von Adacor Compliance-Manager Milan Naybzadeh*
Zu verschiedenen wichtigen Compliance-Themen wie Corporate Governance oder IT-Sicherheit wurden im vergangenen Jahrzehnt zahlreiche Gesetzesinitiativen auf den Weg gebracht. Vor allem die Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetzt) führten zu weitreichenden Rechtsänderungen. Oftmals stößt man jedoch in alltäglichen Diskussionen mit Geschäftspartnern, aber auch in nicht-juristischer Literatur auf eine Unschärfe, die für erfolgreiche Compliance-Systeme hinderlich oder sogar bedrohlich sein können. Im Folgenden beschreibe ich, wie sich solche Gesetze sinnvoll behandeln lassen.
Fehlerhafte Anwendungspraxis
KonTraG und IT-Sicherheitsgesetz sind Mantelgesetze, durch die andere bestehende Gesetze geändert oder ergänzt werden können. Das heißt, sie fügen Pflichten in andere Gesetze an der passenden Stelle ein, aber sie begründen diese nicht selbst. Die neue Pflicht resultiert aus dem geänderten Gesetz.
So wurde zum Beispiel die Pflicht zur Erstellung eines präventiven Risikomanagements durch Art. 1 Nr. 9 KonTraG eingeführt, die Feststellung betraf jedoch noch nicht direkt die Unternehmen. Vielmehr ist entscheidend, dass das KonTraG in Art. 1. Nr. 9 besagt, dass der § 91 des Aktiengesetzes (AktG) geändert werden sollte, sodass dadurch eine Pflicht für Unternehmen im Aktienumfeld entsteht. Doch wie kommt es zur Pflicht des Risikomanagements für andere Gesellschaftsformen? Für sie gilt die Pflicht indirekt aufgrund der Regelung des § 43 GmbH-Gesetz (GmbHG). Demnach haben Unternehmen die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden, wozu auch einzelne Vorgaben aus dem Aktiengesetz gehören.
Wer im KonTraG nach der Pflicht für das Risikomanagement seiner GmbH sucht, wird dort allerdings nicht sofort fündig. Es ist somit fachlich nicht richtig, einfach „auf das KonTraG” oder „das IT-Sicherheitsgesetz“ zu verweisen, um Pflichten und damit Haftungsfragen zu klären.
Herkunft der Begriffsunschärfe
Das Grundgesetz führt in den Artikeln 70-82 die Vorgaben zur Gesetzgebung in Deutschland auf. Allerdings ist ihr Wortlaut so formuliert, dass die Artikel eigentlich nur für „neue” Gesetze sinnvoll anzuwenden sind. Was fehlt, ist ein expliziter „Bestehende-Gesetze-Änderungs-Prozess” oder ein konkreter Name für diese Art von Rechtstexten. Diesem Umstand geht einher, dass neue Änderungsgesetze verabschiedet werden, die die bestehenden ändern. Deshalb heißt das IT-Sicherheitsgesetz mit vollem Namen „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ und nicht „Rechtstext-Dokument zur Änderung und Ergänzung bestehender Regelungen in Gesetzen zur Erhöhung der Sicherheit informationstechnischer Systeme“. Weitere Informationen unter diesem Link.
Folgeprobleme für funktionierende IT-Compliance-Systeme
Für Compliance-Systeme ist dies nicht unbedenklich. Schließlich zählt zu den Hauptaufgaben der Compliance die Erstellung eines präventiven Risikomanagements in Bezug auf relevante Regelungen. Folgende Problematiken können infolgedessen entstehen:
- Compliance-Maßnahmen könnte die nötige Präventiv-Sicht fehlen. Wenn nachvollzogen werden soll, welche Anforderungen Gerichte an die relevante Regelung zum Risikomanagementsystem in der Vergangenheit hatten, ist zum KonTraG selbst nicht viel Entscheidungspraxis zu finden – für die geänderten oder erweiterten Regelungen des AktG jedoch umso mehr.
- Die Regelungen, die geändert oder ergänzt werden, könnten in ihren originären Gesetzen unterschiedlich sanktioniert, erweitert oder beschränkt sein. So ist es ein erheblicher Unterschied, ob das zugehörige Fehlverhalten zivil-, verwaltungs- oder strafrechtlich geahndet wird.
- Zudem könnte ein neues Änderungsgesetz auf den Weg gebracht werden, etwa ein IT-Compliance-Gesetz. Die könnte einzelne durch das IT-Sicherheitsgesetz bereits geänderte Regelungen wiederum ändern. Wenn man sich dennoch auf das IT-Sicherheitsgesetz beruft, kann es sein, dass man nicht mehr den aktuellen Regelungsinhalten nachgeht.
Gute Anwendungspraxis
Ein Änderungsgesetz ist ein guter Start, um viele relevante Regelungen zu finden. Wer kein Jurist ist, aber einen Eindruck erhalten möchten, welche IT-Sicherheits-Regelungen es in Gesetzen geben kann, sollte einen Blick in das IT-Sicherheitsgesetz werfen.
Aber Achtung, auch das ist mit Vorsicht zu genießen: Es wird dort nur das geändert, was bis dato nicht dem Ziel entsprach. Weitere bereits passende Regelungen bleiben unverändert. So gab es zur Zeit der Entwicklung des IT-Sicherheitsgesetzes keine Änderung an den Anforderungen für Datensicherheitsmaßnahmen im damaligen Bundesdatenschutzgesetz, da diese damals eine Art regulatorischer „Gold-Standard” für Sicherheitsvorgaben waren.
Fazit
Wollen Unternehmen Compliance gewährleisten, dann empfiehlt es sich die jeweils richtigen Regelungsgrundlagen zu kennen, zu verstehen und anwenden zu können. Sind diese Voraussetzungen nicht gegeben, beraten juristisch versierte Personen in diesem Thema effektiv und nachhaltig.
Milan Naybzadeh
Bild: © Pixabay – MasterTux – key-3348307_1920