IT-Sicherheit und persoenliche Haftung des GmbH Geschaeftsführers

IT-Sicherheit und persoenliche Haftung des GmbH-Geschaeftsfuehrers.

Die Organisation und Kontrolle der IT-Sicherheit gehört zu den zentralen Anforderungen an die Unternehmensführung. Sie steht im Spannungsfeld zwischen Organisation, Technik und Recht. Nicht nur bei Datenverlust steht ein Geschäftsführer schnell persönlich in der Haftung.

Begriffsbestimmung IT-Sicherheit umfasst die rechtlichen, technischen und organisatorischen Regelungen zum Schutz von Daten. Dabei sind nicht nur personenbezogenen Daten i.S.v. §§ 1, 9 BDSG betroffen. Nach der Legaldefinition des
§ 2Abs. 2 des Gesetzes zur Schaffung des Bundesamtes für Sicherheit in der Informationstechnik („BSIG”) ist unter IT-Sicherheit die Erhaltung bestimmter Sicherheitsstandards zu verstehen, die die Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen betreffen. Schwerpunkt dieses Artikels ist die Schutzrichtung der Verfügbarkeit von Informationen unter dem Blickwinkel der Absicherung gegen Verlust.

Rechtsgrundlage der Pflicht des Geschäftsführers zur
Gewährleistung der Verfügbarkeit von Geschäftsdaten.

Das Gesellschaftsrecht verpflichtet die Geschäftsleitung eines Unternehmens zum effizienten Risikomanagement. Nach § 93 AktG hat der Vorstand einer Aktiengesellschaft die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Dieser Sorgfaltsmaßstab wurde durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vom 27.04.1998 um § 91 Abs. 1 AktG ergänzt. Danach hat der Vorstand geeignete Maßnahmen zu ergreifen um frühzeitig Entwicklungen erkennen zu können, die den Fortbestand des Unternehmens gefährden können – also ein Überwachungssystem einzurichten. Angesichts des Gefahrenpotentials der neuen Informationstechnologien zählt dazu die Schaffung und Erhaltung einer angemessenen IT-Sicherheit.

Für GmbH-Geschäftsführer gilt ähnliches. Nach § 43 Abs. 1 GmbHG ist er ebenfalls zur Sorgfalt eines ordentlichen Geschäftsleiters verpflichtet. Je nach Größe, Komplexität und Struktur muss er die Geschäfte der Gesellschaft unter Berücksichtigung gesicherter betriebswirtschaftlicher Erkenntnisse fachlich einwandfrei führen. Nach der ständigen Rechtsprechung des BGH und der Instanzgerichte (BGH, Urt. v. 12.7.1996, Az. X ZR 64/94; vgl. OLG Karlsruhe, Urt. v. 20.12.1995 – 10 U 123/95, CR 1996, 348f.) ist eine laufende Datensicherung selbstverständlich.

In Hinblick auf die Gefahr eines Datenverlustes und die daraus regelmäßig resultierenden schweren wirtschaftlichen Schäden für das Unternehmen gilt sie als unverzichtbar. Deshalb sind zumindest bei gewerblicher Nutzung einer EDV-Anlage zur Datensicherung besondere Sicherungsroutinen vorzusehen, die hinreichende Gewähr dafür bieten, dass in regelmäßigem Zeitabstand der Datenbestand des Anwenders auf einen besonderen Datenträger abgespeichert wird. Die Sicherung der Daten hat täglich, die Vollsicherung mindestens einmal wöchentlich zu erfolgen (OLG Hamm, Urt. v. 1.12.2003, Az.13 U 133/03). Der Geschäftsführers einer GmbH hat somit dafür zu sorgen, dass auf den EDV-Anlagen des Unternehmens gespeicherte Daten stets vor Verlust bestmöglich geschützt sind.

Reichweite der Haftung des Geschäftsführers.

Verletzt der Geschäftsführer schuldhaft seine Pflicht zur Gewährleistung einer angemessenen IT-Sicherheit, steht der GmbH ein Schadensersatzanspruch nach § 43 Abs. 2 GmbHG gegen ihn persönlich zu. In der o.g. Entscheidung des OLG Hamm hatte ein Reiseunternehmen einen Computer-Reparaturdienst mit der Suche nach dem Grund einer Fehlermeldung beauftragt. Während der Reparatur stützte der Server ab. Dadurch gingen zahlreiche Geschäftsdaten verloren. Das Unterlassen der erforderlichen Sicherungsroutinen durch den ITVerantwortlichen des Reisebüros bezeichnete das Gericht als „blauäugig” und lehnte deshalb einen Schadensersatzanspruch des Reisebüros gegen den Reparaturdienst wegen Mitverschuldens ab.

Im Fall von Datenverlust aufgrund unzureichender Sicherungsmaßnahmen kann die Gesellschaft den Geschäftführer regelmässig persönlich in Anspruch nehmen (vgl. BGH, Urt. v. 09.12.1991, Az. II ZR 43/91). Sein Verschulden wird vermutet. Der Geschäftsführer kann sich nur exkulpieren, wenn er glaubhaft machen kann, dass er die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters i.S.d. § 43 Abs. 1 GmbHG angewandt hat (vgl. BGH, Bes. v. 18.2.2008, Az. II ZR 62/07), z. B. durch zuverlässige und umfassende Sicherungsroutinen. Dazu genügt es, wenn die IT-Sicherheit einem ausreichend qualifizierten Mitarbeiter anvertraut worden ist und der Geschäftsführer seiner ordnungsgemäßen Auswahl und Überwachung des IT-Verantwortlichen nachgekommen ist.

Bei mehreren Geschäftsführern besteht eine Gesamtverantwortung, von der die einzelnen Geschäftsführer nicht einfach durch Zuständigkeitsteilung frei werden können (BGH, Urt. v. 15.10.1996, Az. VI ZR 319/9; BGH, NJW-RR 1985, 12559).

Daneben drohen die Sanktionen der §§ 43, 44 BDSG, sofern durch den Datenverlust gegen die Vorschriften zum Schutz personenbezogener Daten verstoßen wird. So kann ein verstoß gegen § 43 Abs. 1 BDSG Bußgelder nach sich ziehen, beispielsweise, wenn die innerbetriebliche Datenverarbeitung von einem Drittunternehmen im Auftrag durchgeführt wird und der Geschäftsführer (Auftragsgeber) seiner Auswahl- und Überwachungspflicht hinsichtlich der Gewährleistung einer angemessene IT-Sicherheit nicht genügt hat, vgl. § 11 Abs. 2 S. 1, 2 Nr. 3 i.V.m. Nr. 7 Anlage zu § 9, § 43 Abs. 1 Nr. 2b BDSG. Sind gegen die Gesellschaft Bußgelder verhängt worden, kann sie je nach Maß der Pflichtverletzung den Geschäftsführer in Regress nehmen. Dies gilt auch, wenn die klagende Gesellschaft einer durch den Datenverlust betroffenen Person gegenüber gem. § 7 BDSG Schadensersatz geleistet hat. Fazit Im Ergebnis hat der Geschäftsführer einer GmbH regelmässige Datensicherungen und den Schutz der Unternehmensdaten vor dem Zugriff unbefugter Dritter zu gewährleisten, um seiner Pflicht zum effizienten Risikomanagement gerecht zu werden. Unabdingbar ist deshalb eine anfängliche und regelmäßige Sicherheitsanalyse zur Feststellung der Eignung und angemessenen Handhabung von Hard- und Software auf Firmencomputern sowie auf mobilen Datenspeichern. Als Einstieg bietet der Grundschutzkatalog des BSI einen qualifizierten Überblick über die Gewährleistung einer angemessenen IT-Sicherheit (http:// www.bsi.de/gshb/deutsch/index. htm). Zur Minimierung des persönlichen Haftungsrisikos empfiehlt sich daneben stets eine Directorsand- Officers- (D&O)-Versicherung für Geschäftsführer und (IT-)Verantwortliche.

Rechtsanwalt Harald Brennecke, Karlsruhe.
Rechtsanwalt Brennecke ist Partner
der überörtlichen Rechtsanwaltskanzlei
Brennecke & Partner.
Mail: brennecke@brennecke-partner.de
Fabrice Gambele, wissenschaftlicher Mitarbeiter