Sie sind hier: Home » Recht » Deutschland » Weitere Urteile

Wer nicht dokumentiert, haftet


Risikofrüherkennung: Nur eine nachvollziehbare und ausreichende Dokumentation ermöglicht die Beurteilung, ob getroffene Maßnahmen ausreichen und das Überwachungssystem funktionsfähig ist
Das LG München bestätigte einen Hauptversammlungsbeschluss zur Verweigerung der Entlastung von Vorständen - Hintergrund: Es gab keine formelle Dokumentation für das Risikofrüherkennungsystem im Unternehmen


Dr. Matthias Orthwein:
Dr. Matthias Orthwein: "strenge Maßstäbe an die Dokumentation", Bild: Luther

Von Dr. Matthias Orthwein, LL.M. (Boston)

(02.08.07) - Dokumentationen gehören zu den unbeliebtesten Aufgaben in der IT. Sie werden daher häufig sträflich vernachlässigt. Nach einer Untersuchung der Information Week aus dem Jahr 2005 verfügen lediglich 46,7 Prozent der Unternehmen über ein schriftlich fixiertes und kommunizierbares Sicherheitskonzept für ihre IT-Systeme. Der Trend zur stärkeren Beachtung von Compliance-Anforderungen und Risikomanagement in den Unternehmen hat jedoch dazu geführt, dass die Gerichte mittlerweile sowohl IT-Verantwortliche als auch Vorstände und Geschäftsführer von Unternehmen immer stärker ganz persönlich für diese Aufgabe in die Pflicht nehmen. Nachlässigkeiten werden mit Geldstrafen und Gefängnisandrohung empfindlich bestraft, so dass es sich kein Unternehmen mehr leisten kann, auf nachprüfbare Dokumentationen zu verzichten.

Die Erkenntnis, dass Risikomanagement nicht nur ein Bestandteil guter Unternehmensführung ist, hat sich in Zeiten der zunehmenden medialen Präsenz von Compliance und Corporate Governance in den meisten Unternehmen bereits durchgesetzt. Zusätzlich verpflichtet sie auch der Gesetzgeber – wachgerüttelt durch die Skandale der Vergangenheit – zur Einrichtung von Risikofrüherkennungssystemen. Weder börsennotierte Gesellschaften noch die nicht börsennotierten Unternehmen können sich dem entziehen. Schließlich prüft auch der Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung die vorhandenen Risikofrüherkennungssysteme. Findet er dabei keine ausreichend funktionsfähigen Systeme zur Früherkennung von künftigen Risiken für das Unternehmen vor, ist die Erteilung des Testats für den Jahresabschluss zumindest gefährdet. Gerade bei den Versicherungs- und Finanzdienstleistungsunternehmen ist eine umfassende IT-Systemprüfung sogar zwingender Bestandteil der Jahresabschlussprüfung.

Dass mit dieser Gefährdung des Wirtschaftsprüfertestats für den Jahresabschluss bei fehlender Dokumentation noch nicht Schluss ist, hat das Landgericht München I aktuell am Beispielsfall eines Großhandelsunternehmens aus der Halbleiterbranche deutlich gemacht. Danach genügt es nicht mehr nur, ein Risikofrüherkennungssystem eingerichtet zu haben, dies muss auch für Außenstehende nachvollziehbar dokumentiert sein. Das Gericht legt hier strenge Maßstäbe an die Dokumentation an und verlangt neben der Begründung unmissverständlicher Zuständigkeiten insbesondere auch ein engmaschiges Berichtswesen und eine entsprechende Dokumentation (vgl. LG München I, Urteil vom 5. April 2007, Az.: 5 HKO 15964/06).

Nur eine nachvollziehbare und ausreichende Dokumentation ermöglicht es schließlich dem Abschlussprüfer festzustellen, ob die getroffenen Maßnahmen ausreichen und das Überwachungssystem funktionsfähig ist. Zudem ist eine unternehmensinterne Kommunikation der getroffenen Maßnahmen ohne entsprechende Dokumentation kaum möglich. Die Praxis zeigt, dass in vielen Unternehmen lediglich ein "informelles Risiko-Früherkennungssystem" besteht. Aufgrund der fehlenden Dokumentation kann dieses aber weder den Mitarbeitern erläutert werden noch durch den Abschlussprüfer überprüft werden.

Wer sich als verantwortlicher IT-Mitarbeiter ebenso wie als Geschäftsleiter einmal die Konsequenzen vor Augen führt, die ein Versäumnis bei der Dokumentation auch für ihn persönlich haben kann, wird zweifellos künftig hierauf sein besonderes Augenmerk richten. Das Landgericht München I weist nämlich darauf hin, dass die Dokumentation des Früherkennungssystems nicht bloß delegierbare Abteilungsverantwortlichkeit ist, sondern viel mehr zu den zentralen Aufgaben des Vorstands beziehungsweise Geschäftsführers gehört.

Sie ist Ausdruck seiner gesetzlich normierten Bestandssicherungsverantwortung. Damit stellt eine fehlende oder unvollständige Dokumentation einen schwerwiegenden Gesetzesverstoß dar, der es zum Beispiel bei börsennotierten Aktiengesellschaften rechtfertigt beziehungsweise sogar fordert, dem Vorstand die Entlastung zu verweigern. Darüber hinaus haben Aktionäre und Gesellschafter nicht nur das Recht sondern in vielen Fällen sogar die Pflicht, entsprechende Schadenersatzforderungen an die Vorstände und Geschäftsführer zu stellen.

Für den IT-Verantwortlichen im Unternehmen folgt hieraus, dass es nicht ausreicht, ein funktionierendes System zur Risikofrüherkennung im Unternehmen zu installieren. Auch die vollständige und nachvollziehbare Dokumentation des Systems ist mehr als nur eine lästige Pflichtübung. Aber auch auf Ebene der Unternehmensführung muss spätestens jetzt jedem Geschäftsführer oder Vorstand klar sein, dass Risikomanagement für die IT-Systeme "Chefsache" ist, bei der er/sie sich nicht darauf ausruhen kann, die Verantwortlichkeit an die Fachabteilung abzuschieben.

Selbst in Großunternehmen gilt, was für den Mittelständler selbstverständlich ist, nämlich dass die Unternehmensführung sich nicht soweit vom Tagesgeschäft entfernen darf, dass ihr die operative Führung und Beherrschung des Unternehmens entgleitet. Neben den möglichen finanziellen Folgen für Unternehmensführung und IT-Verantwortliche zum Beispiel durch Schadenersatzforderungen der Gesellschafter, sollten auch entsprechende arbeitsrechtliche Sanktionen nicht aus dem Auge verloren werden. Der öffentliche Druck auf die Unternehmensführung, die Zügel im Unternehmen wieder stärker selbst in die Hand zu nehmen, ist mit einiger Verzögerung auch in den Gerichtssälen deutlich zu spüren. (Luther: ra)

"Dr. Matthias Orthwein, LL.M. (Boston) ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH

Lesen Sie auch:
Pflichtverletzungen im Bereich Compliance
Juristische IT-Haftungsrisiken
IT-Haftungsrisiken für Mandanten


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Weitere Urteile

  • Gesamtsumme im Milliardenbereich

    Ein ausländischer Investmentfonds, der unter der Geltung des Investmentsteuergesetzes 2004 (InvStG 2004) mit Kapitalertragsteuer belastete Dividenden inländischer Aktiengesellschaften bezog, hat nach dem Unionsrecht im Grundsatz einen Anspruch auf Erstattung dieser Steuer.

  • Datenverarbeitung durch die Finanzverwaltung

    Der Bundesfinanzhof (BFH) hat mit Beschlüssen vom 27.05.2024 in zwei Verfahren (II B 78/23 (AdV) und II B 79/23 (AdV)) des vorläufigen Rechtsschutzes zu den Bewertungsregelungen des neuen Grundsteuer- und Bewertungsrechts entschieden, dass Steuerpflichtige im Einzelfall unter bestimmten Bedingungen die Möglichkeit haben müssen, einen unter dem festgestellten Grundsteuerwert liegenden Wert ihres Grundstücks nachzuweisen.

  • Grenzen des Auskunftsanspruchs

    Mit Urteil vom 12.03.2024 - IX R 35/21 hat der Bundesfinanzhof (BFH) erstmals zu den Voraussetzungen und der Reichweite des datenschutzrechtlichen Auskunftsanspruchs entschieden. Die Datenschutz-Grundverordnung gewährt in Art. 15 Abs. 1 einen Anspruch auf Auskunft, welche personenbezogenen Daten über einen Steuerpflichtigen verarbeitet werden.

  • Datenverarbeitung durch die Finanzverwaltung

    Mit Urteil vom 12.03.2024 - IX R 35/21 hat der Bundesfinanzhof (BFH) erstmals zu den Voraussetzungen und der Reichweite des datenschutzrechtlichen Auskunftsanspruchs entschieden. Die Datenschutz-Grundverordnung gewährt in Art. 15 Abs. 1 einen Anspruch auf Auskunft, welche personenbezogenen Daten über einen Steuerpflichtigen verarbeitet werden.

  • Betriebsvermögen bei der Erbschaftsteuer

    Ein Parkhaus ist in der Erbschaftsteuer nicht begünstigt - dies hat der Bundesfinanzhof (BFH) mit Urteil vom 28.02.2024 - II R 27/21 entschieden. Der Kläger war testamentarisch eingesetzter Alleinerbe seines im Jahr 2018 verstorbenen Vaters, des Erblassers. Zum Erbe gehörte ein mit einem Parkhaus bebautes Grundstück.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen