Lampertz betont, dass das rechtliche Umfeld gerade erst damit beginnt, in die IT Einzug zu halten. Die Rechtsvorschriften häufen sich. Und sie ändern sich genauso schnell wie die IT-Infrastrukturen. Die Herausforderung liegt darin, beides in Einklang zu bringen.
Je wichtiger die Applikation innerhalb der eigenen IT-Infrastruktur ist, desto näher muss sie sich am Stand der Technik bewegen. Distanziert sie sich zu weit davon, droht die persönliche Haftung der Geschäftsführung.
Im Haftungsgefüge ist zunächst zwischen einer strafrechtlichen Verantwortlichkeit, einer zivilrechtlichen Haftung und einer öffentlich-rechtlichen Verpflichtung (zum Beispiel Datenschutz) zu unterscheiden. Wenn die IT-Infrastruktur nicht oder nicht mehr ordnungsgemäß funktioniert, entsteht in der Regel ein beträchtlicher Schaden. Für diesen ist natürlich in erster Linie der Schädiger haftbar. "Doch so einfach ist das nicht“, betont Wilfried Reiners, Rechtsanwalt und Autor der Broschüre. "Ein Rückgriff des Unternehmens auf die Mitarbeiter selber ist nur möglich, wenn diese grob fahrlässig oder in Schädigungsabsicht gehandelt haben.“
Wer ist also der tatsächlich Verantwortliche bei einem durch die IT eingetretenen Schaden? Niemand im Management kann heute noch sagen, er habe doch von der ganzen IT keine Ahnung. Den Manager treffen Fürsorgepflichten zum Schutz der Mitarbeiter und zum Schutz des Unternehmens. Dazu zählen auch die Sorgfaltspflichten bei der Auswahl von IT-Infrastrukturmaßnahmen.
Der Bundesgerichtshof hat sich 1997 umfassend mit dem Thema Haftung für IT-Ausfälle befasst. Dabei ging es um verlorene Daten. Generell gilt seitdem: Unterstützt die IT wichtige Prozesse im Unternehmen, ist die Unternehmensleitung verpflichtet, auch hier für angemessene Sicherheit zu sorgen. Seither kamen viele weitere Richtlinien und gesetzliche Anforderungen hinzu, allen voran das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Demnach ist ein Unternehmen zum Beispiel zu einem IT-Risiko-Management verpflichtet. Sie müssen allen Entwicklungen vorbeugen, aus denen sich ein Risiko für das Unternehmen ergeben könnte.
"Deutscher Corporate Governance Kodex" hilft
Deshalb ist es wichtig, sich im Unternehmen mit "Compliance" (Einhaltung von Verhaltenmaßregeln, Gesetzen und Richtlinien) sowie mit "Corporate Governance“ (rechtlicher und faktischer Ordnungsrahmen für die Leitung eines Unternehmens) zu befassen. Börsennotierte Unternehmen haben die beiden Begriffe weitgehend im Griff. Nun ist auch der Mittelstand am Zug. Hier hilft der "Deutsche Corporate Governance Kodex". Er stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften (Unternehmensführung) dar und enthält national und international anerkannte Standards guter und verantwortungsvoller Unternehmensführung. Daraus lassen sich auch Regeln für den Mittelstand ableiten.
Eine klare Regelung zur Sicherung von Compliance im Umfeld von Daten gibt es nicht. Der Grund liegt einerseits in der unterschiedlichen Bedeutung der Daten in den Applikationen, andererseits an der unterschiedlichen Ausrichtung der Geschäftsfelder der Unternehmen. Um ein hohes Maß an rechtlicher Sicherheit zu gewährleisten, sollten die bereits bestehenden Richtlinien und Handlungsempfehlungen von BSI, ISO-Standard ITIL, COBIT, IDW PS 330 und weiteren verfolgt werden. Darüber hinaus muss jedes Unternehmen für sich selbst definieren muss, welche Gesetze und Vorschriften über die IT-Infrastruktur, besonders über die ausgewählte Software, angewandt werden.
Für den Autor ist es besonders wichtig, die Umsetzung von Compliance als Projekt anzugehen. Dieses bestehe aus drei Phasen sowie einer ständigen Nachkontrolle. In der ersten Phase (Analyse) müssen zunächst die für das Unternehmen relevanten Compliance-Vorschriften ermittelt werden. Dabei gilt folgende Faustregel: Etwa 70 Prozent der Vorschriften sind für alle Firmen gleich, die restlichen 30 Prozent ergeben sich aus dem betrieblichen Zweck des Unternehmens.
In der zweiten Phase (Transformation) müssen die relevanten Vorschriften auf die IT-gestützten Prozesse herunter gebrochen werden. In der dritten Phase (Integration) wird die Einhaltung der Vorschriften als überprüfte Selbstverständlichkeit in den Regelbetrieb überführt. Da sich auch Gesetze und Vorschriften ändern, sollte nach einer gewissen Zeit eine Überprüfung (Audit) erfolgen.
Das "Modell Fußball"
In der Praxis bereitet die Einführung eines gesetzeskonformen IT-Risiko-Managements, wie es etwa das KonTraG fordert, in vielen Unternehmen Schwierigkeiten. Ein einheitliches Modell, das immer passt, gibt es nicht. Der Autor empfiehlt deshalb das "Modell Fußball“, das leicht auf das eigenen Unternehmen herunter gebrochen werden könne. Das Top-Management ordnet dabei die drei Bereiche der IT-Infrastruktur, Hardware, Software und Applikationen, den Bereichen Angriff, Mittelfeld und Abwehr zu.
Die Abwehr muss stehen wie eine Eins. Welche Applikationen sind für das Überleben des Betriebes absolut notwendig? Diese Elemente gehören in die Abwehr. Beispiel: Die Deutsche Bahn ist zwingend auf ihre Netzsteuerungs-Software angewiesen. Fällt diese aus, kann kein Zug fahren. Diese Software und alle Hardware, auf der sie arbeitet, ist unbedingt in Betrieb zu halten. Wer hier schlampt, dem droht die persönliche Haftung.
Im Mittelfeld werden die strategischen Entscheidungen getroffen. Dazu zählt etwa die Auswahl von ERP-Systemen. Haftungsrechtlich geht es für die Geschäftsleitung dabei um eine zukunftssichere Software, die die betriebswirtschaftlichen Belange und rechtlichen Verpflichtungen des Unternehmens kostengünstig abdeckt.
Im Angriff spielen die Torjäger. Hier werden Helden geboren. Dazu zählen Applikationen, die zum Beispiel einen Vorsprung vor Mitbewerbern sichern, etwa die Einführung einer CRM-Software. Diese Applikationen sind betriebswirtschaftlich wichtig, aus rechtlicher Sicht stehen sie jedoch hinter Mittelfeld und Abwehr zurück. In diesem Bereich ist nur noch die Kosten-Nutzen-Analyse haftungsrelevant.
Die Broschüre "Haftungsrisiken für Geschäftsführer, Vorstände und IT-Leiter“ wird vom IT-Sicherheitsanbieter Lampertz herausgegeben. Verfasst hat sie der Rechts- und Wirtschaftswissenschaftler Wilfried Reiners.