91 Abs. 2 AktG – Bestandsicherungspflicht des Vorstands

91 Abs. 2 AktG verpflichtet den Vorstand einer Aktiengesellschaft dazu, geeignete Maßnahmen zu ergreifen, damit für den Fortbestand der Gesellschaft gefährliche Entwicklungen früh erkannt werden. Diese Bestandsicherungspflicht erstreckt sich freilich auch auf die IT-Infrastruktur der Gesellschaft.1Dazu Auer-Reinsdorff, ITRB 2011, 245 ff. Die Vorschrift ist unmittelbar nur auf die Aktiengesellschaft anwendbar, allerdings strahlen die in § 91 Abs. 2 AktG normierten Pflichten nach der Gesetzesbegründung auch auf andere Gesellschaftsformen wie die der GmbH aus.2So Lensdorf, CR 2007, 413, 414 mit Verweis auf BT-Drs. 13/9712, S. 15.

Die Reichweite der aufgrund von § 91 Abs. 2 AktG zu ergreifenden Maßnahmen ist im Detail umstritten.3Zum Streitstand vgl. von Holleben/Menz, CR 2010, 63, 64 f. Nach einer Auffassung4So etwa Theusinger/Liese, NZG 2008, 289, 290; zum Ganzen auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, ...continue enthält die Vorschrift mit Blick auf den unternehmerischen Ermessensspielraum aus § 93 Abs. 2 S. 1 AktG allein die Pflicht zur Einrichtung eines entsprechenden „Risikofrühwarnsystems“, während andere5So von Holleben/Menz, CR 2010, 63, 64 f. die Schaffung eines umfassenden „Risikomanagementsystems“ fordern. Allerdings lässt sich die Pflicht zur Errichtung eines umfassenden Risikomanagementsystems auch aus anderen Vorschriften ableiten, weswegen dieser Streit im Ergebnis dahinstehen kann.6Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 34.

Zu diesen Vorschriften zählt § 93 Abs. 1 AktG, der die allgemeinen Sorgfaltspflichten des Vorstands festlegt. Aus dieser Vorschrift wird eine generelle Compliance-Pflicht der Unternehmensleitung zur Schaffung effektiver IT-Sicherheitsmaßnahmen sowie zur präventiven Sicherstellung der Gesetzeskonformität der IT abgeleitet.7Dazu ausführlich Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 36 ff. Im Fall eines Verstoßes machen sich die Vorstandsmitglieder gemäß 93 Abs. 2 S. 1 AktG für Schäden haftbar.

Da unzählige Unternehmen mittlerweile sowohl organisatorisch als auch funktionell weit überwiegend auf IT-Systeme angewiesen, stellen gerade Cyberangriffe und IT-Sicherheitslücken im Zweifel „bestandsgefährdende“ Risiken im Sinne des § 91 Abs. 2 AktG für die Gesellschaft dar.8Vgl. Lensdorf, CR 2007, 413, 414.

Wegen der hohen Haftungsrisiken des Vorstands ist bei der Implementierung des Risikomanagementsystems besondere Achtung geboten. So sah das LG München I in der unterbliebenen Dokumentation eines Risikofrüherkennungssystems einen wesentlichen Gesetzesverstoß im Sinne des § 243 Abs. 1 AktG.9LG München I, Urt. v. 05.04.2007 – 5HK O 15964/06 = CR 2007, 423. IT-Sicherheit sollte demnach schon wegen des enormen wirtschaftlichen Gefährdungspotentials eines Angriffs für das Unternehmen einen unmittelbaren Bestandteil des Überwachungssystems darstellen und spezifisch berücksichtigt werden.10von Holleben/Menz, CR 2010, 63, 65.

Die genaue Ausgestaltung des Systems ist indessen einzelfallabhängig und muss Faktoren wie Unternehmensgröße, Qualifikation der Mitarbeiter, Geschäftsbranche, Sensibilität der Daten sowie insbesondere die Abhängigkeit von den IT-Systemen berücksichtigen.11Lensdorf, CR 2007, 413, 416; Auer-Reinsdorff, ITRB 2011, 245, 246. Zudem können als Auslegungshilfe technische Regelwerke wie die Grundschutzkataloge des BSI und ähnliche Standards herangezogen werden.12von Holleben/Menz, CR 2010, 63, 65; zu der rechtlichen Bedeutung solcher Richtlinien und Standards vgl. Lensdorf, CR 2007, 413, 418.

Inhaltlich kann zunächst eine sinnvolle und aufgabenorientierte Verteilung der Verantwortlichkeiten – etwa an das für die IT-Compliance verantwortliche Mitglied der Unternehmensführung – erfolgen.13Dazu Lensdorf, CR 2007, 413, 418. Zu den einzelnen it-spezifischen Sorgfaltspflichten zählen nach von Holleben/Menz neben technischen und organisatorischen Maßnahmen (wie sie auch § 9 BDSG kennt) auch die Erstellung eines Notfallkonzepts sowie die Bewertung der rechtlichen Risiken bei der IT-Nutzung.14von Holleben/Menz, CR 2010, 63, 67 ff.

Eine umfangreiche Checkliste für IT-spezifische Risikominimierungsmaßnahmen im Rahmen der IT-Compliance findet sich bei Auer-Reinsdorff, ITRB 2011, 245.

Referenzen   [ + ]

1. Dazu Auer-Reinsdorff, ITRB 2011, 245 ff.
2. So Lensdorf, CR 2007, 413, 414 mit Verweis auf BT-Drs. 13/9712, S. 15.
3. Zum Streitstand vgl. von Holleben/Menz, CR 2010, 63, 64 f.
4. So etwa Theusinger/Liese, NZG 2008, 289, 290; zum Ganzen auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 32.
5. So von Holleben/Menz, CR 2010, 63, 64 f.
6. Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 34.
7. Dazu ausführlich Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 36 ff.
8. Vgl. Lensdorf, CR 2007, 413, 414.
9. LG München I, Urt. v. 05.04.2007 – 5HK O 15964/06 = CR 2007, 423.
10. von Holleben/Menz, CR 2010, 63, 65.
11. Lensdorf, CR 2007, 413, 416; Auer-Reinsdorff, ITRB 2011, 245, 246.
12. von Holleben/Menz, CR 2010, 63, 65; zu der rechtlichen Bedeutung solcher Richtlinien und Standards vgl. Lensdorf, CR 2007, 413, 418.
13. Dazu Lensdorf, CR 2007, 413, 418.
14. von Holleben/Menz, CR 2010, 63, 67 ff.