Gastkommentar von Frank Giebel, Geschäftsführer, 3rd Mind Business Consulting

Dass für alle Unternehmer- und Geschäftsführer/innen der Umgang mit Risiken eine persönliche Notwendigkeit ist, ergibt sich schon alleine aus der leitenden Stellung. Dazu gehört neben klassischer Betriebswirtschaft und Arbeitgeberstellung noch eine Vielzahl weiterer Dinge, die im Tagesgeschäft oftmals in den Hintergrund rücken.

Neben der Sorgfaltspflicht (§ 43 GmbHG) gehört dazu beispielsweise auch die Einführung eines Risikomanagements (KonTraG bzw. ISO 27001 ab gewisser Betriebskennzahlen) zur Früherkennung existenzgefährdender Entwicklungen.

Bei Datenverlust und IT-Ausfall droht der Gesellschaft ein wirtschaftlicher Schaden, aber auch Dritten, wenn eine vertraglich vereinbarte Leistung nicht gewährt werden kann. Schon allein aus diesem Grunde ist eine den betrieblichen Anforderungen entsprechende Notfallvorsorge zur Chefsache zu erklären. Hinzu kommen gesetzliche Anforderungen, zum Beispiel aus dem Bundesdatenschutzgesetz.

Viele Geschäftsführer/innen verlassen sich aber zu oft auf die Gesellschaftsform und deren beschränkte Haftung auf das eingesetzte Kapital, was aber nur sehr bedingt funktioniert. Sie unterliegen durchaus auch einem persönlichen Haftungsrisiko, beispielsweise bei einer Pflichtverletzung.

Um sich Gläubigern gegenüber zu exkulpieren*, müssen sie nicht nur darlegen, den Pflichten nachgekommen zu sein, sondern dies auch beweisen. Ein Delegieren der Notfallvorsorge an die IT-Leitung reicht aber nicht für eine Exkulpation, denn die Verantwortung dafür obliegt nach wie vor der Geschäftsleitung.

Diese muss sich regelmäßig über den Stand der Dinge informieren und bei Bedarf eingreifen. Idealerweise kann sie unter anderem eine entsprechende Verfahrensdokumentation, Berichte und interne Korrespondenzen ziehen, die belegen, dass der Schaden durch ihr Verhalten nicht abzuwenden gewesen wäre.

Die IT-Leitung weist zum Beispiel schriftlich und mehrfach darauf hin, dass bei einem Ausfall die Sollzeiten zur Wiederherstellung des IT-Betriebes deutlich überschritten werden, weil kein Budget für eine dem Betrieb erforderliche Datensicherungsmaßnahme genehmigt wurde. Greift die GL nicht entsprechend ein und »es knallt«, ist die IT-Leitung schuldfrei (exkulpiert) und die Geschäftsleitung bekommt persönlich ein Problem.

Umgekehrt ist natürlich die IT-Leitung im Rahmen der Arbeitnehmer- oder Ressorthaftung in der Pflicht, wenn diese zu sorglos mit dem Auftrag umgeht oder die GL nicht sachlich korrekt und rechtzeitig informiert. Durch die Kenntnis des Stellenwertes der IT für das Unternehmen sowie der rechtlichen Rahmenbedingungen in Verbindung mit Notfallvorsorgen kann das Unternehmen seinen Geschäften weiterhin gesichert, aber auch gesetzeskonform nachgehen.

*Im Schuldrecht die Umkehrung des »Unschuldsprinzips«