Datensicherheit ist Chefsache
(veröffentlicht am 10.12.2009 in der Ausgabe 01/2010 vom "Storage-Magazin.de" auf Speicherguide.de)
Die Integration der IT in nahezu alle täglichen Unternehmensabläufe beschert der IT-Sicherheit einen immer höheren Stellenwert - auch und gerade für die Geschäftsleitung. Diese muss in ihrer gesetzlich vorgeschriebenen Sorgfalts- und Informationspflicht den IT-Betrieb in die Risikoabschätzung einbeziehen, will sie persönliche Haftungsrisiken minimieren.
Dass für alle Unternehmer- und Geschäftsführer/innen der Umgang mit Risiken eine persönliche Notwendigkeit ist, ergibt sich schon alleine aus der leitenden Stellung. Dazu gehört neben klassischer Betriebswirtschaft und Arbeitgeberstellung noch eine Vielzahl weiterer Dinge, die aber im Tagesgeschäft oftmals in den Hintergrund rücken.
Verpflichtende Sicherheit
Neben der Sorgfaltspflicht (§ 43 GmbHG) gehört dazu beispielsweise auch die Einführung eines Risikomanagements (KonTraG bzw. ISO 27001 ab gewisser Betriebskennzahlen) zur Früherkennung existenzgefährdender Entwicklungen. Bei Datenverlust und IT-Ausfall droht der Gesellschaft ein wirtschaftlicher Schaden, aber auch Dritten, wenn eine vertraglich vereinbarte Leistung nicht gewährt werden kann. Schon allein aus diesem Grunde ist eine den betrieblichen Anforderungen entsprechende Notfallvorsorge zur Chefsache zu erklären. Hinzu kommen gesetzliche Anforderungen, zum Beispiel aus dem Bundesdatenschutzgesetz.
Viele Geschäftsführer/innen verlassen sich aber zu oft auf die Gesellschaftsform und deren beschränkte Haftung auf das eingesetzte Kapital, was aber nur sehr bedingt funktioniert. Sie unterliegen durchaus auch einem persönlichen Haftungsrisiko, beispielsweise bei einer Pflichtverletzung.
Was passiert, wenn etwas passiert?
Um sich Gläubigern gegenüber zu exkulpieren*, müssen sie nicht nur darlegen, den Pflichten nachgekommen zu sein, sondern dies auch beweisen. Ein Delegieren der Notfallvorsorge an die IT-Leitung reicht aber nicht für eine Exkulpation, denn die Verantwortung dafür obliegt nach wie vor der Geschäftsleitung. Diese muss sich regelmäßig über den Stand der Dinge informieren und bei Bedarf eingreifen. Idealerweise kann sie unter anderem eine entsprechende Verfahrensdokumentation, Berichte und interne Korrespondenzen ziehen, die belegen, dass der Schaden durch ihr Verhalten nicht abzuwenden gewesen wäre.
* Exkulpation - Einfach ausgedrückt: Der Beweis der Unschuld (lat. ex= ab, weg; culpa= die Schuld).
Die IT-Leitung weist zum Beispiel schriftlich und mehrfach darauf hin, dass bei einem Ausfall die Sollzeiten zur Wiederherstellung des IT-Betriebes deutlich überschritten werden, weil kein Budget für eine dem Betrieb erforderliche Datensicherungsmaßnahme genehmigt wurde. Greift die GL nicht entsprechend ein und »es knallt«, ist die IT-Leitung schuldfrei (exkulpiert) und die Geschäftsleitung bekommt (persönlich) ein Problem.
Umgekehrt ist natürlich die IT-Leitung im Rahmen der Arbeitnehmer- oder Ressorthaftung in der Pflicht, wenn diese zu sorglos mit dem Auftrag umgeht oder die GL nicht sachlich korrekt und rechtzeitig informiert. Durch die Kenntnis des Stellenwertes der IT für das Unternehmen sowie der rechtlichen Rahmenbedingungen in Verbindung mit Notfallvorsorgen kann das Unternehmen seinen Geschäften weiterhin gesichert, aber auch gesetzeskonform nachgehen.