SicherKMU: IT-Sicherheit und die Managerhaftung
Wenn Unbefugte an vertrauliche Daten eines Unternehmens kommen, können schnell hohe (Ruf-)Schäden entstehen oder das Unternehmen gar insgesamt in Gefahr geraten. Der Gesetzgeber hat zahlreiche Anspruchsgrundlagen geschaffen, um das Unternehmen und die dort Verantwortlichen für den entstandenen Schaden belangen zu können – und zwar in Unternehmen jeder Größe.
Um sein Haftungsrisiko zu reduzieren, muss der Vorstand einer Aktiengesellschaft nachweisen können, dass er seiner Sorgfaltspflicht genüge getan hat. Wer daran scheitert, ist “der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet”.
Der Gesetzgeber verlangt von Aktiengesellschaften ein “Überwachungssystem”, mit dessen Hilfe Entwicklungen früh erkannt werden können, die den “Fortbestand der Gesellschaft” gefährden könnten. Vergleichbare Vorschriften gibt es aber auch für Personengesellschaften. Dabei ist der Chef auch für das Verschulden seiner Mitarbeiter verantwortlich. Durch eine etwaige Pflichtverletzung kann auch hier ein Anspruch auf Schadenersatz entstehen.
So verpflichtet der Gesetzgeber das datensammelnde Unternehmen zur Kontrolle von Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftrag und Verfügbarkeit. Außerdem sei “zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können”. So sollen Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten garantiert werden.
Das gibt’s natürlich auch detaillierter – das entsprechende Angebot beim Bundesamt für die Sicherheit in der Informationstechnik (BSI) heißt “Grundschutzkatalog” (PDF) und kommt in seiner 13. Ergänzungslieferung vom September 2013 auf 4482 Seiten daher. Dort dekliniert die Behörde den Begriff “Datensicherheit” im Detail durch: “Sicherheitsmanagement”, “Organisation”, “Personal”, “Datensicherungskonzept”, “Kryptokonzept”, “Hard-und Software-Management” – so lauten einige Vokabeln aus den “Übergreifenden Aspekten” der “Schicht 1”. Es folgen die Schichten 2 bis 5.
Vorschriften zum Schutz der Mitarbeiter nicht übersehen
Wer das aber im Detail umsetzen will, sollte darauf achten, dabei nicht mit anderen Vorschriften in Konflikt zu geraten – etwa dem Mitarbeiterdatenschutz (PDF). Unter Umständen könnte der Arbeitgeber dadurch sogar mehrere Straftatbestände erfüllen. Will der Arbeitgeber rechtssicher digitalen Müll auf den Rechnern seiner Mitarbeiter löschen, sollte er eine Vereinbarung mit dem Betriebsrat abschließen oder – falls es keine Arbeitnehmervertretung gibt – einzelvertragliche Abreden treffen. Dabei empfiehlt es sich auch, zu klären, ob und in welchem Umfang die Mitarbeiter das Internet privat nutzen und/oder auf ihre private Post mit dem betrieblichen Rechner zugreifen dürfen.
Der Arbeitgeber ist aber nicht haftbar, wenn jugendliche Arbeitnehmer bei der privaten Nutzung des Internets auf jugendgefährdende Schriften stoßen oder solche ohne Wissen des Arbeitgebers speichern. Der Arbeitgeber muss lediglich darauf achten, dass seine Minderjährigen nicht mit jugendgefährdenden Arbeiten beschäftigt werden.
Anders verhält es sich, wenn ein Inhaber von Urheberrechten Ansprüche wegen der Verletzung derselben geltend macht: Hat der Arbeitgeber seinen Mitarbeitern nicht ausdrücklich verboten, urheberrechtlich geschütztes Material (etwa aus Tauschbörsen) auf den IT-Systemen des Unternehmens zu speichern, läuft der Unternehmer Gefahr, über die sogenannte “Störerhaftung” in Anspruch genommen zu werden.
Fazit
Die Navigation des Chefs zwischen den verschiedenen gesetzlichen Vorschriften gleicht dem Ritt auf der Rasierklinge. Die Herausforderungen lassen sich wohl kaum ohne ein gutes Betriebsklima meistern: Zufriedene Mitarbeiter engagieren sich für das Unternehmen, anstatt es zu plündern oder in anderer Form in Schwierigkeiten zu bringen.
Es ist Aufgabe des Chefs, für klare Regeln, Transparenz und Offenheit zu sorgen. Wenn solche Unternehmensgrundsätze mit der Belegschaft und ihrer Vertretung abgestimmt und anschließend schriftlich fixiert und für jeden zugänglich sind, läßt sich viel
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.
