IT-Challenge "Unternehmensstrafrecht": Ausweg aus der Haftung
Riskmanagement nach ISO 27001 macht Unternehmen "unantastbar"
Wien (pts005/09.10.2007/08:00) Unternehmen können nach dem VbVG zum Straftäter werden - dutzende Fälle sind bereits anhängig - neue Herausforderung für das IT-Management
Das IT-Management befindet sich im Spannungsfeld zwischen immer breiterer Verfügbarkeit von Diensten - Extranet, Teleworking, Outsourcing - und der dadurch steigenden Gefahr von Missbrauch. Mit dem Verbandsverantwortlichkeitsgesetz (VbVG) wird ein vollkommen neuer Anspruch an Unternehmen gestellt, was auch unmittelbar das IT-Management betrifft. Unternehmen sind mit dem neuen VbVG seit 01.01.2006 erstmals strafdeliktsfähig, mit allen negativen Folgen von Imageschaden bis zu Regressforderungen. Aus Sicht der IT-Leitung gilt es, höchste Sorgfalt im Bereich IT- und Informationssicherheit nachweisen zu können. "Damit wird Risikomanagement nach weltweit anerkannten und zertifizierbaren Normen wie ISO 27001 oder ISO 20000 zu einem zentralen Ausweg aus der Haftung", erklärt der auf Wirtschaftsrecht und Verbandshaftung spezialisierte Rechtsanwalt Dr. Orlin Radinsky von der Kanzlei Brauneis Klauser Prändl in Wien.
Die Verantwortung der IT-Leitung
"Bereits einige Dutzend Strafdeliktsfälle von Unternehmen werden von der Staatsanwaltschaft Wien untersucht", berichtet Mag. Peter Reichert, Riskmanagementexperte bei den Zertifizierungsorganisationen CIS und Quality Austria. Derzeit stammen diese noch überwiegend aus der Baubranche, jedoch zeige sich daran, dass bereits ein Umdenken in der rechtlichen Praxis hervorkomme. Früher war strafrechtliche Verfolgung ausschließlich bei natürlichen Personen möglich. Große Fälle wie Worldcom in den USA, Parmalat in Italien oder das Gondelunglück von Kaprun gaben den Anstoß zu internationalem Umdenken. Mit dem neuen VbVG haften auch "Verbände" von GmbH, AG, OHG, GmbH & Co KG, Sparkassen und Vereine bis hin zu Universitäten für Straftaten ihrer Mitarbeiter, wenn nachweislich die gesetzlich geforderte Sorgfalts- und Kontrollpflicht verletzt wurde - sowohl bei Vorsatz als auch bei Fahrlässigkeit. Eine brisante Situation für IT-Verantwortliche.
Gesetzgeber fordert Risikoanalyse
"Indirekt fordert der Gesetzgeber damit die Durchführung einer Risikoanalyse für sämtliche Leistungen und Ressourcen eines Unternehmens - aus IT-Sicht: vom USB-Stick bis zum Serverraum einschließlich der Benutzer. Denn nur, wenn Risiken evaluiert wurden, können nachweislich Maßnahmen zur Risikominimierung eingeleitet werden", betont Dr. Orlin Radinsky. Prekär wird der Sachverhalt zusätzlich, weil sich die unternehmerische Sorgfaltspflicht auch auf Leiharbeitskräfte, Praktikanten und freie Dienstnehmer oder Zulieferer erstreckt. "Auch kleinere Delikte können Unternehmen großen Schaden zufügen, allein schon aufgrund des Imageverlusts durch einen Strafregistereintrag", warnt auch CIS-Geschäftsführer Erich Scheiber.
Beispiel 1: Ein Ferialpraktikant verbreitet über das Firmennetzwerk Viren und schädigt Dritte.
Beispiel 2: Nach ungetesteten Updates arbeitet die IT-gesteuerte Medikamentierung in einem Spital fehlerhaft. Patienten werden unwiederbringlich geschädigt.
Beispiel 3: Mitarbeiter stellen über das Firmennetzwerk Kinderpornografie in das Internet.
Beispiel 4: Ein Automobilhersteller kauft ABS-Software zu. Das Anti-Blockiersystem ist fehlerhaft und bremst Autos bei 140 km/h abrupt ab. Es kommt zu Unfällen mit schwerer Körperverletzung.
Bewertung nach gängigen Weltstandards
Für IT-Verantwortliche ist in solchen Fällen relevant: "Es wird untersucht, ob Entscheidungsträger wesentliche technische, organisatorische und personelle Maßnahmen zur Verhinderung strafrechtlicher Taten durch Mitarbeiter unterlassen haben", erklärt CIS-Experte Reichert. Das betrifft auch die fahrlässige Gefährdung von Leib und Leben. Nach Angaben von Gerichtssachverständigen werden zur Bewertung IT-bezogener Delikte die gültigen Weltstandards wie ISO 27001 für Informationssicherheit und ISO 20000 für IT-Service-Management herangezogen, da diese international anerkannte Methoden für IT-Risikomanagement umfassen.
"Unternehmen die Risikomanagement nach ISO 27001 oder ISO 20000 nachweislich betreiben, entgehen damit der Verbandshaftung", resümiert CIS-Chef Scheiber. Noch stichhaltiger sei der Nachweis, wenn Unternehmen nicht nur nach diesen Standards arbeiten, sondern auch zertifiziert seien. Denn aufgrund der Akkreditierung der Prüfstelle seien CIS-Zertifikate nach ISO 27001 oder ISO 20000 staatlich anerkannte Dokumente, die auch vor Gericht aussagekräftig seien.
RECHTSINFORMATION UNTERNEHMENSSTRAFRECHT - Überblick
Verbandsgeldbußen bis zu 1,8 Mio. Euro:
Nach dem VbVG sind Verbände für Straftaten ab dem 1.1.2006 verantwortlich, welche zu Gunsten des Verbandes begangen wurden oder durch welche den Verband treffende Pflichten verletzt wurden. Dabei sind dem Verband die Handlungen seiner Entscheidungsträger und Mitarbeiter zuzurechnen. Bei Verstößen droht eine Verbandsgeldbuße von bis zu 1,8 Millionen Euro. Zu beachten ist, dass die Verbandsgeldbuße neben zivilrechtlichen Ansprüchen Schadenersatz) verhängt wird. Das VbVG wendet sich vor allem an die Entscheidungsträger wie Geschäftsführer, Mitglieder des Vorstandes und Prokuristen, Mitglieder des Aufsichtsrates sowie an sonstige Personen, die einen maßgeblichen Einfluss auf die Geschäftsführung haben. Wenn Entscheidungsträger die gebotene oder zumutbare Sorgfalt außer Acht lassen und Mitarbeiter rechtswidrig handeln, ob vorsätzlich oder fahrlässig, kann der Verband auch strafrechtlich verantwortlich sein.
| Aussender: | CIS - Certification & Information Security Services GmbH |
| Ansprechpartner: | Heike Galley - Galley PR - www.galley-pr.at |
| Tel.: | 0699 1974 5647 |
| E-Mail: | h.galley@galley-pr.at |
