Euroforum

Euroforum GmbH-Geschäftsführer-Seminare
Info-Hotline: +49 2 11/88743-3340

GESCHÄFTSFÜHRUNG UND DIGITALE TRANSFORMATION

Drohende Haftung als Anlass für eine technische und rechtliche Bestandsaufnahme

Horst Grätz, Rechtsanwalt und Partner, und
Johannes Marco Holz, Zertifizierter Datenschutzbeauftragter (GDDcert.EU), Rechtsanwalt, Senior Associate, Rödl & Partner, Nürnberg

1. Überblick

Mit der digitalen Transformation zu beginnen, ist für viele Unternehmen die Antwort auf die Herausforderungen der Digitalisierung. Die Bedeutung der Wandlung hin zu digitalen Prozessen befindet sich auf ihrer Spitze. Über die Hälfte (58%) der Unternehmen des Deutschen Mittelstandes sehen sich im Jahre 2018 in puncto Digitalisierung als „Nachzügler“, haben sich folglich mit diesem Thema noch nicht oder nicht nachhaltig beschäftigt. Daraus lässt sich schließen, welcher Handlungsbedarf noch besteht. Die Beschäftigung mit der Digitalisierung beginnt mit der Vergegenwärtigung des status quo – und damit einer schonungslosen Bestandsaufnahme.

Die Bedeutung digitaler Technologien lässt sich nicht auf die Branche eines Unternehmens eingrenzen. Auch Unternehmen, die aus Produktsicht keine Berührung mit digitalen Technologien zu haben scheinen, sind dennoch mit entsprechenden Herausforderungen konfrontiert. Dies betri‚fft insbesondere die Verwaltung und Organisation, aber auch die Produktion kommt schon seit Jahren nicht ohne digitale Technologien aus.

Wenngleich IT-Systeme an sich schon seit Jahrzehnten Alltag im deutschen Mittelstand sind, ergeben sich die neuen Möglichkeiten insbesondere aus der Vernetzung der Systeme, der damit verbundenen Beschleunigung von Abläufen und der Kommunikation von Maschinen ohne menschliche Interaktion. All diese Anknüpfungspunkte bergen Fehlerquellen, die zu Schutzverletzungen und damit zur Begründung von Haftungstatbeständen führen können.

Die Innovationsgeschwindigkeit macht den digitalen Wandel im Unternehmen jedoch zu einem Dauerthema, welches nicht in einem einmaligen Umsetzungsprojekt erledigt werden kann. Es sollte im Rahmen einer ordentlichen Geschäftsführung einen wiederkehrenden Fixpunkt auf jeder Management-Agenda darstellen.

Die einschlägigen rechtlichen Vorgaben (z.B. die DSGVO oder das IT-Sicherheitsgesetz) folgen im Wesentlichen einem althergebrachten Muster, wonach den Geschäftsführer im Ernstfall nur ein koordinierter und umfassender Maßnahmenkatalog und eine lückenlose Dokumentation aus der Haftungsfalle befreien können („Verantwortlichkeitsprinzip“).

Den Wandel nur punktuell anzugehen, verhindert ein Erkennen struktureller Defizite. Genau die sind es, die Geschäftsführern im Ernstfall zum rechtlichen Nachteil gereichen.

Der vorliegende Artikel soll hierüber einen groben Überblick liefern und verdeutlichen, wie wichtig es für Unternehmenslenker ist, sich entweder selbst IT(-rechtliches) Fachwissen anzueignen, oder Strukturen zu scha‚en, die eine sachlich fundierte Risikoeinschätzung ermöglichen. Nur auf dieser Basis lässt sich über die Angemessenheit unternehmerischer Entscheidungen urteilen. Den Wandel nur punktuell anzugehen, verhindert ein Erkennen struktureller Defizite. Genau die sind es, die Geschäftsführern im Ernstfall zum rechtlichen Nachteil gereichen.

2. Verantwortlichkeit des Geschäftsführers

Die Gewährleistung des rechtskonformen Einsatzes von Informationstechnologie („IT-Compliance“) ist schon von Gesetzes wegen Chefsache. Dies ergibt sich dem Grunde nach aus den allgemeinen Sorgfaltspflichten gemäß § 91 Abs. 2 AktG für die AG und in Verbindung mit § 278 Abs. 3 AktG für die KGaA. Dieselben Grundsätze finden über § 43 Abs. 1 GmbH auch für den GmbH-Geschäftsführer Anwendung.

Wegen der Bestimmung eines greifbaren Sorgfaltsmaßstabes lässt sich nur wenig Konkretes sagen. Dies liegt zum einen daran, dass sich mit der Digitalisierung vollkommen neue Rechtsfragen ergeben und damit noch keine einschlägige Rechtsprechung existiert. Zum anderen sind die Anforderungen an ein e‚ektives IT-Compliance-Management aber an den technischen Fortschritt und dem damit verbundenen Wandel potenzieller Bedrohungen gebunden. Was noch heute als „state of the art“ gelten mag, kann schon morgen überholt sein, mit der Folge, dass einem zunächst sorgfältig handelnden Geschäftsführer über Nacht unverantwortliches und damit im Rechtssinne fahrlässiges Verhalten zur Last gelegt wird.

Den Geschäftsführer nahezu jedes Unternehmens triff‚t damit eine laufende Verpflichtung, sich über den Einsatz von Informationstechnologie in seinem Unternehmen informiert zu halten und selbst oder in Mitarbeitern Kompetenzen aufzubauen, die einen Gesamtüberblick und eine Gesamtbewertung ermöglichen. Beides ist Voraussetzung für das Vorhalten einer (entlastenden) Dokumentation von Entscheidungsgrundlagen und Entscheidungen.

3. Die DS-GVO als Chance zur umfassenden Bestandsaufnahme und Dokumentation

Lediglich 56% der Unternehmen geben in einer Umfrage im Auftrag des Branchenverbandes eco an, bereits mit der Umsetzung der DS-GVO begonnen zu haben. Ganze 27% sind noch dabei, die Evaluation von Unternehmensprozessen zu planen. Damit ist die Umsetzung der DS-GVO in 83% Prozent der Unternehmen noch nicht abgeschlossen. All diesen Unternehmen steht es noch in besonders effzienter Weise o‚ffen, auch das Thema IT-Compliance anzugehen.

Wer sich bereits mit der Umsetzung der DS-GVO im Unternehmen beschäftigt hat, weiß, welche Chance in der Umsetzung der Datenschutz-Grundverordnung für Unternehmen im Hinblick auf das Thema IT-Compliance zu sehen ist. Zwar findet die DS-GVO lediglich auf personenbezogene Daten Anwendung. Jedoch setzt die Identifikation solcher Prozesse logisch voraus, dass die Gesamtheit der Unternehmensprozesse einer Überprüfung unterzogen wird. Im Rahmen dieser Bestandsaufnahme ist dabei auch zwingend zu ermitteln, welche IT-Systeme zum Einsatz kommen und wie diese einzelnen Prozessen zuzuordnen sind.

Ein Überblick über die IT-Strukturen im Unternehmen in ihrer Gesamtheit ist damit sozusagen ein beiläufig entstehendes Produkt, welches sich die Unternehmensführung dringend zu Nutze machen sollte. Denn die im Rahmen der DS-GVO zu fordernden, angemessenen technisch-organisatorischen Maßnahmen sind letztlich nichts anderes als ein dem individuellen Risiko anzupassender Katalog an Maßnahmen zur Vermeidung von Schutzverletzungen.

Es bietet sich an, die Risikobewertung zusätzlich auch auf Prozesse auszudehnen, die keine datenschutzrechtliche, wohl aber eine unternehmerische Relevanz haben. Die anerkannten Bewertungsmethoden wie z.B. aus dem Standard-Datenschutzmodell oder den BSI-Katalogen zum IT-Grundschutz eignen sich hervorragend, um auch im Hinblick auf rein wirtschaftliche Aspekte Havarie-Szenarien zu evaluieren und angemessene Sicherheitsvorkehrungen daraus abzuleiten.

Lediglich 34 % der befragten Industrieunternehmen einer Studie des Branchenverbandes Bitkom gaben 2018 an, regelmäßig IT-Sicherheitsaudits zum Schutz vor Datendiebstahl, Industriespionage und Sabotage durchzuführen. Dem gegenüber ist davon auszugehen, dass alle Unternehmen einer solchen Auditierungspflicht unterliegen. Die gesetzlichen Vorgaben zur turnusmäßigen Überprüfung der Wirksamkeit dieser Vorkehrungen (Auditierung) legen nahe, zusammen mit der Datenschutz-Organisation ein umfassendes IT-Compliance-Reporting zu etablieren, welches in seinem Abstraktionsgrad mühelos an die technische Beschlagenheit der Geschäftsführung angepasst werden kann und damit die Entscheidungsfähigkeit gewährleistet. Schließlich dient ein solches Reporting als Entlastungsindiz für das ordnungsgemäße Handeln der Geschäftsleitung im Falle einer Schutzverletzung – unabhängig davon, ob es sich um personenbezogene Daten im Sinne der DS-GVO oder um rein sachbezogene Daten von rein wirtschaftlicher Bedeutung handelt.

4. ISMS als wesentlicher Bestandteil von IT-Compliance im Unternehmen

Bei der Etablierung eines IT-Compliance-Reporting als Teil eines umfassenden Informationssicherheits-Management-Systems (ISMS) besteht die wesentliche Herausforderung darin, zunächst die personell-fachkundige Ausstattung sicherzustellen. Diese liegt zum einen in der Beschaff‚ung qualifizierten Personals und zum anderen in der tätigkeitsbezogenen Schulung von bestehenden Anwendern.

Bei der Evaluation möglicher technischer Risiken ist nicht nur an äußere Risiken (Naturgewalten, Feuer, Einbruch, Stromausfall, Cyber-Angri‚e o.ä.), sondern auch an innere Risiken (Fehlverhalten eigener Mitarbeiter, Fehlfunktionen, Kompatibilität und Stabilität von Systemen) zu denken. Die Gegenüberstellung von Risiken und möglichen Schutzmaßnahmen im Rahmen eines Reportings sollte sich nicht nur an generischen, sondern auch an unternehmensspezifischen Risiko-Szenarien orientieren. Die laufende Verfolgung der technischen Entwicklung erst ermöglicht die zeitgemäße Entscheidung zu Anpassungshandlungen im Rahmen eines bereits etablierten Reportings. Am Ende des Evaluationsprozesses sollte die Entstehung eines e‚ffektiven ISMS stehen, wobei dessen Zertifizierung nach BSI IT-Grundschutz oder Normen wie ISO 27001 erstrebenswert ist.

5. Fazit

Die Geschäftsführung tri‚t im Hinblick auf die Gewährleistung der IT-Sicherheit im Unternehmen eine erhebliche Verantwortung. Die Notwendigkeit zum Aufbau von Strukturen zur Beobachtung und Reaktion auf Gefährdungen der strukturellen Sicherheit verlagert sich mit zunehmender Digitalisierung auf den Bereich der Informationstechnologie. Auch fachfremde Geschäftsführer kommen nicht umhin, sich mit dieser Materie auseinanderzusetzen. Denn tritt der Havarie-Fall in Form von Cyber-Attacken, Datendiebstahl, Spionage oder anderen Schutzverletzungen ein, ist die Geschäftsleitung gegebenenfalls gegenüber Aufsichtsbehörden, jedenfalls aber dem Unternehmenseigner und – bei Bestehen – dem Aufsichtsrat den laufenden Sorgfaltsnachweis schuldig. Gelingt dieser nicht oder nur unzureichend, ist der persönlichen Haftung Tür und Tor geö‚net. Die interdisziplinäre Beratung in rechtlicher und technischer Hinsicht kann dabei helfen, diesem Risiko e‚ffektiv und nachhaltig zu begegnen.