<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

30.10.07Kommentieren

IT-Recht

IT-Compliance im Unternehmen

Ein Beitrag von Rechtsanwalt Christian Oberwetter

Worum geht es? Im wesentlichen um unabdingbare Verpflichtungen bei dem Einsatz von EDV im Unternehmen. Wir alle wissen, dass der Umgang mit Computern zwar ein Segen ist, mitunter jedoch auch ein Fluch. Im Grunde bedeutet IT-Compliance die Befolgung aller Regelungen, die für den Einsatz von Informationstechnologie im Unternehmen vorgesehen sind.

I. Anforderungen an IT-Systeme im Unternehmen

Es gibt eine Vielzahl von Anforderungen bei dem Einsatz von EDV-Systemen im
Unternehmen. Es würde zu weit führen, hier alles aufzuführen, so dass wir uns auf einige wichtige ausgewählte Aspekte beschränken.

1. Datenschutz und Datensicherheit

Der Einhaltung datenschutzrechtlicher Anforderungen kommt eine hohe Bedeutung zu. Es ist kein Zufall, dass in der letzten Zeit der Datenschutz einen neuen Stellenwert bekommen hat. Für Unternehmen bedeutet das, sorgsam mit personenbezogenen Daten umzugehen. Unternehmen haben darauf zu achten, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn es durch Gesetz oder durch die Einwilligung des Betroffenen erlaubt ist. So sieht es § 4 des Bundesdatenschutzgesetzes (BDSG) vor. Die Praxis zeigt, dass vielen Unternehmen das Gesetz kaum bekannt ist. Das führt dazu, dass Daten unerlaubt erhoben werden.

Ab einer gewissen Unternehmensgröße muss ein Datenschutzbeauftragter bestellt werden. Auch das beherzt so manche Firma nicht. Ferner existieren viele Vorschriften dazu, wie Daten gesichert werden müssen.

2. Arbeitsrecht

Im Bereich des Arbeitsrechts sind Vorschriften der betrieblichen Mitbestimmung sowie Regelungen zum Arbeitsschutz zu beachten. Das Betriebsverfassungsgesetz (BetrVG) sieht eine Vielzahl von Mitwirkungs- und Beteilungsrechten des Betriebsrats in Bezug auf technische Einrichtungen vor. Ferner müssen IT-System den geltenden Arbeitsschutzvorschriften entsprechen, so z.B. der so genannten Bildschirmarbeitsverordnung.

3. Unternehmensorganisation

Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) trifft die Unternehmensleitung die Pflicht, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden. Diese Vorschrift steht in § 91 Abs.2 Aktiengesetz, ist aber nach allgemeiner Auffassung entsprechend auf die GmbH und gegebenenfalls andere Gesellschaftsformen anwendbar.

Was hat das mit IT zu tun? Nun, ein mangelhaftes IT-System kann erhebliche Schäden verursachen und auch den Bestand des Unternehmens in Frage stellen. Bedenken Sie, dass ein kleiner Softwarefehler erhebliche wirtschaftliche Schäden verursachen kann. Auch Eingriffe von außen sind zu berücksichtigen, also die Gefahr von Viren, Hackern usw. Schließlich sollte jedes Unternehmen darauf achten, dass nur lizenzierte Software genutzt wird.

4. Buchführung

Es sind die Grundsätze der ordnungsgemäßen Buchführung und der
ordnungsgemäßen DV-gestützten Buchführungssysteme zu beachten. Ferner haben Unternehmen auf die Einhaltung der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu achten. Es handelt sich um
Anforderungen an Unternehmenssoftware, damit eine Außenprüfung durchgeführt werden kann. Schließlich ist der Sarbanes-Oxley-Act nicht zu vergessen. Hiermit werden Anforderungen durch den amerikanischen Gesetzgeber an die Überwachung von Finanzdaten gestellt. Der Act ist für alle an US-Börsen notierte Unternehmen verbindlich, das gilt auch für deutsche Tochterunternehmen.---NEUE-SEITE---II. Verstöße gegen die IT-Compliance

Verstöße gegen einzuhaltende Vorschriften können recht erhebliche Folgen haben.So stehen bei Datenschutzverletzungen dem Betroffenen verschiedene Ansprüche zu, es können bei der Verwirklichung von Ordnungswidrigkeiten aber auch Bußgelder von der zuständigen Behörde verhängt werden, je nach Verstoß können bis zu 250.000 Euro verhängt werden. Schließlich sind Verstöße gegen das BDSG teilweise auch strafrechtlich sanktioniert. Unter Strafe stehen auch verschiedene andere Begehensformen, die durch mangelhafte IT-Compliance entstehen können.

So existieren z.B. die Straftatbestände des Ausspähens von Daten, der
Datenveränderung und der Computersabotage. Bei Verstößen kann auch das Management eines Unternehmens eine persönliche Haftung treffen, so z.B. wenn ein Geschäftsführer seinen Pflichten nicht nachkommt und hieraus ein Schaden entsteht. Er kann dann von der Gesellschaft haftbar gemacht werden.

Erleidet ein Unternehmen einen Schaden, zu dem mangelhafte IT-Compliance
beigetragen hat, so trifft das Unternehmen ein Mitverschulden, das bei hohem
Mitverschulden dazu führen kann, dass ein Unternehmen einen Schaden allein
tragen muss. Man denke hier nur an ein Unternehmen, dass keine
Sicherungssoftware gegen Phishing besitzt oder diese Software nicht aktualisiert.

Hier wird die Bank sich auf ein Mitverschulden berufen, wenn es zu wirtschaftlichen Schäden kommt. Gleiches gilt in Bezug auf Versicherungen. Werden versicherungsrechtliche Obliegenheiten durch mangelhafte IT-Compliance verletzt, so kann das zu Haftungseinschränkungen der Versicherung führen.

III. Aktuelle Rechtsprechung

1. WLAN-Haftung

Der Inhaber eines ungeschützten WLAN Internetanschlusses haftet für Urheberrechtsverletzungen, die über diesen Anschluss begangen werden (LG Frankfurt/M, Urt. v. 22.02.2007, 2/3 O 771/06).

Im betreffenden Fall wurde anhand einer IP-Adresse ein Internetanschluss ermittelt, mit welchem auf einer sogenannten Tauschbörse urheberrechtlich geschützte Musikwerke zum Download angeboten wurden. Das Gericht stellte dabei fest, dass es unerheblich sei, ob der Anschlussinhaber selbst diese Handlung begangen habe oder ob ein Dritter über die Nutzung des ungeschützten WLAN diese Handlungen vorgenommen hat. Es sei Pflicht des Beklagten gewesen, so das Gericht, Maßnahmen zu schaffen, die Rechtverletzungen verhindern. Der Beklagte hatte dazu lediglich vorgetragen, er hätte seinen Computer ausgeschaltet gehabt. Das reichte
dem Gericht als angemessene Schutzmaßnahme nicht aus.

Anmerkung:
Achtung! Entscheidungen solcher Art besitzen auch Unternehmensbezug. Es ist auf die Sicherung von WLAN-Anschlüssen zu achten.

Gerade für Unternehmen kann es zu erheblichen Schäden kommen. Dabei mag das Online-Angebot von Musik noch eher kleine Kreise ziehen. Was aber ist, wenn über ein ungeschütztes WLAN Kinderpornografie abgerufen wird? Ein Unternehmen kann sich in solchen Fällen auf einen erheblichen Eingriff in den Betriebsablauf einstellen (Durchsuchung im Unternehmen, Beschlagnahme von Computern etc.).

Autor: Christian Oberwetter

Rechtsanwalt und Fachanwalt für Arbeitsrecht
Website des Autors
Christian Oberwetter

Kommentare

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer