Legal Compliance: "Gute Karten vor Gericht mit ISO 27001 und ISO 20000" Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.08.2009 Edmund E. Lindau

Legal Compliance: "Gute Karten vor Gericht mit ISO 27001 und ISO 20000"

Nicht nur in Großunternehmen muss sich die DV zunehmend mit Fragestellungen der Compliance auseinandersetzen.

Die Themen Compliance und Risiko-Management werden trotz der Wirtschaftslage derzeit intensiv in den Unternehmen diskutiert, was auch den Bereich der Informationssicherheit mit einbezieht. Die Notwendigkeit zum Aufbau eines Informationssicherheits-Managementsystems wird zwar mittlerweile – zumindest in den EDV-Abteilungen – erkannt, es werden aber einerseits Probleme in der Umsetzung gesehen und andererseits ist die Sensibilisierung im Management trotz persönlicher Haftung oftmals unzureichend. Doch gerade die sichere Datenverarbeitung ist ein zentrales Element in der Verbesserung der Risikosituation und somit Teil der Senkung der Haftungsrisiken des Managements.

Trotz persönlicher Haftung der Entscheider und den Erfahrungen aus der Finanzkrise ist das Wissen um den Aufbau eines zwingend erforderlichen Informationssicherheits-Managementsystems insbesondere bei den Entscheidern im Mittelstand und die Umsetzung nur gering. Dabei zeigt sich zunehmend, dass die ISO 27001 (IT-Sicherheitsmanagement) und auch andere Normen geradezu prädestiniert sind, um die Situation der IT-Sicherheit im Unternehmen zu analysieren und zu verbessern, was eine wesentliche Säule für eine verbesserte Compliance- und Risikosituation darstellt.

Legal Compliance ist neben der Einhaltung von Gesetzen eng mit Normen und Standards verbunden. Auch bei Schadenersatzforderungen, Stichwort: Vertragsbruch, verwenden Gerichtssachverständige ISO-Standards zur Bewertung. Im Interview mit der COMPUTERWELT zeigen Orlin Radinsky von der Anwaltskanzlei Braunei, Klauser, Prändl, sowie Erich Scheiber, Geschäftsführer der staatlich akkreditierten Zertifizierungsorganisation CIS, die juristische Bedeutung von ISO-Zertifizierung auf. Die Standards ISO 27001 für Informationssicherheit und ISO 20000 für IT Service Management minimieren das Haftungsrisiko überall dort, wo vertragliche Leistungserbringung von IT-Unterstützung und Informationsschutz abhängen.

Computerwelt: Für welche gesetzlichen Forderungen sind ISO-Zertifizierungen von Vorteil? Radinsky: Die juristischen Schlüsselbegriffe »Leistungserbringung nach dem Stand der Technik« und »Sorgfalt« ziehen sich durch das gesamte Wirtschaftsrecht. Legal-Compliance-Maßnahmen betreffen sowohl das Unternehmen als juristische Person, aber auch Leitungsorgane wie Geschäftsführer, Vorstände, Aufsichtsräte oder verantwortliche Mitarbeiter. Dazu kommt: Juristische Begriffe »leben« und entwickeln sich weiter. Was früher als sorgfältig galt, kann heute unzureichend sein. Wenn vertragliche Leistungen aufgrund mangelnder Sorgfalt nicht erbracht werden, drohen Schadenersatzforderungen.

Welche bekannten Gesetze könnte man hier nennen? Radinsky: Schon das GmbH- und das AG-Gesetz regeln, dass die Geschäftsleitung mit der »Sorgfalt eines ordentlichen Geschäftsmannes« vorzugehen hat. Die Forderungen nach Sorgfalt und Stand der Technik ziehen sich auch durch spezifische Rechtsnormen wie das Immaterialgüterrecht für Patente, die Produkthaftung, das Datenschutzgesetz, das Unternehmensrechtsänderungsgesetz oder die Gesundheitstelematikverordnung.

Welchen Bezug sehen Sie dabei zu ISO-Standards im IT-Bereich? Scheiber: Auf den Punkt gebracht: Wenn es in bestimmten Bereichen als Stand der Technik gilt, standardisierte Informationssicherheit oder IT Service Management anzuwenden, wird bei Schadenseintritt die Einhaltung der entsprechenden ISO-Norm geprüft. ISO-Standards basieren auf weltweit anerkannten Good-Practices. Sobald eine ISO-Norm oder Önorm veröffentlicht wurde, wird diese üblicherweise für Gerichtsgutachten als Maßstab herangezogen.

Welche juristischen Vorteile gewährt eine Zertifizierung? Scheiber: Zum einen verlangen Managementsysteme nach ISO 27001 oder ISO 20000, sich Kenntnis über relevante Gesetze und Verordnungen zu verschaffen. Zum anderen ist zu prüfen, ob Geschäftsleitung und Mitarbeiter diese einhalten. Das heißt, mit Implementierung von ISO-Standards wird durch normgemäße Überprüfung der Legal Compliance ein juristisches Sicherheitsnetz im Unternehmen eingezogen. Wichtig bei Gerichtsverfahren: In Fällen mit IT- oder Informationssicherheitsbezug liefert eine Zertifizierung nach ISO 27001 oder ISO 20000 einen unabhängigen Sorgfaltsnachweis aufgrund der regelmäßigen Überprüfung durch den Zertifizierer. Durch Audits und Re-Zertifizierungen wird das Niveau ständig verbessert. Dies entspricht dem juristischen Grundsatz eines »sorgfältigen« Vorgehens.

Trifft ein zertifiziertes Unternehmen bei Fehlern kein Verschulden? Radinsky: Zäumen wir das Pferd so auf: Mit ISO 27001 und ISO 20000 lässt sich sorgfältige Leistungserbringung deutlich besser nachweisen. Unterlaufen trotz aller Sicherheitsmaßnahmen Fehler, liegt kein Verschulden vor, so dass im Prinzip keine Schadenersatzverpflichtung besteht. In den meisten Fällen unserer anwaltlichen Praxis empfehlen wir zertifizierten Unternehmen, bei Service Agreements die entsprechende ISO-Norm als Maßstab für die Leistungserbringung in den Vertrag aufzunehmen. Das erhöht die Sicherheit für Kunden und minimiert das Haftungsrisiko des Auftragnehmers.

Befreit eine Zertifizierung die Geschäftsleitung aus ihrer Haftung? Scheiber: Bei bestimmten Schadensfällen, wie etwa bei Produkthaftung, kann die Gesellschaft Ansprüche gegen die eigene Geschäftsleitung geltend machen, wenn diese es verabsäumt hat, ein internes Kontrollsystem einzurichten und dadurch ein Schaden entstanden ist. Ist das Unternehmen ISO-zertifiziert, womit wesentliche IKS-Anforderungen wie Dokumentation und Überprüfungen abgedeckt sind, hat die Geschäftsleitung ihre Sorgfaltspflicht erfüllt und gute Karten.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr

Hosted by:    Security Monitoring by: