Sicherheit und Flexibilität - trotz Finanzkrise!

Viele Anleger und Privatpersonen suchen nicht zuletzt seit Beginn der Finanz- und Wirtschaftskrise händeringend nach der sicheren und krisenresistenten Geldanlage. Lebensversicherungen, von vielen als langweilig abgetan, sind in diesem Umfeld mehr als nur einen Blick wert:

Der deutsche Gesetzgeber hat durch das Jahressteuergesetz 2009 zum Jahresbeginn 2009 sowie durch das konkretisierende Verwaltungsschreiben vom 1. Oktober 2009 (BMF-Schreiben - Az IV C 1 - S 2252/07/0001) neue Regelungen zur steuerlichen Behandlung von Lebensversicherungen erlassen. So wurde einerseits ein neuer Versicherungsvertragstyp (sog. vermögensverwaltender Versicherungsvertrag) eingeführt und andererseits sind neuen Anforderungen an den Mindesttodesfallschutz konkretisiert worden (vgl. etwaWelker/Götzenberger "Vermögensanlagen mit Lebensversicherungen: Rechtssituation nach den neuen BMF-Schreiben vom 01.10.2009 zur Besteuerung von Versicherungsverträgen", in FINANZ BETRIEB, Heft 12 vom 07.12.2009, S. 758-760).

Im Endeffekt zählt aber insbesondere der Umstand, dass der deutsche Gesetzgeber sich erneut zu Lebensversicherungen als Vorsorge-, Anlage-, Investitions- und Nachlassprodukt bekennt und zugleich die nicht unerheblichen steuerlichen Vorteile stärkt. So kann es bei einer sorgfältigen und rechtskonformen Ausgestaltung mit Hilfe von Lebensversicherungen gelingen, nicht nur langfristige Vorsorgeentscheidungen verlässlich zu regeln, sondern zugleich für die notwendige Flexibilität in der weiteren Finanz- und Vermögens- sowie Nachlassplanung innerhalb der Familie für die kommenden Jahre und eine damit verbundene Mindestliquidität und Unabhängigkeit zu sorgen. Neben dem Steueraufschub während der Laufzeit, flexiblen Rückkaufsmöglichkeiten und weiteren Vorteilen, bestehen weitaus interessantere Privilegien, wie z.B. das Halbeinkünfteverfahren im Erlebensfall, die einkommensteuerfreie Todesfallleistung, die Nutzung des postmortalen Freibetrages etc.

Lassen Sie sich über die zahlreichen Möglichkeiten qualifiziert beraten und partizipieren Sie bereits heute von der Sicherheit und Flexibilität der durch den deutschen Gesetzgeber bevorzugten Vorsorge- und Vermögensplanung!

In stürmischen Zeiten das Wachstum von morgen sichern!

Die globale Finanz- und Wirtschaftskrise hat die Finanzierungssituation für den deutschen Mittelstand dramatisch verändert. Nicht selten sind Liquiditätsengpässe durch einbrechende Umsätze, Margendruck, Verzögerung oder Ausfall von Kundenzahlungen, Zurückhaltung der Banken bei Finanzierungsanfragen sowie reduzierte Limite der Kreditversicherer. Hinzu kommt, dass der Mittelstand häufig im Unternehmen noch vorhandene Liquiditätsreserven nicht nutzt und etwaige alternative Finanzierungsinstrumente nicht konsequent einsetzt. Dies kann nicht zuletzt zu einer Liquiditätsklemme, zu verpassten Wachstumschancen und im schlimmsten Fall sogar zum Vermögensverlust bis hin zur Insolvenz führen.

Wollen Sie die Krise hinter sich lassen und statt dessen mit neuer Liquidität den Wachstumspfad einschlagen? Dann lassen Sie sich von Beginn an umfassend rechtlich sowie betriebswirtschaftlich beraten. Sofern eine präventive Beratung nicht mehr Platz greift, können aber die ausgewiesenen Experten für Wachstumsberatung oftmals weiterhelfen und bei der aktiven Gestaltung Ihres unternehmerischen Erfolges behilflich sein. Sprechen Sie uns an!

Internationales Gesellschaftsrecht soll grenzüberschreitenden Rechtsformwechsel erleichtern

Bei grenzüberschreitenden Tätigkeiten von Unternehmen und Plänen zur Verlagerung des Geschäftssitzes stellt sich die Frage, ob etwa eine deutsche GmbH oder AG unter Wahrung ihrer Identität im deutschen Register gelöscht und im ausländischen Register eingetragen werden kann.

In einem Referentenentwurf des Bundesministerium für Justiz aus dem vergangenen Jahr wird diese Möglichkeit bejaht. Eine Gesellschaft soll unter Wahrung ihrer Identität dem Recht des anderen Staates dann unterstellt werden, wenn die jeweilige ausländische Rechtsordnung dies zulassen - grenzüberschreitender Rechtsformwechsel. Im Ergebnis soll sich das Verfahren der Umwandlung einer Gesellschaft, eines Vereins oder einer sonstigen juristischen Person, zukünftig nach dem Recht des Gründungsstaates richten.

Weiterhin sollen Gesellschaften, Vereine und juristische Personen grundsätzlich dem Recht des Staates, in dem sie in ein öffentliches Register eingetragen sind (Gesellschaftsstatut). Damit wird die Gründungstheorie gesetzlich eingeführt, so dass die geplanten gesetzlichen Neuerungen im Einführungsgesetz zum Bürgerlichen Gesetzbuch (EGBGB) die Anwendbarkeit des Gründungsrechts auch auf Gesellschaften, Vereine und juristische Personen erstrecken, die nicht der Europäischen Union oder dem Europäischen Wirtschaftraum angehören.

Gesellschaftsformen in der Schweiz

Die Bedeutung von ausländischen Gesellschafts- und Unternehmensformen ist aufgrund der fortgeschrittenen internationalen Ausrichtung in der Wirtschaft bereits heute für viele Unternehmen nicht unerheblich - sei es über Beteiligungen an ausländischen Gesellschaften oder über eigene Tochterunternehmen. Daher gibt es im Folgenden eine Übersicht über die praktisch relevantesten ausländischen Gesellschafts- und Unternehmensformen geben, wobei mit einem Blick auf die Schweiz begonnen wird.

Die am weitesten verbreiteten Gesellschaftsformen in der Schweiz sind die GmbH und die AG.

Die für die Gründung zu berücksichtigende Zeit ist recht übersichtlich. Die Eintragung in das Handelsregister ist in der Regel innerhalb 5 bis 15 Werktagen erledigt. Das Mindestkapital beträgt für eine GmbH CHF 20.000 und für eine AG CHF 100.000.

Für die Gründung sind erfahrungsgemäss für die GmbH notwendig, dass mindestens 50 % jeder Stammeinlage einbezahlt wird, bei einer qualifizierten Gründung ein Gründungsbericht erstellt wird (teilweise zusätzlich externe Prüfung erforderlich) sowie ein öffentlich beurkundeter Beschluss durch mindestens zwei Gründer bei der Gründungsversammlung gefasst wird und eine Festlegung in den Statuten erfolgt. Abschliessend findet die Eintragung in das Handelsregister statt.

Für die AG dagegen ist bei der Gründung erfahrungsgemäss erforderlich, dass sämtliche Aktien gezeichnet und mindestens 20 % des Nennwerts jeder Akte bezahlt sind. Der Mindestwert einer Aktie muss CHF 0,01 betragen. Dabei sollen sämtliche Einlagen mindestens CHF 50.000 betragen. Zusätzlich gilt zu beachten, dass Stimmrechtsaktien voll zu bezahlen sind. Bei einer qualifizierten Gründung gilt das bei der GmbH Ausgeführte, wobei hier der Gründungsbericht zwingend durch einen Revisor geprüft werden muss. Bei der AG ist ebenfalls ein öffentlich beurkundeter Beschluss - allerdings durch mindestens drei Gründer bei der Gründungsversammlung - vorgeschrieben und es muss eine Festlegung in den Statuten erfolgen. Abschliessend folgt auch hier die Eintragung in das Handelsregister.

Die notwendigen Organe der GmbH sind die Gesellschafterversammlung sowie mindestens eine Person als Geschäftsführung, wobei mindestens eine der geschäftsführenden Personen ihren Wohnsitz in der Schweiz haben muss. Bei der AG dagegen gibt es als notwendige Organe die Generalversammlung, den Verwaltungsrat (mindestens bestehend aus einer Person und mehrheitlich aus Personen mit Wohnsitz in der Schweiz oder EU/EFTA) sowie eine Revisionsstelle. Sowohl eine Ein-Personen-GmbH als auch eine Ein-Personen-AG ist zulässig und anerkannt.

Daneben gibt es aber auch in der Schweiz weitere Gesellschaftsformen. Der Vollständigkeit halber sind dabei folgende zu nennen:

• der Verein
• die Genossenschaft
• die Einfache Gesellschaft
• die Kollektivgesellschaft
• die Kommanditgesellschaft
• die Kommanditaktiengesellschaft

Ausblick - Neue Themengebiete

Nicht nur Fragen zu nationalen Rechtsthemen interessieren bei Unternehmensgründungen. In Zeiten einer sich immer schneller entwickelten globalen und grenzüberschreitenden Wirtschaft und daraus resultierenden Geschäftsideen, Chancen und neuen Märkten sind auch Themen mit internationalem oder aber zumindest europäischen Bezug für Unternehmer wichtig.

Gern möchte ich diesen Themenkomplex aufgreifen und zukünftig auch auf wirtschaftsrechtlich relevante Aspekte mit Bezug zum Ausland eingehen sowie insbesondere gründungsrelevante Fragen aus dem internationalen Wirtschaftsrecht beleuchten.

Zugleich möchte ich die Gelegenheit nutzen und darauf hinweisen, dass ich bei Einzelfallfragen gern zur Verfügung stehe sowie ich mich immer über Kommentare, Hinweise, Verbesserungsvorschläge etc. freue.

Die Rechtsformwahl - Eine zusätzliche Herausforderung bei der Unternehmensgründung

Nicht selten beginnen die meisten Gründungen im Rahmen einer Tätigkeit als Einzelunternehmer. Sobald die ersten unternehmerischen Hürden jedoch erfolgreich genommen wurden und der Geschäftsbetrieb zu wachsen beginnt, stellt sich ziemlich bald die Frage nach der tatsächlich geeigneten Rechtsform. Welche also ist die geeignete Rechtsform?

Fest steht, dass nicht alle Rechtsformen für alle Berufe offen stehen. Ist etwa der Betrieb eines Handelsgewerbes der vorwiegende Gesellschaftszweck, dann ist an eine OHG zu denken. Betreibt jedoch ein Kaufmann ein Handelsgeschäft als Unternehmen, so ist es ihm die Rechtsform der GbR verwehrt. Wird die Tätigkeit als freier Beruf ausgeführt, dann ist an besondere Rechtsformen, wie z.B. die Partnerschaftsgesellschaft zu denken. So wird also die Wahl der Rechtsform nicht zuletzt durch rechtliche Vorgaben aus dem Handelsrecht bestimmt. Dabei dürfen aber in keinem Fall die individuellen Belange unberücksichtigt bleiben, denn keine Gründung und erfolgreiche unternehmerische Tätigkeit ohne persönliche Einbindung!

Überblicksartig ist zwischen Personen- und Kapitalgesellschaften zu unterscheiden, wobei sich diese Gesellschaftsformen einerseits durch ihre konkrete gesellschaftsrechtliche Ausgestaltung und andererseits vor allem durch ihre steuerliche Behandlung unterscheiden.

Personengesellschaften sind:

• die BGB-Gesellschaft bzw. Gesellschaft bürgerlichen Rechts (GbR)
• die Offene Handelsgesellschaft (OHG)
• die Kommanditgesellschaft (KG)
• die stille Gesellschaft

Kapitalgesellschaften sind:

• die Gesellschaft mit beschränkter Haftung (GmbH)
• die Aktiengesellschaft (AG)
• die Kommanditgesellschaft auf Aktien (KGaA)

Zusätzlich gibt es einige Mischformen, wie z.B. die GmbH & Co. KG sowie auch zahlreiche europäische Gesellschaftsformen, wie z.B. die Europäische Interessenvereinigung (EWIV) oder die Europäische Aktiengesellschaft (SE). Aufgrund der europäischen Rechtsprechung sind mittlerweile auch ausländische Rechtsformen anerkannt. In diesem Zusammenhang ist insbesondere an die englische Limited (Ltd.) zu denken.

Was aber ist der wichtigste Unterschied zwischen Personen- und Kapitalgesellschaften? Wie so oft - die Haftungsverteilung. Die Kapitalgesellschaft als juristische Person haftet mit ihrem Gesellschaftsvermögen. Dagegen haftet bei einer Personengesellschaft mindestens ein Gesellschafter für die Schulden der Gesellschaft und zwar persönlich und in vollem Umfang ohne jegliche Begrenzung.

Daneben unterscheiden sich die zuvor genannten Rechtsformen auch bereits im Aufwand bei der Gründung, bei der praktischen Handhabbarkeit sowie bei der Auswahl eines Unternehmensnamens, der Verteilung der Geschäftsführung, bei Buchführungspflichten und der Rechnungslegung sowie bei der Gewinn- und Verlustrechnung. Darüber hinaus ist auch die Unterschiedlichkeit bei der Unternehmensübertragung, bei Verkauf und Nachfolge sowie bei einem Rechtsformwechsel von nicht unerheblicher Bedeutung. Abschließen - wie bereits erwähnt - spielt aber auch die steuerliche Behandlung ganz erhebliche Rolle.

Angesichts dieser komplexen und der ebenfalls auch immer komplexer werdenden rechtlichen Rahmenbedingungen sowie der Rechtsprechung wird es für Unternehmensgründer bzw. junge Unternehmen in der Wachstumsphase immer schwieriger, den Überblick über die wesentlichsten sowie für eine erfolgreiche Geschäftstätigkeit relevanten Regelungen zu behalten. Wie so oft, sind nicht zuletzt aktuelle Informationen und professionelle Beratung der Schlüssel zum Erfolg.

IT-Security & Datensicherung - Die persönliche Haftung der Unternehmensführung

IT-Security und Haftung für fehlende Datensicherung. Wenn Sie heute Ihre Daten verlieren, sind Sie dann morgen noch im Geschäft?

Obwohl bei deutschen Unternehmen das Thema Datensicherung und Datensicherheit in den vergangenen Jahren an Bedeutung gewonnen hat, setzen sich nur wenige mit dieser Problematik auseinander. Dies führt nicht nur zu schweren wirtschaftlichen Einschnitten, sondern zugleich zu einem enormen Haftungspotential für die Unternehmen, deren Unternehmensführung und nicht zuletzt auch für deren Mitarbeiter.

Was sind die Gründe für die mangelhafte IT-Security in deutschen Unternehmen?

Zahlreiche Faktoren greifen ineinander und führen dazu, dass in einer Vielzahl deutscher Unternehmen erhebliche Sicherheitslücken im Bereich der Informationstechnik bestehen (vgl. die aktuelle Studie „IT-Security 2007“ der InformationWeek,  zusammen mit Steria Mummert Consulting).

So nimmt sich nur nahezu jedes zweite deutsche Unternehmen ausreichend Zeit, um die eigenen IT-Systeme zu sichern und eine eigene IT-Sicherheitsstrategie zu erstellen. Denn gerade die Budgetverantwortlichen sehen aufgrund mangelnder Fachkenntnis kaum Veranlassung Sicherheitsinvestitionen vorzunehmen und IT-Manager sowie IT-Sicherheitsexperten aktiv zu unterstützen. Da aber in ca. 75 Prozent der deutschen Unternehmen die Unternehmensführung über die Ausgaben für diesen Bereich entscheidet und das Risiko- und Haftungsbewusstsein nur mangelhaft bis gar nicht ausgeprägt ist, genügt das IT-Security-Management häufig nicht einmal den gesetzlichen Anforderungen. Zwar verfügen zwischenzeitlich ca. 70 Prozent aller deutschen Unternehmen über eine IT-Security-Policy. Die ausgearbeiteten Richtlinien werden aber in nur ca. 30 Prozent der deutschen Unternehmen – und zudem nur bei Bedarf – auf ihre Effektivität und Effizienz hin überprüft. Andererseits führt ein übereifriges Engagement von einigen Unternehmen dazu, dass die IT-Security-Policy zu häufig – ohne erforderlichen Grund – modifiziert wird. So werden Personalressourcen unnötig belastet, denn die häufig Umstellung und Abänderung führt nicht selten zu einer Überforderung der Mitarbeiter, die sich ständig mit geänderten oder neuen IT-Sicherheitsbestimmungen oder -Tools vertraut machen müssen. So fühlen sich ca. 17 Prozent der IT-Manager und IT-Sicherheitsexperten  überfordert, die ständig veränderten Vorgaben deckungsgleich umzusetzen. 

Wer haftet für die mangelhafte oder fehlende IT-Security? 

Bei unzureichender IT-Security und mangelhafter Datensicherung tragen die Unternehmen bzw. deren Unternehmensführung grundsätzlich die volle Verantwortung und somit das gesamte Haftungsrisiko! 

Einerseits ist die Unternehmensführung gesetzlich verpflichtet, durch entsprechende Maßnahmen zur präventiven Erkennung von IT-Sicherheitsrisiken für das Unternehmen zu sorgen. Andererseits steht aber meistens das Tagesgeschäft im Vordergrund der Geschäftsführung oder des Vorstands. Daher werden bereits die aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) folgenden gesetzlichen Anforderungen nicht eingehalten. Nicht nur, dass zu erwartende Schäden die Gefahr in sich tragen, den wirtschaftlichen Bestand des Unternehmens zu gefährden und im schlimmsten Fall zur Insolvenz führen können, haftet die Unternehmensführung – trotz haftungsbegrenzender Rechtsformwahl – für grob fahrlässiges Verhalten persönlich! Daneben besteht auch für den jeweiligen IT-Manager und IT-Sicherheitsexperten das nicht unerhebliche Haftungsrisiko, sich für eine schuldhafte Verletzung der auf ihn übertragenen Pflichten zur ordnungsgemäßen Datensicherung und Gewährleistung der IT-Security aus dem jeweiligen Vertragsverhältnis ersatzpflichtig zu machen. Hinzu kommt die Gefahr einer Abmahnung und im Wiederholungsfall einer Kündigung des Beschäftigungsverhältnisses.  

Wann haftet das Unternehmen bzw. die Unternehmensführung für eine mangelhafte Datensicherung? 

Die Unternehmensführung trifft eine persönliche Haftung immer dann, wenn sie grob fahrlässig die gesetzlichen Vorgaben zur IT-Security verletzt und keine ordnungsgemäße Datensicherung vorgenommen hat. Aber was genau bedeutet in diesem Zusammenhang „grobe Fahrlässigkeit“? 

Eine beispielhafte und von der Rechtsprechung zur Grundlage der IT-Haftung gemachte Begriffsklärung findet sich im Urteil des OLG Hamm vom 01.12.2003 (Az.: 13 U 133/03; veröffentlicht in MMR 2004, 487). Hintergrund der Entscheidung war der folgende Sachverhalt: Ein Reiseunternehmen hatte eine Fachfirma mit der Reparatur ihrer Computeranlage betraut. Bei der Vorbereitung der Reparaturarbeiten kam es zum Komplettabsturz des Servers mit einem unwiederbringlichem Datenverlust, dessen Schadensbeseitigung nahezu € 14.000,00 kostete. Diese Kosten wollte das Reiseunternehmen gegen die für die ursprünglich beauftragte Reparatur entstandenen Kosten von ebenfalls € 14.000,00 in Anrechnung bringen. Dies haben die Richter jedoch nicht für zulässig erklärt, da das Reiseunternehmen seine Daten nicht ordnungsgemäß einmal monatlich gesichert habe und für diese Datensicherung im Vorfeld der Reparatur hätte Sorge tragen müssen.  

Der nach dem Komplettabsturz des Systems festgestellte Stand der Datensicherung habe dem Stand vier Monate vor den Reparaturarbeiten entsprochen. Das sei grob fahrlässig und blauäugig, da gerade im gewerblichen Anwenderbereich für eine zuverlässige, zeitnahe und umfassende Datensicherung das jeweilige Unternehmen – hier das Reiseunternehmen – die alleinige Verantwortung trage (vgl. auch OLG Karlsruhe NJW-RR 1997, 554). Etwas anderes soll nur dann gelten und zusätzliche Überprüfungspflichten veranlassen, wenn ernsthafte Zweifel bestünden, dass die Datensicherung ordnungsgemäß erfolgt sei oder wenn Hinweise auf eine Fehlfunktion des Sicherheitssystems vorlägen. Im vom OLG Hamm entschiedenen Fall habe der Mitarbeiter der mit der Reparatur beauftragten Computerfirma aber nicht erkennen können, dass die Datensicherung völlig unzulänglich gewesen ist. 

Letztendlich entscheidend und für die IT-Security in deutschen Unternehmen maßgeblich ist die abschließende Feststellung und Konkretisierung der erforderlichen Zeitabstände einer ordnungsgemäßen Datensicherung. Die Sicherung der Daten muss täglich, die Vollsicherung mindestens einmal wöchentlich erfolgen. Hier war die Komplettsicherung nicht einmal monatlich erfolgt, so dass dem Reiseunternehmen der Schaden allein zuzurechnen ist und der mit der Reparatur beauftragten Computerfirma keine Pflichtverletzung vorzuwerfen gewesen war. Erfolgt in einem Unternehmen nicht täglich eine Datensicherung und nicht mindestens einmal im Monat eine Komplettsicherung, so trifft das Unternehmen und die Unternehmensführung die alleinige Verantwortung!  

Welche rechtlichen Anforderungen an die IT-Security sind zu beachten? 

Für die IT-Security in deutschen Unternehmen insbesondere maßgeblich ist aber nicht nur die zuvor dargestellte Rechtsprechung, sondern auch die gesetzliche Regelung im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). 

Das KonTraG trat bereits am 01.05.1998 in Kraft und hat zum Ziel die Corporate Governance  in deutschen Unternehmen zu verbessern. Das KonTraG führte zu einer Modifizierung zahlreicher Vorschriften aus dem Handels- und Gesellschaftsrecht und präzisiert somit vor allem Regelungen aus dem Handelsgesetzbuch (HGB), dem Aktiengesetz (AktG) und auch aus dem GmbH-Gesetz (GmbHG). Kern des Gesetzes ist es, die Unternehmensführung zu zwingen, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und gewissenhaft zu betreiben sowie Aussagen zu Risiken und zur Risikostruktur im Lagebericht des Jahresabschlusses des jeweiligen Unternehmens zu veröffentlichen: 

§ 91 Abs. 2 AktG:

Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. 

Über eine entsprechende Anwendung des § 91 Abs. 2 AktG trifft die gleiche Verpflichtung auch die Geschäftsführung einer GmbH, § 43 GmbHG. 

§ 43 Abs. 1 und 2 GmbHG:

(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. 

Konkret bedeutet dies für die Unternehmenspraxis im Bereich der IT-Security, dass in einem ersten Schritt eine umfassende Risikoanalyse erfolgen muss, um alle Risiken im Zusammenhang mit dem Einsatz von unternehmenseigenen IT-Systemen zu ermitteln und um das Gesamtrisiko zutreffen beurteilen zu können. In einem zweiten Schritt gilt es ein Sicherheitskonzept zu erstellen, dass geeignet ist, das ermittelte Risiko für die IT-Security aufgrund einer wirksamen Prävention zu reduzieren und bestenfalls zu beseitigen. Maßgeblich aber ist, die Verfügbarkeit, Unversehrtheit und Vertraulichkeit der Daten zu gewährleisten. Hierzu gehört insbesondere eine ordnungsgemäße und zudem regelmäßige Datensicherung, ein wirksamer Ausfallschutz, ein wirksamer Schutz vor unbefugter und missbräuchlicher Nutzung der Daten sowie vor Sabotage. Zuletzt ist in einem dritten Schritt für die entsprechende Umsetzung und Einhaltung des Sicherheitskonzepts zu sorgen.  

Wie stellen sich die Haftungsfolgen für die Vernachlässigung der IT-Security dar? 

Die Haftung kann vielfältig und zudem umfassend sein. Dabei spielen Konsequenzen aus der zivilrechtlichen Haftung, aus öffentlich-rechtlichen Sanktionierungen, aus strafrechtlichen Folgen sowie aus betriebswirtschaftlichen Verlusten eine erhebliche Rolle. 

Werden die gesetzlichen Vorgaben aus dem KonTraG missachtet und erfolgt z.B. keine ordnungsgemäße Datensicherung, werden Risiken nicht durch präventive Maßnahmen im Rahmen des Risikomanagements verhindert, so trifft gemäß § 91 Abs. 2 AktG den Vorstand einer Aktiengesellschaft sowie auch gemäß § 116 AktG die Mitglieder des Aufsichtsrats die persönliche Haftung für den entstandenen Schaden  Das Gleiche gilt für die Geschäftsführung einer GmbH gemäß § 43 Abs. 1 GmbHG sowie auch für die Unternehmensführung der Offenen Handelsgesellschaft und der Kommanditgesellschaft. 

Daneben bestehen bei einer mangelhaften IT-Security vielfältige Schadensersatzpflichten – insbesondere aus §§ 280 Abs. 1, 241 Abs. 2 und 823 Abs. 1, Abs. 2 BGB – aufgrund vertraglicher Rechtsbeziehungen zu Geschäftspartnern und Kunden, die angesichts des wirtschaftlichen Wertes von Datensammlungen vernichtend sein kann. 

Weiterhin droht gemäß § 7 S. 1 BDSG ein verschuldensunabhängiger Schadensersatzanspruch für das Unternehmen und die Unternehmensführung, falls in unzulässiger oder unrichtiger Art und Weise personenbezogene Daten erhoben, verarbeitet oder genutzt worden sind. Nicht unerheblich können auf der Basis datenschutzrechtlicher Vorschriften zu zahlende Bußgelder oder verhängte Freiheitsstrafen sein. So sieht § 43 BDSG einen Bußgeldrahmen bis zu € 250.000,00 und § 44 BDSG sogar eine Freiheitsstrafe von bis zu zwei Jahren für die Unternehmensführung vor. 

Ebenfalls kann unter bestimmten Voraussetzungen für bestimmte Berufsgruppen eine strafrechtliche Inanspruchnahme in Frage kommen, wenn vertraulichen Daten und Angaben von Mandanten bzw. Patienten ohne deren Zustimmung zur Nutzung Dritter zugänglich gemacht werden, § 203 StGB.  

Fazit 

Die Bedeutung der IT-Security für Unternehmen und die Unternehmensführung kann im Zusammenhang mit Fragen zur Verantwortlichkeit und Haftung bei Schäden durch Datenverlust nicht genügend betont werden. Vor dem Hintergrund der gesetzlichen und durch die Rechtsprechung konkretisierten Haftungsanforderungen sowie angesichts des enormen wirtschaftlichen Wertes von Unternehmens- und Geschäftsdaten ist es – für die Unternehmensführung – absolut unverzichtbar, die erforderliche Zeit und die Kosten in die Erstellung einer IT-Security-Policy und eines Risikomanagements zu investieren. Denn im Verhältnis zum möglicherweise entstehenden Schaden, der bis zur Insolvenz des Unternehmens führen kann, sind der Zeit- und Kostenaufwand (nahezu) vernachlässigenswert.