Aktuell in der CR

Die Pflicht des Vorstands einer Aktiengesellschaft zum Risikomanagement in IT-Projekten (Frank/Petersen/Bernzen, CR 2022,757)

Der Beitrag untersucht, welche Pflichten aus der Innenperspektive einer Gesellschaft speziell die Vorstandsmitglieder einer Aktiengesellschaft (AG) treffen, die ein IT-Projekt planen. Da die öffentlich-rechtlichen und der aktienrechtlichen Vorgaben hinsichtlich der Risikovorsorge teilidentische Ziele verfolgen, werden sich die jeweiligen Anforderungen in Unternehmen, die der besonderen Regulierung unterliegen, in Teilen überschneiden.

Weil der aktienrechtliche Ansatz aber nicht nur ausgewählte Risiken etwa der Cybersicherheit erfasst, liefert er die allgemeinere Grundlage für Anforderungen an das Risikomanagement. Dafür werden eingangs abstrakt die Pflichten der Vorstandsmitglieder im Bereich des Risikomanagements erörtert (II.). Da derartige Pflichten des Vorstands mit Blick auf IT-Projekte bisher nicht näher spezifiziert wurden (III.), wird eine solche Konkretisierung im Rahmen dieses Beitrags unternommen (IV.) Zuletzt werden die Konsequenzen einer Pflichtverletzung dargestellt (V.).
 

INHALTSVERZEICHNIS:
 

I. IT-Projekte: ein risikoreiches Unterfangen

II. Die Pflicht des Vorstands zum Risikomanagement

1. Die Pflicht zur Risikofrüherkennung, § 91 Abs. 2 AktG

2. Die Pflicht zur Risikobewältigung, § 93 Abs. 1 S. 1 AktG i.V.m. § 76 Abs. 1 AktG

III. Erfordernis einer Konkretisierung der Pflichten für IT-Projekte

1. Kaum Anhaltspunkte in der Rechtsprechung

2. Nur sporadische Behandlung im Schrifttum

IV. Das Risikomanagement bei der Durchführung von IT-Projekten

1. Die Pflicht zur Risikofrüherkennung (Präventive Maßnahmen)

a) Fokus auf existenzgefährdenden Risiken

b) Eindeutige Zuständigkeit für Überwachungen

c) Engmaschige Berichte

d) Detaillierte Dokumentationen

2. Die Pflicht zur Risikobewältigung (Repressive Maßnahmen)

a) Risikovermeidung

b) Risikoverminderung

aa) Intern

bb) Im Projektvertrag

c) Risikoüberwälzung

d) Risikokompensation

V. Der Schadensersatzanspruch als Folge einer Pflichtverletzung

1. Verletzung einer Pflicht gegenüber der Gesellschaft

a) Anwendung der Business Judgment Rule

b) Anwendung bezüglich der Risikofrüherkennung

c) Anwendung bezüglich der Risikobewältigung

d) Fazit zur Pflichtverletzung

2. Schaden

3. Kausalität der Pflichtverletzung für den Schaden

a) Äquivalente Kausalität

b) Adäquate Kausalität

4. Verschulden

VI. Ausblick: Überprüfung des Risikomanagements vor einem IT-Projekt ratsam

 



Leseprobe:

 

"I. IT-Projekte: ein risikoreiches Unterfangen
1

Der Gewinn der Gesellschaft brach um fast ein Drittel ein. Das Chaos nach der Software-Umstellung sei „schlimmer als Brexit, Trump und Handelskrieg“, sagte der damalige Geschäftsführer gegenüber der Presse. 1 Der Grund für die Verluste: Das Unternehmen hatte eine neue Enterprise-Resource-Planning‑, kurz: ERP-Software eingeführt, die die gewünschten Steuerungs- und Planungszwecke allerdings nicht erfüllte. In den Medien berichtete der Geschäftsführer von halbleeren Containern, wartenden Spediteuren und einer verdoppelten Bearbeitungszeit bei der Auftragsabwicklung, für die er Mängel der Software verantwortlich machte. 2

2

Das Beispiel ist kein Einzelfall: auch bei weiteren namhaften Unternehmen verursachten Pressemeldungen zufolge geplante ERP-Einführungen erhebliche Probleme. 3 Eine Vielzahl von IT-Projekten wird entweder gar nicht oder jedenfalls nicht vertragsgemäß durchgeführt. So fand die Unternehmensberatung McKinsey & Company in einer Studie, die sie mit der University of Oxford durchführte, heraus, dass die Hälfte der besonders großen IT-Projekte ihr Budget überschreitet – und dies im Durchschnitt um 45 Prozent. In 17 Prozent der untersuchten Fälle verlief die Projektdurchführung sogar so schlecht, dass die Existenz des betroffenen Unternehmens dadurch gefährdet wurde. 4 Dies verdeutlicht, dass über die Durchführung vieler IT-Projekte regelmäßig auf höchster Ebene zu entscheiden sein dürfte. Drohen erhebliche Risiken, muss die Unternehmensleitung ein IT-Projekt auch sorgfältig vorbereiten und begleiten. 5

3

Welchen rechtlichen Anforderungen das Risikomanagement von Unternehmen hierbei konkret unterliegt, ist nicht trivial. Die europäische und nationale Gesetzgebung hat in den vergangenen Jahren zahlreiche Maßnahmen zur Erhöhung der IT-Sicherheit ergriffen. 6 Hierbei handelt es sich vor allem um Vorgaben für Unternehmen in bestimmten Sektoren – etwa Betreiber kritischer Infrastrukturen oder Anbieter digitaler Dienste i.S.v. § 2 BSI-Gesetz. Diese enthalten auch Leitplanken für das Risikomanagement der Unternehmen. Beispiel hierfür ist etwa § 8c BSI-Gesetz, demzufolge Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen müssen, um die Risiken für die Sicherheit der von ihnen genutzten Netz- und Informationssysteme zu bewältigen. 7 Dort wird weiter spezifiziert, dass sie hierbei Aspekten wie der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen, dem Business Continuity Management 8 und der Überwachung, Überprüfung und Erprobung Rechnung tragen müssen, was dann in der EU-Durchführungsverordnung 2018/151 vom 30.1.2018 konkretisiert wird.

4

Der Anwendungsbereich derartiger Regelungen, die vor allem Anforderungen an Cybersicherheit und Resilienz enthalten, wird fortlaufend erweitert. 9 Sie unterscheiden sich von den hier untersuchten Pflichten: Die Anforderungen gelten nur für diejenigen Unternehmen, auf die die jeweilige Sonderregelung abzielt und legen selbigen öffentlich-rechtlich ausgestaltete Pflichten auf. Ansatzpunkt ist regelmäßig der Zustand ausgewählter Einzelaspekte, etwa der Aufrechterhaltung einer bestimmten Systemresilienz oder der Einhaltung von Sicherheitsstandards. IT-Projekte dienen hingegen gerade der Veränderung des aktuellen Zustands und sind nicht auf bestimmte sicherheitsrelevante Themen beschränkt.

 

II. Die Pflicht des Vorstands zum Risikomanagement
5

Den Vorstand einer AG treffen beim Management der Risiken, die im Unternehmen auftreten können, verschiedene Pflichten: darunter die Pflicht zur …"

Hier direkt weiterlesen im juris PartnerModul IT-Recht



Verlag Dr. Otto Schmidt vom 13.12.2022 09:30

zurück zur vorherigen Seite