Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für Handels- und Gesellschaftsrecht
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
| Compliance, Datenschutzrecht, Internetrecht, IT-Recht, Reputationsrecht
Blog News
„Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.“ So jedenfalls die Definition des Bundesamtes für Sicherheit in der Informationstechnik.
In den vergangenen Jahren war eine zunehmende IT-Durchdringung sämtlicher Lebensbereiche zu beobachten. Bedingt durch die zunehmende Digitalisierung nehmen jedoch auch Cyberangriffe von Tag zu Tag zu und werden zunehmend raffinierter, weswegen sie nicht zuletzt zu immensen, teils existenzgefährdenden Schäden führen können. Die Bedrohungslage nimmt stetig zu; deutsche Unternehmen sind ein beliebtes Ziel für Cyberangriffe und das Thema IT-Sicherheit wird infolgedessen immer bedeutender. Auf diese neuen Gefährdungslagen muss konsequent reagiert werden.
Im Hinblick auf Compliance trifft die Unternehmensleitung die Pflicht, die Cybersicherheit des Unternehmens entsprechend auf- bzw. auszubauen und insbesondere zu erhalten. Aber welche spezifischen Anforderungen und/oder Pflichten ergeben sich für die Geschäftsleitung? Trifft diese unter Umständen ein Haftungsrisiko und können sie sich ihren Pflichten möglicherweise vollumfänglich durch Delegationshandlungen entziehen?
Gemäß § 93 Abs. 1 S. 1 AktG trifft Vorstandsmitglieder einer Aktiengesellschaft die Pflicht, die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden, sog. Sorgfaltspflicht. Diese Pflicht gilt ebenso für den Geschäftsführer einer GmbH, vgl. § 43 Abs. 1 GmbHG. Gemeint ist nicht nur die Pflicht der im Einzelfall geschäftsführenden Person, sich persönlich rechtstreu zu verhalten, sondern auch die Pflicht, sicherzustellen, dass seitens des Unternehmens nicht gegen rechtliche Bestimmungen verstoßen wird. Zur Leitung der Gesellschaft i.S.d. § 76 Abs. 1 AktG gehört somit nicht zuletzt auch die sog. Compliance, als Bestandteil der Unternehmenskontrolle. Die Geschäftsführung hat somit für die IT-Sicherheit des Unternehmens einzustehen und diese zu verantworten. Kommt sie dieser Sorgfaltspflicht nicht nach, ist ihr (möglicherweise) ein innerbetriebliches Organisationsverschulden zur Last zu legen.
Sie muss ein Risikomanagementsystem schaffen und erhalten, durch welches Cyberangriffe, die oftmals mit erheblichen wirtschaftlichen Schäden und Reputationsrisiken einhergehen, (weitgehend) verhindert werden können. Denn bereits im „Neubürger“-Urteil im Jahr 2013 (Urteil vom 10.12.2013 – 5 HK O 1387/10) hat das Landgericht München I entschieden, dass die Geschäftsleitung für die Einrichtung einer auf Schadensprävention sowie Risikokontrolle angelegte Compliance-Organisation verantwortlich sei. Erforderlich sind somit geeignete Maßnahmen zum Aufbau und Erhalt der unternehmerischen Cybersicherheit, bspw. die Implementierung eines Überwachungssystems, um bestandsgefährdende Entwicklungen identifizieren zu können. Dabei müssen die entsprechenden IT-Risiken selbstredend der Geschäftsleitung bekannt sein, so dass dieses geeignete (Präventions-)Maßnahmen treffen kann. Denn ein ausgeprägtes IT-Risikobewusstsein ist das A&O von Prävention und (Notfall-)Reaktion. Risiken müssen fortlaufend analysiert und Schwachstellen aufgedeckt werden.
Um die Cybersicherheit zu gewährleisten, ist der Geschäftsleitung angeraten ständige und für den Einzelfall vorgesehene Kontrollen durchzuführen. Ansonsten würde die Geschäftsleitung bei einem Schaden haften. Eine Enthaftung der Geschäftsleitung ist durch die Delegation von Aufgaben nämlich nicht eingetreten. Im Fall eines Cyberangriffs verschärfen sich die Überwachungspflichten der Unternehmensleitung hingegen nochmal um ein Vielfaches.
Damit vor allem das Schadensrisiko gering gehalten wird, sollten auch bei einem reinen Verdachtsmoment sofort alle notwendigen Vorkehrungen eingeleitet werden. Jegliche Schwachstellen, die sichtbar werden, werden dann durch eine Anpassung des Compliance-Systems ausgemerzt. Die Durchführung der Maßnahmen steht den hierfür Beauftragten zu, wobei die Letztverantwortung wie immer der Geschäftsleitung zukommt.
Der Pflichtenkatalog der Unternehmensleitung im Einzelnen ist abhängig von Art, Größe und Organisation des Unternehmens, insbesondere von der finanziellen und wirtschaftlichen Lage, aber auch personellen Aspekte. Die konkrete Ausgestaltung der Compliance-Organisation liegt dabei im Ermessen der Geschäftsleitung, wobei die Organisation wirksam und effektiv sein muss. Anderenfalls drohen strafrechtliche Sanktionen bzw. Unterlassungs- und Schadensersatzansprüche. Konkretisiert werden vorgenannte Pflichten durch § 91 Abs. 2 AktG, wonach die Geschäftsleitung geeignete Maßnahmen zu ergreifen hat, um bestandsgefährdende Entwicklungen baldmöglichst zu erkennen. Die Angriffsmöglichkeiten müssen auf ein Minimum reduziert werden.
Und wenn es trotz aller Bemühungen doch zu einem Cyberangriff kommt? In einem solchen Fall ist das Unternehmen dazu angehalten, unverzüglich sämtliche Maßnahmen zur Begrenzung des Schadensrisikos zu ergreifen und hierdurch offengelegte Schwachstellen durch eine Verbesserung des Compliance-Systems zu schließen. Denn kommt die Geschäftsleitung ihren Pflichten nicht nach, kann sie möglicherweise hierfür haftbar gemacht werden.
Zunächst einmal trifft in aller Regel alle Mitglieder bei der Leitung einer Gesellschaft eine Gesamtverantwortung. Nichtsdestotrotz besteht die Möglichkeit einer Delegation diverser Aufgaben an einzelne Mitglieder der Geschäftsleitung oder sonstige, oftmals auch nachgeordnete Personen, so dass diesen die Verantwortung für die IT-Systeme des Unternehmens auferlegt werden können. Aber kann sich die Geschäftsleitung durch diese Delegationshandlung einen schlanken Fuß machen und sich seiner Verantwortung (weitgehend) entziehen? Die Frage gilt es mit einem klaren „Nein“ zu beantworten! Die letztverantwortliche Entscheidung verbleibt stets bei der Unternehmensleitung. Denn eine Delegation der Handlungspflicht führt sogleich zu einer sog. Überwachungspflicht. Notwendig ist also sodann eine laufende Überwachung des mit der Sicherstellung der IT-Sicherheit Beauftragten. Auch müssen anlassbezogene, regelmäßige Kontrollen zur Haftungsminimierung bzw. vollständigen Haftungsvermeidung durchgeführt werden.
Im Falle einer solchen Delegation ist zudem, insbesondere wenn es sich um eine sog. vertikale Delegation handelt, bei welcher die Pflichten an eine Person einer anderen, (niederen) Unternehmensebene abgegeben werden, eine Prüfung dahingehend erforderlich, ob die auserwählte Person die entsprechende hierfür notwendige fachliche Qualifikation und persönliche Eignung aufweist.
Da es bei Compliance um die Einhaltung gesetzlicher Vorschriften und selbstauferlegter Regeln geht, umfasst es nahezu jedes Rechtsgebiet: u.a. das Gesellschaftsrecht, Wirtschaftsstrafrecht, Datenschutzrecht und das Handelsrecht. Entsprechende Expertise benötigt man, um eine umfassende Compliance-Strategie zu gestalten.
Die fachkundigen Anwälte von SBS Legal begleiten Sie kompetent beim Etablieren eines lückenlosen Compliance Systems. Zudem beraten wir Sie zur bestmöglichen Vorgehensweise bei einem Compliance-Verstoß. So können Strafen sowohl präventiv verhindert als auch rückwirkend möglichst gering gehalten werden.
Suchen Sie für Ihr Unternehmen rechtlichen Rat zum Thema Compliance? Kontaktieren Sie uns gern bei Fragen oder Wünschen jeglicher Art – wir freuen uns auf Sie! Es ist uns ein persönliches Anliegen, Ihre Compliance-Strategie in juristischer Hinsicht zum Erfolg zu führen.
Ihr SBS Legal Team
Ihre Ansprechpartner zum Thema Compliance in unserem Hause sind:
Florian Hayko (Rechtsanwalt & Spezialist für Handels- und Gesellschaftsrecht)
André Schenk, LL.M.Eur. (Fachanwalt für gewerblichen Rechtsschutz)
Knut Stenert (Rechtsanwalt, Fachanwalt für Urheber- und Medienrecht, zertifizierter Datenschutzbeauftragter (TÜV))
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.
Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?
Der Erstkontakt zu SBS LEGAL ist immer kostenlos.