Unternehmensdaten

Handlungsbedarf für Vorstände und Geschäftsführer

Seit Jahren ist das Thema IT-Security Gegenstand zahlreicher Publikationen. Kaum eine Veranstaltung zu IT-Themen, ohne dass nicht über die Sicherheit von Unternehmensdaten referiert wird.

Doch der Schutz von Unternehmensdaten ist beileibe nicht nur ein Trend oder gar Panikmache findiger Marketing-Experten der IT-Solutions-Anbieter.
Vielmehr haften Vorstände und Geschäftsführer auf Grund gesetzlicher Bestimmungen unter bestimmten Voraussetzungen persönlich und mit ihrem privaten Vermögen auf Schadenersatz oder werden für ihre "Un-Taten" gar mit Geld- oder Freiheitsstrafen belegt.
Grund genug, sich dem Thema mit aller Sorgfalt zu widmen.

Doch zunächst muss geklärt werden, worum es denn tatsächlich geht.
Üblicher Weise wird der Schutz von Unternehmensdaten in die Bereiche Datenschutz und Datenintegrität unterteilt. Der Begriff "Datenschutz" meint zunächst

  • den Schutz personenbezogener Daten vor Missbrauch bei ihrer Speicherung, Übermittlung, Veränderung und Löschung.
  • Aber auch der Schutz vor Ausspähung von Betriebs- und Geschäftsgeheimnissen und Daten, die der Verschwiegenheitspflicht unterliegen, gehören in diese Kategorie;
  • ebenso wie der Schutz des Einzelnen vor Eingriffen in seine Grundrechte, wie etwa das allgemeine Persönlichkeitsrecht und das Brief- und Fernmeldegeheimnis.

"Datenintegrität" dagegen ist ein Begriff für

  • die Qualität und Zuverlässigkeit von Daten.
  • Im weiteren Sinne zählt zur Integrität auch der Schutz der Daten vor unberechtigtem Zugriff (Vertraulichkeit) und Veränderungen.

Fallkonstellationen und Lösungen werden im Rahmen der IT-Security-Debatte fast ausnahmslos im Bereich der elektronischen Datenverarbeitung gesucht.
Das ist unverständlich, denn das Interesse eines Unternehmens ist doch keinesfalls auf den Bereich der digitalen Daten beschränkt. Selbst wenn das papierlose Büro irgendwann einmal Realität werden sollte, werden in einem Unternehmen Informationen und Daten ausgetauscht, die gerade nicht in digitaler Form vorliegen.

Nach wie vor wird die Mehrzahl der digitalen Daten geprintet und weiterverwendet. Und noch immer kommunizieren die Menschen in einem Unternehmen und mit ihren Geschäftspartnern via Telefon oder in Meetings, face to face.

Gerade hier kommt es maßgeblich darauf an, dass die Informationen nicht verloren gehen und dass sie nicht - absichtlich oder versehentlich - verfälscht werden. Und es ist immer noch so, dass Social Engineering, Erpressung und Betriebsspionage noch immer schneller, präziser und im Ergebnis "preiswerter" Ergebnisse liefert, als der Versuch, ein lege artis abgesichertes Unternehmensnetzwerk zu knacken.

Fatal ist schließlich auch, dass der Bereich Wissensmanagement meist bei der Betrachtung von Datensicherheit außer acht gelassen wird. Es ist aber unbestritten, dass Unternehmen zunehmend auch dieses wichtige Feld entdecken, weil es um unersetzbare Informationen geht, die sozusagen auf einem externen Datenträger vorhanden sind, nämlich dem Gehirn der Mitarbeiter. Es muss sichergestellt werden, dass diese Daten, das Know-how und die Erfahrung des Mitarbeiters dem Unternehmen erhalten bleiben.
Mit dem Thema IT-Security ist folglich der Schutz der Gesamtheit von Unternehmensdaten, und zwar unabhängig von Erscheinungsform und Medien einerseits und der Schutz des Einzelnen vor unrechtmäßiger Verwendung seiner personenbezogenen Daten oder unberechtigten Eingriffen in seine Grundrechte andererseits aufgerufen. Diesen Schutz versucht man mit ganz unterschiedlichen Instrumenten zu erreichen.

Rechtliche Vorgaben und Rahmenbedingungen

An vorderster Front stehen natürlich rechtliche Regelungen. Meist fallen im Zusammenhang mit der Frage nach der Verantwortung von Vorständen und Geschäftsführern die Begriffe Sarbanes Oxley Act, Basel II, Deutscher Corporate Governance Kodex oder KontrAG (Siehe Infobox).

Die Anreicherung mit einem ganzen Füllhorn von nationalen zivilrechtlichen und strafrechtlichen Vorschriften, wie etwa den Bestimmungen des Bundesdatenschutzgesetzes (BDSG), des Teledienstedatenschutzgesetzes (TDDSG), der §§ 303a ff. Strafgesetzbuch (StGB), dem Gesetz gegen den unlauteren Wettbewerb (UWG) oder die Haftung auf Schadenersatz bei Schäden (z.B. durch virenverseuchte Mails im Rahmen einer vertraglichen Beziehung) nach § 241 BGB, verwirren mehr, als dass sie helfen, das brisante Thema greifbar zu machen.

Jüngstes Kind der Regelungswut ist das "Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts" - kurz "UMAG". Berücksichtigt man dann noch, dass auch die EG zahlreiche Richtlinien in petto hat, die vom nationalen Gesetzgeber zwar erst noch umgesetzt, in der Unternehmensplanung gleichwohl schon berücksichtigt werden müssen, lässt sich nur erahnen, welchem Risiko Vorstände und Geschäftsführer allein durch Unkenntnis der von ihnen einzuhaltenden Bestimmungen ausgesetzt sind.

Ausgangspunkt für die Frage der Haftung von Vorständen sind die mit dem KontrAG eingeführten Regelungen in §§ 91 Absatz 2 und 93 Absatz 1 AktG.
Nach § 93 Absatz 1 AktG haben die Vorstandsmitglieder bei ihrer Geschäftsführung "die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters" anzuwenden. Nach § 91 Absatz 2 AktG haben Sie "ein Überwachungssystem einzurichten. Damit dem Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden."

Diese Früherkennungssysteme werden meist mit "Risikomanagementsystemen" beschrieben. Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Gemeint ist damit die persönliche Haftung der Vorstandsmitglieder mit ihrem privaten Vermögen. Dieselben Folgen treffen Aufsichtsräte, die ihren Verpflichtungen zur Überwachung des Vorstandes und dessen Verpflichtungen dem Unternehmen gegenüber nicht in ausreichendem Maße nachkommen.

Ein Aufsichtsrat haftet danach auch, wenn er den Vorstand entlastet anstatt ihn zu verklagen, wenn mit Aussicht auf Erfolg einklagbare Schadensersatzansprüche wegen Pflichtverletzungen des Vorstands bekannt sind. Das jedenfalls hat der Bundesgerichtshof in seinem richtungsweisenden Urteil vom 21. April 1997 festgestellt.

Obwohl diese Bestimmungen nur für Aktiengesellschaften gelten, besteht für Geschäftsführer von GmbHs kein Grund, sich beruhigt zurück zu lehnen. Nach § 43 GmbHG haben die Geschäftsführer in den Angelegenheiten der Gesellschaft ebenfalls "die Sorgfalt eines ordentlichen Geschäftsmannes" anzuwenden.
Diese "Sorgfalt" wird im Gesetz nicht definiert. Es handelt sich um einen sogenannten unbestimmten Rechtsbegriff, dessen konkrete Bedeutung durch Auslegung ermittelt werden muss. Im Rahmen der Auslegung wird man aber sicherlich auf bestehende Standards zurückgreifen. Solche Standards sind für Aktiengesellschaften eben die nach § 91 AktG geforderten Überwachungssysteme, der Corporate Governance Kodex und der Sarbanes Oxley Act.

Auch die Vorgaben nach Basel II können zur Auslegung herangezogen werden, denn es ist die Aufgabe der Geschäftsleitung, die Verweigerung von Krediten oder die Vergabe zu ungünstigen Zinssätzen zu verhindern. Da Vorstand und Geschäftsführer ihre Handlungen nicht an der Frage ausrichten (sollten), ob und in welchem Umfang sie für Fehlverhalten haften, sondern im Interesse und zum Wohle des Unternehmens, ist eine Differenzierung zwischen Vorstand und Geschäftsführer weder notwendig noch geboten.

Technische Lösungen

Es ist nur verständlich, dass die IT zunächst versucht, die identifizierten Risiken mit den technischen Mitteln zu beherrschen. Unzählige Anbieter von Hardware und Software tummeln sich im Markt um die Sicherheit der Unternehmensdaten. Für Jedes und Alles gibt es das "richtige" Tool.

Intrusion Detection Systeme, Firewalls, Virenscanner, Spam-Filter, Verschlüsselungssoftware, elektronische Signaturen, Passwortgeneratoren und dazu die passenden Überwachungstools. Und natürlich will auch die IT-Welt den Forderungen des Marktes nach einer klaren Steuerung des Unternehmens mit mehr Transparenz, also dem Corporate Governance Gedanken, nachkommen.
Das 1998 gegründete IT Governance Institute (ITGI) ist seither die Quelle für Informationen zum Schutz der Unternehmen durch IT geworden. Und natürlich hält das ITGI auch ein Tool zur Verfügung, mit dem man die IT Governance einhalten kann. Und so mancher CFO kann sich schon über neue Technologien, die ihm vom CIO präsentiert werden, nicht mehr freuen.

Denn er muss nicht nur die Anschaffungs-, Implementierungs- und Unterhaltskosten finanzieren, sondern auch die Mittel für die notwendigen Sicherheits-Tools, die ebenfalls angeschafft werden müssen, bereitstellen. Auch diese Tools müssen, wie jede andere Software, implementiert und unterhalten werden.

Neben den hierfür anfallenden Kosten und dem Anstieg der Inanspruchnahme von "Human Ressources" darf der organisatorische Aufwand – wie etwa die Dokumentation sowie die Einbindung in bestehende Policies, Betriebsvereinbarungen oder Arbeitsverträge – nicht vergessen werden. Und letztendlich muss dann doch konstatiert werden, dass es eine absolute Sicherheit auch im Umfeld der IT nicht gibt.

Organisatorische Maßnahmen

Allerorten wird von Juristen zu Recht empfohlen, den Umgang und die Regeln mit modernen Informations- und Kommunikationsmitteln eines Unternehmens in Betriebsvereinbarungen oder einzelvertraglichen Regelungen festzuhalten. Sowohl das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als auch die Regeln des BS7799-2 des British Standards Institutes schreiben darüber hinaus zahlreiche organisatorische Maßnahmen für den Umgang mit der Unternehmens-IT vor.

Dies gilt insbesondere für die Nutzung von Internet und E-Mail. Auch diese Regelungen können natürlich bei der Frage nach einem haftungsbegründenden Verschulden der Geschäftsleitung herangezogen werden. Diese Maßnahmen versagen aber schon dann, wenn Außenstehende das "Risikopotenzial" darstellen. Ein Verbot des Versandes privater E-Mails im Rahmen einer Betriebsvereinbarung beispielsweise, enthebt nicht von der Verpflichtung, sicherzustellen, dass private Mails entsprechend den grundrechtlich geschützten und strafbewehrten Bestimmungen des Briefgeheimnisses behandelt werden.

Denn zweifellos unterfallen E-Mails von außen an Mitarbeiter eines Unternehmens dem Briefgeheimnis. Die externen Versender solcher Mails sind aber weder an Policies noch an Betriebsvereinbarungen gebunden.
Betriebsvereinbarungen und Policies sowie Tools zur "Sicherstellung der IT-Sicherheit" können darüber hinaus bei unbedachter Einführung mehr Schaden anrichten, als sie je vermeiden helfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem "Leitfaden für IT-Sicherheit", der zur Pflichtlektüre eines jeden IT-Verantwortlichen gehört, zu Recht fest, dass nicht immer Vorsatz im Spiel sein müsse.

Auch aus Versehen, Übereifer und Neugierde, gepaart mit mangelndem Problembewusstsein entstünden manchmal große Schäden. Mitarbeiter, denen die Probleme noch nicht einmal bewusst sind, die sie im unbedachten Umgang mit der ihnen anvertrauten IT auslösen können, werden auch den einseitig kommunizierten Policies oder "von Oben" vorgegebenen Sicherheitslösungen nichts abgewinnen können. Sie sind ja völlig ohne Vorsatz und fühlen sich von Verboten, Reglementierungen und Einschränkungen nicht angesprochen oder gar grundlos gegängelt.

Und die wenigen, wirklich kriminell veranlagten Innentäter, die zumeist als Argument für den Vertrieb von Sicherheitssoftware herhalten müssen, lassen sich von Verboten und Reglementierungen nicht abhalten. Im Gegenteil: Man gibt diesen Kriminellen vielmehr genaue Hinweise auf den Rahmen, in dem sie sich bewegen können, ohne den Sicherheits- und Überwachungsmechanismen der IT aufzufallen.

Unternehmenskultur

"Gelebte IT-Sicherheit fördert eine Unternehmenskultur, in der verantwortungsbewusstes Handeln, Kundenorientierung und die Identifikation mit den Unternehmenszielen fest verankert sind", behauptet das BSI in seinem Leitfaden IT-Sicherheit. Es ist sicherlich nicht von der Hand zu weisen, dass von der Einführung eines IT-Risikomanagements positive Impulse ausgehen, die sich auch auf die Unternehmenskultur auswirken können.

Aber diese Effekte sind nicht mehr als ein Abfallprodukt und fördern keineswegs aktiv den notwendigen Kulturwechsel. Denn "gelebt" wird etwas nur dann, wenn man es "verinnerlicht" hat; wenn man davon überzeugt ist, sich und dem Unternehmen etwas Gutes zu tun.

IT-Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess. Eines der größten Defizite in der aktuellen IT-Sicherheitsdebatte ist, dass der Fokus einzig darauf liegt, Risiken zu vermeiden oder zu minimieren, um wirtschaftliche Schäden im Untenehmen zu verhindern. Dabei wird völlig außer Acht gelassen, dass - so wie es für Risiken gilt - auch der Erfolg des Einsatzes von IT in einem Unternehmen zu managen ist.

Es ist fatal, sich nur darauf zu konzentrieren, den Eintritt von Risiken zu verhindern, also Abwehrmechanismen aufzubauen, ohne gleichzeitig in demselben Umfang Erfolgskriterien für den Einsatz von IT-Lösungen im Interesse von Datenschutz und Datenintegrität zu definieren und aktiv Lösungen für den Eintritt dieses Erfolgs zu suchen.

Es ist daher kein "Erfolg", wenn ein CIO erklärt, er habe ein Sicherheitskonzept entwickelt, welches Angriffe auf das Firmennetzwerk (nahezu) ausschließt. Insoweit hat er nur ein identifiziertes Risiko vermindert. Ein Erfolg wäre es, wenn er melden könnte, dass die von ihm getroffenen Maßnahmen darüber hinaus zu einer verbesserten Datenhaltung, zum Aufbau eines Wissensmanagements etc. beigetragen und damit zu einer Produktivitäts- und/oder Effizienzsteigerung im Umgang mit Unternehmensinformationen geführt haben.

Tagcloud

Navigation Kunden Service Organisation Information Kommunikationsmodell Science of Happiness at Work Emotion Personal Wettbewerb Kommunikation Vertrieb IT Qualitätsmanagement Kundenzufriedenheit social network Projekt Führungskraft Lernen Social Media ILTIS Verhalten Trend Strategie Konflikt Mitarbeiter Weiterbildung Commitment Wissensmanagement Führungsstil Wachstum Corporate Kultur Qualität Veränderung Akzeptanz Erfolg Entscheidung Touchpoint Bürgermeister Unternehmenskultur Value Management Recruiting Messung Psychologie Coaching Instrument Prozess Methode Business-Ettikette Führung Grundsätze Marketing Kompetenz Kreativität Innovation Zukunft Beratung Potenzial Controlling Netzwerk Prioritäten Image Vision Unternehmen Mensch Planung Change-Management System Diversity Börse Unternehmenskommunikation Führungstipps Ziele Marke E- Markt Research Team Projektmanagement Werte Zielvereinbarung Wandel Krise Verhandlung Veränderungsprozess Internet Ethik Literatur Change Management Management by Mitarbeitermotivation Intuition Mitarbeiterbindung Verkäufer Konkurrenz Macht Finanzierung Produkt Kulturkompetenz Zielgruppe Leistung Organisationsentwicklung Telefonie Präsentation Manager Potenzialentwicklung Widerstand Ideen Mentoring Produktion Umwelt Visualisieren Erfahrungswissen Mitarbeiterzufriedenheit Intelligenz Nachhaltigkeit CRM Regeln Kundenloyalität Bewerberauswahl Modell Orientierung Motivation Mobile Erreichbarkeit Outsourcing HRM Community Kennzahlen Kundenrückgewinnung Kundenbindung Anforderungsprofil Risiko Loyalitätsmarketing Mitarbeiterbefragung Leadership Medien Demographie Karriere Kommune Mitarbeitergespräch Ablauf Knigge Moderation CSR Projekt Office Assessment Strategieverwirklichung High Potentials IT-Trend Netzwerksicherheit Markterfolg Kommunalberatung Kündigung Dynamic Experience Mediation Souveränität Profit Resilienz Burn-Out Altersstruktur Navigationsinstrument Empfehlungsmarketing Mobile Marketing Verwaltung Datenschutz Verbraucher Authentizität Charisma E-Mail Anwenderbetreuung Akquise Training Energie intrnational Verwaltung Gehirntraining Checkliste IT-Infrastruktur Literatur Vertrieb CMS Event Hörbuch

Neues bei ILTIS

Lean Services

Wie Sie den Change vom Kostenfaktor hin zum Qualitätsdienstleister meistern

Das erfahren Sie bei uns