Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Inhaltsverzeichnis

Abkürzungsverzeichnis

Literatur- und Quellenverzeichnis

A.) Einführung
I.) Problemstellung
II.) Gang der Darstellung

B.) Grundlagen
I.) Begriffsbestimmungen
1.) Unternehmen
2.) Leitungsorgane
a.) Der (GmbH-)Geschäftsführer
b.) Der Vorstand der Aktiengesellschaft
c.) Der Aufsichtsrat einer AG und GmbH
d.) Gesellschafter der GbR, OHG und der KG
e.) IT-Verantwortliche als Leitungsorgane?
3.) IT-Sicherheit
a.) Definition von IT-Sicherheit
b.) Sich aus der Definition ergebende Sicherheitsziele
aa.) Schutz der Verfügbarkeit von Informationen
bb.) Schutz der Unversehrtheit von Informationen
cc.) Schutz der Vertraulichkeit von Informationen
c.) Weiterführende Schutzrichtungen im Kontext der IT-Sicherheit
aa.) Integrität und Authentizität
bb.) Schutz des informationellen Selbstbestimmungsrechts
cc.) Zurechenbarkeit und Verbindlichkeit der Informationen
d.) Fazit
4.) (IT-Sicherheits-) Standards
II.) Notwendigkeit einer IT-Sicherheit in der heutigen Gesellschaft?

C.) Das bestehende Regelungssystem
I.) Problematik einer Querschnittsmaterie
II.) Gesetzlich verankerte IT-Sicherheitsstandards 32
1.) Horizontale Regelungen
a.) Datenschutzrechtliche Bestimmungen
aa.) Pflicht zur Bestellung eines Datenschutzbeauftragten nach §4f BDSG
bb.) Technische und organisatorische Maßnahmen nach §9 i.V.m. der Anlage zu §9 BDSG
cc.) Die Auftragsdatenverarbeitung nach §11 BDSG
dd.) Bewertung
(1) Die Effektivität des Datenschutzbeauftragten
(2) Ausreichender Schutz durch §9 i.V.m. der Anlage zu §9 S.1 BDSG?
b.) Allgemeine gesetzliche Sorgfaltspflichten
aa.) Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich und seine Auswirkungen
(1) Auswirkungen auf das Aktiengesetz
(2) Auswirkungen auf das HGB
bb.) Sorgfaltspflichten aus dem GmbHG
cc.) Sorgfaltspflichten der GbR, OHG und KG
dd.) Pflicht zur ordnungsgemäßen Buchführung
(1) Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
(2) Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnik
c.) Verlagerung der Pflichten durch IT-Outsourcing?
d.) Bewertung
2.) Vertikale Regelungen
a.) Telekommunikationsrechtliche Vorschriften aus dem TKG
aa.) Der Anwendungsbereich des TKG
bb.) Die einzelnen Pflichten
(1) Wahrung des Fernmeldegeheimnisses nach §88 TKG
(2) Vorsorge- und Sicherungspflichten aus §109 TKG
cc.) Bewertung
(1) Überflüssigkeit von §109 TKG?
(2) Mangelnde Konkretisierung des §109 TKG?
b.) Vorschriften aus dem Finanzwesen
aa.) Das Kreditwesengesetz
bb.) Das Wertpapierhandelsgesetz
cc.) Untergesetzliche Regelungen
dd.) Fazit
III.) Pflicht zur Überwachung gesetzlicher IT-Sicherheitsstandards
1.) Überwachungspflichten horizontaler Regelungen
2.) Überwachungspflichten vertikaler Regelungen
3.) Überwachungspflichten bei Delegation
IV.) Standards, technische Regelwerke und Normen 61
1.) Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik
2.) DIN- und ISO-Normen
3.) Fazit
V.) Internationale Regelungen
1.) Sarbanes-Oxley Act
2.) Basel II
VI.) Nationaler Plan zum Schutz der Informationsinfrastrukturen
1.) Umsetzungsplan KRITIS
2.) Fazit
VII.) Strafrechtlicher Schutz der IT-Sicherheit
VIII.) Zwischenergebnis der kritischen Würdigung bestehender Regelungen

D.) Konsequenzen bei fehlender Umsetzung der Pflichten
I.) Haftung der Unternehmen 69
II.) Persönliche Haftung der Leitungsorgane 70
III.) Maßnahmen der Aufsichtsbehörden 71
IV.) Sonstige Folgen
V.) Fazit

E.) Ansätze zur Problemlösung
I.) Gesetzliche Lösungsmöglichkeiten
1.) Schaffung eines IT-Sicherheitsgesetzes
a.) Notwendigkeit und Ausgestaltung eines solchen Gesetzes
b.) Bedenken gegen die Schaffung eines IT-Sicherheitsgesetzes
2.) Überarbeitung vorhandener Regelungen
a.) Neugestaltung einfachgesetzlicher Vorschriften
aa.) Ansätze im BDSG
bb.) Ansätze im Handels- und Gesellschaftsrecht
cc.) Ansätze im TKG
b.) Aufwertung untergesetzlicher Institutionen
II.) Außergesetzliche Möglichkeiten zur Schaffung von IT-Sicherheit
1.) IT-Sicherheit als Wettbewerbsfaktor
2.) Sonstige Ansätze

F.) Resümee

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Literatur- und Quellenverzeichnis

Baumbach, Klaus/ Hopt, Adolf

Handelsgesetzbuch (Kommentar), 33. Auflage, München 2008.

Berliner Kommentar

Telekommunikationsgesetz, Franz Jürgen Säcker (Hrsg.), Berlin 2006.

Borchers, Detlef

Datenschutz als Wettbewerbsfaktor, in DuD 2006, S. 721-724.

Boos, Karl-Heinz/ Fischer, Reinfried/ Schulte-Mattler, Hermann (Hrsg.)

Kreditwesengesetz, Kommentar zu KWG und Ausführungsvorschriften, 2. Auflage, München 2004.

Brockhaus Enzyklopädie

Dreizehnter Band, 19. Auflage, Mannheim 1991.

dies.

Sechzehnter Band, 19. Auflage, Mannheim 1991.

Brühann, Ulf/ Zerdick, Thomas

Umsetzung der EG-Datenschutzrichtlinie, in CR 1996, S. 429-435.

Bundesamt für Sicherheit in der Informationstechnologie

Die Lage der IT-Sicherheit in Deutschland 2007, abrufbar unter: http://www.bsi.de/literat/lagebericht/index.htm.

das.

IT-Grundschutzhandbuch, abrufbar unter: http://www.bsi.de/gshb/deutsch/index.htm.

das.

Leitfaden IT-Sicherheit, abrufbar unter: http://www.bsi.de/gshb/Leitfaden/index.htm.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Hrsg.)

Website des BfDI, Bonn, http://www.bfd.bund.de/.

Bundesministerium des Innern (Hrsg.)

Nationaler Plan zum Schutz der Informationsinfrastrukturen, Berlin 2005, abrufbar unter:

http://www.bsi.de/fachthem/kritis/veroeff_npsi.htm.

das.

Umsetzungplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen, Berlin 2007, abrufbar unter: http://www.bmi.bund.de/cln_012/nn_121894/Internet/Content/Broschueren/2007/Kritis.html.

Bundesministerium für Wirtschaft und Technologie

ID2010 – Informationsgesellschaft Deutschland 2010, Aktionsprogramm der Bundesregierung, Berlin 2006, abrufbar unter: http://www.bmwi.de/BMWi/Navigation/Service/publikationen,did=175530.html.

Bundesverband Informationswirtschaft Telekommunikation und neue Medien e.V.

Kompass der IT-Sicherheitsstandards, Leitfaden und Nachschlagewerk, abrufbar unter: http://www.bitkom.org/de/publikationen/38337_40496.aspx.

Cappelaro, Christoph/ Füser, Karsten

IT-Risiken als Ratinkriterium, in Die Bank 10/2005, S. 68-74.

Damman, Ulrich/ Simitis, Spiros

EG-Datenschutzrichtlinie, Kommentar, Frankfurt 1996.

Daum, Andreas/ Petzold, Jürgen/ Pletke, Matthias

BWL für Juristen, Eine praxisnahe Einführung in die betriebswirtschaftlichen Grundlagen, Wiesbaden 2007.

Däubler, Wolgang/ Klebe, Thomas/ Wedde, Peter /Weichert, Thilo

Bundesdatenschutzgesetz, Basiskommentar zum BDSG, 2. Auflage, Frankfurt am Main 2007.

Degenhart, Christoph

Staatsrecht I, Staatsorganisationsrecht, 23. Auflage, Leipzig 2007.

Deutsche Bundesbank

Mindestanforderungen an das Risikomanagement (MaRisk), Frankfurt, http://www.bundesbank.de/bankenaufsicht/bankenaufsicht_marisk.php.

Duisberg, Alexander/ Orthmann, Jan-Peter

Basel II und seine Auswirkungen auf die IT-Infrastruktur der Banken, in ITRB 2005, S. 160-161.

Eckert, Claudia

IT-Sicherheit – Konzepte, Verfahren, Protokolle, 5. Auflage, Darmstadt 2008.

Economy.one GmbH (Hrsg.)

„Erschreckende Naivität“, BSI-Präsident Udo Helmbrecht über digitale Wirtschaftsspionage in Deutschland und einen TÜV für Software, WitschaftsWoche Magazin, Düsseldorf, abrufbar unter: http://www.wiwo.de/technik/erschreckende-naivitaet-230193/.

Ehmann, Eugen/ Helfrich, Marcus

EG Datenschutzrichtlinie, Kurzkommentar, Köln 1999.

Fischer, Thomas/ Petri, Jens-Holger/ Steidle, Roland

Outsourcing im Bankbereich-neue aufsichtsrechtliche Anforderung nach §25a KWG und MaRisk, in WM 2007, S. 2313-2321.

Fleischer, Holger

Vorstandsverantwortlichkeit und Fehlverhalten von Unternehmensangehörigen – Von der Einzelüberwachung zur Errichtung einer Compliance-Organisation, in AG 2003, S. 291-300.

Gola, Peter/ Schomerus, Rudolf

Bundesdatenschutzgesetz (Kommentar), 9. Auflage, München 2007.

Jungbluth, Melanie/ Schmidt, Stefan/ Schmieding, Henrik

IT-Security, Datensicherheit und Datenschutz im Unternehmen aus rechtlicher und praktischer Sicht, 1.Auflage, Karlsruhe 2007.

Hannemann, Ralf/ Schneider, Andreas/ Hanenberg, Ludger

Mindestanforderung an das Risikomanangement (MaRisk) - Eine einführende Kommentierung, Stuttgart 2006.

Hartlieb, Bernd

Verweisung auf technische Normen in Rechtsvorschriften: Vorträge und Diskussionen, Deutsches Institut für Normung (Hrsg.), Berlin 1982.

Heckmann, Dirk

Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen-Maßstäbe für ein IT-Sicherheitsrecht, in MMR 2006, S. 280-285.

Heise, Christian und Ansgar/ Persson, Christian (Hrsg.)

Heise Online, Hannover, http://heise.de.

Hessische Datenschutzbeauftragte

Website des Hessischen Datenschutzbeauftragten, Wiesbaden, http://www.datenschutz.hessen.de/.

Heun, Sven-Erik

Handbuch Telekommunikationsrecht, 2. Auflage, Frankfurt 2007.

Hoeren, Thomas /Sieber, Ulrich

Handbuch Multimedia Recht, Rechtsfragen des elektronischen Geschäftsverkehrs, 17. Ergänzungslieferung, München 2007.

Hoffmann-Riem, Wolfang

Informationelle Selbstbestimmung in der Informationsgesellschaft – Auf dem Wege zu einem neuen Konzept des Datenschutzes, in AöR 1998, S. 513- 540.

Holznagel, Bernd

Recht der IT-Sicherheit, München 2003.

Holznagel, Bern/ Hanßmann, Anika/ Sonntag, Matthias

IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001.

Hüffer, Uwe

Gesellschaftsrecht, 7. Auflage, München 2007.

ders.

Aktiengesetz (Kommentar), 7. Auflage, München 2006.

Kiethe, Kurt /Groeschke, Per

Die Durchsetzung von Schadensersatzansprüchen in Fällen der Betriebs- und Wirtschaftsspionage, in MMR 2006, S. 1358-1370.

Kloepfer, Michael

Informationsrecht, München 2002.

ders.

Umweltrecht, 3. Auflage, München 2004.

Kollmann, Andreas

Technische Normen und Prüfzeichen im Wettbewerbsrecht, in GRUR 2004, S. 6-11.

Köttner, Wolfgang

Angriffe aus dem Netz, online abrufbar unter: http://www.freitag.de/2008/05/08050601.php.

Kötz, Hein/ Wagner, Gerhard

Deliktsrecht, 10. Auflage, Bonn 2006.

Kunig, Philip

Der Grundsatz informationeller Selbstbestimmung, in Jura 1993, S. 595-604.

Lensdorf, Lars

IT-Compliance- Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, in CR 2007, S. 413-418.

Lutter, Marcus /Krieger, Gerd

Rechte und Pflichten des Aufsichtsrats, 4. Auflage, Köln 2002.

Lück, Wolfgang

Elemente eines Risiko-Managementsystems, DB 1998, S.8-14.

Manager Magazin

Spionage: „Die größte Gefahr ist das Personal“, in Manager Magazin vom 26.11.2007, abrufbar unter: http://www.manager-magazin.de/unternehmen/artikel/0,2828,518674,00.html.

Manssen, Gerrit

Telekommunikations- und Multimediarecht, Berlin 1999.

Mengel, Anja/ Hagemeister, Volker

Compliance und Arbeitsrecht, BB 2006, S. 2466-2471.

Münchner Kommentar

Aktiengesetz, §§76-117, MitbestG, §76 BetrVG 1952, 2. Auflage, München 2004.

nachrichtenmanufaktur GmbH (Hrsg.)

n-tv der Nachrichtensender, http://www.n-tv.de/.

Pahlen-Brandt, Ingrid

Sind Datenschutzbeauftragte zahnlose Papiertiger, in DuD 2007, S. 24-28.

Puchert, Sigmar

Rechtssicherheit im Internet, Grundlagen für Einkäufer und Entscheider, Heidelberg 2001.

Reinhard, Tim/ Pohl, Lorenz/ Capellaro, Hans-Christoph

IT-Sicherheit und Recht, Rechtliche und technisch-organisatorische Aspekte für Unternehmen, Berlin 2007.

Reischhauer, Friedrich/ Kleinhans, Joachim

Kreditwesengesetz, Loseblattkommentar für die Praxis nebst sonstigen bank- und sparkassenrechtlichen Aufsichtsgesetzen sowie ergänzende Vorschriften, Ergänzungslieferung 06/07, Stand Dezember 2007.

Rodewald, Jörg/ Unger, Ulrike

Corporate Compliance- Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, in BB 2006, S. 113-117.

Roßnagel, Alexander

Freiheit im Griff, Informationsgesellschaft und Grundgesetz, Stuttgart 1989.

Roth, Birgit/ Schneider, Uwe

IT-Sicherheit und Haftung, in ITRB 01/2005, S. 19-22.

Schäffter, Markus

Notfallplanung als Prüfstein eines IT-Sicherheitsmanagements, in DB 01/2003, S.10-12.

Scheja, Gregor/ Haag, Niels

Einführung in das Datenschutzrecht, 2. Auflage, Edewecht 2006.

Schmidt, Karsten/ Lutter, Marcus

Aktiengesetz Kommentar, Band I, §§1-149, Hamburg und Bonn 2007.

Schneider, Uwe/ Schneider, Sven

Zwölf goldene Regeln des GmbH-Geschäftsführers zu Haftungsvermeidung, in GmbHR, S. 1229-1235.

Schultze-Melling, Jyn

IT-Sicherheit in der anwaltlichen Beratung, in CR 2005, S.73-80.

dies.

Effizientes Information Security Management im Rahmen von IT-Outsourcing-Verträgen, in ITRB, S. 42-46.

Simitis, Spiros

Bundesdatenschutzgesetz (Kommentar), 6. Auflage, Baden-Baden 2006.

ders.

Daten- oder Tatenschutz – Ein Streit ohne Ende?, in NJW 1997, S.1902-1903.

Sonntag, Matthias

IT-Sicherheit kritischer Infrastrukturen, Von der Staatsaufgabe zur rechtlichen Ausgestaltung, München 2005.

Speichert, Horst

Praxis des IT-Rechts, 2. Auflage, Wiesbaden 2007.

Spiegel Online GmbH

So schützen sie sich vor Internetfischern, vom 08.02.2008, abrufbar unter: http://www.spiegel.de/netzwelt/web/0,1518,533809,00.html.

Spindler, Gerald

Verantwortlichkeit von IT-Herstellern, Nutzern und Intermediären, Studie im Auftrag des BSI, Bonn 2007.

ders.

IT-Sicherheit – Rechtliche Defizite und rechtspolitische Alternativen, in MMR 2008, S. 7-13.

Spindler, Gerald/ Stilz, Eberhard

Kommentar zum Aktiengesetz, Band 1, §§1-178, München 2007.

Statistisches Bundesamt (Hrsg.)

Unternehmen und Arbeitsstätten, Nutzung von Informations- und Kommunikationstechnik in Unternehmen, Wiesbaden 2007.

Steckler, Brunhilde

Grundzüge des IT-Rechts, 2.Auflage, Bielefeld 2005.

Steger, Udo

Rechtliche Verpflichtungen zur Notfallplanung im IT-Bereich, in CR 2007, S. 137-143.

Technology Review

„Ich sehe da keinen Widerspruch“, Interview mit dem Präsidenten des BSI Udo Helmbrecht, Ausgabe 1/2008, S. 52-55.

Telekommunikationsgesetz

Beck´scher TKG Kommentar, Telekommunikationsgesetz, Hrsg.: Geppert, Piepenbrock, Schütz, Schuster, 3. Auflage, München 2006.

das.

Beck´scher TKG Kommentar, Telekommunikationsgesetz, Hrsg.: Büchner, Ehmer, Geppert, Kerkhoff, Piepenbrock, Schütz, Schuster, München 1997.

Ulmer, Peter

GmbHG, Großkommentar, Band I, Einleitung und §§1-28, Hrsg.: Peter Ulmer, Mathias Habersack und Martin Winter, Tübingen 2005.

ders.

GmbHG, Großkommentar, Band II, §§29-52, Hrsg.: Peter Ulmer, Mathias Habersack und Martin Winter, Tübingen 2006.

Vogel, Rupert

IT-Sicherheit- rechtlich betrachtet, abrufbar unter: http://www.bartsch-partner.com/media/docs/diverse/061020rechtsforumskriptrv_ppt.pdf

Wikimedia Foundation (Hrsg.)

Wikipedia – Die frei Enzyklopädie, St. Petersburg (USA), http://de.wikipedia.org.

Wolf, Klaus/ Runzheimer, Bodo

Risikomanagement und KonTraG, 3. Auflage 2001, Wiesbaden 2001.

Die Internet-Quellen wurden sämtlich im Februar/März 2008 gesichtet.

A.) Einführung

I.) Problemstellung

Die heutige Bedeutung von Internet und Informationstechnik für die Gesellschaft und eine damit zusammenhängende Abhängigkeit bedarf keiner ausführlichen Erläuterung. Informationstechnik ist allgegenwärtig; sie ist aus dem wirtschaftlichen und gesellschaftlichen Leben nicht mehr wegzudenken. Insbesondere die Nutzung von Informations- und Kommunikationstechnologie in Unternehmen hat einen unaufhaltbaren, stetigen Zuwachs.^[1]

Weniger bewusst ist man sich oft allerdings über die damit verbundenen Gefahren und Risiken. Die Bedrohungen durch Computerwürmer, Viren oder Trojaner sind nach wie vor enorm hoch.^[2] In der jüngsten Zeit sind Gefahren und Schäden durch Viren zwar rückläufig gewesen, aber es kam vermehrt zu Bedrohungen durch Spyware, Trojaner, sog. Phishing-Attacken oder Angriffe von Bot-Netzen. Im Einklang damit steht die für Unternehmen zunehmende Gefahr von Datenspionage durch solche Angriffe.^[3]

Zu diesen möglichen Ursachen für einen Schaden oder gar einen Ausfall des IT-Systems gesellen sich Gefahren durch höhere Gewalt wie z.B. Feuer oder Stromausfälle, technisches Versagen von Soft- und Hardware, Diebstahl, Organisationsdefizite oder Fahrlässigkeit von Mitarbeitern im Umgang mit Informationstechnik. Sorgen solche Sicherheitsrisiken dann erst einmal für den Ausfall von Computern und den damit verbundenen Prozessen, so müssten viele Unternehmen ihren Betrieb zumindest für einen gewissen Zeitraum einstellen. Der Flug- und Bahnverkehr könnte zum Stillstand kommen, Finanzmärkte blieben geschlossen. Kurz um, ein großer Teil der Wirtschaft könnte zum Erliegen gebracht werden, wenn einzelne Ausfälle andere Bereiche in Mitleidenschaft ziehen würden.

Nach Vergegenwärtigung der genannten Szenarien scheint eine gesetzliche Pflicht der Unternehmen, solche IT-Schadensfälle durch ausreichende Sicherheitsmaßnahmen zu verhindern, selbstverständlich zu sein. Es fragt sich in diesem Zusammenhang allerdings, wie es zu erklären ist, dass nach einer Studie nur 50% der Unternehmen organisatorisch auf einen Hackerangriff vorbereitet sind und über einen entsprechenden Notfallplan verfügen.^[4] Demnach sind sogar noch weniger auf Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer vorbereitet. Nur 28% verfügen ferner über externe Ausweichsysteme, wenn ihre IT ausfällt.

Durch die zunehmende Digitalisierung des Wirtschafts- und Gesellschaftslebens nimmt auch die digitale Datenmenge ständig zu. Geheimhaltungsbedürftige Entwicklungs-, Kunden- oder Patientendaten sind somit auch vermehrt den oben genannten Gefahren ausgesetzt. Meldungen wie „Datendiebstahl bei MTV“^[5] oder „Deutsche Unternehmen missbrauchen Kundendaten“^[6] lassen an einem effektiven Schutz solcher Daten zweifeln und die Frage nach der Verantwortlichkeit aufkommen.

Diese Diskrepanz zwischen möglichen Schadensfolgen beim Ausfall von IT-Systemen und z.T. unzureichenden Sicherheitsvorkehrungen in den Unternehmen gegen Angriffe und Ausfälle, gibt den Grund für eine ausführliche Erörterung der aufgeworfenen Problemstellung. Es muss daher geklärt werden, inwiefern Unternehmen, in Form ihrer Leitungsorgane, überhaupt dazu verpflichtet sind Maßnahmen zu ergreifen, um ausreichende IT-Sicherheitsstandards zu installieren und somit oben genannte Szenarien zu verhindern. Ferner soll die Arbeit klären, ob die bestehenden Regelungen überhaupt einen ausreichenden Schutz bieten können.

II.) Gang der Darstellung

Die Bearbeitung beginnt zunächst mit der Klärung der für die Problemstellung wesentlichen Grundlagen. Darin gilt es zu skizzieren welche Unternehmen und insbesondere welche Leitungsorgane für die Einhaltung und Überwachung von IT-Sicherheitsstandards in Frage kommen. Dabei wird sich auf die häufigsten Unternehmensformen beschränkt, da die hier relevanten Vorschriften i.d.R. auch für besondere Mischformen gelten. Ferner soll der zentrale und auf den ersten Blick recht weite Begriff der IT-Sicherheit mit Inhalt gefüllt werden. Es folgt dann eine Auseinandersetzung mit der Notwendigkeit von IT-Sicherheit in der heutigen Gesellschaft. Es gilt also zu klären, warum Unternehmen neben möglichem Eigeninteresse überhaupt dazu verpflichtet werden sollten IT-Sicherheitsstandards einzurichten. In diesem Zusammenhang wird das Augenmerk auf Unternehmen im Allgemeinen liegen und auf eine spezielle Betrachtung von Unternehmen mit ggf. mehr IT-Bezug verzichtet, um einen umfassenden Überblick der Regelungen für alle Unternehmen schaffen zu können. Adressaten der zu untersuchenden Sicherheitsanforderung sind also alle Unternehmen die IT verwenden.

Aufbauend auf dem Verständnis von IT-Sicherheit und dessen Zielsetzung soll eine umfangreiche Darstellung der bestehenden Pflichten zur Einhaltung und Überwachung von IT-Sicherheitsstandards erfolgen. Hier liegt ein erster Schwerpunkt der Bearbeitung, da dies durch die Querschnitthaftigkeit der Materie erforderlich erscheint. Einheitliche rechtliche Regelungen für die Einhaltung von IT-Sicherheitsstandards gibt es nicht, vielmehr sind die einschlägigen Vorschriften auf eine Vielzahl einzelner Rechtsvorschriften verteilt Um aus diesem Sammelsurium einen verständlichen Überblick zu schaffen, bedurfte es einer umfangreicheren Darstellung. An diesen ersten Schwerpunkt soll sich jedoch zugleich ein nächstes Hauptkriterium der Arbeit anreihen. Es gilt die bestehenden Regelungen einer kritischen Würdigung in Bezug auf Regelungstechnik, Effektivität und Umsetzungsschwierigkeiten zu unterziehen. Durch das Aufzeigen eventueller gesetzlicher Defizite sollen Ursachen für die soeben aufgeworfene Problemstellung gefunden werden.

Hauptsächlich werden nationale Regelungen betrachtet und nur an den Stellen, an denen der europäische Gesetzgeber auf das deutsche Recht Einfluss genommen hat soll dies Gegenstand der Betrachtung sein. Das Gleiche gilt für internationale Vorschriften, die nur dann erwähnt werden sollen, wenn sie einen gewissen Stellenwert für deutsche Unternehmen haben.

Im Anschluss an das Regelungssystem wird ein kurzer Überblick über Sanktionen bei fehlender Umsetzung der Vorschriften gegeben werden.

Die Arbeit schließt mit einem letzten Schwerpunkt, nämlich dem Aufzeigen von Ansätzen zum Beseitigen bestehender Defizite. Dabei sollen sowohl allgemeine als auch ganz spezielle Vorschläge gemacht werden, wie der Gesetzgeber mit seinen vorhandenen Möglichkeiten Verbesserungen erzielen kann. Verzichtet wird auf eine breite Diskussion technischer Lösungsmöglichkeiten. Auch wenn das IT-Sicherheitsrecht sehr interdisziplinär geprägt ist, sollen Ansätze hauptsächlich auf juristische Möglichkeiten beschränkt werden.

B.) Grundlagen

I.) Begriffsbestimmungen

1.) Unternehmen

Für die nachfolgende Untersuchung muss zunächst geklärt werden, welche Unternehmen zur Einhaltung ausreichender IT-Sicherheitsstandards in Frage kommen. In der Wirtschaft ist ein Unternehmen eine rechtlich, wirtschaftlich und finanziell selbstständige Wirtschaftseinheit mit einer eigenen Führung (Unternehmensleitung).^[7] Einen einheitlichen rechtlichen Unternehmensbegriff gibt es hingegen nicht, da die jeweiligen Gesetze ihn je nach Zweck definieren.^[8] In Deutschland gibt es eine Vielzahl von Rechtsformen eines Unternehmens. Die Häufigsten sind die Gesellschaft mit beschränkter Haftung (GmbH), die offene Handelsgesellschaft (OHG), die Gesellschaft bürgerlichen Rechts (GbR), die Kommanditgesellschaft (KG) und die Aktiengesellschaft (AG).

Über die Verbreitung und Dominanz von Informationstechnik in der heutigen Gesellschaft und im Wirtschaftsleben braucht man keine großen Ausführungen mehr zu machen. Informationstechnik ist allgegenwärtig.^[9] Es ist demnach auch nicht notwendig eine Unterscheidung der einzelnen Unternehmen hinsichtlich ihrer „IT-Betroffenheit“ vorzunehmen. Ein wirtschaftliches und öffentliches Leben ist heute ohne Computertechnologie kaum mehr vorstellbar. So dass sämtliche Unternehmen die Informationstechnik benutzen, gleich welcher Branche, von eventuell vorhandenen Verpflichtungen zur IT-Sicherheit tangiert wären.

2.) Leitungsorgane

Ferner muss bestimmt werden welche Leitungsorgane im Unternehmen überhaupt in Betracht kommen, um bestehende Verpflichtungen bzgl. IT-Sicherheitsstandards einzuhalten und deren Befolgung zu überwachen. Dafür ist es erforderlich kurz aufzuzeigen, was ein Leitungsorgan charakterisiert.

Leitung bezeichnet dabei die Steuerung ausführender Tätigkeiten mit Hilfe der Planung, Entscheidung, Durchsetzung und Kontrolle.^[10] Im Privatwirtschaftlichen Bereich versteht man unter Leitung auch eine Führungskraft.^[11]

Organ im rechtlichen Sinn ist eine Person oder Personengesamtheit, die in einer Organisation bestimmte durch Gesetz oder Statut umrissene Aufgaben wahrnimmt.^[12]

Es stellt sich also die Frage welche Personen oder Personengesamtheiten in Unternehmen die nötige Kompetenz besitzen, um die Steuerung von Unternehmensprozessen zu ergreifen. Die Betrachtung der in Frage kommenden Leitungsorgane wird sich auf die oben genannten Unternehmensformen beschränken.

a.) Der (GmbH-)Geschäftsführer

Gem. §6 GmbHG muss jede Gesellschaft einen oder mehrere Geschäftsführer haben. Der Geschäftsführer ist das zum Betrieb des Unternehmens, zur Ausführung der Gesellschafterbeschlüsse und zur Verlautbarung des Gesellschaftswillens nach außen unverzichtbare Geschäftsführungs- und Vertretungsorgan der GmbH.^[13] Er ist also nach §35 I GmbHG zur Vertretung der Gesellschaft berufen. Sofern der Gesellschaftsvertrag nach §45 GmbHG nichts Anderweitiges vorschreibt, ist der oder die Geschäftsführer zu sämtlichen Maßnahmen befugt, die zur Unternehmensleitung gehören.^[14] Folglich kann aus seinen allgemeinen Zuständigkeiten abgeleitet werden, dass ein Geschäftsführer als Leitungsorgan der GmbH auch für IT-Sicherheitsmaßnahmen zuständig ist.

b.) Der Vorstand der Aktiengesellschaft

Der Vorstand ist ein notwendiges Organ der AG, durch das sie als juristische Person willens- und handlungsfähig wird.^[15] Nach §76 I AktG hat der Vorstand die Gesellschaft unter eigener Verantwortung zu leiten, d.h. die Führungsfunktionen im Unternehmen und die gesetzlich besonders zugewiesenen Aufgaben wahrzunehmen.^[16] Somit ist der Vorstand einer AG auch verpflichtet Aufgaben hinsichtlich der IT-Systeme, welche eine zentrale Rolle in Unternehmen einnehmen, wahrzunehmen, da ihm die Unternehmensleitung zukommt, in deren Rolle er u.a. für die Unternehmensplanung, Unternehmenskoordination, Unternehmenskontrolle und Besetzung der untergeordneten Führungsstellen zuständig ist.^[17]

c.) Der Aufsichtsrat einer AG und GmbH

Ein Aufsichtsrat ist wie der Vorstand ein zwingendes Organ jeder AG.^[18] Seine Aufgaben bestehen darin, zu einer funktionierenden Gewaltenteilung im Unternehmen beizutragen und bestehende Konflikte zu kompensieren.^[19] Daher ist er gem. §111 AktG auch zur Kontrolle der Geschäftsführung des Vorstands berechtigt und verpflichtet. Aus §111 IV S.2 AktG kann sich ferner ergeben, dass der Vorstand für bestimmte Arten von Geschäften die Zustimmung des Aufsichtsrats bedarf. Demnach ist es möglich, dass den Aufsichtsrat eines Unternehmens auch Aufgaben und Pflichten bzgl. IT-Sicherheitsstandards betreffen und er somit ein Leitungsorgan darstellt.

Die Bildung eines Aufsichtsrats in der GmbH schreibt das GmbHG nicht vor. Ist er jedoch nach dem Gesellschaftsvertrag zu bestellen, so finden gem. §52 GmbHG die Regeln des AktG entsprechend Anwendung.

d.) Gesellschafter der GbR, OHG und der KG

Gem. §709 BGB steht die Geschäftsführung einer GbR den Gesellschaftern gemeinschaftlich zu. Die Gesellschafter sind folglich für die Leitung des Unternehmens und somit auch für die Einhaltung bestehender Pflichten zuständig.

Die OHG ist in den §§105 ff. HGB geregelt. Die OHG gilt als besondere Form der GbR^[20], deren Geschäftsführung wie bei der GbR den Gesellschaftern vorbehalten ist.^[21] Durch den Verweis des §105 III HGB, wonach die Regeln des Bürgerlichen Gesetzbuchs für die Gesellschaft Anwendung finden, wird dies gesetzlich manifestiert. Es kann somit auf die Ausführungen zur GbR verwiesen werden.

Auch bei einer Kommanditgesellschaft, §§161 ff. HGB, sind die Gesellschafter für die Führung der Geschäfte verantwortlich.

Einer weitergehenden Unterscheidung und Abgrenzung der einzelnen Personengesellschaften bedarf es nicht, da bei allen jeweils die Gesellschafter zur Unternehmensleitung befugt und verpflichtet sind. Für die anstehende Untersuchung ist es ausreichend, dass sie als Leitungsorgane fungieren und demnach auch für eventuell bestehende Verpflichtungen zur IT-Sicherheit im Unternehmen verantwortlich sind.

e.) IT-Verantwortliche als Leitungsorgane?

Fraglich ist nun mehr noch, ob IT-Verantwortliche, wie z.B. Leiter der IT-Abteilung, IT-Berater, IT-Projektmanager etc. als Leitungsorgane eines Unternehmens anzusehen sind. Grundsätzlich stehen solche leitenden Angestellte in der Unternehmenshierarchie unter den Geschäftsführern, Vorständen und Gesellschaftern, da sie in den meisten Fällen weisungsgebunden handeln. Jedoch wird an ihre Tätigkeit ein erhöhter Sorgfaltsmaßstab gelegt. Ihnen wird durch Delegation von der Unternehmensleitung Kompetenz zugesprochen, die sie wiederum an andere (z.B. Administratoren) delegieren können. Auch sie steuern daher durch Planung und Entscheidung wichtige IT-Prozesse, obgleich ihre Entscheidungen letztlich von höherrangigen Personen (s.o.) überstimmt werden können. Aus thematischen Gründen sollen sie nichtsdestotrotz in der Bearbeitung berücksichtigt werden.

[...]

---

^[1] So benutzen nach einer Studie des Statistischen Bundesamtes von 2007 zur Nutzung von Informations- und Kommunikationstechnologie im Unternehmen zum Beispiel 82% aller Unternehmen einen Computer, 74% benutzen eine DSL-Internetanschluss, 67% setzen Netzwerke im Unternehmen ein und 41% benutzen IT-Systeme zur Auftragsbearbeitung.

^[2] Zu den nachfolgenden Begrifflichkeiten solcher technischer Schädlinge und deren Aufkommen siehe: „Lage der IT-Sicherheit in Deutschland“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI), S. 20 ff.

^[3] Vgl. dazu Interview mit dem Präsidenten des BSI Udo Helmbrecht in Technology Review, S. 52.

^[4] Studie „Managementkompass Sicherheitsstrategien“ wurde durchgeführt von Mummert in Zusammenarbeit mit dem F.A.Z.-Insitut. Näheres dazu bei: http://www.heise.de/newsticker/meldung/92589.

^[5] http://www.heise.de/newsticker/meldung/101527.

^[6] http://www.heise.de/newsticker/meldung/101527.

^[7] Vgl. Daum/Petzold/Pletke, 1.2.1, S. 3.

^[8] Vgl. Baumbach/Hopt, Einl. v. §1, Rn.31..

^[9] Siehe auch Holznagel, §1, Rn. 1 über die Bedeutung der Informationstechnik in der heutigen Zeit.

^[10] Brockhaus Enzyklopädie, Dreizehnter Band, S.254.

^[11] Dazu http://de.wikipedia.org/wiki/Leitung_%28Funktion%29.

^[12] Brockhaus Enzyklopädie, Sechzehnter Band, S.252.

^[13] Ulmer/W. Müller, GmbHG §6, Rn. 4.

^[14] Vgl Hüffer, §34, Rn.33; Ulmer/Hüffer GmbHG, §45, Rn. 5 und 15.

^[15] Seibt in K.Schmidt/Lutter (Hrsg.), AktG, 2008, §76, Rn.3.

^[16] Vgl. Hüffer, §31, Rn.2.

^[17] Vgl. Seibt in K.Schmidt/Lutter (Hrsg.), AktG, 2008, §76, Rn.8.

^[18] Drygale in K.Schmidt/Lutter (Hrsg.), AktG, 2008, §95, Rn.2.

^[19] Vgl. Lutter/Krieger, Rn. 51ff.

^[20] Hüffer, §15, Rn. 1.

^[21] Hüffer, §16, Rn. 1.