Welche Gefahren können aus der privaten E-Mail- und Internetnutzung durch die Mitarbeiter entstehen? Mit welchen konkreten Maßnahmen lässt sich unternehmensweite IT-Sicherheit umsetzen? Welchen Anforderungen müssen elektronische Dokumente und Rechnungen genügen, um rechtswirksam zu sein? Unter welchen Umständen werden sie als Beweismaterial vor Gericht anerkannt? Um rechtliche Konsequenzen für das eigene Unternehmen verhindern zu können, müssen Unternehmensverantwortliche sich mit solchen Fragen beschäftigen - und sie müssen über geltende Regelungen und landes- sowie branchenspezifische Vorschriften genau im Bilde sein und deren Einhaltung im Unternehmen sicherstellen.
Damit alles mit rechten Dingen zugeht: Vom Schadensersatz bis zur persönlichen Haftung
Dazu Günter Untucht, Justiziar beim IT-Sicherheitsanbieter Trend Micro, der den Leitfaden zusammen mit den schweizerischen Rechtsanwälten Dr. Peter K. Neuenschwander und Simon Oeschger herausgegeben hat: "Der rechtskonforme Umgang mit Fragestellungen wie diesen muss zu jedem Zeitpunkt sichergestellt sein. Denn wird die IT-Infrastruktur des Unternehmens für schädliche Zwecke missbraucht - etwa für den Versand von Spam oder Viren - oder werden Firmen- bzw. Kundendaten von Dritten abgegriffen, bringt dies gravierende Folgen für ein Unternehmen mit sich." Untucht weiter: "Bei Nichtbeachtung drohen unter anderem Schadensersatzansprüche von Geschädigten, Geldbußen, ein schlechteres Kreditrating und andere wirtschaftliche Nachteile, der Verlust des Versicherungsschutzes oder der Ausschluss bei der Vergabe öffentlicher Aufträge. Aufsichtsräte und Geschäftsführer können zudem persönlich in die Haftung genommen werden."
Vorstand und Unternehmensleitung haben daher die Aufgabe, die Sicherheit der IT-Umgebungen zu gewährleisten. Dies umfasst insbesondere wirksame Schutzmaßnahmen gegen Angriffe von außen, beispielsweise durch Cyberkriminelle oder Wirtschaftsspione. Dazu gehört auch die Einhaltung datenschutzrechtlicher Pflichten, die regelmäßige Erstellung von Backups sowie die Berücksichtigung von Wirtschaftsprüfungsstandards.
Sicherheit ist wichtig - mit Recht: Welche Risiken bei BYOD drohen
Doch nicht alle relevanten Aspekte der Nutzung von IT sind gesetzlich geregelt. Neue Technologien und Trends bringen auch immer neue Problematiken mit sich, zu denen oft noch keine eindeutigen Rechtsvorschriften definiert sind. Gerade dann liegt die Pflicht zur Regelung bei der Unternehmensführung selbst. In einer solchen rechtlichen Grauzone bewegt sich auch der Einsatz privater mobiler Endgeräte im Unternehmensalltag ("Bring-Your-Own-Device", BYOD). Zwar lässt sich dadurch einerseits die Flexibilität und Effizienz der Mitarbeiter steigern, gleichzeitig drohen aber auch massive Risiken für Datensicherheit und Datenschutz.
"Der aktuelle Trend 'Bring-Your-Own-Device' ist in vielen Unternehmen schon Realität, auch wenn dies nicht aktiv und bewusst gefördert wurde", erklärt Günter Untucht. "Verfolgt ein Arbeitgeber eine BYOD-Strategie, stellen sich arbeitsrechtliche und datenschutzrechtliche Fragen. Die Umsetzung muss mit technischen Maßnahmen abgestimmt und mit organisatorischen Mitteln ergänzt werden. Klare Regelungen und Weisungen, bis hin zu allfälligen Anpassungen im Arbeitsvertrag, sind dafür unablässig."
Weitere Informationen
Die schweizerische Ausgabe von Trend Micros juristischem Leitfaden kann kostenlos als eBook heruntergeladen werden. Günter Untucht ist auch Autor der Versionen für Deutschland und Österreich, die ebenfalls verfügbar sind.