IT-Recht für Unternehmer
Chefsache Sicherheitsstrukturen

IT-ManagementIT-ProjektePolitikRecht

Mit der IT-Infrastruktur gehen in der Firma auch eine Reihe von rechtlichen Vorgaben einher, die es zu beachten gilt. Der Artikel gibt einen Überblick über Sorgfalts- und Haftungspflichten der Geschäftsleitung.

Rechtliche Vorgaben

IT-Recht für Unternehmer

Der Gesetzgeber hat ein weit reichendes Netz geschaffen, das nicht nur die Steuern der Unternehmen abdeckt, sondern auch die internen IT-Sicherheitsstrukturen. Hier herrschen Vorgaben hinsichtlich Haftung und Transparenz, die es in sich haben. Was zählt, sind deshalb langfristige Maßnahmen, die das Unternehmen rundum schützen und auch die vorhandenen Paragrafen beachten. Die verfügbaren Informationen eines Unternehmens müssen vor dem Zugriff nicht befugter Personen gesichert werden, um den Datenschutz und natürlich auch das Vertrauen der Kunden zu wahren. Das betrifft die gespeicherten Daten auf PCs im Unternehmensnetzwerk, die beispielsweise über Formulare auf Websites gesammelten Informationen und die per E-Mail von Mitarbeitern verschickten Nachrichten.


Verantwortung für Hackerschäden

IT-Recht für Unternehmer

IT-Sicherheit bedeutet dementsprechend nicht eine Masse von unüberschaubaren Einzelmaßnahmen, sondern ein klares Konzept mit strategischem Fokus und rechtlichem Hintergrund. Dies soll im Folgenden kurz und verständlich dargestellt werden.

Die relevanten gesetzlichen Rahmenbedingungen für die IT-Verantwortlichen reichen vom Straf- über Zivil- und Unternehmensrecht bis hin zu Basel II. Bereits 1998 ist in Deutschland mit KontraG ein Gesetz in Kraft getreten, das börsennotierte Unternehmen verpflichtet, ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten. Dazu gehören auch die IT und die mit ihr verbundenen Sicherheitssysteme. KontraG steht für Gesetz zur Kontrolle und Transparenz im Unternehmensbereich und soll als externe Kontrollinstanz Fehlentwicklungen in der Geschäftsführung entgegenwirken. Da es sich hier nur um börsennotierte Firmen dreht, bemüht sich der Gesetzgeber in erster Linie um das Wohl und Vertrauen der Anleger. Aktiengesellschaften stehen weitaus stärker im Interessenfokus der Öffentlichkeit und müssen rechtliche Änderungen kontinuierlich beobachten.

Doch auch für Unternehmen, die nicht an der Börse notiert sind, gibt es keinen Grund, das Thema IT-Sicherheit stiefmütterlich zu behandeln. Jede Firma kann für Schäden durch Hacker, Viren oder Datendiebstahl direkt zur Verantwortung gezogen werden. Und auch von innen droht Gefahr, denn Mitarbeiter können Daten entwenden oder unwissentlich weitergeben ? uneingeschränkte Zugriffsrechte sind also ein Vertrauensbeweis mit unkalkulierbaren Folgen. Doch diese allgemeinen Aussagen nutzen im Geschäftsalltag nur wenig. Wann genau verlangen rechtliche Vorgaben konkrete Änderungen im Unternehmen?


Vertrauen ist vertraulich

IT-Recht für Unternehmer

Die Wahrung des Betriebsgeheimnisses durch den Mitarbeiter wird in der Regel bereits im Arbeitsvertrag festgelegt. Die unbefugte Weitergabe und Verwertung führt durch die Geheimhaltungsverpflichtung zu einer strafrechtlichen Verfolgung (Paragraf 204, Absatz 1 Strafgesetzbuch, Paragraf 17 Gesetz gegen den unlauteren Wettbewerb). Doch die Strafverfolgung greift erst, wenn der Schaden bereits da ist. Deshalb sollte man sich lieber nicht nur darauf verlassen. Vorbeugende Maßnahmen sind besser als eine potenzielle Bestrafung.

Das Anlegerschutzverbesserungsgesetz vom 30. Oktober 2004 regelt den Umgang mit Insider-Informationen. Der neu eingeführte Paragraf 15b des Wertpapierhandelsgesetzes verpflichtet Unternehmen, ein Verzeichnis der für sie tätigen Personen anzulegen, die Zugang zu persönlichen Daten haben. Um diese Listen auch in der Praxis voll auszuschöpfen, ist es notwendig, Sicherheitstechniken mit gruppen- und nutzerbezogenen Zugriffsrechten zu verwalten. Eine Änderung darf nur durch den Administrator durchgeführt werden und jede Änderung muss protokolliert werden.


Freies Netz: nein danke!

IT-Recht für Unternehmer

Die EU-Datenschutzrichtlinie für elektronische Kommunikation ? kurz Anti-Spam-Richtlinie ? enthält Bestimmungen über die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU. Dazu gehören das Internet und auch alle mobilen Geräte. Wenn also über E-Mail Interna ausspioniert werden, ist das kein unbedeutendes Missgeschick, sondern ein ernst zu nehmendes Problem. Insbesondere Unternehmen mit zahlreichen Außendienstmitarbeitern, die sensible Kundendaten ständig vorrätig haben, sind hier angesprochen. Sie sollten ein IT-Sicherheitspaket aus Passwortmanagement und Verschlüsselung bis zur Zugriffsrechteverwaltung nutzen. Hier steht nicht nur der Datenverlust des Unternehmens auf dem Spiel, sondern auch ein enormer Imageschaden.


Einmal Chef ? immer Chef

IT-Recht für Unternehmer

Beim Thema IT ist Amerika eigentlich nie weit weg, und das betrifft auch den Bereich Recht. Der Sarbanes Oxley Act von 2002 betrifft beispielsweise Firmen ? Mutter- und Tochterunternehmen ?, die an US-amerikanischen Börsen gelistet sind. Folglich müssen sich auch zahlreiche deutsche Unternehmen damit beschäftigen. Das Gesetz verschärft die Offenlegungspflicht und die Notwendigkeit interner Kontrollsysteme. Ein wesentlicher Unterschied zu dem bereits beschriebenen KontraG ist die persönliche Haftung des oberen Managements. Mit diesem Wissen im Hinterkopf muss die Chefetage handeln. Schadensersatzforderungen sind die mögliche Folge von offenen Hintertüren im IT-System. In Deutschland sollen mit dem Deutschen Corporate Governance Kodex (CGK) die geltenden Regeln für Unternehmensleitung und -überwachung transparent gemacht werden. Ziel sind vertrauensbildende Maßnahmen für nationale und internationale Investoren.


Banken fragen nach

IT-Recht für Unternehmer

Seit einiger Zeit sorgen auch die Vorgaben von Basel II für zunehmende Nervosität. Davon sind nicht nur die Mitarbeiter der Finanz- und Controllingabteilung betroffen, sondern auch die IT-Abteilung. Kann das Unternehmen bei der Bank nicht nachweisen, dass IT-Sicherheit in ausreichendem Maße gewährleistet ist, erhält das Unternehmen ein schlechteres Rating und zahlt in Zukunft höhere Zinsen.

Wenn das Unternehmensgeschäft unmittelbar mit IT zu tun hat ? beispielsweise Implementierung oder Verkauf ? und die Sicherheitsmaßnahmen nur unzureichend gegeben sind, können liquide Mittel sogar vollständig abgelehnt werden. Und nicht zu Unrecht heißt ein Sprichwort, dass der Schuster die schlechtesten Schuhe hat. Die Basel-II-Regeln treten EU-weit 2007 endgültig in Kraft, und bis dahin ist eine IT-Struktur notwendig, die Früherkennungs- und Abwehrmechanismen selbst gegen zukünftige Gefahren abdeckt.


Schmaler Grat

IT-Recht für Unternehmer

Die beschriebenen Szenarien sind nur eine Auswahl der bestehenden Gesetzeslage. Zusammengefasst lässt sich sagen, dass die vielfältigen gesetzlichen Regeln dazu dienen, das Vertrauen der Anleger, Investoren und Kunden zu stärken. Sicherheit geht dabei Hand in Hand mit Transparenz und führt zu einem Vorschriftendschungel für die IT-Verantwortlichen. Nur diejenigen Zugriffe und Aktionen der Mitarbeiter sollten deshalb zugelassen werden, die explizit autorisiert wurden. Alles andere wird abgelehnt. Dies klingt rigoros ? ist jedoch höchst wirksam.

Letztendlich muss selbstverständlich jeder für sich entscheiden, wie gesetzliche Regeln in Abläufe umgewandelt werden, die von den Mitarbeitern umgesetzt werden können. Sicher ist nur eines: Es steht viel auf dem Spiel.