Brave New World: IT-Organisationspflichten des Geschäftsleiters
„Tiger Team“ „Demilitarized Zone“ „Penetrationstests“. Wem diese Begriffe fremd sind, der ist sicher nicht allein. Dies könnte sich mit der rapiden Digitalisierung der Wirtschaft und Potenzierung „digitaler Gefahren“ allerdings bald als Fallstrick für Geschäftsleiter (Vorstandsmitglieder, Geschäftsführer) erweisen.
Die genannten Begriffe bezeichnen nämlich gängige Maßnahmen im Bereich der IT-Sicherheit. Ein „Tiger Team“ testet bspw. wie leicht Dritten der Zugriff auf Unternehmensnetzwerke von außen oder auch über das Firmengelände gelingen kann. „Penetrationstests“ sollen gleichermaßen Schwachstellen im System aufzeigen und eine „Demilatarized Zone“ ist ein besonders vom Zugriff von außen geschützter Bereich eines Netzwerkes oder Systems.
IT-Sicherheit als Kardinalpflicht des Geschäftsleiters
Nun könnte man meinen, dass ein Geschäftsführer oder ein Vorstandsmitglied kein IT-Experte sein muss und sich besser um das „Geschäft“ kümmern soll. Diese Ansicht wäre zu kurz geraten. Nach der Rechtsprechung ist die „Organisationspflicht“, also die Verantwortung, dafür Sorge zu tragen, dass das Unternehmen über die entsprechenden Ressourcen und Strukturen verfügt, um seine Aufgaben erfüllen zu können, eine Kardinalpflicht des Geschäftsleiters. Anerkannt sind besondere Organisationspflichten in Bezug auf das Controlling und Rechnungswesen oder eine Compliance-Organisation. Hierbei gilt, je bedeutender, weil bspw. essenziell für den Unternehmenserfolg oder auch schadensträchtig eine Funktion ist, desto höher sind die Sorgfalts- und Befassungspflichten des Geschäftsleiters. Schon hier wird deutlich, dass die Leistungs- und Funktionsfähigkeit der IT-Systeme keineswegs nur eine Aufgabe für „untere Ebenen“ ist, sondern im Fokus der Geschäftsleitung stehen muss.
Auch bei der Ausgestaltung der IT-Sicherheit gilt die Business Judgment Rule
Der Geschäftsleiter muss hierbei freilich nicht selbst zum Programmierer werden: Nach der sog „Business Judgment Rule“ muss er oder sie aber zumindest (1) eine informierte Entscheidung treffen und (2) dabei annehmen dürfen, zum Wohl der Gesellschaft zu handeln. Mithin ist zu fordern, dass der Geschäftsleiter (die Geschäftsleiterin) eine sorgfältige Risikoanalyse in Auftrag gibt und sich einen Überblick über den Stand der IT-Sicherheit verschafft. Sodann hat er sein Ermessen dahingehend auszuüben, welche Ressourcen – personeller wie finanzieller Natur – er der IT-Sicherheit im Unternehmen zur Verfügung stellt. Umso gefährdeter das Unternehmen ist, desto weniger wird hier eine „Schmalspur-Variante“ als vertretbar betrachtet werden können. Zuletzt hat der Geschäftsleiter sich auch regelmäßig über Sicherheitsvorfälle, neue Bedrohungen sowie Verbesserungspotential berichten zu lassen und auf die adäquate Schulung von Mitarbeitern hinzuwirken.
Über den Autor:
RA Univ. Prof. Dr. Johannes Reich-Rohrwig ist Partner der internationalen Wirtschaftskanzlei CMS Reich-Rohrwig Hainz RAe in Wien. Spezialgebiete: Gesellschafts- und Unternehmensrecht, M&A, Vertragsrecht, Prozessführung und Schiedsgerichtsbarkeit. Mitherausgeber der „ecolex“ und Autor von Fachpublikationen.
Veranstaltungstipp:
Unternehmensjuristen-Circle, 26. / 27. März 2020, Stegersbach