Wer ist verantwortlich für die IT-Sicherheit?

Ein Ratgeber von IT.Security

Die IT-Sicherheit gilt in Zeiten zunehmender Bedrohungen für informationstechnische Anwendungen als ein zentrales Element einer gelungenen Geschäftsplanung. Denn gerade Unternehmen, seien sie nun mittelständisch oder groß, bieten Cyberkriminellen eine unwiderstehliche Angriffsfläche. Opfer eines Cyberangriffs zu werden, zählt heutzutage zu den Betriebsrisiken. Schließlich kommen überall Tablets, Computer und Smartphones zum Einsatz, um Buchungen zu erledigen, E-Mails zu schreiben oder Kundendaten zu speichern. Ist ein digitaler Angriff von Erfolg gekrönt, kostet das nicht nur sehr viel Geld, sondern vor allem auch Zeit und Nerven. Schnell kann der Schaden existenzbedrohlich werden – insbesondere, wenn Systemausfälle über Tage, Wochen oder Monate hinweg nur einen eingeschränkten Geschäftsbetrieb ermöglichen. Im schlimmsten Fall nimmt das Unternehmensimage irreparablen Schaden: Umsatzeinbußen sind die Folge.

Die Geschäftsführung ist gesetzlich dazu verpflichtet, Maßnahmen vorzunehmen, die im Ernstfall den Schutz des Unternehmens sichern.

 § 43 Abs. 1 GmbHG

In diesem Zusammenhang stellen sich viele Unternehmer die Frage: Wer haftet eigentlich, wenn es zu einem Cyberangriff kommt? Genau darum soll es im Folgenden gehen. Gerne stehen wir, das Team von IT.Security, Ihnen anschließend bei weiteren Fragen zur Verfügung.

Die Haftungsrisiken der Geschäftsführung

Wenn digitale Angriffe zum Einbruch ganzer IT-Systeme.führen, werden die Schuldigen – sofern es überhaupt möglich ist, sie zu ermitteln – aller Voraussicht nach nicht dazu in der Lage sein, den Schaden aus eigener Tasche zu begleichen. In der Folge liegt die Haftung in aller Regel bei der Geschäftsleitung. Sie ist gesetzlich dazu verpflichtet, Maßnahmen vorzunehmen, die im Ernstfall den Schutz des Unternehmens sichern (z.B.  § 43 Abs. 1 GmbHG). Das schließt selbstverständlich auch die IT-Sicherheit mit ein. Um Haftungsrisiken vorzubeugen, ist ein durchdachtes Schutzkonzept unerlässlich. Natürlich muss die Geschäftsführung nicht selbst eine Firewall, einen Spamschutz oder ein Antivirenprogramm installieren. Sie ist aber dazu verpflichtet, die IT-Sicherheit in qualifizierte Hände zu legen – so zum Beispiel in die Hände eines externen Dienstleisters wie IT.Security. Das liegt auch im Eigeninteresse der Geschäftsleitung, die im Falle von Pflichtverletzungen schnell in die persönliche Haftung genommen wird – sogar in einer GmbH. Dabei muss es nicht einmal unbedingt zu einem ernstzunehmenden Schaden kommen – schon Mängel, so zum Beispiel eine unzureichende Datensicherung, können bestraft werden. IT-Sicherheitsmaßnahmen, die nicht den aktuellen Datenschutzbedingungen entsprechen, ziehen nicht selten empfindliche Strafen nach sich.

Die Verantwortung des Arbeitnehmers

All das bedeutet jedoch nicht, dass die Arbeitnehmer nicht ebenso in der Pflicht sind, im Interesse des Unternehmens Maßnahmen rund um die IT-Sicherheit zu ergreifen. Denn sollte es zu einem Fehlverhalten kommen, kann das durchaus geahndet werden. Arbeitnehmer haben sich vor allem besonnen zu verhalten, solange der Umfang der Maßnahmen, die sie zum Schutz des Unternehmens ergreifen, zumutbar ist. Dazu gehören zum Beispiel die Risikovermeidung und Schadensvorbeugung. Allerdings – und das unterscheidet ihn von der Geschäftsführung – haftet der Arbeitnehmer grundsätzlich nur bei grober Fahrlässigkeit. Dasselbe gilt, wenn er dem Unternehmen vorsätzlich Schaden zufügt. Allgemein gilt: Arbeitnehmer handeln grundsätzlich nicht fahrlässig, solange sie sich an die betrieblichen Vorschriften und persönlichen Arbeitsanweisungen halten.

Fazit

Abschließend sei festgehalten: Die IT-Sicherheit zählt zu den Aufgaben der Geschäftsleitung. Vernachlässigt sie diese Aufgabe, muss sie fürchten, im Falle eines Cyberangriffs persönlich zu haften. Umso wichtiger ist es, dass Unternehmer stets auf dem neuesten Stand bleiben – vor allem aber, dass sie rechtzeitig entsprechende Vorkehrungen treffen. Schulungen und Sensibilisierungsmaßnahmen innerhalb des Unternehmens können zum Beispiel dabei helfen, den Arbeitnehmern einen Leitfaden mit an die Hand zu geben, wie sie riskantes Verhalten im Arbeitsalltag vermeiden können. Zu diesem Zweck haben Sie jederzeit die Möglichkeit, einen externen Dienstleister wie IT.Security zu beauftragen. Indem Sie für eine hohe IT-Sicherheit sorgen, geben Sie Cyberkriminellen keine Chance. Wir, das Team von IT.Security, kümmern uns gerne um diese Aufgabe. Indem wir Ihnen den Rücken freihalten, brauchen Sie sich über Ihre Haftungsrisiken nicht den Kopf zu zerbrechen. Sie haben weitere Fragen? Wir freuen uns darauf, von Ihnen zu hören!