Eine eindeutige gesetzliche Haftung für die IT-Sicherheit in Unternehmen folgt aus gesetzlichen Regelungen, die greifen, wenn Unternehmensdaten an die Öffentlichkeit gelangen, schwere wirtschaftliche Schäden durch die mutwillige oder fahrlässige Zerstörung von Unternehmensdaten entstehen oder z. B. vom E-Mail-Server des Unternehmens Massen-Mails mit Viren verschickt werden.
Obwohl es außer dem IT-Sicherheitsgesetz das vor allem für den Bereich der Kritischen Infrastrukturen gilt, keine speziellen Sicherheitsgesetze gibt, in denen die Haftung der verantwortlichen Personen direkt geregelt ist, gibt es doch Rechtsvorschriften, aus denen sich die Haftungsverpflichtungen des Geschäftsführers und des Vorstands für die IT-Sicherheit direkt ableiten lassen. Diese Regelungen gelten sowohl für GmbHs als auch für Aktiengesellschaften und werden immer nachdrücklicher durchgesetzt und angewendet.
Im Aktiengesetz ist festgelegt, dass ein Vorstand haften kann, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG). Geschäftsführer einer GmbH sind laut GmbH-Gesetz verpflichtet, "die Sorgfalt eines ordentlichen Geschäftsmannes" walten zu lassen. Ähnliche Formulierungen finden sich auch im Handelsgesetzbuch (§ 347 Abs. 1 HGB).
Immer wieder zitiert wird auch KonTraG, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, das Unternehmen dazu verpflichtet, ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten. KontraG wurde genau wie das ähnlich lautende TransPuG, das Transparenz- und Publizitätsgesetz, zwar ursprünglich für Aktiengesellschaften verfasst, der Geist beider Gesetze wird aber längst auch auf kleinere Unternehmen angewendet.
Auch wenn die genannten Formulierungen allgemein und unverbindlich klingen mögen, werden daraus tatsächlich konkrete Haftungsverpflichtungen für die Gewährleistung einer angemessenen IT-Sicherheit abgeleitet.
Deutlich konkreter sind die Anforderungen, die sich aus den "Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" – kurz GoBD – ergeben. Die GoBD sind seit dem 1. Januar 2015 gültig und vereinheitlichen die bis dahin geltenden "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) und die "Grundsätze ordnungsmäßiger DV-gestützter Buchungssysteme" (GoBS). Seit dem 1. Januar 2020 gilt eine neue Fassung der GoBD, die allerdings nur punktuelle Änderungen an den bis dahin geltenden GoBD vornimmt.
Detaillierte Informationen zu den GoBD und eine Download-Möglichkeit finden Sie auf der Homepage des Bundesministeriums der Finanzen, die Sie unter bundesfinanzministerium.de erreichen.
Die GoBD betreffen alle Unternehmensbereiche, in denen es Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gibt. Sie schreiben dem Unternehmen diverse Sorgfaltspflichten bei der Verarbeitung, Archivierung und Bereitstellung der Unterlagen und Dokumente vor. Dazu gehören insbesondere Nachvollziehbarkeit und Nachprüfbarkeit, Vollständigkeit, Richtigkeit, Ordentlichkeit und Unveränderlichkeit. All diese Anforderungen gelten ausdrücklich auch für die digitale Datenhaltung.
Die GoBD schreiben außerdem vor, dass sämtliche Vorgaben in einem internen Kontrollsystem (IKS) berücksichtigt werden und eine Verfahrensdokumentation erfolgen muss, die den ordnungsgemäßen Systembetrieb nachweist. Um diese Vorschriften erfüllen zu können, ist ein Datensicherheitskonzept erforderlich, das Informationsverluste ausschließt.
2.1 Grenzüberschreitende Vorschriften
Die EU-Datenschutzrichtlinie für elektronische Kommunikation (E-Privacy-Richtlinie) enthält grundlegende Bestimmungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internets und mobiler Dienste – gewährleisten sollen. Die Richtlinie enthält ein EU-weites Spam-Verbot, gestattet E-Mail-Werbung nur mit vorheriger Einwilligung des Empfängers und regelt den Einsatz von Cookies. Damit sind alle Unternehmen, die per E-Mail werben, von der Richtlinie betroffen. Bei Verstößen gegen die EU-Richtlinie haftet die Geschäftsführung.
Schon seit einigen Jahren ist geplant, die E-Privacy-Richtlinie von 2002/2009 durch eine E-Privacy-Verordnung zu ersetzen. Sie soll vorhandene Regelungslücken schließen und den Entwicklungen in der Wirtschaft und Technik Rechnung tragen. Eine Einigung über den Inhalt der Verordnung ist jedoch momentan nicht absehbar.
Seit 2018 stellt die EU-Datenschutz-Grundverordnung (EU-DSGVO) den Schutz personenbezogener Daten sicher. Sie enthält Regelungen darüber, wer für die Daten verantwortlich ist und wie man sie verarbeiten muss. Verstöße gegen die Regelungen können mit Geldbußen geahndet werden. Die konkrete nationale Umsetzung der Regeln dauert allerdings noch an. Seit 2020 plant die EU-Kommission eine Evaluierung und schärfe...