Nehmen wir an, Sie haben in der Presse den ein oder anderen Artikel über die persönliche Haftung von Geschäftsführern im Rahmen der IT Sicherheit in deren Unternehmen gelesen. Und nun berichtet auch noch ein guter Freund von einem ähnlichen Vorfall aus einem Unternehmen, das dem Ihren nicht ganz unähnlich ist. Deswegen sind Sie sich mittlerweile nicht mehr sicher, was Sie alles davon glauben können und was nicht. Kein Problem. Die Lösung ist nah. Im Folgenden wird nämlich genau erklärt, was IT Sicherheit bedeutet und wer für diese in Ihrem Unternehmen, aus welchen Gründen verantwortlich ist.
Was ist mit IT Sicherheit überhaupt gemeint?
Um sicherzugehen, dass wir vom Gleichen sprechen, sei an dieser Stelle zunächst der Begriff der IT Sicherheit definiert. Damit sind allgemein alle Regelungen zum Schutze von Daten – sei es organisatorischer, rechtlicher oder technischer Art – gemeint. Das bedeutet, dass bestimmte Sicherheitsstandards im Unternehmen gewährleistet sein müssen. So sollten beispielsweise Informationen im E-Mail-Verkehr vertraulich weitergegeben werden können oder ein Verlust von Daten ausgeschlossen sein. Andernfalls stehen Sie als Geschäftsführer nämlich schnell selbst in der persönlichen Haftung!
Welche Regelung besagt, dass ich als Geschäftsführer für die IT Sicherheit in meinem Unternehmen hafte?
Sie haben vermutlich nachgeschaut und im GmbH Gesetz von einer solchen direkten Haftung Ihrerseits für die IT Sicherheit nichts gelesen. Also müssen Sie solche schwerwiegenden Konsequenzen auch nicht fürchten, oder? Die Antwort ist: leider doch! Denn es steht im Aktiengesetz – § 93 Abs. 1 AktG und § 91 Abs. 2 AktG. Dieses handelt unter anderem von der Sorgfaltspflicht und der Verantwortlichkeit von Vorstandsmitgliedern einer Aktiengesellschaft. Nun sind Sie nicht Vorstand einer Aktiengesellschaft, sondern der Geschäftsführer einer GmbH. Ein wichtiger Punkt, da stimme ich Ihnen zu. Aber: Experten gehen aufgrund der aktuellen Rechtsprechung davon aus, dass die Regelungen des Aktiengesetzes eine ausstrahlende Wirkung auf andere Kapitalgesellschaften – wie eine GmbH – haben. Daher besteht für Sie persönlich die Gefahr, dass Sie für einen eventuellen Schaden innerhalb Ihrer IT Sicherheit die Haftung übernehmen müssen.
Im Übrigen lässt sich eine ähnliche Vorschrift genauso im GmbH Gesetz finden: Im § 43 Abs. 1 GmbHG geht es um die „Sorgfalt eines ordentlichen Geschäftsmannes", auch wenn dies zugegebenermaßen in der Haftungsfrage etwas weniger konkret formuliert ist als im Aktiengesetz.
In welchen Fällen gibt es eine persönliche Haftung des Geschäftsführers?
Von einer persönlichen Haftung – auch des Geschäftsführers einer GmbH – ist laut Aktiengesetz also auszugehen, wenn „Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorgebeugt wurden“ (§ 91 Abs. 2 und § 93 Abs. 2 AktG).
Daraus können sich in der Praxis hohe Haftungsrisiken aus dem Datenschutzrecht – zum Beispiel in den Bereichen der § 9 BDSG „technische und organisatorische Maßnahmen oder im Besonderen § 7 BDSG „Schadenersatz mit Beweislastumkehr“ – ergeben.
Wenn noch kein Schaden entstanden ist, sind bei fahrlässiger Begehungsweise beispielsweise Bußgelder in Höhe von bis zu 250.000 Euro und sogar Freiheitsstrafen von bis zu zwei Jahren gegen die Verantwortlichen verhängt worden. Ebenso der Schadenersatz mit Beweislastumkehr nach § 7 BDSG kann problematisch werden, denn dabei geht man davon aus, dass ein Verschulden des Unternehmers und damit Ihrerseits vorliegt. Dann müssen Sie selbst belegen, dass Sie innerhalb Ihrer IT Sicherheit mit der „gebotenen Sorgfalt" vorgegangen sind. Das ist der Fall, wenn Sie die Verpflichtungen zur Einhaltung des Datenschutzes beachtet und in Ihrem Unternehmen umgesetzt haben. Nur so können Sie der persönlichen Haftung des Geschäftsführers entgehen.
Um gar nicht erst in die Situation zu kommen, in der Sie sich über obenstehendes Gedanken machen müssen, sollten Sie Ihr Unternehmen auf potenzielle Sicherheitslücken testen lassen. Mit einem IT Sicherheitscheck haben Sie innerhalb von 48 Stunden Gewissheit über Ihre IT-Qualität im Unternehmen. Informieren Sie sich mit einem Klick auf den folgenden Button oder sehen Sie sich das Erklärvideo an.
Fazit
Wie wir gesehen haben, gibt es viele Fälle, in denen Sie als Geschäftsführer die Verantwortung für die IT Sicherheit in Ihrem Unternehmen übernehmen müssen, was bis zur persönlichen Haftung Ihrerseits führen kann. Um dies zu vermeiden ist es für Sie als Geschäftsführer umso wichtiger, stets auf dem neuesten Stand zu bleiben und in Ihrem Unternehmen entsprechende Vorkehrungen zu treffen.
Wenn Sie auch weiterhin in Sachen IT und IT Sicherheit auf dem neuesten Stand bleiben möchten, dann registrieren Sie sich doch kostenfrei für unseren BRANDMAUER IT Security Blog.