Österreich
Secure Your Business
 

Legal Compliance:
Haftungsminimierung mit ISO 27001 und ISO 20000

 

Jurist Dr. Orlin Radinsky im Interview über die rechtlichen Vorteile von ISO-Zertifizierungen

 

(Feb 2010) - Legal Compliance ist neben der Einhaltung von Gesetzen auch eng mit anerkannten Normen und Standards verbunden. Vor allem bei Gewährleistungs- und Schadenersatzforderungen,

DrOrlinRadinsky_mitWeißStichwort: Vertragsbruch, verwenden Sachverständige ISO-Normen zur Bewertung. Geprüft wird, ob das geklagte Unternehmen nach dem Stand der Technik und mit größtmöglicher Sorgfalt gearbeitet hat. Diese zwei Punkte sind häufig für den Prozessausgang entscheidend. Im Interview zeigt Rechtsanwalt Dr. Orlin Radinsky von der Wiener Anwaltskanzlei BRAUNEIS, KLAUSER, PRÄNDL, welche juristische Bedeutung einer Zertifizierung nach ISO 27001 oder ISO 20000 zukommt. Die Standards für Informationssicherheit und IT Service Management tragen überall dort wesentlich zur Haftungsminimierung bei, wo die Erbringung vertraglich geschuldeter Leistungen von IT-Unterstützung und Informationsschutz abhängt. Diese Zusammenhänge sind weltweit relevant, wenn die Judikatur anerkannte Normen und Standards für Gutachten heranzieht.

 

 

„Wird die Sorgfaltspflicht erfüllt, hat man bessere Karten in Gerichtsverfahren. Das ISO-Zertifikat ist ein geeigneter Nachweis für sorgfältiges Vorgehen.“

 

Herr Dr. Radinsky, für welche gesetzlichen Forderungen sind ISO-Zertifizierungen von besonderer Bedeutung?

 

Leistungserbringung nach dem Stand der Technik, in Zusammenhang mit einem anzuwendenden Sorgfaltsmaßstab, zieht sich „als roter Faden“ durch das gesamte Wirtschaftsrecht. Legal-Compliance-Maßnahmen betreffen sowohl das Unternehmen als juristische Person, als auch Leitungsorgane wie Geschäftsführer und Vorstände, die Aufsichtsorgane sowie die Mitarbeiter. Das Bemerkenswerte dabei: juristische Begriffe „leben“ und entwickeln sich entsprechend dem Wirtschaftsumfeld weiter. Was vor einigen Jahren noch als sorgfältig galt, kann heute als unzureichend bewertet werden. Im Falle des Nicht-Erbringens der vertraglich vereinbarten Leistungen aufgrund unzureichender Sorgfalt drohen beträchtliche Schadenersatzforderungen seitens des Auftraggebers.  

 

 

„Sobald eine ISO-Norm veröffentlicht ist, wird diese häufig für Gerichtsgutachten als Maßstab herangezogen.“

 

Welchen Bezug sehen Sie hier zu ISO-Standards im IT-Bereich?

 

Auf den Punkt gebracht: Wenn es als Stand der Technik gilt, standardisierte Informationssicherheit und IT Service Management in relevanten Bereichen anzuwenden, wird bei Eintritt eines Schadens die Einhaltung der entsprechenden ISO-Norm geprüft. Denn ISO-Standards basieren auf Good-Practices, die weltweit definiert wurden. Sobald eine ISO-Norm oder veröffentlicht wurde, ist es sehr wahrscheinlich, dass diese von Gerichtsgutachtern als Maßstab herangezogen wird. Ein „ordentlicher“ Geschäftsführer hat sich nach allgemeiner Rechtsauffassung informiert zu halten. In jenen Bereichen, für die es ISO-Normen gibt, muss die Geschäftsleitung sicherstellen, dass das Unternehmen auf diesem Level arbeitet. Der „Sorgfaltsmaßstab“ kann dabei je nach Leistungen und Risiken unterschiedlich ausfallen.

 

 

Worin sehen Sie als Jurist die Vorteile einer Zertifizierung?

 

Waage_legalComplianceZum einen verlangen die Standards für ISO 27001 oder ISO 20000 vom Management, dass man sich Kenntnis über relevante Normen, Gesetze und Verordnungen verschafft. Zum anderen ist zu prüfen, ob Geschäftsleitung und Mitarbeiter diese auch wirklich einhalten. Das heißt, mit Implementierung von Standards wird durch normgemäße Überprüfung der Legal Compliance ein juristisches Sicherheitsnetz im Unternehmen eingezogen. Noch wichtiger: In Gerichtsverfahren hängt der Prozessausgang häufig von der Nachweisbarkeit sorgfältiger Leistungserbringung ab: sorgfältiges Handeln muss explizit nachgewiesen werden. Zur Beurteilung von Fällen mit IT- oder Informationssicherheitsbezug ziehen Sachverständige ISO 27001 und ISO 20000 als Maßstab heran. Eine Zertifizierung liefert einen Gütenachweis aufgrund einer unabhängigen Überprüfung durch den Zertifizierer, dass die Mitarbeiter nach festgelegten fachlichen und rechtlichen Rahmenbedingungen arbeiten. Durch Auffrischung mit internen Audits und Re-Zertifizierungen wird das Niveau ständig gehalten oder verbessert. Dies entspricht dem juristischen Grundsatz eines ordentlichen und sorgfältigen Vorgehens.

 

 

„Fallweise macht es Sinn, ISO-Standards in Verträge aufzunehmen. Dies erhöht die Sicherheit für Kunden und minimiert das Haftungsrisiko des Auftragnehmers.“

 

Mit einer Zertifizierung trifft ein Unternehmen auch bei Fehlern kein Verschulden?


Zäumen wir das Pferd so auf: Mit ISO 27001 und ISO 20000 lässt sich sorgfältige Leistungserbringung wesentlich leichter nachweisen. Unterlaufen trotz aller Sicherheitsmaßnahmen Fehler, liegt kein Verschulden vor, so dass im Prinzip keine Schadensersatzverpflichtung besteht. In den meisten Fällen unserer anwaltlichen Praxis empfehlen wir zertifizierten Unternehmen, bei Service Agreements die entsprechende ISO-Norm als Maßstab für die Leistungserbringung in den Vertrag aufzunehmen. Das erhöht die Sicherheit auf beiden Seiten, es profitieren sowohl Kunden als auch Auftragnehmer: Kunden genießen höhere Sicherheit, die vereinbarte Leistung fehlerfrei zu erhalten. Auftragnehmer minimieren bei der Leistungserbringung ihr Haftungsrisiko und können die Einhaltung der gebotenen Sorgfalt leichter nachweisen.
 

Wie wirkt sich eine Zertifizierung auf die Haftung der Geschäftsleitung aus?


Ein weiterer Vorteil der ISO-Zertifizierung kommt direkt der Geschäftsleitung, Geschäftsführer und Vorstandsmitglieder, zu Gute. Beispielsweise kann die Gesellschaft etwa im Zusammenhang mit Schadensfällen, z.B. aus Produkthaftung unter gewissen Voraussetzungen Ansprüche gegen die eigene Geschäftsleitung geltend machen, wenn diese es verabsäumt hat ein Internes Kontrollsystem einzurichten und dadurch ein bestimmter Schaden entstanden ist. Ist das Unternehmen ISO-zertifiziert, womit wesentliche Anforderungen an ein Internes Kontrollsystem verbunden sind, hat die Geschäftsleitung ihre Sorgfaltspflicht diesbezüglich erfüllt und dadurch weitaus bessere Karten.
 

Welche Vorteile bringen ISO-Standards für ein IKS aus rechtlicher Sicht?


Regelwerke wie Sarbanes Oxley oder die 8. EU-Richtlinie verlangen ein Internes Kontrollsystem, genauso wie auch im Zusammenhang mit Produkthaftung ein IKS zwar nicht explizit gefordert, aber in der Praxis immer wichtiger wird. Die Forderung nach einem IKS umfasst auch Risikomanagement, Dokumentation und Kontrollen, damit alle Geschäftsfälle mit größtmöglicher Sicherheit abgewickelt werden. Vor diesem Hintergrund kommt Informationssicherheitsmanagementsystemen (ISMS) oder IT-Service-Managementsystemen eine zentrale Bedeutung zu. Das Zertifikat einer akkreditierten Organisation wie die CIS bietet den Nachweis, dass die IT eines Unternehmens internationalen Standards entspricht. Da die gesetzlich geforderte Dokumentationspflicht durch ein zertifiziertes und damit nachweislich gelebtes Managementsystem automatisch erfüllt wird, kommen Verantwortungsträger nachweislich ihrer Sorgfaltsverpflichtung nach, wodurch das Risiko einer persönlichen Haftung minimiert wird.
 


 

 

 

 

 

 

 

 

 

 

 
 
CIS - Certification & Information Security Services (Schweiz) AG T +41 79 3348779 office.ch@cis-cert.com Impressum

AGB