Gesetzliche Anforderungen

 

KonTraG

Basel II

BDSG

Sarbanes Oxley Act / SOX

 

KonTraG

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ist ein Teil des Aktiengesetzes. Nach §91 II AktG gehört es zu den Sorgfaltspflichten eines Vorstandes (bzw. des Geschäftsführers einer GmbH; vgl. §43 GmbHG), ein angemessenes Risikomanagement sowie ein internes Überwachungssystem zu etablieren, s. Text:

§ 91 Abs. 2 des AktG - der Vorstand wird verpflichtet,
"geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden".

Kommt es zu einer Unternehmenskrise, so hat der Vorstand den Beweis zu erbringen, dass er sich pflichtgemäß verhalten hat. Konkret bedeutet dies: Er muss nachweisen, dass er Maßnahmen zur Risikofrüherkennung und -abwehr getroffen hat. Sinnvoll ist daher die Dokumentation der Risikomanagementprozesse in einem Handbuch oder in entsprechenden schriftlichen Richtlinien. Informationen über die Risikoidentifizierung und -bewertung sowie die Aufbau- und Ablauforganisation sollten ebenfalls schriftlich bzw. online (siehe QSEC-Suite) fixiert werden. Zuständigkeiten und Verantwortlichkeiten müssen klar und eindeutig definiert sein.

Die Haftung des Vorstandes entfällt nur dann, wenn dieser ein Früherkennungssystem einrichtet, das nach dem derzeitigen Stand der Technik Manipulationen durch Betriebsangehörige oder Dritte verhindert und Risiken einer zukünftigen Entwicklung aufzeigt. Das betrifft z.B. das Eindringen Dritter in das Unternehmensnetzwerk oder das Einschleusen von Viren. Der Vorstand und der Geschäftsführer einer großen GmbH sind laut einem BGH-Urteil auch dann persönlich haftbar zu machen, wenn der Aufsichtsrat sie entlastet hat.

Basel II

Die Richtlinien des Baseler Ausschusses für Bankenaufsicht sollen helfen, die Risiken einer Kreditvergabe zuverlässiger zu identifizieren und die verliehenen Gelder besser abzusichern. Finanzdienstleister müssen nach diesen Richtlinien umso mehr Eigenkapital vorhalten, je höher das Risiko des Kreditnehmers ist. Der Kreditnehmer ist gehalten, alle Geschäftsdokumente und Informationen, die für die Kreditvergabe relevant sein können, gesichert abzulegen. Dafür wird ein IT-Konzept verlangt, das die sichere Archivierung und Wiedervorlage der Daten gewährleistet. Die Kreditbewilligung ist andernfalls gefährdet.
Basel II (europäische Banken- und Kapitaladäquanzrichtlinie) – die drei Säulen :

1. Mindestkaptialanforderungen
   Vorschriften zur Eigenmittelunterlegung von Kreditausfall-; Marktpreis- und operationalen Risiken.
2. Ausführliche Überprüfungsverfahren
   Vorgabe der laufenden und regelmäßigen Überprüfung der Banken durch die Bankenaufsicht gegliedert in:
   a) Interne Aufsicht
   laufende Verbesserung der internen Verfahren der Risikoanalyse. Ausbau des Risikomanagements und der internen Kontrollmechanismen.
   b) Externe Aufsicht
   Berücksichtigung externer Faktoren, wie Trends etc.
   Maßnahmen: Die Bankenaufsicht hat die Möglichkeit Maßnahmen zu ergreifen, wenn sie dies für notwendig hält.
   Dialog zwischen Banken und Aufsichtsbehörden: Ein Ausbau ist notwendig, da die Banken mehr Verantwortung bei der Bewertung und Überwachung von Risiken übernehmen.
3. Marktdisziplin und Offenlegung
   Verpflichtung zur Offenlegung der Eigenkapitalstruktur und der eigenen Risikosituation.
   Offenlegungspflichten betreffen vier Bereiche:
   • Anwendung der Eigenkapitalvorschriften
   • Eigenkapitalstruktur
   • Eingegangene Risiken
   • Angemessenheit der Eigenkapitalausstattung

BDSG

Im BDSG ist der Umgang mit personenbezogenen Daten geregelt. Davon sind alle personenbezogenen Daten betroffen, unabhängig, davon ob sie manuell oder unter Nutzung von IT-Systemen verarbeitet werden.

Das Bundesdatenschutzgesetz §9 besagt, s. Gesetztestext inkl. Anlage zu § 9, Satz 1:

§ 9 Technische und organisatorische Maßnahmen
Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Anlage (zu § 9 Satz 1)
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)
2. 2zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischenÜbertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dasss überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogenen Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
   

Sarbanes Oxley Act / SOX

Der Sarbanes Oxley Act wird so benannt, seit dem Handschlag zwischen Mike Oxley und Präsident Bush zur Unterzeichnungszeremonie des SOX 2002.

Der Sarbanes Oxley Act gilt für alle Unternehmen, die an US-Börsen notiert sind. Er regelt die Verantwortlichkeiten der Unternehmensführung und der Wirtschaftsprüfer. Unter anderem legt das Gesetz fest, dass sowohl der CEO als auch der CFO die Finanzberichte bestätigen müssen und interne Kontrollstrukturen im Jahresturnus zu hinterfragen sind. Für die interne Überprüfung muss ein gesonderter Bericht vorgelegt werden. Der Bezug zur IT findet sich auch hier in der sicheren elektronischen Dokumentation und Aufbewahrung. Die Europäische Union arbeitet bereits an einem Äquivalent für Europa.

Im Sarbanes Oxley Act sind keine ausdrücklichen Anforderungen bezüglich der Informationssicherheit gestellt, jedoch sind diese entscheidende Voraussetzung für die Einhaltung der SOX-Richtlinien.

Wichtige Bestimmungen mit Bedeutung für die Unternehmenssicherheit im Sarbanes Oxley Act sind:

Abschnitt 302: Beglaubigung der Richtigkeit der Bilanzen durch den Geschäftsführer und den Leiter der Finanzabteilung. Die Finanzdaten müssen fehlerfrei und vollständig sein.

Abschnitt 404: Der Geschäftsführer, Leiter der Finanzabteilung und Abschlussprüfer müssen die Effektivität interner Kontrollen bestätigen. Die Verantwortlichen müssen die Effektivität der Kontrollen erhalten, überwachen und dokumentieren.

Abschnitt 409: Wesentliche Veränderung ihrer Finanzsituation müssen in Echtzeit offen gelegt werden. Es besteht die Verpflichtung auf Verstöße oder Abweichungen, die auf mögliche erhebliche Veränderungen hinweisen frühzeitig zu erkennen.

Abschnitt 802: Verpflichtung zur Aufbewahrung und Schutz der Unterlagen der Abschlussprüfung. Es muss gewährleistet sein, dass die Unterlagen verfügbar sind und nicht verändert werden (Unternehmensrichtlinien).

Die Verantwortlichen in Unternehmen müssen ausreichende Sicherheitsmaßnahmen ergreifen, um die Einhaltung dieser Bestimmungen sicher zu stellen.

 

Zurück