Kommt es zu einem Datenverlust und damit verbunden zu einem Schaden für das Unternehmen, kann sich es wohl kein Unternehmen heute mehr leisten, auf die persönliche Inanspruchnahme des Geschäftsleiters zu verzichten.

Die "ARAG-Garmenbeck", Entscheidung des Bundesgerichtshofes vom 21.04.1997 folgend, besteht sogar die Verpflichtung des Aufsichtsrates einer AG durchsetzbarer Schadenersatzansprüche gegen seine Vorstandsmitglieder zu verfolgen. Darüber hinaus hat auch natürlich die immer größer werdende Transparenz der Unternehmen dazu geführt, dass die Inanspruchnahme der Geschäftsleiter von Aktionären oder aber auch Gläubigern gefordert wird.

Grundsätzlich ist die Frage der persönlichen Inanspruchnahme für Aktiengesellschaften geregelt im §§ 93 Abs.2 S.1, 216 Abs. 1 Aktiengesetz und § 43 Abs. 2 GmbH-Gesetz.

Voraussetzung für die Inanspruchnahme des Geschäftsleiters ist:

1. ein Schaden muss entstanden sein,
2. der ursächliche Zusammenhang zwischen Pflichtverletzung und dem Schaden besteht,
3. eine Pflichtverletzung muss vorliegen.

Das einmal grob umrissen zu der Frage, welche Voraussetzungen vorliegen müssen.

Die immer wiederkehrende Frage, die sich ein Geschäftsleiter stellen muss, ist deshalb die Frage, was er denn dafür tun muss, damit man ihm eine Pflichtverletzung nicht vorwerfen kann. Hierzu hilft ein Blick in das Kontragesetz in der Fassung vom 27.04.1998, mit dem ein neuer § 91 Abs. 1 Aktiengesetz eingeführt worden ist. Der Vorstand hat danach geeignete Maßnahmen zu treffen, ein Überwachungssystem einzurichten, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährdet früh erkannt werden können. Man spricht hierbei auch von einem sogenannten Risikomanagement. Der Geschäftsleiter einer Gesellschaft ist verpflichtet, das Risikomanagement zu betreiben.

Ob man es nun Risikomanagement oder IT-Sicherheitsmanagement nennt, dürfte wohl zweitrangig sein, denn für den Geschäftsleiter besteht auf jeden Fall die Verpflichtung zur fachlichen und einwandfreien Leitung seines Unternehmens.

Das Risikomanagement ist, betrachtet man die herkömmlichen Unternehmen, nicht darauf abgestellt, sich mit der Frage der IT-Sicherheit auseinander zusetzen. Deshalb dürfte ein Unternehmen wohl gut beraten sein, wenn es ein eigenes IT-Sicherheitsmanagement-Konzept anfertigt und realisiert. Die Arbeiten zur Durchführung dieses Sicherheitsmanagements können sicherlich delegiert und übertragen werden. Nichts desto trotz geht die Rechtsprechung davon aus, dass der Geschäftsleiter sehr wohl die Pflicht zur fachlichen einwandfreien Leistung des Unternehmens hat. Das setzt natürlich auch voraus, dass er bei der Auswahl seiner Mitarbeiter und bei der Erstellung der Konzeption für das Sicherheitsmanagement mitgewirkt hat.