Aktiengesetz

§ 91 Abs. 2 AktG verpflichtet den Vorstand einer Aktiengesellschaft dazu, geeignete Maßnahmen zu ergreifen, damit für den Fortbestand der Gesellschaft gefährliche Entwicklungen früh erkannt werden. Diese Bestandsicherungspflicht erstreckt sich freilich auch auf die IT-Infrastruktur der Gesellschaft.[1] Die Vorschrift ist unmittelbar nur auf die Aktiengesellschaft anwendbar, allerdings strahlen die in § 91 Abs. 2 AktG normierten Pflichten nach der Gesetzesbegründung auch auf andere Gesellschaftsformen wie die der GmbH aus.[2]

Die Reichweite der aufgrund von § 91 Abs. 2 AktG zu ergreifenden Maßnahmen ist im Detail umstritten.[3] Nach einer Auffassung[4] enthält die Vorschrift mit Blick auf den unternehmerischen Ermessensspielraum aus § 93 Abs. 2 S. 1 AktG allein die Pflicht zur Einrichtung eines entsprechenden „Risikofrühwarnsystems“, während andere[5] Schaffung eines umfassenden „Risikomanagementsystems“ fordern. Allerdings lässt sich die Pflicht zur Errichtung eines umfassenden Risikomanagementsystems auch aus anderen Vorschriften ableiten, weswegen dieser Streit im Ergebnis dahinstehen kann.[6]

Zu diesen Vorschriften zählt § 93 Abs. 1 AktG, der die allgemeinen Sorgfaltspflichten des Vorstands festlegt. Aus dieser Vorschrift wird eine generelle Compliance-Pflicht der Unternehmensleitung zur Schaffung effektiver IT-Sicherheitsmaßnahmen sowie zur präventiven Sicherstellung der Gesetzeskonformität der IT abgeleitet.[7] Im Fall eines Verstoßes machen sich die Vorstandsmitglieder gemäß § 93 Abs. 2 S. 1 AktG für Schäden haftbar.

Da unzählige Unternehmen mittlerweile sowohl organisatorisch als auch funktionell weit überwiegend auf IT-Systeme angewiesen, stellen gerade Cyberangriffe und IT-Sicherheitslücken im Zweifel „bestandsgefährdende“ Risiken im Sinne des § 91 Abs. 2 AktG für die Gesellschaft dar.[8]

Wegen der hohen Haftungsrisiken des Vorstands ist bei der Implementierung des Risikomanagementsystems besondere Achtung geboten. So sah das LG München I in der unterbliebenen Dokumentation eines Risikofrüherkennungssystems einen wesentlichen Gesetzesverstoß im Sinne des § 243 Abs. 1 AktG.[9] IT-Sicherheit sollte demnach schon wegen des enormen wirtschaftlichen Gefährdungspotentials eines Angriffs für das Unternehmen einen unmittelbaren Bestandteil des Überwachungssystems darstellen und spezifisch berücksichtigt werden.[10]

Die genaue Ausgestaltung des Systems ist indessen einzelfallabhängig und muss Faktoren wie Unternehmensgröße, Qualifikation der Mitarbeiter, Geschäftsbranche, Sensibilität der Daten sowie insbesondere die Abhängigkeit von den IT-Systemen berücksichtigen.[11] Zudem können als Auslegungshilfe technische Regelwerke wie die Grundschutzkataloge des BSI und ähnliche Standards herangezogen werden.[12]

Inhaltlich kann zunächst eine sinnvolle und aufgabenorientierte Verteilung der Verantwortlichkeiten – etwa an das für die IT-Compliance verantwortliche Mitglied der Unternehmensführung – erfolgen.[13] Zu den einzelnen it-spezifischen Sorgfaltspflichten zählen nach von Holleben/Menz neben technischen und organisatorischen Maßnahmen (wie sie auch § 9 BDSG kennt) auch die Erstellung eines Notfallkonzepts sowie die Bewertung der rechtlichen Risiken bei der IT-Nutzung.[14]

Eine umfangreiche Checkliste für IT-spezifische Risikominimierungsmaßnahmen im Rahmen der IT-Compliance findet sich bei Auer-Reinsdorff, ITRB 2011, 245.

 

[1] Dazu Auer-Reinsdorff, ITRB 2011, 245 ff.

[2] So Lensdorf, CR 2007, 413, 414 mit Verweis auf BT-Drs. 13/9712, S. 15.

[3] Zum Streitstand vgl. von Holleben/Menz, CR 2010, 63, 64 f.

[4] So etwa Theusinger/Liese, NZG 2008, 289, 290; zum Ganzen auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 32.

[5] So von Holleben/Menz, CR 2010, 63, 64 f.

[6] Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 34.

[7] Dazu ausführlich Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 36 ff.

[8] Vgl. Lensdorf, CR 2007, 413, 414.

[9] LG München I, Urt. v. 05.04.2007 – 5HK O 15964/06 = CR 2007, 423.

[10] von Holleben/Menz, CR 2010, 63, 65.

[11] Lensdorf, CR 2007, 413, 416; Auer-Reinsdorff, ITRB 2011, 245, 246.

[12] von Holleben/Menz, CR 2010, 63, 65; zu der rechtlichen Bedeutung solcher Richtlinien und Standards vgl. Lensdorf, CR 2007, 413, 418.

[13] Dazu Lensdorf, CR 2007, 413, 418.

[14] von Holleben/Menz, CR 2010, 63, 67 ff.

Ähnliche Einträge