Generelle Verpflichtung zu IT-Kontrollen
Die Notwendigkeit zur Einrichtung lässt sich am Beispiel des CrowdStrike-Schadens schnell belegen, da dieser durch das Testen von Software-Updates im Kundenunternehmen hätte vermieden werden können. Es wäre danach keine fehlerhafte Software ohne weitere Kontrolle ausgerollt worden.
Ein zweites Beispiel: Der Geschäftsführer eines Familienunternehmens mit nur rund 60 Mitarbeitern wurde persönlich zur Zahlung von 800.000 € Schadensersatz verurteilt (OLG Nürnberg vom 30.3.2022, Az.: 12 U 1520/19). Er hatte es unterlassen, ein Vier-Augen-Prinzip für seinen Prokuristen bzgl. der Tankkartenverwaltungssoftware vorzugeben.
Beide Beispiele stehen für fehlende IT-Kontrollen im Rahmen eines internen IT-Compliance-Management-System (IT-CMS). Nur allzu oft wird die IT immer noch häufig nach dem Motto betrieben: „Es läuft, somit wird es schon gut sein“.
Empfehlung: Wird hingegen ein IT-CMS eingesetzt, kann bei einer dennoch erfolgenden Rechtsverletzung ein Verschulden (und damit eine Schadensersatzpflicht) ausgeschlossen werden. Dies folgt insbesondere aus Tz. 2.6 Satz 6 des Anwendungserlasses zur Abgabenordnung (AEAO) zu § 153 AO.
Definition des IT-CMS
Das IT-CMS basiert als Teil des unternehmensweiten CMS auf einem Risikomanagementsystem (RMS), zu dem z.B. auch die Bereiche Tax, Arbeitsrecht und Arbeitssicherheit gehören. Unter IT-CMS wird hier die Gesamtheit der in einem Unternehmen (oder sonstigen Organisation) eingerichteten IT-Maßnahmen/Kontrollen, Strukturen und Prozesse verstanden. Ziel ist es, die Regelkonformität für IT-bedingte Sachverhalte sicherzustellen, worunter rechtsverbindliche und ethisch basierte Regeln fallen.
Anforderungen an ein IT-CMS
In diesem Abschnitt werden ausgewählte Anforderungen kurz erläutert, die die Einrichtung bzw. den Betrieb eines IT-CMS stark beeinflussen.
Ersatz des aktuellen ERP-Systems
Erfahrungsgemäß laufen in der Praxis nahezu sämtliche Umstellungen von ERP-Systemen (SAP, Navision etc.) nicht on budget, on time oder erfüllen nicht die gesetzlichen Anforderungen. Dies sollte durch ein Internes Kontrollsystem (IKS) für die Einführung von IT-Systemen abgefangen werden, damit das neue ERP-System ordnungsgemäß implementiert, überwacht, dokumentiert und später betrieben werden kann.
Verschärfung von gesetzlichen Vorgaben
Der Entwurf des Cybersicherheitsgesetzes (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) wurde am 24.7.2024 von der Bundesregierung angenommen und befindet sich damit im Gesetzgebungsverfahren.
Bislang war lediglich die NIS1-Richtlinie für „Kritische Infrastrukturen“ zu beachten. Mit dem neuen Gesetz werden nun – wesentlich weitreichender – zahlreiche Unternehmen ausdrücklich zur Einrichtung, Billigung und Überwachung eines RMS im Bereich IT-Sicherheit verpflichtet. Eine Delegation dieser Überwachungsaufgaben weg von der Geschäftsführung wird dabei ausdrücklich ausgeschlossen. In den Anwendungsbereich fällt beispielsweise derzeit ein Maschinenbauer mit mehr als 50 Mitarbeitern. Auch Forschung und rein digitale Dienste können erfasst sein, z.B. Anbieter von Online-Plattformen.
Hinweis: Eine persönliche Haftung kann sich z.B. auch bei einer fehlenden Compliance-Absicherung von selbst entwickelten Software-Produkten ergeben, etwa wenn diese ohne die zukünftig notwendige CE-Kennzeichnung auf den Markt gebracht werden.
Durchgereichte Anforderungen in der Lieferkette
Neben den Verschärfungen aufgrund von Gesetz und Rechtsprechung ergibt sich eine indirekte Verpflichtung, die sich unmittelbar auf die Akquisetätigkeiten und die Pflege von Kundenbeziehungen auswirkt. Immer mehr Kunden erwarten von ihren Zulieferern, dass diese ein CMS vorweisen können.
Wenn in einem konkreten Fall die Entscheidung zwischen zwei Zulieferern zu treffen ist, von denen nur der eine ein Information Security Management System (ISMS) nach ISO/IEC 27001 vorweisen kann, dürfte dieser Anbieter vorzuziehen sein, da dieses einen Nachweis für wichtige Maßnahmen im Rahmen des IT-CMS darstellen kann.
Hinweis: Entsprechendes wird gelten, wenn mehrere Cloud-Anbieter zur Auswahl stehen, von denen nur einer den C5-Kriterienkatalog des BSI (Cloud Computing Compliance Criteria Catalogue) erfüllt (Nachweis IT-CMS).
Schadensträchtige Vorgänge und Multiplikation des Schadens
Zielsetzung eines jeden CMS sollte es sein, Vorgänge mit einem Schadenrisiko zu identifizieren, um über entsprechende Analysen rechtzeitig risiko-eingrenzende Maßnahmen ergreifen zu können. Ohne entsprechende Maßnahmen können sich aus einfachen Fehlern massive Schäden ergeben.
Praxisbeispiel: Ein Softwareanbieter mit 10.000 Kunden ermöglicht über seine Software die Generierung von E-Rechnungen. Einige Zeit später führt die Finanzverwaltung bei ersten Kunden Prüfungen durch und ist der Auffassung, dass der Softwarehersteller bestimmte Anforderungen der GoBD nicht eingehalten hat. Für den Softwarehersteller „multipliziert“ sich der Fehler, weil jeder Kunde einen Regress geltend machen kann. Der Softwarehersteller wäre gut beraten gewesen, eine Prüfung nach IDW PS 880 zur Erlangung eines Softwarezertifikats durchzuführen (unabhängige externe Bescheinigung des IT-CMS bzgl. Softwareentwicklung). Der Fehler wäre dann zum einen frühzeitig identifiziert worden. Zum anderen wirkt ein solches Zertifikat gegenüber Kunden vertrauensbildend und hilft bei der Vermarktung, um sich von anderen Produktanbietern abzuheben.
Empfehlung: Durchführung des IT-CMS Quick Check
Cyber- und D&O-Versicherungen sind nicht geeignet, ein unzureichendes IT-CMS abzufedern, sondern sollten allenfalls flankierend zum Einsatz kommen. Um einen ersten Eindruck von der Situation im Unternehmen zu gewinnen, ist vielmehr ein IT-CMS Quick Check zu empfehlen. Hierdurch kann sich die Geschäftsführung mit einem überschaubaren Aufwand einen Überblick über den Status Quo verschaffen. Weiterhin können Hinweise gegeben werden, welche kurzfristigen Maßnahmen ergriffen werden können, um Defizite mit Haftungspotential auszugleichen.
Der angemessene Scope des IT-CMS Quick Check hängt letztlich vom Einzelfall ab. Insbesondere sollten dabei die unter (1) – (8) in der Tabelle 2 checklistenartig aufgeführten Fragestellungen in den Fokus genommen werden.