Für Kapitalgesellschaften gelten Pflichten zur Umsetzung von Maßnahmen zur IT-Sicherheit im Unternehmenbereits aus Compliance-Gesichtspunkten. Dies wirkt sich direkt aus auf Mitarbeiter, insbesondere den IT-Verantwortlichen, der für mangelnde IT-Sicherheit im Unternehmen haften kann. Der Beitrag soll einen Überblick darüber geben, welche Personen und Institutionen die IT-Sicherheit im Unternehmen zu berücksichtigen haben. Wie der Begriff IT-Sicherheit im Unternehmen definiert ist, wird in diesem Blogbeitrag gesondert erläutert.
Eine angemessene Umsetzung der Rechtspflichten zur Gewährleistung der IT-Sicherheit im Unternehmen ist nur möglich durch das Zusammenwirken aller beteiligten Personen, von der Geschäftsführung bis zum Mitarbeiter. Die Geschäftsführung des Unternehmens muss die Grundlagen schaffen, auf denen die Mitarbeiter die IT-Sicherheit im Unternehmen umsetzen können. Da sie dem Schutz des Know-Hows und vor rechtlicher/finanzieller Folgen dient, ist die IT-Sicherheit elementarer Bestandteil jedes unternehmerischen Planungsprozesses.
- Die Unternehmensleitung: Die Pflicht für die Geschäftsleitung zur Umsetzung der IT-Sicherheit im Unternehmen ergibt sich einerseits aus den allgemeinen Sorgfalts-, Leistungs- und Überwachungspflichten aus GmbhG und AktG. Zum anderen sind die Compliance-Bestimmungen einzuhalten: §§ 91 Abs. 2, 93 Abs. 2 AktG, § 43 Abs. 2 GmbhG und das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichten den Vorstand zur Schaffung von Compliance-Maßnahmen für Maßnahmen zum Erkennen von Gefahren des Fortbestands des Unternehmens. Weiter aus Bundesdatenschutzgesetz, insbes. Technische Sicherheit nach § 9 BDSG, Verwaltungsrecht und ggf. Teledienste-/Telekommuniktionsrecht. Die IT-Notfallplanung stellt eine wesentliche Aufgabe der Geschäftsleitung dar.
- Die Unternehmensaufsicht: Dieser obliegen Überwachungspflichten in dem Rahmen, in dem der Unternehmensleitung Handlungspflichten obliegen (§§ 111 Abs. 1, 90 Abs. 1, 76 f. AktG)
- Die Mitarbeiter des Unternehmens: Diese sind vor allem aus allgemeinen arbeitsrechtlichen Normen zur Sorgfalt verpflichtet. Allerdings wird der Rahmen vorgegeben durch die Geschäftsleitung, die klare Weisungen erteilen muss und Betriebsrichtlinien vorgeben. Es müssen geeignete Mitarbeiter zur Umsetzung ausgewählt, entsprechende Betriebsmittel bereitgestellt und Schulungen durchgeführt werden. Wenn solche konkreten Vorgaben existieren, müssen die Mitarbeiter diese einhalten. Wenn sie gegen klare Weisungen verstoßen, kann dies zu arbeitsrechtlichen Konsequenzen wie Abmahnungen und Schadensersatzansprüchen führen.
- Beauftragte externe Dienstleister: Diese haften nach den allgemeinen (vertrags-) rechtlichen Vorschriften (je nachdem aus Dienst-, Werk- oder Geschäftsbesorgungsvertrag). Spezielle Gesetze können weitergehende Haftungsmöglichkeiten vorsehen, z.B. die Regelungen zur Auftragsdatenvereinbarung.
- Kunden und Geschäftspartner: Wenn Geschäftspartnern Zugriff auf die IT-Systeme gewährt wird, sollte unbedingt ein schriftlicher Vertrag geschlossen werden, der auch Maßnahmen zur IT-Sicherheit im Unternehmen und eine Haftung regelt. Unabhängig davon können Ansprüche Nebenpflichtverletzungen oder Verschuldens bei Vertragsverhandlung bestehen.
- Beteiligte Behörden: Diese prüfen die Einhaltung von Gewerbeordnung, spezifischen Berufsrechten und Datenschutzrecht. Hier sind allgemeine Compliance-Regelungen zu berücksichtigen.