IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
2.3 <strong>IT</strong>-<strong>Sicherheit</strong> als Pflichtfach der Unternehmensführung gemäß KonTraG<br />
E<strong>in</strong>e Reihe spektakulärer Unternehmenskrisen 17 und prom<strong>in</strong>enter Betrugsfälle haben<br />
zu massiver Kritik am Risikomanagement deutscher Unternehmen geführt. Nach<br />
Auffassung des Gesetzgebers wurden diese Krisen <strong>in</strong>sbesondere durch fehlendes<br />
Risikobewusstse<strong>in</strong> und nicht ausreichende Kontroll- und Informationsmechanismen<br />
<strong>in</strong> den Unternehmen herbeigeführt. 18 Der Gesetzgeber reagierte auf diese<br />
Entwicklung mit dem Gesetz zur Kontrolle und Transparenz im<br />
Unternehmensbereich, das am 6. März 1998 vom Deutschen Bundestag<br />
verabschiedet wurde und am 1. Mai 1998 <strong>in</strong> Kraft trat. 19<br />
Das KonTraG ist ke<strong>in</strong> selbständiges Gesetz, sondern e<strong>in</strong> Artikelgesetz, das<br />
verschiedene Gesetze ändert, ergänzt und präzisiert. Das KonTraG enthält nicht nur<br />
Festlegungen <strong>für</strong> alle börsennotierten Aktiengesellschaften, sondern auch <strong>für</strong> alle<br />
Kapitalgesellschaften bzw. Unternehmen, die den Vorschriften <strong>für</strong><br />
Kapitalgesellschaften unterliegen, und Gesellschaften, die e<strong>in</strong>en Aufsichtsrat haben.<br />
Obwohl die Verpflichtung des Vorstandes zur E<strong>in</strong>richtung e<strong>in</strong>es<br />
Überwachungssystems zur Risikofrüherkennung nur im Aktiengesetz geregelt ist, hat<br />
das KonTraG auch Ausstrahlungswirkung auf den Pflichtenrahmen der<br />
Geschäftsleitung anderer Gesellschaftsformen, wie der entsprechenden<br />
Regierungsbegründung entnommen werden kann. Demnach soll <strong>für</strong> GmbHs je nach<br />
Größe, Komplexität und Struktur auch ohne entsprechende Neuregelung im GmbH-<br />
Gesetz nichts anderes gelten. 20<br />
Konkret werden die Vorstände durch § 91 Abs. 2 AktG verpflichtet, „geeignete<br />
Maßnahmen zu treffen, <strong>in</strong>sbesondere e<strong>in</strong> Überwachungssystem e<strong>in</strong>zurichten, damit<br />
den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt<br />
werden“. 21 Des Weiteren fordert der Gesetzgeber im Rahmen des KonTraG die<br />
E<strong>in</strong>führung e<strong>in</strong>es Risikomanagementsystems, das sich im Wesentlichen aus drei<br />
Subsystemen zusammensetzt: e<strong>in</strong>em Früherkennungssystem, e<strong>in</strong>em<br />
Controll<strong>in</strong>gsystem und e<strong>in</strong>em <strong>in</strong>ternen Überwachungssystem, wobei weder der<br />
Gesetzestext noch die Gesetzesbegründung Auskunft über die konkrete<br />
17 Spektakuläre Unternehmenszusammenbrüche waren bspw. die Konkurse der Balsam AG,<br />
COOP AG, Südmilch AG, Metallgesellschaft und der Schneider-Gruppe, vgl. Picot (2001), S. 5.<br />
18 Vgl. Kajüter (2004), S. 12ff.; Schöne (2003), S. 91.<br />
19 Vgl. BGBI. I (1998), S. 786ff.<br />
20 Vgl. BT-Drs. 13/9712, S. 15; von Hohnhorst (2002), S. 91ff..<br />
21 Vgl. § 91 Abs. 2 AktG<br />
7