Stellen Sie sich vor, bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit, Daten werden mutwillig
oder durch ein Unglück unwiederbringlich zerstört. Oder aus Ihrem Haus werden Massen-
E-Mails mit Computer-Viren verschickt. Welche Konsequenzen drohen dem Unternehmen bzw. der
Behörde und den verantwortlichen Personen?
Überblick über gesetzliche Regelungen mit Bezug zur Informationssicherheit
Während der vergangenen Jahre wurden mehrere Rechtsvorschriften erlassen, aus denen sich zu
Fragen der Informationssicherheit unmittelbare Handlungs- und Haftungsverpflichtungen der
Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen. Diese Regelungen gelten
sowohl für Aktiengesellschaften als auch für GmbHs. Dies ist in der Öffentlichkeit noch nicht
hinreichend bekannt.
In diesem Zusammenhang wird immer wieder auf das Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich (KonTraG) hingewiesen. Das KonTraG ist ein sog. Artikelgesetz und ergänzt
bzw. ändert verschiedene Gesetze wie das Handelsgesetzbuch und das Aktiengesetz. Insbesondere die
Forderung nach einem Risikomanagement für Kapitalgesellschaften - d. h. für Aktiengesellschaften
und GmbHs - waren in den bisherigen Vorschriften nicht enthalten.
Im Einzelnen könnten Sie z. B. von folgenden Regelungen betroffen sein:
Im Aktiengesetz wird festgelegt, dass ein Vorstand persönlich haftet, wenn er Entwicklungen, die
zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement
überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG).
Geschäftsführern einer GmbH wird im GmbH-Gesetz „die Sorgfalt eines ordentlichen Geschäftsmannes“
auferlegt (§ 43 Abs. 1 GmbHG).
Die im Aktiengesetz genannten Pflichten eines Vorstands gelten auch im Rahmen des Handelsgesetzbuches
(§ 317 Abs. 4 HGB). Weiterhin verpflichtet das Handelsgesetzbuch Abschlussprüfer zu
prüfen, „ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind“ (§ 317 Abs. 2 HGB).
Die oben genannten Formulierungen klingen für den juristischen Laien teilweise recht allgemein und
unverbindlich. In der Tat lassen sich hieraus jedoch konkrete Verpflichtungen für die Gewährleistung
eines angemessenen Informationssicherheitsniveaus im eigenen Unternehmen ableiten.
Informationssicherheitsvorfälle können massive wirtschaftliche Schäden verursachen und
schlimmstenfalls den Bestand eines Unternehmens gefährden.
Für bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe gibt es
darüber hinaus Sonderregelungen im Strafgesetzbuch, die sogar Freiheitsstrafen vorsehen, wenn vertrauliche
Angaben von Patienten, Mandanten bzw. Klienten ohne Einwilligung öffentlich gemacht
werden (§ 203 StGB). Ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter
Umständen bereits erfüllen.
Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt. Die Verwendung von
Informationstechnik, die Nutzung des Internets oder von Telekommunikationsdiensten werden zum
Teil sehr genau geregelt. Einschlägig sind z. B.: Gesetz zur Nutzung von Telediensten, Telekommunikationsgesetz,
Mediendienste-Staatsvertrag, Urheberrecht sowie verschiedene Richtlinien auf EU Ebene.
Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der
Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung
sowie teilweise in den bereits aufgezählten Gesetzen geregelt.