Sie sind hier: Home » Recht » Deutschland » Weitere Urteile

Wer nicht dokumentiert, haftet


Risikofrüherkennung: Nur eine nachvollziehbare und ausreichende Dokumentation ermöglicht die Beurteilung, ob getroffene Maßnahmen ausreichen und das Überwachungssystem funktionsfähig ist
Das LG München bestätigte einen Hauptversammlungsbeschluss zur Verweigerung der Entlastung von Vorständen - Hintergrund: Es gab keine formelle Dokumentation für das Risikofrüherkennungsystem im Unternehmen

Dr. Matthias Orthwein:
Dr. Matthias Orthwein: "strenge Maßstäbe an die Dokumentation", Bild: Luther

Von Dr. Matthias Orthwein, LL.M. (Boston)

(02.08.07) - Dokumentationen gehören zu den unbeliebtesten Aufgaben in der IT. Sie werden daher häufig sträflich vernachlässigt. Nach einer Untersuchung der Information Week aus dem Jahr 2005 verfügen lediglich 46,7 Prozent der Unternehmen über ein schriftlich fixiertes und kommunizierbares Sicherheitskonzept für ihre IT-Systeme. Der Trend zur stärkeren Beachtung von Compliance-Anforderungen und Risikomanagement in den Unternehmen hat jedoch dazu geführt, dass die Gerichte mittlerweile sowohl IT-Verantwortliche als auch Vorstände und Geschäftsführer von Unternehmen immer stärker ganz persönlich für diese Aufgabe in die Pflicht nehmen. Nachlässigkeiten werden mit Geldstrafen und Gefängnisandrohung empfindlich bestraft, so dass es sich kein Unternehmen mehr leisten kann, auf nachprüfbare Dokumentationen zu verzichten.

Die Erkenntnis, dass Risikomanagement nicht nur ein Bestandteil guter Unternehmensführung ist, hat sich in Zeiten der zunehmenden medialen Präsenz von Compliance und Corporate Governance in den meisten Unternehmen bereits durchgesetzt. Zusätzlich verpflichtet sie auch der Gesetzgeber – wachgerüttelt durch die Skandale der Vergangenheit – zur Einrichtung von Risikofrüherkennungssystemen. Weder börsennotierte Gesellschaften noch die nicht börsennotierten Unternehmen können sich dem entziehen. Schließlich prüft auch der Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung die vorhandenen Risikofrüherkennungssysteme. Findet er dabei keine ausreichend funktionsfähigen Systeme zur Früherkennung von künftigen Risiken für das Unternehmen vor, ist die Erteilung des Testats für den Jahresabschluss zumindest gefährdet. Gerade bei den Versicherungs- und Finanzdienstleistungsunternehmen ist eine umfassende IT-Systemprüfung sogar zwingender Bestandteil der Jahresabschlussprüfung.

Dass mit dieser Gefährdung des Wirtschaftsprüfertestats für den Jahresabschluss bei fehlender Dokumentation noch nicht Schluss ist, hat das Landgericht München I aktuell am Beispielsfall eines Großhandelsunternehmens aus der Halbleiterbranche deutlich gemacht. Danach genügt es nicht mehr nur, ein Risikofrüherkennungssystem eingerichtet zu haben, dies muss auch für Außenstehende nachvollziehbar dokumentiert sein. Das Gericht legt hier strenge Maßstäbe an die Dokumentation an und verlangt neben der Begründung unmissverständlicher Zuständigkeiten insbesondere auch ein engmaschiges Berichtswesen und eine entsprechende Dokumentation (vgl. LG München I, Urteil vom 5. April 2007, Az.: 5 HKO 15964/06).

Nur eine nachvollziehbare und ausreichende Dokumentation ermöglicht es schließlich dem Abschlussprüfer festzustellen, ob die getroffenen Maßnahmen ausreichen und das Überwachungssystem funktionsfähig ist. Zudem ist eine unternehmensinterne Kommunikation der getroffenen Maßnahmen ohne entsprechende Dokumentation kaum möglich. Die Praxis zeigt, dass in vielen Unternehmen lediglich ein "informelles Risiko-Früherkennungssystem" besteht. Aufgrund der fehlenden Dokumentation kann dieses aber weder den Mitarbeitern erläutert werden noch durch den Abschlussprüfer überprüft werden.

Wer sich als verantwortlicher IT-Mitarbeiter ebenso wie als Geschäftsleiter einmal die Konsequenzen vor Augen führt, die ein Versäumnis bei der Dokumentation auch für ihn persönlich haben kann, wird zweifellos künftig hierauf sein besonderes Augenmerk richten. Das Landgericht München I weist nämlich darauf hin, dass die Dokumentation des Früherkennungssystems nicht bloß delegierbare Abteilungsverantwortlichkeit ist, sondern viel mehr zu den zentralen Aufgaben des Vorstands beziehungsweise Geschäftsführers gehört.

Sie ist Ausdruck seiner gesetzlich normierten Bestandssicherungsverantwortung. Damit stellt eine fehlende oder unvollständige Dokumentation einen schwerwiegenden Gesetzesverstoß dar, der es zum Beispiel bei börsennotierten Aktiengesellschaften rechtfertigt beziehungsweise sogar fordert, dem Vorstand die Entlastung zu verweigern. Darüber hinaus haben Aktionäre und Gesellschafter nicht nur das Recht sondern in vielen Fällen sogar die Pflicht, entsprechende Schadenersatzforderungen an die Vorstände und Geschäftsführer zu stellen.

Für den IT-Verantwortlichen im Unternehmen folgt hieraus, dass es nicht ausreicht, ein funktionierendes System zur Risikofrüherkennung im Unternehmen zu installieren. Auch die vollständige und nachvollziehbare Dokumentation des Systems ist mehr als nur eine lästige Pflichtübung. Aber auch auf Ebene der Unternehmensführung muss spätestens jetzt jedem Geschäftsführer oder Vorstand klar sein, dass Risikomanagement für die IT-Systeme "Chefsache" ist, bei der er/sie sich nicht darauf ausruhen kann, die Verantwortlichkeit an die Fachabteilung abzuschieben.

Selbst in Großunternehmen gilt, was für den Mittelständler selbstverständlich ist, nämlich dass die Unternehmensführung sich nicht soweit vom Tagesgeschäft entfernen darf, dass ihr die operative Führung und Beherrschung des Unternehmens entgleitet. Neben den möglichen finanziellen Folgen für Unternehmensführung und IT-Verantwortliche zum Beispiel durch Schadenersatzforderungen der Gesellschafter, sollten auch entsprechende arbeitsrechtliche Sanktionen nicht aus dem Auge verloren werden. Der öffentliche Druck auf die Unternehmensführung, die Zügel im Unternehmen wieder stärker selbst in die Hand zu nehmen, ist mit einiger Verzögerung auch in den Gerichtssälen deutlich zu spüren. (Luther: ra)

"Dr. Matthias Orthwein, LL.M. (Boston) ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH

Lesen Sie auch:
Pflichtverletzungen im Bereich Compliance
Juristische IT-Haftungsrisiken
IT-Haftungsrisiken für Mandanten


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Weitere Urteile

  • Einnahmenüberschussrechnung (§ 4 Abs. 3 EStG)

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 06.05.2024 - III R 14/22 entschieden, dass die Art und Weise, in der ein Steuerpflichtiger, der seinen Gewinn durch Einnahmenüberschussrechnung ermittelt, seine Aufzeichnungen geführt hat, eine Tatsache ist, die -wird sie dem Finanzamt (FA) nachträglich bekannt- zur Korrektur eines bestandskräftigen Einkommensteuerbescheids führen kann.

  • Datenschutzrechtlicher Auskunftsanspruch

    Die Einsichtnahme in Steuerakten nach Durchführung des Besteuerungsverfahrens ist ausgeschlossen, wenn der Steuerpflichtige hiermit steuerverfahrensfremde Zwecke verfolgen will, wie zum Beispiel die Prüfung eines Schadenersatzanspruchs gegen seinen Steuerberater. Hiervon unberührt bleibt ein Auskunftsanspruch über die Verarbeitung personenbezogener Daten nach Maßgabe der Datenschutz-Grundverordnung (DSGVO). Dies hat der Bundesfinanzhof (BFH) mit Urteil vom 07.05.2024 - IX R 21/22 entschieden.

  • Mitteilung des Widerrufs der Vollmacht

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 08.02.2024 - VI R 25/21 entschieden, dass ein Verwaltungsakt auch dann wirksam bekanntgegeben ist, wenn er an einen zunächst wirksam bestellten Bevollmächtigten übersandt wird, dessen Vollmacht allerdings, wie dem Finanzamt (FA) erst kurz nach der Absendung des Verwaltungsaktes angezeigt worden ist, bereits zuvor widerrufen worden war.

  • Durchführung des Steuerabzugs

    Das Bundeszentralamt für Steuern (BZSt) in Köln ist nicht dafür zuständig, eine Außenprüfung anzuordnen, um die ordnungsgemäße Durchführung des Steuerabzugs bei ausländischen Künstlern oder anderen beschränkt steuerpflichtigen Personen zu kontrollieren.

  • Einsatz älterer Kassenmodelle

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 28.11.2023 - X R 3/22 seine Rechtsprechung zur Anwendung der Grundsätze der Verhältnismäßigkeit und des Vertrauensschutzes bei Schätzungen fortgeführt. Im zugrunde liegenden Fall verwendete ein Restaurantbetrieb er, der einen großen Teil seiner Einnahmen in Form von Bargeld erzielte, in den Jahren 2011 bis 2014 eine elektronische Registrierkasse sehr einfacher Bauart, die bereits in den 1980er Jahren entwickelt worden war.

Pflichtverletzungen im Bereich Compliance Kläger als selbständiger Trauerredner

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen