Judikatur und IKS in der Praxis:
Welche Gesetze fordern (in)direkt ISO-konformes IT-Management?

Kommentar von Rechtsanwalt Dr. Orlin Radinsky

(Nov. 2009) – Mit mehr als 3.200 ISO-27001-Zertifizierungen ist Japan weltweit Security-Spitzenreiter – weil sich Informationssicherheit dort durch das gesamte Wirtschaftsrecht zieht. Wie ist die Entwicklung in Österreich? Bereits zahlreiche Rechtsnormen vom GmbH-Gesetz, über Produkthaftung bis zum Datenschutzgesetz stellen IT-relevante Forderungen. Kritische Haftungspotenziale ergeben sich durch mangelnde IT-Sicherheit. Unternehmen, die auf der sicheren Seite sein wollen, wählen mit Managementsystemen für Informationssicherheit oder IT-Services einen anerkannten Weg.

Datenschutzgesetz fordert Risikoanalyse

@ Der „Klassiker“ zum Thema IT-Sicherheit im österreichischen Recht ist § 14 DSG 2000. Je nach Art der verwendeten Daten, Umfang, Zweck, Stand der Technik und wirtschaftlicher Vertretbarkeit müssen Unternehmen sicher stellen, dass Daten vor zufälliger oder unrechtmäßiger Zerstörung und Verlust geschützt sind. Zur Erreichung des gesetzlich festgelegten Ziels „Datensicherheit“ sind Maßnahmen zur Schadensminimierung zu treffen – hinsichtlich Eintritt von Schadensfällen durch Katastrophen, organisatorische Mängel, menschliches Fehlverhalten, technisches Versagen und vorsätzliche Handlungen. Weiters sind Maßnahmen zur Rekonstruktion von Programmen und Daten, gegen das Risiko der Manipulation und gegen die Risiken des täglichen Betriebs wie allgemeine Bedienungsfehler zu setzen. Um dieser Komplexität Herr zu werden, ergibt sich in der Praxis notwendigerweise die Durchführung einer Risikoanalyse, um die Eintrittswahrscheinlichkeit von Schäden und drohenden Folgen strukturiert aufzeigen zu können.

Zwingendes Recht: Dokumentationspflicht

Besonders zu beachten ist, dass die in § 14 Abs 2 DSG angeführten Mindestanforderungen (Zutritts- und Zugriffsberechtigungen, Dokumentationspflichten, etc.) zwingendes Recht darstellen. Nach der Judikatur ist der Aufbau eines entsprechenden Datensicherungssystems Angelegenheit der Unternehmensorganisation. Es obliegt dem Unternehmer, genaue Richtlinien für eine gesetzmäßige Datensicherung zu erstellen und den Arbeitnehmern zur Durchführung vorzugeben (vgl. OGH 29.8.1990, 9 Ob a 182/90). Eine Unterlassung kann zu geschäftskritischen Haftungsfällen führen. In diesen Bereichen erfüllen Risikomanagement, Sicherheitsmaßnahmen, Policies und Dokumentation nach ISO 27001 oder ISO 20000 punktgenau die gesetzlichen Forderungen.

Internes Kontrollsystem verpflichtend nach GmbHG / AktG

Auch ist der Aufbau eines angemessenen internen Kontrollsystems (IKS) mit Bezug zu IT-Sicherheit gesetzlich vorgeschrieben. Entsprechende Regelungen sind etwa im AktienG (§ 82) und GmbHG (§ 22) zu finden. Demnach ist das Management für Definition und Tests von IT-Kontrollen verantwortlich und sollte sich laut Gesetzestext an „anerkannten Standards“ orientieren. Die Geschäftsführer müssen also sicherstellen, dass auch im IT-Bereich interne Steuerungs- und Überwachungsmechanismen implementiert, angewendet und kontrolliert werden. In diesem Zusammenhang sei das Fachgutachten KFS/DV1 der Kammer der Wirtschaftstreuhänder erwähnt, welches die Grundsätze IT-unterstützter Buchführung beschreibt sowie Mindeststandards zur Beurteilung des IKS und von IT-affinen Jahresabschlussrisiken auflistet. In dem neueren Gutachten KFS/DV2 geht es auch um Risiken wie IT-Abhängigkeit, Änderungen, Fehlen von Fachwissen und Ressourcen sowie falsche IT-Strategien. Zur Feststellung solcher Risiken ist laut Gutachten ein Überblick über IT-Organisation, -Prozesse, -Anwendungen und -Infrastruktur notwendig. Kontrollen sollen dabei das Eintreten von Geschäftsrisiken verhindern. Stichworte sind: Application Controls oder General IT-Controls.

Zertifizierung minimiert persönliche Haftung

Auch das Unternehmensrechtsänderungsgesetz für Rechnungslegungsprozesse verlangt ein Internes Kontrollsystem, genauso wie auch im Zusammenhang mit Produkthaftung ein IKS zwar nicht explizit vorgeschrieben, aber in der Praxis immer wichtiger wird. In jedem Fall umfasst die Forderung nach einem IKS die Aspekte Risikomanagement, Dokumentation und Kontrollen. Vor diesem Hintergrund kommt Managementsystemen nach ISO 27001 oder ISO 20000, die diese Schwerpunkte strukturiert abdecken, eine zentrale Bedeutung zu. Zusätzlich minimiert das Zertifikat einer akkreditierten Organisation auch das persönliche Haftungsrisiko von Verantwortungsträgern. Denn mit einem geprüften und damit gelebten IT-Managementsystem kommen Verantwortungsträger ihrer Sorgfaltsverpflichtung im juristischen Sinne nachweislich nach.

Arbeitsrecht mit sensiblem IT-Bezug

Neben diesen spezifischen Vorschriften berührt das Thema IT-Sicherheit auch allgemeinere Vorschriften wie etwa das Arbeitsrecht, insbesondere die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer (§ 96 Abs 1 Z3 ArbVG - Arbeitsverfassungsgesetz). Gerade in diesem sensibeln Bereich ist darauf zu achten, @dass Personendaten vor Zugriffen Dritter geschützt sind. Wird die IT-Sicherheit vernachlässigt, kann dies unangenehme Folgen haben. Neben drohenden Gerichtsverfahren und Imageschäden wird auch das Betriebsklima negativ beeinflusst.

Achtung: Geheimhaltung bei Verträgen

Auch im Verhältnis zu Vertragspartnern kann Schaden aufgrund mangelhafter IT-Sicherheitsmaßnahmen drohen. Beispielhaft sei die in Verträgen häufig vereinbarte Geheimhaltungsverpflichtung betreffend Geschäfts- oder Betriebsgeheimnisse erwähnt. Wird etwa ein „sensible Informationen“ enthaltender Vertrag elektronisch in einem unzureichend gesicherten System abgespeichert – was in der Praxis nicht selten geschieht, und verschafft sich ein Dritter rechtswidrig Zugriff, kann der Geschädigte Ersatzansprüche gegen seinen fahrlässig agierenden Vertragspartner geltend machen.

Zertifizierung gilt als Nachweis vor Gericht

Um auf der sicheren Seite zu sein, können Unternehmen durch Einführung zertifizierbarer Standards wie ISO 27001 für Informationssicherheit und ISO 20000 für IT-Service-Management ein juristisches Sicherheitsnetz im einziehen. Denn zum einen verlangen diese Standards vom Management, sich Kenntnis über relevante Normen, Gesetze und Verordnungen zu verschaffen. Zum anderen ist zu prüfen, ob Geschäftsleitung und Mitarbeiter diese auch wirklich einhalten. Zudem gilt die Zertifizierung als Nachweis vor Gericht. Im Falle von Vertragsbruch muss in Gerichtsverfahren die sorgfältige Leistungserbringung explizit nachgewiesen werden. Zur Beurteilung von Fällen mit IT- oder Informationssicherheitsbezug ziehen Gerichtssachverständige die gängigen Standards ISO 27001 und ISO 20000 als Maßstab heran. Eine Zertifizierung liefert daher einen Gütenachweis aufgrund einer unabhängigen Überprüfung, dass die Mitarbeiter nach festgelegten fachlichen und rechtlichen Rahmenbedingungen arbeiten. Somit wird der Nachweis eines Verschuldens und letztlich einer davon abhängigen Ersatzpflicht wesentlich erschwert.

Dr. Orlin Radinsky ist als Rechtsanwalt bei der Wiener Kanzlei Brauneis Klauser Prändl auf Wirtschaftsrecht mit Schwerpunkt IKT spezialisiert.

Dr. Orlin Radinsky
Brauneis Klauser Prändl Rechtsanwälte GmbH
Bauernmarkt 2, A-1010 Wien, T: + 43 1 532 12 10, M: o.radinsky@bkp.at, www.bkp.at





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com