IT-Sicherheitslücken: Was SIE als Geschäftsführer veranlassen müssen

Nach vie­lem Daten-Miss­brauchs­fäl­len und immer neu­en Hacker-Angrif­fen auch auf Fir­men-Netz­wer­ke sind vie­le Geschäfts­füh­rer ver­un­si­chert, wel­che Pflich­ten für sie gelten.…

Wich­tig: In der Regel dro­hen straf­recht­li­chen Kon­se­quen­zen bei einer unzu­läs­si­gen Daten­wei­ter­ga­be nur gegen den Mit­ar­bei­ter, nicht aber für das Unter­neh­men. Betrof­fe­ne Kun­den kön­nen aber Scha­dens­er­satz­an­sprü­che gegen das Unter­neh­men stel­len – selbst dann, wenn zur Daten­ver­wal­tung ein exter­nes Unter­neh­men beauf­tragt wird. Nur wenn der Geschäfts­lei­ter selbst vor­sätz­lich oder grob fahr­läs­sig Pflich­ten ver­letzt hat, kann er per­sön­lich vom Unter­neh­men in die Haf­tung für Scha­dens­er­satz­an­sprü­che genom­men wer­den. Als Geschäfts­füh­rer müs­sen Sie „mit der gebo­te­nen Sorg­falt­pflicht“ vor­ge­hen. Fehlt das ent­spre­chen­de Fach­wis­sen, muss sich der Geschäfts­füh­rer ent­spre­chen­des Wis­sen ein­holen (IT-Lei­ter) bzw. sich qua­li­fi­ziert bera­ten las­sen (exter­ne Beratung).

Für die Pra­xis: Als Unter­neh­mens­lei­ter müs­sen Sie in Ihrem Unter­neh­men die­se Maß­nah­men umsetzen:

• Sie müs­sen kon­kre­te Sicher­heits­maß­nah­men tref­fen (z. B. Zutritts‑, Zugangs- und Auf­trags­kon­trol­len im IT-Bereich, Ver­schlüs­se­lung der Daten).
• Die ein­zel­nen Kon­troll­maß­nah­men müs­sen kon­kret beschrie­ben wer­den und in der Pra­xis auch tat­säch­lich über­wacht wer­den (Pro­to­kol­le).
• Die Kon­troll­in­stru­men­te müs­sen regel­mä­ßig über­prüft wer­den (emp­foh­len: GF-Rou­ti­ne unter Hin­zu­zie­hung des Lei­ters IT und des Daten­schutz­be­auf­trag­ten ein­mal pro Halbjahr).