Jusletter IT

Vorstandsmitglieder einer AG haben bei der Leitung des Unternehmens «die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.»¹ Dazu zählt auch, «die Gesellschaft so zu leiten, wie das Wohl des Unternehmens unter Berücksichtigung der Interessen der Aktionäre und der Arbeitnehmer sowie des öffentlichen Interesses es erfordert.»² Im Rahmen dieser Sorgfaltspflicht hat die Geschäftsleitung sicherzustellen, dass ihr Unternehmen rechtskonform agiert.

Die zunehmende Komplexität des Wirtschaftslebens führt zu einem quantitativen Anstieg von Rechtsnormen, deren Einhaltung dadurch immer schwieriger gewährleistet werden kann. Compliance-Systeme haben zur Aufgabe, die Einhaltung von Regeln (Rechtsnormen, selbstauferlegte Richtlinien und allgemeine Wertvorstellungen) im Unternehmen sicherzustellen.³ Dadurch begrenzen Compliance-Maßnahmen zum einen das Haftungsrisiko der Geschäftsleitung, zum anderen tragen sie durch eine verbesserte Corporate Governance zu einer positiven Unternehmensentwicklung bei.⁴ Auch wenn damit die Bedeutung von Compliance-Maßnahmen auf der Hand liegt, wurde die Compliance-Policy aus den USA und Deutschland in Österreich bis dato kaum rezipiert.⁵

Bezeichnet man als «Compliance» die Gesamtheit derjenigen Organisationsmaßnahmen, durch welche die Einhaltung von Normen in einem Unternehmen gewährleistet wird, kann «IT-Compliance» zunächst einschränkend als diejenigen Maßnahmen definiert werden, welche die «Einhaltung von gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft»⁶ sicherstellen.

Damit weist IT-Compliance ein breites Spektrum an Themen auf: Sie betrifft sowohl den elektronischen Briefverkehr, die elektronische Buchführung, das Lizenzmanagement, die elektronische Aktführung als auch datenschutzrechtliche Aspekte. Für alle diese Themen von zentraler Bedeutung ist indes die Sicherstellung der IT-Sicherheit.⁷ Dabei ist darauf zu achten, dass die IT-Abteilung geeignete Maßnahmen trifft, um die Unternehmensdaten regelmäßig zu sichern, und auch stichprobenartig zu überprüfen, ob Wiederherstellungen der angefertigten Kopien (noch immer) möglich sind. Auch die Absicherung gegen externe Angriffe auf das IT-System und eine umfassende Notfallplanung (vor allem die Organisation geeigneter Maßnahmen bei einem Stromausfall)⁸ fällt darunter.

Auf die Frage, wie ein solches IT-Compliance System von Rechts wegen ausgestaltet sein muss, lässt sich allerdings keine allgemein gültige Antwort finden: Schließlich sind die Parameter der Haftung von Vorstand und Geschäftsführung gesellschaftsrechtlich nur abstrakt vorgegeben; die von diesen Organen zu treffenden Organisationsentscheidungen sind daher jeweils vom konkreten Einzelfall abhängig und müssen anhand der tatsächlichen Größe, Branche und Geschichte eines Unternehmens beurteilt werden.⁹ Die jeweiligen Branchenstandards sowie der aktuelle Stand der Technik sind dabei zu Beurteilung der individuellen Risiko-Adäquanz des Compliance-Systems als Richtschnur heranzuziehen.

Bei näherer Betrachtung wird rasch klar, dass IT-Compliance auch eine wichtige Rolle bei der Umsetzung und Einhaltung von Compliance-Maßnahmen in anderen Unternehmensbereichen spielt: So ist nur schwer denkbar, wie die Geschäftsleitung ihrer oben dargestellten Verantwortung einer sorgfältigen Leitung des Unternehmens ohne entsprechende IT-Unterstützung nachkommen soll.¹⁰

Ein funktionierendes IT-System trägt daher wesentlich zum Erfolg von Compliance Maßnahmen bei. Darüber hinaus können elektronische Systeme helfen, Compliance-Schulungen effizient zu gestalten. So sind nicht alle Vorgesetzten gleichzeitig auch gute Lehrer, die ihre Mitarbeiter bestmöglich in ihre Aufgaben einweisen können. Unternehmensweit die besten Leute heranzuziehen, damit diese bausteinartig Compliance-Schulungsinhalte aufzeichnen und diese vorgefertigten Präsentationen in Mitarbeiterschulungsprogrammen einsetzen, könnte hier erfolgversprechend sein. Computerunterstützte Simulationen können Mitarbeiter mit den besonderen Problemen ihres Arbeitsumfeldes vertraut machen; praktische Übungen können so leicht mit dem Erwerb relevanten Wissens verknüpft werden.¹¹

Die IT-Abteilung, welche in der Regel das ordnungsgemäße Funktionieren der IT-Systeme zu verantworten hat, sieht sich einer Fülle an rechtlichen Anforderungen gegenüber. So hat sie dafür zu sorgen, dass der Aufbau und die Nutzung des IT-Systems beispielsweise dem Datenschutzgesetz 2000, dem E-Commerce-Gesetz, dem Unternehmensgesetzbuch, der Bundesabgabenordnung, dem Umsatzsteuergesetz 1994 oder auch dem Urheberrechtsgesetz (vor allem im Zusammenhang mit dem Lizenzmanagement des Unternehmens) entsprechen.¹² IT-Compliance (verstanden als die Einhaltung all dieser Normen) kann daher naheliegender Weise nicht in der Verantwortung der IT-Abteilung alleine liegen.

Für die Erfüllung von Compliance-Aufgaben ist es – abhängig von der Unternehmensgröße – zumeist sachgerecht, eine eigene für die Umsetzung des Compliance-Programmes verantwortliche Person zu installieren (Compliance-Officer ). Der Compliance-Officer sollte nach Möglichkeit von der Rechtsabteilung und der internen Revision unabhängig sein, aber als Stabsstelle direkt an die Geschäftsleitung berichten. Idealerweise sollte der Compliance-Officer auch die Möglichkeit haben, sich an den Aufsichtsrat oder die Gesellschafter zu wenden, sollte er doch auch für die Überprüfung der Geschäftsleitung selbst verantwortlich sein. Auch die IT-Compliance bildet ein Element dieser Stabsstelle und damit einen Teil der Compliance-Gesamtstrategie des Unternehmens.

Im Allgemeinen erfolgt die Einrichtung eines (IT-)Compliance-Systems in vier Schritten:¹³

• Identifikation von Normen: Gemeinsam mit der Rechtsabteilung ist zunächst zu analysieren, welche Regeln für die Arbeit der IT-Abteilung von Relevanz sind oder Berührungspunkte zu den IT-Systemen des Unternehmens aufweisen.
• Compliance-Evaluierung: In einem zweiten Schritt ist zu hinterfragen, inwieweit diesen Vorschriften von der IT-Abteilung bereits entsprochen wird.
• Sicherstellung von Compliance-konformen Verhalten: Parallell dazu sind Verfahren zu entwickeln und zu implementieren, welche eine positive Bestätigung über die Einhaltung der Normen ermöglichen.
• Berichterstattung: Durch regelmäßige Fortschrittsberichte an die Geschäftsführung unter Verwendung von dazu entwickelten Kennzahlen ist das Funktionieren des IT-Compliance-Systems laufend zu überprüfen und an allfällige Änderungen in Rechtslage oder Unternehmensorganisation anzupassen.

Die haftungsrechtlichen Konsequenzen fehlerhafter Entscheidungen von Vorstand oder Geschäftsführung sind stark einzelfallbezogen. Größe und Art des Betriebes und die mit dem Unternehmensgegenstand verbundenen unterschiedlichen anzuwendenden Rechtsnormen, die tatsächliche innere Organisation des Betriebs und die damit einhergehenden unterschiedlichen faktischen Überwachungsmöglichkeiten sind dabei die maßgeblichen Einflussfaktoren.

Die vorbeugende Einrichtung eines adäquaten Compliance-Systems kann die Haftungsrisiken von Leitungsorganen erheblich reduzieren und auch bei Verwirklichung bestimmter Risiken dazu beitragen, dass notwendige Gegenmaßnahmen frühzeitig eingeleitet werden. Die IT-Compliance nimmt dabei innerhalb jeden Compliance-Systems durch ihre Doppelstellung als Gegenstand von Compliance-Maßnahmen einerseits und in ihrer Funktion der Compliance-Unterstützung andererseits eine Schlüsselrolle ein.

Barbist, Johannes, Ahammer, Michael (Hersg.), Compliance in der Unternehmenspraxis, LexisNexis, Wien (2009)
Bergmoser, Ulrich, Theusinger, Ingo, Gushurst, Klaus-Peter, Corporate Compliance – Grundlagen und Umsetzung. In: BB-Special Compliance S. 1 (2008)
Campos Nave, José, Vogel, Henrik, Die erforderliche Veränderung von Corporate Compliance-Organisationen im Hinblick auf gestiegene Verantwortlichkeiten des Compliance Officers, BB S. 2546 (2009)
Haeseler, Herbert, Compliance und Compliance Management, RWZ S. 235 (2005)
Hauschka, Christoph (Hersg.), Corporate Compliance: Handbuch der Haftungsvermeidung im Unternehmen, Beck Juristischer Verlag, München (2007)
Itzen, Uta, Richtungswechsel, Bestandsaufnahme, Prävention: Das Gerüst einer erfolgreichen Compliance-Strategie. In: BB-Special Compliance S. 12 (2008)
Liese, Jens, Much Adoe About Nothing? oder: Ist der Vorstand einer Aktiengesellschaft verpflichtet, eine Compliance-Organisation zu implementieren? In: BB-Special Compliance S. 17 (2008)
Meier-Greve, Daniel, Vorstandshaftung wegen mangelhafter Corporate Compliance, BB S. 2555 (2009)
Nolte, Norbert, Becker, Thomas, IT-Compliance. In: BB-Special Compliance S. 23 (2008)
Rath, Michael, Sponholz, Rainer (Hersg.), IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen, Erich Schmidt Verlag, Berlin (2009)
Rodewald, Jörg ,Unger, Ulrike, Corporate Compliance – Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, BB S. 113 (2006)
Umnuß, Karsten (Hersg.), Corporate Compliance Checklisten: Rechtliche Risiken im Unternehmen erkennen und vermeiden, Beck Juristischer Verlag, München (2008)
Wecker, Gregor, van Laak, Hendrik (Hersg.), Compliance in der Unternehmerpraxis. Grundlagen, Organisation und Umsetzung, 2. Auflage, Gabler, Wiesbaden (2008)
Wybitul ,Tim, Strafbarkeitsrisiken für Compliance-Verantwortliche, BB S. 2590 (2009)
Zehetner, Jörg, Zehetner, Ulf, Corporate Compliance – Eine Einführung, GBU S. 43 (2009)

Markus Uitz / Johannes Barbist, BINDER GRÖSSWANG Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien AT
uitz@bindergroesswang.at; barbist@bindergroesswang.at; www.bindergroesswang.at