Sie sind hier: Home » Recht » Deutschland » Weitere Urteile

Wer nicht dokumentiert, haftet


Risikofrüherkennung: Nur eine nachvollziehbare und ausreichende Dokumentation ermöglicht die Beurteilung, ob getroffene Maßnahmen ausreichen und das Überwachungssystem funktionsfähig ist
Das LG München bestätigte einen Hauptversammlungsbeschluss zur Verweigerung der Entlastung von Vorständen - Hintergrund: Es gab keine formelle Dokumentation für das Risikofrüherkennungsystem im Unternehmen

Dr. Matthias Orthwein:
Dr. Matthias Orthwein: "strenge Maßstäbe an die Dokumentation", Bild: Luther

Von Dr. Matthias Orthwein, LL.M. (Boston)

(02.08.07) - Dokumentationen gehören zu den unbeliebtesten Aufgaben in der IT. Sie werden daher häufig sträflich vernachlässigt. Nach einer Untersuchung der Information Week aus dem Jahr 2005 verfügen lediglich 46,7 Prozent der Unternehmen über ein schriftlich fixiertes und kommunizierbares Sicherheitskonzept für ihre IT-Systeme. Der Trend zur stärkeren Beachtung von Compliance-Anforderungen und Risikomanagement in den Unternehmen hat jedoch dazu geführt, dass die Gerichte mittlerweile sowohl IT-Verantwortliche als auch Vorstände und Geschäftsführer von Unternehmen immer stärker ganz persönlich für diese Aufgabe in die Pflicht nehmen. Nachlässigkeiten werden mit Geldstrafen und Gefängnisandrohung empfindlich bestraft, so dass es sich kein Unternehmen mehr leisten kann, auf nachprüfbare Dokumentationen zu verzichten.

Die Erkenntnis, dass Risikomanagement nicht nur ein Bestandteil guter Unternehmensführung ist, hat sich in Zeiten der zunehmenden medialen Präsenz von Compliance und Corporate Governance in den meisten Unternehmen bereits durchgesetzt. Zusätzlich verpflichtet sie auch der Gesetzgeber – wachgerüttelt durch die Skandale der Vergangenheit – zur Einrichtung von Risikofrüherkennungssystemen. Weder börsennotierte Gesellschaften noch die nicht börsennotierten Unternehmen können sich dem entziehen. Schließlich prüft auch der Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung die vorhandenen Risikofrüherkennungssysteme. Findet er dabei keine ausreichend funktionsfähigen Systeme zur Früherkennung von künftigen Risiken für das Unternehmen vor, ist die Erteilung des Testats für den Jahresabschluss zumindest gefährdet. Gerade bei den Versicherungs- und Finanzdienstleistungsunternehmen ist eine umfassende IT-Systemprüfung sogar zwingender Bestandteil der Jahresabschlussprüfung.

Dass mit dieser Gefährdung des Wirtschaftsprüfertestats für den Jahresabschluss bei fehlender Dokumentation noch nicht Schluss ist, hat das Landgericht München I aktuell am Beispielsfall eines Großhandelsunternehmens aus der Halbleiterbranche deutlich gemacht. Danach genügt es nicht mehr nur, ein Risikofrüherkennungssystem eingerichtet zu haben, dies muss auch für Außenstehende nachvollziehbar dokumentiert sein. Das Gericht legt hier strenge Maßstäbe an die Dokumentation an und verlangt neben der Begründung unmissverständlicher Zuständigkeiten insbesondere auch ein engmaschiges Berichtswesen und eine entsprechende Dokumentation (vgl. LG München I, Urteil vom 5. April 2007, Az.: 5 HKO 15964/06).

Nur eine nachvollziehbare und ausreichende Dokumentation ermöglicht es schließlich dem Abschlussprüfer festzustellen, ob die getroffenen Maßnahmen ausreichen und das Überwachungssystem funktionsfähig ist. Zudem ist eine unternehmensinterne Kommunikation der getroffenen Maßnahmen ohne entsprechende Dokumentation kaum möglich. Die Praxis zeigt, dass in vielen Unternehmen lediglich ein "informelles Risiko-Früherkennungssystem" besteht. Aufgrund der fehlenden Dokumentation kann dieses aber weder den Mitarbeitern erläutert werden noch durch den Abschlussprüfer überprüft werden.

Wer sich als verantwortlicher IT-Mitarbeiter ebenso wie als Geschäftsleiter einmal die Konsequenzen vor Augen führt, die ein Versäumnis bei der Dokumentation auch für ihn persönlich haben kann, wird zweifellos künftig hierauf sein besonderes Augenmerk richten. Das Landgericht München I weist nämlich darauf hin, dass die Dokumentation des Früherkennungssystems nicht bloß delegierbare Abteilungsverantwortlichkeit ist, sondern viel mehr zu den zentralen Aufgaben des Vorstands beziehungsweise Geschäftsführers gehört.

Sie ist Ausdruck seiner gesetzlich normierten Bestandssicherungsverantwortung. Damit stellt eine fehlende oder unvollständige Dokumentation einen schwerwiegenden Gesetzesverstoß dar, der es zum Beispiel bei börsennotierten Aktiengesellschaften rechtfertigt beziehungsweise sogar fordert, dem Vorstand die Entlastung zu verweigern. Darüber hinaus haben Aktionäre und Gesellschafter nicht nur das Recht sondern in vielen Fällen sogar die Pflicht, entsprechende Schadenersatzforderungen an die Vorstände und Geschäftsführer zu stellen.

Für den IT-Verantwortlichen im Unternehmen folgt hieraus, dass es nicht ausreicht, ein funktionierendes System zur Risikofrüherkennung im Unternehmen zu installieren. Auch die vollständige und nachvollziehbare Dokumentation des Systems ist mehr als nur eine lästige Pflichtübung. Aber auch auf Ebene der Unternehmensführung muss spätestens jetzt jedem Geschäftsführer oder Vorstand klar sein, dass Risikomanagement für die IT-Systeme "Chefsache" ist, bei der er/sie sich nicht darauf ausruhen kann, die Verantwortlichkeit an die Fachabteilung abzuschieben.

Selbst in Großunternehmen gilt, was für den Mittelständler selbstverständlich ist, nämlich dass die Unternehmensführung sich nicht soweit vom Tagesgeschäft entfernen darf, dass ihr die operative Führung und Beherrschung des Unternehmens entgleitet. Neben den möglichen finanziellen Folgen für Unternehmensführung und IT-Verantwortliche zum Beispiel durch Schadenersatzforderungen der Gesellschafter, sollten auch entsprechende arbeitsrechtliche Sanktionen nicht aus dem Auge verloren werden. Der öffentliche Druck auf die Unternehmensführung, die Zügel im Unternehmen wieder stärker selbst in die Hand zu nehmen, ist mit einiger Verzögerung auch in den Gerichtssälen deutlich zu spüren. (Luther: ra)

"Dr. Matthias Orthwein, LL.M. (Boston) ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH

Lesen Sie auch:
Pflichtverletzungen im Bereich Compliance
Juristische IT-Haftungsrisiken
IT-Haftungsrisiken für Mandanten


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Weitere Urteile

  • Gewinnermittlung nach der Tonnage

    Der Bundesfinanzhof (BFH) hat mit Beschluss vom 19.10.2023 - IV R 13/22 dem Bundesverfassungsgericht (BVerfG) die Frage vorgelegt, ob § 52 Abs. 10 Satz 4 des Einkommensteuergesetzes (EStG) gegen das verfassungsrechtliche Rückwirkungsverbot (Art. 20 Abs. 3 des Grundgesetzes - GG -) verstößt, soweit diese Vorschrift die rückwirkende Anwendung des § 5a Abs. 4 Satz 5 und 6 EStG für Wirtschaftsjahre anordnet, die nach dem 31.12.1998 beginnen.

  • Wettbewerbsverstöße von Drittanbietern

    In dem Grundsatzverfahren der Wettbewerbszentrale zur Frage der Reichweite der Haftung von Marktplatzbetreibern für Wettbewerbsverstöße von Drittanbietern hat jüngst das OLG Frankfurt am Main geurteilt (OLG Frankfurt am Main, Urteil vom 21.12.2023, Az. 6 U 154/22 - nicht rechtskräftig). Es hat die erstinstanzliche Entscheidung bestätigt und die Berufung gegen das Urteil des LG Frankfurt am Main (LG Frankfurt am Main, Urteil vom 02.09.2022, Az. 3-12 O 42/21) zurückgewiesen.

  • Rahmenbedingungen der Steuerberaterprüfung

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 11.07.2023 - VII R 10/20 weitere Klarheit in Bezug auf die rechtlichen Rahmenbedingungen der Steuerberaterprüfung geschaffen. Die Entscheidung bestätigt die Rechtmäßigkeit der Möglichkeit, die schriftlichen Prüfungsarbeiten ohne Verwendung eines anonymisierten Kennzahlensystems anfertigen zu lassen.

  • Aufwendungen für Ferienimmobilienanbieter

    Wie der Bundesfinanzhof (BFH) mit Urteil vom 17.08.2023 - III R 59/20 entschieden hat, können Aufwendungen, die ein Ferienimmobilienanbieter tätigt, damit ihm die Eigentümer von Ferienimmobilien diese zur Vermietung an Reisende überlassen, als Mieten zu qualifizieren sein und zu einer gewerbesteuerrechtlichen Hinzurechnung zum Gewinn führen. Die Klägerin, eine Verwaltungs - und Beteiligungs-Gesellschaft mbH, war im Streitjahr 2010 zu 100 Prozent an einer Firma (X) beteiligt, die Reisenden Ferienimmobilien über Kataloge, eine Internet-Plattform und über Vermittler, wie zum Beispiel Reisebüros anbot. Zudem war die Klägerin Organträgerin der X, weshalb ihr das Ergebnis der Organgesellschaft steuerlich zugerechnet wurde.

  • Bestehen einer steuerlichen Organschaft

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 11.07.2023 - I R 21/20 für den Fall der Verschmelzung einer Kapital- auf eine Personengesellschaft entschieden, dass der übernehmende Rechtsträger als ("neuer") Organträger auch dann in die bereits beim übertragenden Rechtsträger (als "alter" Organträger) erfüllte Voraussetzung einer finanziellen Eingliederung der Organgesellschaft eintritt, wenn die Umwandlung steuerlich nicht bis zum Beginn des Wirtschaftsjahres der Organgesellschaft zurückbezogen wird.

Pflichtverletzungen im Bereich Compliance Kläger als selbständiger Trauerredner

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen