IT-Riskmanagement in der öffentlichen Verwaltung

Bereits seit dem 1.5.1998 verpflichtet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich[1] (KonTraG) große Teile der deutschen Privatwirtschaft zur Einrichtung eines Risikomanagementsystems. Die Pflicht zum Risikomanagement ist umfassend zu verstehen. Dazu gehören alle organisatorischen Regelungen und Maßnahmen, welche dem Umgang mit Gefahren und Risiken dienen.[2] Insbesondere ist der Vorstand einer Aktiengesellschaft[3] gem. § 91 Abs. 2 AktG verpflichtet, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Eine Pflicht des Vorstands betrifft dabei die Ausarbeitung eines effektiven IT-Sicherheits- und Notfallkonzepts. Dadurch sollen Unternehmen in die Lage versetzt werden, Risiken zu minimieren sowie existenzbedrohende Gefahren frühzeitig zu erkennen und zu beseitigen.

KonTraG und öffentliche Verwaltung

Obgleich die Privatwirtschaft seit nunmehr über einem Jahrzehnt zum Risikomanagement verpflichtet ist, fehlen vergleichbare Nomen für Behörden und öffentliche Einrichtungen. Auch gehen die Meinungen darüber, ob gesetzliche Regelungen hinsichtlich des Risikomanagements in der öffentlichen Verwaltung überhaupt erstrebenswert wären, auseinander. Teilweise wird ein Risikomanagementsystem für die öffentliche Verwaltung abgelehnt, da sein Sinn nur in der Vermeidung von Insolvenzen erblickt wird und die Möglichkeit bestritten wird, dass die öffentliche Verwaltung je insolvent werden kann. Vielmehr solle sich die öffentliche Verwaltung auf die Effektivität der Umsetzung von Gemeinwohlbelangen konzentrieren.[4] Andere sehen Risikomanagement als Teil einer Strategie, verfolgte Ziele möglichst effizient umzusetzen[5] oder jede Art schweren Nachteils abzuwenden[6] und befürworten daher auch die Umsetzung im öffentlichen Recht.

Mangels ausdrücklicher gesetzlicher Anordnung zur Einrichtung eines behördlichen Risikomanagementsystems könnte man an eine analoge Anwendung der für Unternehmen geltenden Regelungen auf öffentliche Einrichtungen, wie Kommunalverwaltung, Landes- und Bundesbehörden denken. Dafür fehlt jedoch jegliche rechtliche Grundlage, denn aus Sicht des Gesetzgebers kann nicht von einer planwidrigen Regelungslücke gesprochen werden, schließlich wurde das KonTraG ausdrücklich nur für die Privatwirtschaft erlassen. Allerdings herrscht Einigkeit darüber, dass die Regelungen zum Risikomanagement jedenfalls auf marktwirtschaftlich tätige Unternehmen im Eigentum der öffentlichen Hand Anwendung finden.[7] Hierzu gehören städtische Betriebe und Einrichtungen.

Rechtsgrundlagen für Risikomanagement in der öffentlichen Verwaltung

Eine Suche nach juristischen Regelungen hinsichtlich des IT-Risikomanagements für die öffentliche Verwaltung gestaltet sich schwierig. Auf Ebene des Grundgesetzes kann die Schutzwirkung der einzelnen Grundrechte den Staat dazu verpflichten, bestimmte Schutzvorkehrungen zu treffen, wenn sonst das sogenannte Untermaßverbot missachtet würde. Dieses Verbot verpflichtet den Staat zu einem Mindestmaß an Schutz gegenüber den Bürgern im Rahmen ihrer verfassungsmäßigen Rechte, insbesondere der Grundrechte. In diesem Rahmen kann auch das relevant werden. Da Behörden aufgrund des Rechtsstaatsprinzips (Art. 20 Abs. 3 GG) an Recht und Gesetz gebunden sind, sind sie von Verfassungs wegen verpflichtet, diese Schutzpflichten angemessen zu erfüllen. Tun sie dies nicht, kann die Einhaltung dieser Pflichten in einem verwaltungsgerichtlichen Verfahren überprüft werden oder ein Amtshaftungsanspruch geltend gemacht werden (§ 839 BGB i.V.m. Art. 34 GG).

Problematisch in diesem Zusammenhang ist jedoch, dass sich keine allgemeingültige Sicherheitsnorm formulieren lässt, aus der sich ein einheitlicher Rahmen für die der öffentlichen Verwaltung ableiten ließe. Vielmehr bleibt regelmäßig nur die Einzelfallbeurteilung auf Grundlage einer Verhältnismäßigkeitsabwägung zwischen Schadenswahrscheinlichkeit und Schadenshöhe auf der einen Seite sowie die zur Verhütung mutmaßlich aufzuwendenden Kosten auf der anderen Seite. Dabei kommt den Behörden ein großzügiger Entscheidungsspielraum zu, ob und wie gehandelt wird. Eine verbindliche Handlungspflicht trifft die Behörde erst dann, wenn sie durch zu geringe Sicherheitsvorkehrungen der staatlichen Mindestschutzpflicht nicht in ausreichendem Maße nachgekommen ist und damit das sogenannte Untermaßverbot missachtet und Grundrechte verletzt hat.

Schutz personenbezogener Daten als Auslegungshilfe für ein allgemeines IT-Risikomanagement

Neben diesen nur sehr vage umrissenen und bisher auch kaum in der rechtswissenschaftlichen Diskussion beachteten allgemeinen Risikominimierungspflichten in Bezug auf IT-Systeme gibt es im Bereich der Erhebung, Verarbeitung und Nutzung personenbezogener Daten klare Regelungen. Hinsichtlich der IT-Notfallplanung enthält § 9 des Bundesdatenschutzgesetzes (BDSG) und dessen zugehörige Anlage Vorgaben zu technisch-organisatorischen Anforderungen zum Schutz personenbezogener Daten. Diese haben es zum Ziel, die Verfügbarkeit der Daten zu sichern, deren Authentizität und Integrität zu gewährleisten.[8] Damit müssen die Sicherheitsmaßnahmen insbesondere verhindern, dass Dritte Kenntnis von den Daten erlangen oder diese unbemerkt verändern können.

Zu den Sicherungsmaßnahmen gehören unter anderem Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe- und Verfügbarkeitskontrollen. Ein besonderes Augenmerk ist auf Ziffer 7 der Anlage zu § 9 BDSG zu richten. Demnach ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sein müssen. Beispiele für Ursachen zufälliger Zerstörung sind Wasserschäden, Brand, Blitzschlag und Stromausfall. Mögliche Sicherungsmaßnahmen hierzu sind die Auslagerung von Sicherungskopien, der Betrieb von Notstromaggregaten und unterbrechungsfreien Stromversorgungsakkus sowie ein Katastrophenplan.[9] Die dort aufgeführten Anforderungen können auch über den Anwendungsbereich des BDSG hinaus als gesetzgeberisch erwünschte Auslegungshilfe bezüglich zu ergreifender Sicherheitsmaßnahmen beim Betrieb von IT-Systemen angesehen werden und damit auch in der öffentlichen Verwaltung relevant sein.[10] Inwiefern diese Regelungen allerdings verbindlich sind, ist bisher in der rechtswissenschaftlichen Diskussion kaum erörtert worden. Sie stellen allerdings einen guten Ausgangspunkt für eine juristische Diskussion im Rahmen des IT-Sicherheitsmanagements in Behörden dar und eignen sich zur Auslegung und Konkretisierung bestehender staatlicher Schutzpflichten.

Fazit

Ausdrückliche allgemeine Regelungen für das IT-Risikomanagement und die IT-Sicherheit in der öffentlichen Verwaltung existieren nicht. Eine Ableitung aus den Grundrechten ist mühevoll und größtenteils konturlos. Vielversprechender scheint es, die im Datenschutz geltenden Regelungen als Auslegungshilfe heranzuziehen.

 

Rechtsanwalt Thomas Feil, Fachanwalt für IT-Recht, feil@recht-freundlich.de, www.recht-freundlich.de

und

Dipl.-Jur. Alexander Fiedler, Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover, fiedler@iri.uni-hannover.de, www.iri.uni-hannover.de

 


[1] BGBl. I, 786.

[2] Trips, Risikomanagement in der öffentlichen Verwaltung, NVwZ 2003, 804, 805.

[3] Nach verbreiteter Ansicht sind durch die Ausstrahlungswirkung der Regelungen neben der Aktiengesellschaft insbesondere auch GmbHs betroffen.

[4] Hill, Risikomanagement in der englischen Verwaltung, S. 3 f.

[5] Trips, Risikomanagement in der öffentlichen Verwaltung, NVwZ 2003, 804, 808.

[6] Scholz/Schuler/Schwintowski, Risikomanagement der Öffentlichen Hand, S. 184.

[7] Trips, Risikomanagement in der öffentlichen Verwaltung, NVwZ 2003, 804, 807; [7] Scholz/Schuler/Schwintowski, Risikomanagement der Öffentlichen Hand, S. 192.

[8] Gola in: Gola/Schomerus, BDSG 2007, § 9 Rn. 2 f.

[9] Gola in: Gola/Schomerus, BDSG 2007, § 9 Rn. 28.

[10] Steger, Rechtliche Verpflichtungen zur Notfallplanung im IT-Bereich, CR 2007, 137, 138.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*