Compliance Management in der IT – Haftungsrisiken für CIOs und CISOs

Mit zunehmend höher werdenden Bußgeldern und Schadenersatzansprüchen bei Verletzung von Compliance-Pflichten steigt auch das Risiko für die Beteiligten, durch das Unternehmen in Regress genommen zu werden. Der Beitrag soll die Risiken und Grenzen solcher Rückgriffe darstellen.

Compliance-Vorgaben an Unternehmen und deren Organe sind in Deutschland nicht zentral festgehalten, sondern über viele verschiedene Gesetze und Normen kodifiziert und waren auch bislang Gegenstand weniger Urteile. Zentrale Rollen spielen dabei § 130 Abs. 1 OWiG und § 93 Abs. 2 Satz 1 AktG (ähnlich § 43 Abs. 2 GmbHG): Falls in Unternehmen Aufsichtsmaßnahmen unterlassen oder Sorgfaltspflichten verletzt werden, können Inhaber mit Bußgeldern belegt werden und auch Organe des Unternehmens in Regress genommen werden – typischerweise sowohl in der Außen- als auch in der Innenhaftung. Dies kann nach einem Urteil des Bundesgerichtshofs (BGH, Urteil v. 17.07.2009 – 5 StR 394/08) auch andere Beauftragte im Unternehmen über § 823 Abs. 2 BGB treffen, wie beispielsweise Datenschutz- oder Informationssicherheitsbeauftragte.

Ein kürzliches Urteil des Oberlandesgerichts Dresden (OLG Dresden, Urteil v. 30.11.2021 – U 1158/21) hat die Haftung des Geschäftsführers einer GmbH bei Verletzungen der Datenschutzgrundverordnung bejaht, da die Geschäftsführung neben der Gesellschaft selbst Verantwortlicher im Sinne der DSGVO ist. Der Rahmen für Bußgelder für Verstöße gegen den Datenschutz, die einer Gesellschaft seit der Einführung der DSGVO drohen, liegen für deutsche Verhältnisse ungewöhnlich hoch. Geht der Verstoß auf eine Pflichtverletzung von Verantwortlichen zurück, beispielsweise für eine angemessene Sicherheit der Daten zu sorgen, beträgt die maximale Buße 10 Millionen Euro oder bis zu 2 Prozent des (weltweiten) Umsatzes des Vorjahres als Bemessungsgrundlage. Dies übersteigt aber bei weitem bei vielen in Deutschland registrierten Kapitalgesellschaften deren Grund- oder Stammkapital. Damit könnte eine verhängte Geldbuße gering kapitalisierte Unternehmen oder solche mit einer geringen oder gar negativen Umsatzrendite in der Existenz gefährden, sodass es auf der Hand liegt, dass sich Aktionäre oder GmbH-Gesellschafter möglicherweise an den Organen der Gesellschaft schadlos halten möchten.

Haftungsrisiken. Aus § 93 AktG leitet sich die sogenannte Business Judgement Rule ab, die den Organen einer Gesellschaft einen unternehmerischen Freiraum lässt, im Rahmen der gesetzlichen Vorgaben auch riskante Entscheidungen treffen zu können, wenn sie dem Wohl der Gesellschaft dienen. Allerdings wird auch geregelt, dass es im Zweifel dem jeweiligen Organ obliegt, gerade dies zu beweisen und die Voraussetzungen für eine Innenhaftung des Organs gegenüber der Gesellschaft zu entkräften.

Diese Voraussetzungen, die das Vorliegen einer Haftung begründen, umfassen dabei eine (fahrlässige) Pflichtverletzung, Verschulden, Schaden und Kausalität. Hier spielen die oben genannten Geldbußen dann eine entscheidende Rolle, da hierdurch – wie in Deutschland gefordert – der Schaden auf den Cent genau nachweisbar ist.

Die Haftungsrisiken für Gesellschaftsorgane und die Beauftragten einer Gesellschaft ergeben sich insbesondere bei Verstößen gegen die Legalitätspflicht, die Organisationspflicht oder die Garantenpflicht:

  • Die Person handelt selbst rechtswidrig.
  • Die Person ordnet Verstöße gegen rechtliche Vorschriften an.
  • Der Geschäftsführer oder Vorstand organisiert sein Unternehmen nicht entsprechend aktuellen Grundsätzen der Compliance. Dies gilt auch, insoweit dies durch einen Beauftragten für einen Bereich der Organisation sichergestellt werden muss.
  • Die Person kommt ihrer Aufsichtspflicht nicht nach und erkennt und/oder unterbindet Rechtsverstöße nicht (Unterlassen).

Aufbau von Compliance-Systemen. Den vorsätzlichen Rechtsbruch ausgenommen besteht das größte Risiko einer Haftung der Geschäftsführung bzw. der Beauftragten zumeist darin, dass Verstöße gegen Gesetze und Vorgaben nicht (rechtzeitig) erkannt werden, da ein Informations- und Überprüfungsdefizit vorherrscht oder das »Wissenmüssen« nicht berücksichtigt wird. Natürlich kann das Haftungsrisiko durch eine D&O-Versicherung minimiert werden – auch wenn zunächst viel »Kleingedrucktes« in den Versicherungsbedingungen beachtet werden muss. 

Um diese »blinden Flecken« identifizieren und beseitigen zu können, bietet sich der Aufbau eines Compliance-Systems an, welches eine hinreichende Transparenz und entsprechende Informationsgrundlage für die Gesellschaftsorgane und Beauftragten herstellen kann. Dabei sollten sich Organisationen an den gängigen Normen wie etwa ISO 27001 und ISO 37301 sowie den Prüfungsstandards IDW PS 980 und PH 9.860.1 orientieren, welche Best Practices zusammenfassen.

Folgende Elemente sind für ein gutes Compliance Management in der IT aus unserer Sicht unverzichtbar:

  • Festlegung übergreifender Ziele und entsprechender messbarer Erfolgskriterien
  • Zusammenführung der Informationen und Ergebnisse aus bestehenden IT-bezogenen Managementsystemen wie etwa ISMS, DSMS und BCM
  • Überschneidungsfreie Beschreibung der Rollen und Verantwortungen innerhalb der Organisation in Bezug auf die Herstellung und Aufrechterhaltung der Compliance
  • Bestimmung eines Compliance-Programms mit definierten, aufeinander aufbauenden Maßnahmen
  • Durchführung einer rollierenden Planung der überwachenden Maßnahmen wie Audits
  • Einbindung Dritter in interne Audits beziehungsweise Durchführung als First-Party-Audit
  • Aufbau und Integration des Three-Lines-of-Defence-Model unter Beachtung der IT-Spezifika
  • Aufbau einer Kultur von »Blameless Post Mortems«
  • Definition von Kriterien zur Überprüfung und Messung der Compliance
  • Formale Vorgaben an Pflichtdokumentationen und die Pflege von Nachweisen

Fazit. Die Risiken für CIO und CISO, in Regress genommen zu werden, steigen mit jeder neuen IT-bezogenen Gesetzgebung und der damit verbundenen Erhöhung der Bußgeldrahmen. Somit sollten Betroffene auch immer in der Lage sein, die eigene Informationslage bei Entscheidungen überblicken zu können und bei Bedarf auch weitere Informationsquellen heranzuziehen. Gleichzeitig sollten »blinde Flecken« durch ein Compliance Management beseitigt werden, um das »Übersehen« von Compliance-Verstößen zu vermeiden.

 


Christoph Lüder (l.), Marcus Schwertz,
LEXTA – Part of Accenture
www.accenture.com
www.lexta.com/de

 

Illustration: © Zenzen/shutterstock.com