Haftungsfrage
Das Thema IT-Sicherheit betrifft keineswegs nur die unmittelbar in Unternehmen mit den technischen Abläufen betrauten Verantwortlichen, sondern hat auch absolute Relevanz für die Unternehmensleitung. Denn Unternehmen, die der IT-Sicherheit nur wenig Beachtung schenken, handeln fahrlässig und können für ein solches Verhalten haftbar gemacht werden. Mit weitreichenden Folgen für das Unternehmen und die handelnden Personen selbst.
Für die Frage nach der Haftung in einem Unternehmen können verschiedene Ebenen unterschieden werden. Das Unternehmen selbst steht in der Haftung, wenn es seine Organisations-pflichten bewusst oder fahrlässig verletzt hat, zu denen auch die IT-Sicherheit gehört. Diese wird anhand verschiedener gesetzlicher Regelungen als Teil der Unternehmens-führung verstanden, beispielsweise auf Grundlage des BGB und HGB, konkretisiert durch anerkannte Standards wie das Gesetz zur Transparenz und Kontrolle im Unternehmensbereich.
Letzteres zwingt die Unternehmensleitung, ein frühzeitiges Risiko-managementsystem zu etablieren, auf dessen Grundlage die IT-Sicherheit aufbaut. Dabei steht Unternehmen unter anderem die ISO 27001 Norm zur Seite, die den Aufbau und die Umsetzung eines Informations-sicherheits-Managementsystems regelt. Dieses umfasst unter anderem die erforderliche personelle Organisation sowie die Einführung von Sicherheitsprozessen und erforderlichen Richtlinien zur Aufrechterhaltung und Verbesserung der Informationssicherheit.
Die Ebene der Unternehmensführung und des Managements haftet zwar persönlich mit dem eigenen Vermögen, dies wird aber in der Regel durch spezielle D&OVersicherungen aufgefangen, sofern kein Vorsatz oder grob fahrlässiges Handeln vorliegt. Das Unternehmensrisiko kann nur begrenzt auf die unteren Ebenen, wie die der IT-Verantwortlichen, delegiert werden, denn diese haften nur bei grob fahrlässigem oder vorsätzlichem Verschulden persönlich, ansonsten greift in der Regel eine Haftungsprivilegierung.
Ein vorsätzliches Verschulden kann allerdings vorliegen, wenn etwa ein IT-Verantwortlicher in seiner Garantenstellung für IT-Sicherheit rechtswidriges Verhalten nicht meldet oder verhindert. So macht sich beispielsweise ein Funktionsträger für IT-Sicherheit strafbar oder verantwortlich, wenn er billigend Handlungen von Mitarbeitern in Kauf nimmt, die entweder unternehmensschädigend oder eindeutig rechtswidrig sind.
Da das Thema der IT-Sicherheit in Verbindung mit der Organisationspflicht in vielen Unternehmen immer noch mitunter vernachlässigt wird, sollen zumindest die Betreiber und Unternehmen kritischer Infrastrukturen wie Energieversorger, aber auch Krankenhäuser und Logistikunternehmen angehalten werden, ein Mindestmaß an IT-Sicherheitsstandards einzuhalten. Hierzu wird es in naher Zukunft ein IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) geben, das die Details regelt und insbesondere organisierte Hackerangriffe und gefährliche Sicherheitslücken verhindern soll.
Passend zu diesem Artikel
In der Baubranche liegt der Fokus meist eher nicht auf der IT-Sicherheit. Das erkennen auch Hacker. Immer mehr Unternehmen werden Opfer von Cyberangriffen. Welche Maßnahmen können Betriebe ergreifen?
Immer mehr Unternehmen setzen auf KI-gestützte Videos zur Steigerung ihrer Produktivität. Das hat eine neue Studie von Hanwha Vision ergeben.
52 Jahre an der Spitze bei Geze und seit 2021 als Aufsichtsrätin im Einsatz: Brigitte Vöster-Alber feierte am 23. März 2024 ihren 80. Geburtstag und ist weiterhin aktiv im Unternehmen beteiligt.