IT-Haftung
Corporate Governance

Die Optimierung der Überwachung und Kontrolle von Unternehmensrisiken ist in den vergangenen Jahren Gegenstand verschiedener Gesetzgebungsverfahren gewesen; rechtspolitisch motiviert sind diese Bestrebungen auf nationaler wie auf internationaler Ebene immer durch die vorherige Feststellung erheblicher Mängel im Bereich der Internen Kontrollsysteme (IKS) und des Risk Managements. Bereits nach Maßgabe von § 91 Abs. 2 AktG hat der Vorstand (mit einer zwischenzeitlich anerkannten „Ausstrahlungswirkung“ auch auf die Geschäftsleitung einer GmbH, siehe BT-Drucksache 13/9712, Seite 15) „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ können.

Damit hat der deutsche Gesetzgeber eine gesetzliche Vorgabe dessen vorgenommen, was gemeinhin als „Führung und Überwachung des Unternehmens“ im Interesse der Eigentümer bzw. Aktionäre und der Öffentlichkeit verstanden wird – und damit eigentlich zunächst ureigenste Aufgabe der Geschäftsleitung selbst darstellt, nämlich die effiziente Umsetzung von Organisations- und Sorgfaltspflichten. Freilich ergab sich schon zuvor (d. h. vor den konkretisierenden und haftungsverschärfenden Regelungen des KonTraG) aus der umfassenden Leitungspflicht des Vorstandes gemäß § 76 Abs. 1 AktG die Pflicht, unternehmensgefährdende Risiken zu identifizieren und zu minimieren, kurz: Ein Risiko-Controlling einzusetzen.

Der Gesetzgeber sah sich aber völlig zu Recht vor dem Hintergrund der mit zunehmender Nutzung von Informations- und Kommunikationssystemen stetig wachsenden wirtschaftlichen Bedeutung einer funktionsfähigen IT-Infrastruktur veranlasst, auf das entsprechend ansteigende Anwendungsrisiko mit dem KonTraG im Jahre 1998 zu reagieren. Durch dieses erfolgte eine materiellrechtliche Klarstellung oder besser: Verdeutlichung der Kontroll- und Vorsorgepflichten mit der einhergehenden Verschärfung der persönlichen Haftung der Vorstandsetage.
Nicht allzu lange Zeit danach hat die von der Bundesministerin für Justiz im September 2001 eingesetzte Regierungskommission am 26.02.2002 den „Deutschen Corporate Governance Kodex“ (Kodex) verabschiedet. Auch dieser kann über die sog. Entsprechendserklärung nach § 161 AktG (in Umsetzung des am 26.07.2002 in Kraft getretenen Transparenz- und Publizitätsgesetzes) auf eine gesetzliche Grundlage verweisen: Hiernach haben Vorstand und Aufsichtsrat einer börsennotierten Aktiengesellschaft jährlich zu erklären, dass den vom Bundesministerium der Justiz im amtlichen Teil des elektronischen Bundesanzeigers bekannt gemachten Empfehlungen der "Regierungskommission Deutscher Corporate Governance Kodex" entsprochen wurde oder welche Empfehlungen nicht angewendet wurden oder werden. Die Erklärung ist den Aktionären dauerhaft zugänglich zu machen.
Der Kodex beinhaltet mithin Erklärungspflichten, durch welche insbesondere für nationale und internationale Investoren und Aktionäre die geltenden Organisations- und Überwachungsmaßnahmen eines deutschen Unternehmens transparenter gemacht werden sollen – nicht zuletzt um derart Unwägbarkeiten im Zusammenhang mit der im internationalen Vergleich eher unklaren Unabhängigkeit und Effizienz von Aufsichtsrat und Wirtschaftsprüfer zu kompensieren.

Außerhalb des Kodex gibt es freilich zahlreiche andere Regelwerke und Leitlinien, die allesamt unterhalb des materiellen Rechtes einer Standardisierung der „guten Unternehmensführung“ dienen sollen und derart jedenfalls Sorgfaltsmaßstäbe definieren, so z. B. die Leitsätze der OECD, welche neben der Berücksichtigung der Interessen der „Stakeholder“ insbesondere auch auf die gesellschaftliche und wirtschaftspolitische Gesamtverantwortung abstellen. Für die öffentliche Hand wird eben diese Pflichtigkeit unter dem Begriff der „Good (Public) Governance“ definiert.

Im Kern sind die Schutzziele dieser „Prinzipien“ oder „Leitlinien“ bei der Sicherung der Grundlagen eines effektiven Corporate-Governance-Rahmens immer doppelläufig: Einerseits sollen Aktionärsrechte und Schlüsselfunktionen der Kapitaleigner geschützt werden, andererseits soll insbesondere durch Transparenz der Kontrollmaßnahmen volkswirtschaftlicher Schaden durch vorbeugende Maßnahmen verhindert werden – was vor dem Hintergrund der letzten Entwicklungen am Finanzmarkt weltweit mehr denn je Bedeutung hat.

Mit ein zentrales Element dieses Risk Managements ist und bleibt aber die IT Governance, welche die Sicherung von Integrität und Verfügbarkeit sowie der Vertraulichkeit bestimmter Informationen sicherstellt. Diese IT-Sicherheitsziele sind ein nicht wegzudenkender Bestandteil der Corporate Governance, deren Erreichen letztlich nur über anerkannte Standards und interne Kontrollprozesse möglich ist. Wir helfen Ihrem Unternehmen bei dem individuellen Zuschnitt, der Implementierung und dem effektiven Einsatz dieser Maßnahmen.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart