Teil 2
Allgemeine Haftungsrisiken
Die Rechtsprechung betrachtet es als selbstverständlich, dass Unternehmen betriebskritische und beweiserhebliche Dokumente vorhalten und vor Verlust oder Kompromittierung schützen. Sie müssen also sicherstellen, dass bestimmte elektronische Dokumente gesetzeskonform verfügbar sind, da andernfalls Sanktionen wie bspw. Geldbußen drohen. Diese Dokumente spielen darüber hinaus oft eine entscheidende Rolle in Rechtsstreitigkeiten, indem sie – als Beweismittel fungierend – Ansprüche belegen oder widerlegen.
Angesichts steigender Risiken von Datenverlust und dem Diebstahl von bzw. der Erpressung mit Daten, für die sich inzwischen ein regelrechter Industriezweig entwickelt hat, sehen sich Unternehmen im globalen Wettbewerb gesteigerten Anforderungen in Bezug auf den Schutz und die Vorhaltung ihres geistigen Eigentums ausgesetzt. Vor diesem Hintergrund arbeiten heutzutage unabdingbar die Abteilungen IT und Recht zusammen an der Schaffung und Implementierung neuer Policies und technisch-organisatorisch abgesicherter Geschäftsprozesse. Hier drohen Betriebsausfall- und Reputationsschäden, Auftragsverluste und weitere finanzielle Einbußen, wenn vertrauliche oder sonst betriebskritische Daten verloren gehen, gestohlen werden oder kompromittiert werden.
Handels- und Steuerrecht; Personendatenschutz
Ein Outsourcing betrifft regelmäßig personenbezogene und steuerrelevanten Daten, Berufs- und Geschäftsgeheimnisse (wie etwa Forschungs- und Entwicklungsdaten), Kundendaten, Mitarbeiterdaten etc. Verletzungen des Personendatenschutzes können existenzvernichtende Bußgelder zur Folge haben.
Nachlässigkeit bei der Aufbewahrungspflicht kann aber auch strafrechtliche Folgen haben, die über den Personendatenschutz, die Besteuerung und den Schutz von geschäftskritischen Daten nochmals weit hinausgehen. Wenn beispielsweise der Verlust oder die Unauffindbarkeit von Finanzdaten eine vollständige Übersicht über die Vermögensverhältnisse des Unternehmens erschwert, ist eine Haftung des Unternehmens und seiner Organe nicht ausgeschlossen. Ebenso kann dies der Fall sein bei der Gefährdung von Geschäftsgeheimnissen.
Der Bundesgerichtshof hat die Haftung von Vorständen und Compliance-Beauftragten erweitert, indem sie eine Garantenpflicht haben, Straftaten von Unternehmensangehörigen im Zusammenhang mit der Unternehmensaktivität zu verhindern. Sie sind verpflichtet sicherzustellen, dass keine Straftaten aus dem Unternehmen heraus begangen werden.
Neben dem Compliance-Beauftragten gilt dies grundsätzlich auch für andere Sonderbeauftragte wie den IT-Sicherheitsbeauftragten und ggf. auch den Datenschutzbeauftragten. Der Bundesgerichtshof sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an und hat ferner entschieden, dass Geschäftsinterna wegen der etwaigen Vorwerfbarkeit eines strafbaren Geheimnisverrats nicht ungesichert via E-Mail zur Verfügung gestellt werden dürfen.
Als Berufsgeheimnisträger im Sinne des § 203 Strafgesetzbuch (StGB) müssen unter anderem Rechtsanwälte, Steuerberater, vereidigte Buchprüfer und Wirtschaftsprüfer einen Schutz ihrer Mandantendaten gegen Kenntnisnahme Dritter garantieren können. Auch die Unterlassung geeigneter technisch-organisatorischer Maßnahmen ist strafbar. Denn „offenbart“ im Sinne des § 203 StGB wird ein „Geheimnis“ auch dann, wenn dies durch Untätigbleiben geschieht. Jede Form der Mitteilung genügt, so auch im Falle von Dateien die Ermöglichung von Zugang. Berufsgeheimnisträger müssen zudem bereits aufgrund ihrer jeweiligen berufsrechtlichen Verschwiegenheitspflichten höchsten Wert auf ein effizientes IT-Sicherheitskonzept legen. Zugleich können die Berufsangehörigen damit aber als vertrauenswürdige Partner auch ihren Mandanten vermitteln. Wird die Bearbeitung oder Aufbewahrung von Mandantendaten „outgesourct“, entstehen neue externe Zugriffsmöglichkeiten, so dass hier in besonderem Maße sichergestellt werden muss, diese Daten bestmöglich zu schützen.