Die oberste Leitung einer Organisation hat entsprechend geltender Gesetze Zuverlässigkeitspflichten in Bezug auf Compliance Anforderungen einzuhalten. §43 Abs.1 GmbHG spricht von der „Sorgfalt des ordentlichen Geschäftsmannes“.
Dies bedeutet, dass die oberste Leitung zur Einhaltung entsprechender Gesetze technische und organisatorische Regeln verabschieden und die Einhaltung dieser Regeln auch kontrollieren muss.
Werden diese Maßnahmen nicht umgesetzt oder können diese nicht nachgewiesen werden, so haftet die oberste Leitung persönlich gegenüber der GmbH. Untermauert wird die Aussage durch das Siemens/Neuburger Urteil aus 2013. Bereits hier wurde abgeleitet, dass die Pflicht zur Einführung eines Compliance Systems auch auf andere Geschäftsformen angesetzt werden kann. Bestätigt wurde diese Aussage durch das Urteil des OLG Nürnberg vom März 2022.
In der Entscheidung sprach das Gericht der obersten Leitung einen weitreichenden Beurteilungsspielraum zu, der auch riskante und nachteilige Entscheidungen enthalten kann. Dieser endet aber immer dann, wenn ein hohes Risiko eines Schadens unabweisbar ist und keine vernünftigen Gründe vorliegen, dieses Risiko einzugehen. Im Sinne der Sorgfalt eines ordentlichen Geschäftsmannes, hat die oberste Leitung eine interne Organisationsstruktur zu schaffen, die die Rechtmäßigkeit und Effizienz ihres Handelns gewährleistet. Gegebenenfalls erfordert dies die Einführung eines Überwachungssystems, mit dem Risiken für den Unternehmensfortbestand erfasst und kontrolliert werden können.
Das Gericht formulierte weiter aus, dass sich aus der Legalitätspflicht die Verpflichtung der obersten Leitung zur Einrichtung eines Compliance Management Systems ergibt, dass die Begehung von Rechtsverstößen durch die Organisation oder deren Mitarbeiter verhindert.
Diese Auslegungen adressieren sich damit direkt auch an das Informationssicherheitsmanagement in einer verantwortlichen Stelle. Fehlende technische und organisatorische Maßnahmen können damit zu einer direkten Haftung der Leitung führen.
Vorteile eines Managementsystems für Informationssicherheit
Unabhängig von der Größe einer Organisation ist die Einführung eines Managementsystems für Informationssicherheit immer ein Mehrwert. Es kann so spezifiziert werden, dass ein geeigneter und verhältnismäßiger Aufwand gewahrt bleibt. Es sorgt dafür, dass Anforderungen aus unterschiedlichen Bereichen wie Datenschutz, IT Sicherheit oder dem Schutz von Geschäftsgeheimnissen entsprechend Rechnung getragen wird.
Zusätzlich bedeutet ein Managementsystem weiteren Anforderungen gerecht zu werden, die sich beispielsweise aus dem Abschluss einer Cyberversicherung ergeben. Um Risiken an einen Versicherer auslagern zu können, müssen vor Vertragsschluss Nachweise erbracht werden, die die Voraussetzungen für einen Versicherungsabschluss erst möglich machen. Dies fällt wesentlich leichter, wenn die Umsetzung eines Managementsystems dargelegt werden kann. Zudem schrieben die Versicherer aufgrund der hohen Anzahl an Schadensfällen im Kontext von Cyberangriffen rote Zahlen. Es kann vermutet werden, dass die Anforderungen einen Versicherungsabschluss möglich zu machen, zukünftig noch steigen werden.
Aber am wichtigsten: ein Managementsystem für Informationssicherheit sorgt dafür, sich effektiv vor Cyberangriffen zu schützen bzw. die Auswirkungen wesentlich einzudämmen. Hintergrund dafür ist, dass ein Managementsystem dabei hilft, den Schutzbedarf von Unternehmensprozessen zu erkennen, die darauf wirkenden Risiken zu identifizieren und geeignete Maßnahmen zur Risikominimierung abzuleiten. Darüber hinaus werden bestehende Abläufe fortlaufend überprüft und wenn notwendig verbessert. Die Auswirkungen eines Cyberangriffs sind fatal und lösen extremen Stress bei allen Beteiligten aus. Dieses Szenario muss unbedingt verhindert werden.
Wir helfen Ihnen dabei
Als IT-Dienstleister ist es unser Ziel, Managementsysteme bei Kunden einzuführen und Organisationen zu befähigen, das Managementsystem eigenständig weiter zu betreiben. Dieses Ziel vor Augen bieten wir Ihnen vom 14.-16.11.2022 eine Basisschulung zur Einführung eines Informationssicherheits-Managementsystems an. Nutzen Sie die Chance, um direkt entscheiden zu können, wie die beschriebenen Compliance Anforderungen für Ihre Organisation geschaffen und eingehalten werden können.