Teil 4
Haftungsfolgen
Eine in jeder Hinsicht rechtskonforme, geordnete und jederzeit verfügbare Aufbewahrung ist demnach auch prozessrechtlich aus Gründen der strategischen Rechtssicherheit unabdingbar, insbesondere um sich gegebenenfalls für eine künftige juristische Auseinandersetzung beispielsweise mit Vertragspartnern, Belegschaft oder auch den Steuerbehörden und der Datenschutzaufsicht beweisrechtlich positionieren zu können. Denn das Hauptrisiko stellen in wirtschaftlicher Hinsicht die Haftungsfolgen infolge von Versäumnissen beim IT-Risikomanagement dar. Das Schadenspotenzial, das sich beispielsweise aus der Nichtverfügbarkeit beweiserheblicher Daten oder betriebswichtiger Systeme ergeben kann, ist beträchtlich. Neben der persönlichen Haftung des Managements ist hier die volle Bandbreite der Schadenshaftung, von der Anfechtbarkeit des Beschlusses über die Vorstandsentlastung bis zur außerordentlichen Kündigung des Anstellungsvertrages (nebst Abberufung aus der Funktion des CEO), eröffnet. Für Berufsgeheimnisträger bedeuten IT-Schäden und deren Folgen neben den Umsatzverlusten und Kosten für die Wiederbeschaffung und Wiederherstellung von Daten insbesondere auch Haftung gegenüber Mandanten, berufsrechtliche Inanspruchnahme, Reputationsverlust – und in der Regel auch das Ende von Mandatsverhältnissen.
Versäumnisse können im IT-Risikomanagement zudem zum Verlust des Versicherungsschutzes führen, denn mangelnde IT-Compliance ist als Erhöhung der versicherten Gefahr z.B. in der IT-Coverage Versicherung und in der Director’s and Officer‘s Versicherung anzeigepflichtig. Das Fehlen bzw. die Ungeeignetheit einer dem Stand der Technik entsprechenden IT-Infrastruktur und deren Einbettung in ein ganzheitliches Risikomanagement können im Rechtsstreit als grobe Fahrlässigkeit zum Verlust des Versicherungsschutzes oder zum erfolgreichen Einwand des Mitverschuldens führen. Im Extremfall kann es zu einer Reduzierung der eigenen Schadensansprüche auf Null kommen, wenn Mängel der IT-Compliance den Schaden ermöglicht, mit verursacht oder erhöht haben.
Des Weiteren kann der Verlust wichtiger oder die Offenbarung vertraulicher Daten zu einem erheblichen Imageschaden führen, der über den finanziellen Schaden hinausgeht, insbesondere wenn es zu schwerwiegenden Datenschutzverstößen kommt, die öffentlich bekannt werden. Es sei darauf hingewiesen, dass gemäß der im Datenschutz- und Telekommunikationsrecht geltenden „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ (sog. „Skandalisierungspflicht“) solche Vorfälle bei besonders sensiblen Daten, wie Bankdaten, Kundendaten, Mitarbeiterdaten und Kommunikationsdaten mit verschiedenen Parteien, nicht nur den Aufsichtsbehörden und den Betroffenen gemeldet werden, sondern auch in mindestens halbseitigen Anzeigen in zwei bundesweit erscheinenden Tageszeitungen veröffentlicht werden müssen. Eine solche Benachrichtigung ist jedoch nicht erforderlich, wenn angemessene Sicherheitsmaßnahmen und eine verschlüsselte Speicherung vorliegen. Dies unterstreicht erneut die Bedeutung eines hohen Standards in der IT-Sicherheit, um Folgeschäden für das Unternehmensimage zu vermeiden.
Haftungsvermeidung durch „IT-Compliance“
Ist von IT-Haftung die Rede, wird es also zumeist um die Sicherheit, Integrität, Vertraulichkeit und Verfügbarkeit von kritischen Daten gehen. Über diese allgemeinen Sorgfalts- und Organisationspflichten hinaus hat das Gesetz zur Kontrolle und Transparenz im Geschäftsverkehr (KonTraG) im Bereich der Privatwirtschaft die Rechtspflicht zu einem effizienten Risikomanagementsystem eingeführt, das eine Überwachung und Früherkennung sowie entsprechende Reaktionsszenarien im Schadensfall umfasst. Die Organe sind verpflichtet, geeignete Schutzmaßnahmen in Bezug auf die IT-Sicherheit, gerade auch für betriebswichtige Systeme und Daten, zu konzipieren, umzusetzen, zu überwachen und zu dokumentieren. Im Falle des Schadenseintritts wird ihr Verschulden vermutet. Das Gesetz sieht als Sanktion die persönliche Haftung der geschäftsführenden Organe zur Kompensation eines durch IT-Missmanagement hervorgerufenen Schadens beim Unternehmen vor. Hierbei ist zu berücksichtigen, dass durch eine besondere gesetzliche Beweislastumkehr die Vorstände nachweisen müssen, dass sie ihren Pflichten in einem ausreichenden Maße nachgekommen sind. Ihr Verschulden wird von Gesetzes wegen vermutet. Die Vorstände haften also persönlich und zusätzlich wird der Aufsichtsrat verpflichtet, Schadensersatzansprüche gegen sie zu verfolgen.
Die Einrichtung eines Risikomanagements war zwar ursprünglich unmittelbar nur für Aktiengesellschaften vorgeschrieben. Das Gesetz hat jedoch inzwischen erhebliche Ausstrahlungswirkung auf andere Gesellschaftsformen und den Inhalt der allgemeinen kaufmännischen und behördlichen Sorgfaltspflichten erlangt. Die Verpflichtung zu einem effektiven Risikomanagement nach dem Vorbild des KonTraG ist infolge dieser Ausstrahlungswirkung nicht (mehr) auf den Bereich der Privatwirtschaft beschränkt. In der öffentlichen Verwaltung gelten diese Grundsätze in weiten Teilen entsprechend.