagement- Systems (ISMS). Hierfür haben sich der internationale Standard ISO 27001 und der Deutsche Standard BSI 100-1 und BSI 100-2 des Bundesamtes für Sicherheit in der Informationstechnik etabliert.

Diese Management- Systeme gehen davon aus, dass die Verantwortlichkeit für IT- Sicherheit an einen IT- Sicherheitsbeauftragten oder Security- Officer übertragen wird. Diese Stelle ist für die Einhaltung angemessener IT- Sicherheit zuständig. Die damit betraute Person überwacht die Einhaltung rechtlicher, organisatorischer und technischer Vorgaben aller Parteien. Darüber hinaus ist die Position damit betraut, Änderungen und Regelungen in der Organisation einzuführen, die sicherstellen, dass rechtliche und sonstige Vorgaben eingehalten werden.

Für den Mittelstand ist es in der Regel schwierig, diese Position zu schaffen. Zum einen, weil es sich um eine Vollzeitposition handelt. Zum anderen, weil finanzielle und personelle Ressourcen knapp sind und dem Produktivbetrieb zu Gute kommen müssen. Das daraus resultierende Risiko trägt die Geschäftsführung voll, die für mangelnde Risikovorsorge voll haftet.

Es kann daher zweckmäßig und kostengünstiger sein, sich externe Beratung oder externe Verantwortung ins Unternehmen zu holen. Denkbar sind Konstellationen, den IT- Sicherheitsbeauftragten ähnlich dem Datenschutzbeauftragten an ein spezialisiertes Unternehmen zu vergeben. Dieses stellt einen Mitarbeiter oder eine Mitarbeiterin zur Verfügung, die die Stelle des IT- Sicherheitsbeauftragten ausfüllen und für die notwendigen Maßnahmen Sorge tragen. Vorteile entstehen viele für den Unternehmer. Der wichtigste aber wird sein: Er kann beruhigt die Geschäfte führen und reduziert die Haftung für fehlenden Risikovorsorge in der Informationssicherheit.

Frederik Humpert,
Peter Heyers, RA FA Urheber- und Medienrecht, HEYERS Rechtsanwälte

IT-Recht in Osnabrück

wird durch den Fachanwalt für IT-Recht ( Informationstechnologierecht) Peter Heyers erbracht. Er berät Mandanten in der Kanzlei, im Unternehmen aber auch als Inhouse Counsel zu festen Terminen im Unternehmen oder zeitlich begrenzt innerhalb von IT-Projekten. Schwerpunkt ist die bundesweitere Vertretung bei der Vertragsgestaltung,  bei  Mängelverfahren in der IT, aber auch in Softwareplagiatsverfahren.

Nehmen Sie einfach Kontakt auf!

Neuigkeiten zum Compliance

Haben Sie Fragen?

Aufgrund der zunehmenden Spezialisierung bieten wir Ihnen rechtliche Beratung in unseren Spezialgebieten an.

Sprechen Sie uns an, wenn Sie nicht sicher sind, ob wir die richtigen Rechtsberater für Sie sind. Sollten wir tatsächlich nicht für Sie tätig werden können, finden wir jedoch einen kompetenten Rechtsberater in unserem kollegialen Umfeld.

Kontakt aufnehmen