Zum Inhalt springen
Praxis: IT-Straf- und Haftungsrecht

Besonderes Haftungsrisiko der Geschäftsleitung

Autor:Redaktion connect-professional • 9.7.2008 • ca. 2:10 Min

Inhalt
  1. Selbst erwürgt – juristische Risiken für die Unternehmens-IT
  2. Eventuell auch Strafbarkeit des bloßen Duldens
  3. Besonderes Haftungsrisiko der Geschäftsleitung
  4. 7 goldene Fragen

Weitere Haftungsrisiken

Daneben können zusätzliche Haftungsrisiken in zivilrechtlicher Hinsicht bestehen. In der Regel führt die Verletzung eines Strafgesetzes nach § 823 Abs. 2 des Bürgerlichen Gesetzbuchs (BGB) zusätzlich auch zur zivilrechtlichen Haftung.

Soweit vertragliche Verpflichtungen beziehungsweise Bindungen bestehen, kann dies zu besonderen vertraglichen Schutzpflichten und damit auch im Fall des Verstoßes zu noch weiter gehenden Haftungen führen. Auch ohne strafrechtliche Verantwortlichkeit können aus der Verantwortlichkeit für Hard- und/oder Software oder aus deren Nutzung im Geschäftsleben weitere Haftungsrisiken entstehen.

Dabei trifft die Geschäftsführung beziehungsweise den Vorstand ein erweitertes Haftungsrisiko. Seit dem so genannten KonTraG bestehen über die neu geschaffenen §§ 91, 93 des Aktiengesetzes (AktG) erweiterte Vorstandspflichten zur Ausgestaltung eines Risk-Managements in Unternehmen.

Diese unmittelbar nur auf Aktiengesellschaften anwendbaren Vorschriften sollen nach vorherrschender Meinung über die allgemeinen Sorgfaltspflichten des Geschäftsführers nach § 43 GmbHG auch für GmbH gelten. Nach diesen Vorgaben ist die Leitung verpflichtet, ein Risk-Management durchzuführen. Dies gilt für alle Unternehmensbereiche und damit auch für die IT. Unterbleibt dies und entsteht hierdurch der Gesellschaft ein Schaden, ist die Leitung gegenüber dem Unternehmen im Innenverhältnis schadensersatzpflichtig.

Dabei sind die Kontrollorgane des Unternehmens, wie etwa der Aufsichtsrat, nach der so genannten Mannesmann-Entscheidung des Bundesgerichtshofs für Zivilsachen verpflichtet, derartige Ansprüche grundsätzlich durchzusetzen. Geschieht dies nicht, machen sich die Aufsichtsorgane unter Umständen selbst haftbar. Zusätzlich besteht die Gefahr, dass dieses Unterlassen der Durchsetzung auch eine strafbare Untreue (§ 266 StGB) darstellt.

Erfordernis eines IT-Risk-Managements

Die vorgenannten Strafrechts- und Haftungsrisiken machen es notwendig, Riskmanagementsysteme, und zwar auch im Bereich der IT einzuführen. Sofern der IT-Bereich der wesentliche Hauptzweck des Unternehmens ist und/oder lebenswichtige Bereiche des Unternehmens von der IT abhängen, gilt dies in gesteigertem Maß.

Ausgehend von den generellen IT-Grundprinzipien der Verfügbarkeit, Integrität und Vertraulichkeit sollten zunächst die gesamte IT-Struktur und deren Risiken analysiert werden. In einem zweiten Schritt muss ein komplettes Risikomanagementsystem erstellt werden.

Dabei müssen die Zuständigkeiten und Zugriffsbereiche klar und nachvollziehbar geregelt werden. Ferner muss sichergestellt sein, wie auf bestimmte Vorgänge zu reagieren ist. Insbesondere sind Notfallpläne zu erstellen. Sicherstellung angemessener Kontrollen Angesichts der oben genannten Strafbarkeits- und Haftungsrisiken ist ferner erforderlich, dass den Haftungsrisiken gezielt und präventiv gegengewirkt wird.

Hierfür ist sicherzustellen, dass entsprechende Zugriffe und Kontrollen technisch und rechtlich möglich sind. Insoweit ist wiederum sicherzustellen, dass im Rahmen dieser Kontrolle nicht zusätzliche Risiken verwirklicht werden. So müssen etwa das Fernmeldegeheimnis und die Privatsphäre der Arbeitnehmer unbedingt geschützt werden.

Besondere Risk-Management-Systeme für IT-Security

Insbesondere ist sicherzustellen, dass der konkrete Einsatz der IT-Security entsprechend den gesetzlichen Vorgaben erfolgt. Die eingangs erwähnte erweiterte Strafbarkeit macht es etwa im Bereich des White-Hackings beziehungsweise der Penetrationstests erforderlich, vertraglich genau zu regeln, ob und wieweit Zugriffe auf fremde IT erfolgen dürfen.

Gleiches gilt für vorzunehmende Änderungen an der IT. Beim Einsatz von Hackersoftware ist – und zwar auch bei Einsatz innerhalb des eigenen Unternehmens – sicherzustellen, dass der Einsatz dieser Software nur für »gute« Zwecke erfolgt.

Ferner ist ein etwaiger Missbrauch dieser Software durch besonders hohe Sicherheitsmaßnahmen nach Möglichkeit auszuschließen. Insoweit ist auch eine »Kontrolle der Kontrolleure« erforderlich.

Nächste Seite
1 2 3 4
Das könnte Sie auch interessieren
IT-Security Fachkraft
DEKRA Arbeitsmarktreport IT-Security-Fachkräfte bleiben stark nachgefragt im Arbeitsmarkt
Plusserver-Rechenzentrum
Security und Cloud aus einer Hand Plusserver kauft MSSP Cosanta
Workshop_Köln_Anqa_Bild_Anqa IT-Security.jpg
IT-Systemhäuser und MSSP im Dialog Gelungener Auftakt der Anqa-Roadshow
Wachstum bei IT-Security und Cloud SpaceNet mit erweitertem Führungsteam
Ransomware-Angriff auf Krankenhaus
Human Risk Behavior Snapshot Report IT-Leiter geben oft schlechtes Beispiel
Anz_ESET_Produkte_connect-professional_2024-09_neu.jpg
Advertorial Auch Kleinunternehmen haben gute IT-Sicherheit verdient
Anqa IT-Logo (ehemals Network Box)
Umbenennung des MSSP Network Box heißt jetzt Anqa IT-Security
KI gegen KI, Gut gegen Böse
Deepfakes und WormGPT Mit KI gegen KI
Mehr passende Artikel
PayPal Omaha
Deutsche Banken stoppen Zahlungen Sicherheits-Panne bei Paypal
Datensouveränität, Puzzleteil, Strategie
Digitale Souveränität Viel Lärm um – ein gemeinsames Ziel
Apple Watch Series 9
Von wegen CO2-neutral Gericht stoppt Apple-Werbung wegen Greenwashing
Accompio EOS Partners
Managed Service Provider Christian Böing wird CEO der Accompio Gruppe
GfK-Distributionsexpertin Tatjana Wismeth
NIQ/GfK-Analystin im Interview „Distribution bleibt letztendlich ein People Business“
Weiter zur Startseite