Rechtsvorteile von Standards

Start > Grundlagen > Rechtliche Grundlagen > IT-Compliance > Rechtsvorteile von Standards

IT und Compliance
Rechtsvorteile der Standards (BSI, ISO, CobiT)

Der Einsatz von komplexen Informationstechnologien bei praktisch allen relevanten Geschäftsprozessen in einem Unternehmen stellt heute mehr denn je besondere Anforderungen an die verantwortungsvolle Geschäftsleitung (Corporate Governance). Ohne besondere Maßnahmen ist eine verantwortungsvolle Organisation und Nutzung von IT nicht vorstellbar. Diese IT-Compliance setzt ihrerseits die Etablierung eines Informations- und Kontrollsystems (IKS) voraus, bei welchem der Schutz, die Sicherheit und die jederzeitige Verfügbarkeit der Daten entsprechend der gesetzlichen Verhaltensappelle fortlaufend gewährleistet werden kann (IT-Security).

Allein die Erstellung eines technischen und organisatorischen Sicherheitskonzeptes, die Anschaffung und Implementierung der eben hierfür erforderlichen Sicherheitstechnik und schließlich die Durchführung und Überwachung aller organisatorisch und rechtlich notwendigen Policies bieten bei der anzunehmenden Verschuldensvermutung der Geschäftsleitung im Schadensfall die Möglichkeit der Exkulpation – und somit das letztlich einzig effektive Mittel gegen die persönliche Haftung der Geschäftsleitung bei Annahme eines widrigenfalls anzunehmenden Organisationsverschuldens.

Die Nachweisbarkeit dieser Compliance im Rechtsstreit mit Dritten aber auch gegenüber dem Wirtschaftsprüfer (EURO SOX), dem Kreditgeber (Basel II) oder dem Betriebsprüfer (GoBS und GDPdU) ist indes ohne Verweis auf ein standardisiertes Sicherheitsniveau praktisch unmöglich. Eben diese Funktion bieten Zertifizierungen, über welche ein lückenloser Nachweis der vorgenannten Anforderungen ohne Weiteres erfolgen kann: Es dreht sich im Schadens- und Streitfalle wieder die Darlegungs- bzw. Beweislast. Es muss dann im Zweifel nachgewiesen werden, warum trotz der dargelegten Sicherheitsstandards dennoch ein Verschulden bei der Geschäftsleitung vorliegen soll – was oftmals nicht möglich sein dürfte.

In Ermangelung zwingender gesetzlicher Vorgaben bleibt dabei zunächst der Rückgriff auf national und international anerkannte Standards, wie z. B. die der International Organization for Standardization (ISO), namentlich die ISO/IEC 13335 als allgemeine Leitlinie für IT Sicherheitsmanagementprozesse, die ISO/IEC 17799 als Rahmenwerk für das IT-Sicherheitsmanagement und insbesondere die ISO/IEC 27001 als erster internationaler Standard zum IT-Sicherheitsmanagement, der auch eine entsprechende Zertifizierung ermöglicht.

Wer in Deutschland aber den notwendigen „ganzheitlichen“ Sicherheitsansatz nachweisen will, greift vorzugsweise zurück auf das quasi „behördliche“ Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI), welches durch das Audit eines nach den Maßstäben des IT-Grundschutzhandbuches zertifizierten Auditors erworben wird. Dabei sind neben der Analyse der konkreten Gefährdungslage der hiernach notwendige Schutzbedarf zu identifizieren und Verfahrensweisen zu beschreiben, nach denen eine effiziente Umsetzung eines angemessenen Sicherheitsniveaus erreicht und dieses erhalten werden kann.
Um gerade für international tätige Unternehmen zu gewährleisten, dass dieses IT-Grundschutz-Zertifikat des BSI auch die vorgenannte internationale Zertifizierungsnorm für Informationssicherheits-Managementsysteme (ISO 27001) berücksichtigt, wurden die Vorgehensweisen und Zertifizierungsschemata entsprechend modifiziert, so dass seit 2006 auch ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI erworben werden können.

Für die Bewertung von Informationsmanagementsystemen selbst und damit zunächst mal für die Analyse steuerungsbedürftiger Prozesse hat sich jedenfalls für international tätige, große Unternehmen die Control Objectives for Information and Related Technology (CobiT) des IT Governance Institute als Standard-Framework etabliert, welches von Auditoren ebenfalls als Instrument zur Sicherstellung von IT-Compliance eingesetzt wird und in welches wiederum starke COSO-Elemente (einem von der SEC anerkannten Standard für interne Kontrollen) eingeflossen sind.
CobiT definiert je nach unternehmerischer Zielvorgabe IT-Prozesse, denen bestimmte Steuerungsvorgaben (Control Objectives) zugeordnet sind. Diese derart geschaffenen Steuerungsziele bilden sozusagen eine Brücke zwischen „IT- Governance“ und den vorgenannten IT-Sicherheits-Managementsystemen in ihrer konkreten Ausgestaltung. Gerade der hohe Verbreitungsgrad von CobiT setzt damit seinerseits einen Compliance-Standard, der zur Wahrung der Rechtskonformität und der Minimierung von Schadens- und Haftungspotentialen beachtet werden sollte.

Egal, ob international tätiges Großunternehmen, öffentliche Verwaltung oder Mittelständler: Wir helfen Ihnen durch umfassende konzeptionelle Beratung und konkrete Projektorganisation, Ihren haftungsrechtlich erforderlichen Compliance-Standard zu identifizieren und bringen vor dem Hintergrund der individuellen Anwendungsbedürfnisse ihrer Kunden wirtschaftliche Lösungen zum Einsatz.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart

nächstes Kapitel: Corporate Governance