IT-Security Compliance auch für KMU?

Robert G. Briner ist Rechtsanwalt in Zürich und leitet in der Zürcher Anwaltskanzlei Pestalozzi Lachenal Patry die Fachgruppe Intellectual Property and Technology.

Banken stellen hohe Anforderungen an die Sicherheit ihrer IT. Das wollen sie nicht nur, sondern das müssen sie auch. Das Bankengesetz, verschiedene Richtlinien der Eidgenössischen Bankenkommission (EBK) und Regelungen mit internationalen Auswirkungen wie die Sarbanes-Oxley Act oder Basel II verpflichten die Banken zu hohen Anforderungen an die Sicherheit. IT-Security gehört zur so genannten Compliance, das heisst zur Risikovermeidung und -minimierung von Verstössen gegen Vorschriften, Standards, Standesregeln mit den entsprechenden administrativen, steuerlichen und zivil- und strafrechtlichen Sanktionen. Sicherheit heisst daher nicht nur Verlässlichkeit von Systemen und Datenträgern. Der Begriff umfasst auch die Vorsorge gegen unbefugten Zugriff auf Daten sowie deren unbefugte Änderung und Verwendung. Ein weiterer wichtiger Aspekt ist die Sicherheit, unternehmenswichtige Daten im richtigen Format verfügbar zu haben und auf sie zeitgerecht zugreifen zu können.

Die gesetzlichen Vorschriften sind klar. Der Verwaltungsrat der Aktiengesellschaft hat unter anderem die unübertragbare Aufgabe und Verantwortung, die interne Organisation festzulegen, das Rechnungswesen und die Finanzkontrolle auszugestalten, und die mit der Geschäftsführung betrauten Personen «namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen» zu überwachen (Art. 716a OR). Die Mitglieder des Verwaltungsrates und alle mit der Geschäftsführung befassten Personen sind nach Art. 754 OR intern der Gesellschaft, und extern sowohl den Aktionären als auch den Gläubigern der Gesellschaft für den Schaden verantwortlich, die sie durch Verletzung dieser Pflichten verursachen. Das GmbH-Recht verweist schon heute für diese Haftung auf die Bestimmungen der Aktiengesellschaft, und nach dem revidierten GmbH-Recht, das am 30. Juni 2007 in Kraft tritt, werden die Bestimmungen noch enger übernommen. Inhaber von Einzelfirmen und Kollektivgesellschaften haften ohnehin persönlich.

Es gilt nach Art. 717 OR ein hoher Massstab für die Sorgfalt. Dabei wird nicht unterschieden zwischen Verwaltungsräten und Inhabern von kleinen GmbHs, Kollektivgesellschaften oder Einzelfirmen. Es gilt für alle derselbe Massstab: objektiv, nüchtern, hoch. Gemäss Bundesgericht muss man diejenige Sorgfalt anwenden - und haftet für den Schaden, wenn man es nicht tut -, welche jede pflichtbewusste, vernünftige, und ihrem Posten gewachsene Person angewendet hätte. Nicht die Sorgfalt des übernächtigten CIO, nicht die Sorgfalt des um seine Existenz kämpfenden Kleinunternehmers, nicht die Sorgfalt des unter Konkurrenzdruck stehenden Gewerbebetriebes!

Ob ein Mitarbeiter zur Geschäftsführung gehört, bestimmt sich nicht nach seinem formellen Titel, sondern nach sachlichen Gesichtspunkten. Das Bundesgericht ist diesbezüglich in seiner Rechtsprechung klar. Es sagte zum Beispiel in einem Entscheid aus dem Jahr 1981 (BGE 107 II 353), dass jeder zur Geschäftsführung gehört, der materiell eine leitende Funktion hat, das heisst wer auf das - richtige, oder eben fehlerhafte - Funktionieren des Unternehmens einen massgeblichen Einfluss hat. Dazu gehört heute auch der Chef der IT.

Vorschriften mit Relevanz für IT-Security gibt es zahlreiche. Das Obligationenrecht (OR) schreibt in Art. 957ff OR vor, dass ordentlich Buch geführt werden muss, und dass gewisse Unterlagen aufzubewahren sind, teilweise im Original. Verletzung dieser Pflichten ist strafbar, Art. 166 StGB. Ob und wie auch weitere Unterlagen aufbewahrt werden, hängt davon ab, wie sehr es dem Unternehmen schaden könnte, diese Unterlagen NICHT zur Hand zu haben, wenn sie gebraucht würden, zum Beispiel um verspätete Forderungen von Lieferanten oder Kunden abzuwehren. Detaillierte Vorschriften findet man auch in der so genannten GeBüV (Geschäftsbücherverordnung; im vollen Wortlaut: Verordnung vom 4. April 2002 über die Führung und Aufbewahrung der Geschäftsbücher).

Strenge Anforderungen an die IT-Security stellt auch das Datenschutzgesetz. Hält man sich vor Augen, dass in der Schweiz auch die Daten von Unternehmen geschützt sind, das heisst nicht nur die Daten von Privatpersonen, wird sofort klar, dass jedes Unternehmen, vom Einzelschuhmacher bis zum internationalen Konzern, datenschutzrechtlich relevante Daten aufbewahrt und die strengen Sicherheitsanforderungen der Datenschutzverordnung (DSV, Artikel 8-11) erfüllen muss - oder jedenfalls müsste. Datenschutzrecht verlangt daher de facto von jedem Unternehmen, dass seine Daten vor ungewollter Löschung, technischen Fehlern und widerrechtlicher Verwendung geschützt sind, dass die Risiken evaluiert und mit geeigneten technischen und organisatorischen Massnahmen minimiert werden, dass diese Risiken und Massnahmen immer dem Stand der Technik entsprechen und periodisch überprüft werden, mit laufenden Kontrollen, und dass das alles in einem Reg-lement festgelegt wird. Irrealer Perfektionismus? Vielleicht, aber es steht nun mal so im Gesetz.