30.10.2006, 09:07 Uhr
IT-Security Compliance auch für KMU?
Für grosse internationale Unternehmen ist Compliance auch im IT-Bereich selbstverständlich geworden. Das sollte auch für KMU so sein, aber sie werden mit dem Problem alleingelassen.
Robert G. Briner ist Rechtsanwalt in Zürich und leitet in der Zürcher Anwaltskanzlei Pestalozzi Lachenal Patry die Fachgruppe Intellectual Property and Technology.
Banken stellen hohe Anforderungen an die Sicherheit ihrer IT. Das wollen sie nicht nur, sondern das müssen sie auch. Das Bankengesetz, verschiedene Richtlinien der Eidgenössischen Bankenkommission (EBK) und Regelungen mit internationalen Auswirkungen wie die Sarbanes-Oxley Act oder Basel II verpflichten die Banken zu hohen Anforderungen an die Sicherheit. IT-Security gehört zur so genannten Compliance, das heisst zur Risikovermeidung und -minimierung von Verstössen gegen Vorschriften, Standards, Standesregeln mit den entsprechenden administrativen, steuerlichen und zivil- und strafrechtlichen Sanktionen. Sicherheit heisst daher nicht nur Verlässlichkeit von Systemen und Datenträgern. Der Begriff umfasst auch die Vorsorge gegen unbefugten Zugriff auf Daten sowie deren unbefugte Änderung und Verwendung. Ein weiterer wichtiger Aspekt ist die Sicherheit, unternehmenswichtige Daten im richtigen Format verfügbar zu haben und auf sie zeitgerecht zugreifen zu können.
Verwaltungsrat in der Pflicht
Die gesetzlichen Vorschriften sind klar. Der Verwaltungsrat der Aktiengesellschaft hat unter anderem die unübertragbare Aufgabe und Verantwortung, die interne Organisation festzulegen, das Rechnungswesen und die Finanzkontrolle auszugestalten, und die mit der Geschäftsführung betrauten Personen «namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen» zu überwachen (Art. 716a OR). Die Mitglieder des Verwaltungsrates und alle mit der Geschäftsführung befassten Personen sind nach Art. 754 OR intern der Gesellschaft, und extern sowohl den Aktionären als auch den Gläubigern der Gesellschaft für den Schaden verantwortlich, die sie durch Verletzung dieser Pflichten verursachen. Das GmbH-Recht verweist schon heute für diese Haftung auf die Bestimmungen der Aktiengesellschaft, und nach dem revidierten GmbH-Recht, das am 30. Juni 2007 in Kraft tritt, werden die Bestimmungen noch enger übernommen. Inhaber von Einzelfirmen und Kollektivgesellschaften haften ohnehin persönlich.
Es gilt nach Art. 717 OR ein hoher Massstab für die Sorgfalt. Dabei wird nicht unterschieden zwischen Verwaltungsräten und Inhabern von kleinen GmbHs, Kollektivgesellschaften oder Einzelfirmen. Es gilt für alle derselbe Massstab: objektiv, nüchtern, hoch. Gemäss Bundesgericht muss man diejenige Sorgfalt anwenden - und haftet für den Schaden, wenn man es nicht tut -, welche jede pflichtbewusste, vernünftige, und ihrem Posten gewachsene Person angewendet hätte. Nicht die Sorgfalt des übernächtigten CIO, nicht die Sorgfalt des um seine Existenz kämpfenden Kleinunternehmers, nicht die Sorgfalt des unter Konkurrenzdruck stehenden Gewerbebetriebes!
Geschäftsführung ebenfalls
Ob ein Mitarbeiter zur Geschäftsführung gehört, bestimmt sich nicht nach seinem formellen Titel, sondern nach sachlichen Gesichtspunkten. Das Bundesgericht ist diesbezüglich in seiner Rechtsprechung klar. Es sagte zum Beispiel in einem Entscheid aus dem Jahr 1981 (BGE 107 II 353), dass jeder zur Geschäftsführung gehört, der materiell eine leitende Funktion hat, das heisst wer auf das - richtige, oder eben fehlerhafte - Funktionieren des Unternehmens einen massgeblichen Einfluss hat. Dazu gehört heute auch der Chef der IT.
Vorschriften mit Relevanz für IT-Security gibt es zahlreiche. Das Obligationenrecht (OR) schreibt in Art. 957ff OR vor, dass ordentlich Buch geführt werden muss, und dass gewisse Unterlagen aufzubewahren sind, teilweise im Original. Verletzung dieser Pflichten ist strafbar, Art. 166 StGB. Ob und wie auch weitere Unterlagen aufbewahrt werden, hängt davon ab, wie sehr es dem Unternehmen schaden könnte, diese Unterlagen NICHT zur Hand zu haben, wenn sie gebraucht würden, zum Beispiel um verspätete Forderungen von Lieferanten oder Kunden abzuwehren. Detaillierte Vorschriften findet man auch in der so genannten GeBüV (Geschäftsbücherverordnung; im vollen Wortlaut: Verordnung vom 4. April 2002 über die Führung und Aufbewahrung der Geschäftsbücher).
Strenge Anforderungen an die IT-Security stellt auch das Datenschutzgesetz. Hält man sich vor Augen, dass in der Schweiz auch die Daten von Unternehmen geschützt sind, das heisst nicht nur die Daten von Privatpersonen, wird sofort klar, dass jedes Unternehmen, vom Einzelschuhmacher bis zum internationalen Konzern, datenschutzrechtlich relevante Daten aufbewahrt und die strengen Sicherheitsanforderungen der Datenschutzverordnung (DSV, Artikel 8-11) erfüllen muss - oder jedenfalls müsste. Datenschutzrecht verlangt daher de facto von jedem Unternehmen, dass seine Daten vor ungewollter Löschung, technischen Fehlern und widerrechtlicher Verwendung geschützt sind, dass die Risiken evaluiert und mit geeigneten technischen und organisatorischen Massnahmen minimiert werden, dass diese Risiken und Massnahmen immer dem Stand der Technik entsprechen und periodisch überprüft werden, mit laufenden Kontrollen, und dass das alles in einem Reg-lement festgelegt wird. Irrealer Perfektionismus? Vielleicht, aber es steht nun mal so im Gesetz.
IT-Security Compliance auch für KMU?
Elektronische Belege
Im Bereich der Mehrwertsteuer (MWSt) gelten besonders hohe Anforderungen vor allem dann, wenn Belege elektronisch aufbewahrt werden sollen. Die Eidgenössische Steuerverwaltung (EStV) hat die Anforderungen in einer besonderen Verordnung festgelegt, der sogenannten ElDI-Verordnung (Verordnung des EFD vom 30. Januar 2002 über elektronisch übermittelte Daten und Informationen). Die Anforderungen an eine MWSt-gerechte elektronische Datenaufbewahrung sind so hoch, dass sie zurzeit in der Schweiz nur von etwa einem Dutzend Unternehmen erfüllt werden. Praktiker raten streng davon ab, solche Lösungen einzuführen, ohne dies mit der EStV abzustimmen.
Vielfach unbekannt ist, dass mangelhafte Compliance im organisatorischen Bereich nicht nur zivil- und steuerrechtliche Folgen haben kann, sondern auch das Risiko strafrechtlicher Konsequenzen birgt. Bundesgerichtliche Entscheide aus dem Jahr 1990 beziehungsweise 1991 (BGE 116 IV 26, BGE 117 IV 163) belegen, dass Verurteilungen Realität sind. Strafbar ist auch, wer mit so genanntem Eventualvorsatz handelt, das heisst wer trotz der Möglichkeit, dass die Buchführung möglicherweise nicht korrekt ist, geeignete Kontrollen und allenfalls Massnahmen unterlässt. Eine relativ neue Ergänzung des Strafgesetzbuches (StGB, Art. 100quater) eröffnet zudem die Möglichkeit, Unternehmen mit Busse bis zu fünf Millionen Franken zu belegen, wenn die wirklichen Täter im Unternehmen wegen undurchsichtiger oder ungenügender Unternehmensorganisation nicht eruiert werden können.
Komplexe Aufgabe
Compliance mit den heutigen Anforderungen an die IT-Security ist also eine komplexe Aufgabe, und auch die Umsetzung im Unternehmen ist keineswegs einfach. Die Risiken aus lückenhafter Compliance sind schwer eingrenzbar, die Konsequenzen unter Umständen sehr unerfreulich. Aber anders als grosse und internationale Unternehmen haben KMU keine eigene Rechtsabteilung, die mit Argusaugen für Compliance sorgt und das Notwendige in die Wege leitet. Die meisten KMU kennen mutmasslich kaum die wichtigsten gesetzlichen Vorschriften, geschweige denn wie man sie kostengünstig und verlässlich umsetzen könnte. Sie stellen sich auf den Standpunkt, dass sie auch keine Zeit und kein Geld für solche Dinge haben. Das böse Erwachen kommt zum Beispiel bei der ersten MWSt-Revision, wenn die vorhandenen Belege den Anforderungen nicht genügen, zum Beispiel weil sie einfach als pdf-Kopie eingescannt und elektronisch gespeichert werden. Oder im Gerichtsverfahren, wenn die Gegenseite die Echtheit einer ausgedruckten E-Mail anzweifelt. Oder bei Ansprüchen aus Garantie oder Produktehaftung, wenn verlässliche Aufzeichnungen fehlen.
Dass die KMU mit diesen Anforderungen und Risiken weitgehend allein gelassen werden, ist offensichtlich. Das Seco (Staatssekretariat für Wirtschaft) hat am 13. Oktober 2006 eine Untersuchung veröffentlicht, gemäss welcher die KMU dringend von Bürokratie entlastet werden sollten, mit welcher sie im Durchschnitt pro Jahr und Mitarbeiter 41,3 Stunden verbringen (http://www.seco.admin.ch/news/00848). Vollumfängliche Compliance mit IT-Security-Anforderungen ist in dieser Zahl kaum enthalten, aber Wegschauen hilft nicht. Es sind also mutige Schritte gefragt, wohl vor allem seitens der Gewerbeverbände und Standesorganisationen, die geeignete Checklisten, Risiko-Evaluierungs-Tools und Massnahmenpakete erarbeiten und zur Verfügung stellen sollten.
Weitere Informationen
Compliance
Sarbanes-Oxley:Das Sarbanes-Oxley Gesetz von 2002 (oft abgekürzt als SarbOx oder nur SOx ist ein amerikanisches Gesetz zur Verbesserung der Transparenz in Unternehmen. Das Gesetz entstand nach den Bilanzskandalen um Enron und Worldcom. Basel II: bezeichnet ein Gesamtpaket von Vorschriften für das Eigenkapital von Banken. Die Regeln treten an sich erst per 1. Januar 2008 in Kraft, werfen aber ihre Schatten weit voraus. Portal für KMU: Der Bund unterhält ein KMU-Webportal auf www.kmu.admin.ch. Ein guter Start - mehr leider (noch) nicht.
Robert G. Briner