UNTERNEHMENSKOMMUNIKATION UND CYBERCRIME
E-Mails im Unternehmen – Anforderungen und Gefahren
E-Mail-Kommunikation bietet zahlreiche Vorteile, birgt aber auch Risiken. Die Abwehr von Schäden durch E-Mails ist Aufgabe der Gesellschaftsorgane. Mögliche Gefahren und Maßnahmen erörtert MANZ-Autor Roman A. Rauter in seinem Fachbeitrag.
E-Mails sind Teil der Unternehmensorganisation, für welche Geschäftsführer verantwortlich sind. Dem Nutzen der E-Mail-Kommunikation stehen einzelne Risiken dieser Kommunikationsform gegenüber, die von den Geschäftsführern (und von anderen Gesellschaftsorganen) bedacht und berücksichtigt werden müssen:
- E-Mails sollen eine zuverlässige Kommunikationsform sein, was zunächst voraussetzt, dass diese die Adressaten erreichen und E-Mails von Dritten einlangen. Blockiert etwa die Firewall regelmäßig einkommende E-Mails von Kunden und bleibt dies unerkannt, ist das für das Unternehmen nachteilig.
- E-Mails sollen von unbefugten Personen nicht gelesen werden können, weder bei Versendung noch zu einem späteren Zeitpunkt.
- Es soll erkannt werden, ob E-Mails tatsächlich von jener Person bzw. Stelle stammen, welche als Absender aufscheint.
- E-Mail-Accounts sollen nur für jene Zwecke verwendet werden, für welche sie vorgesehen sind. Mitarbeiter sollen rein betrieblich zu verwendende E-Mail-Accounts nicht für private E-Mails nutzen. Ebenso wenig sollten Geschäftsgeheimnisse über unsichere Verbindungen übermittelt werden.
- E-Mails sollen nicht eingesetzt werden, wenn sie keine adäquate Kommunikationsform sind, etwa wenn sie bestimmte Formgebote nicht erfüllen.
- E-Mails sollen so lange wie nötig, aber nicht länger als zulässig zur Verfügung stehen, das heißt, gespeichert werden.
Sichere IT-Infrastruktur
Die Verantwortlichkeit der Geschäftsführer (und Vorstandsmitglieder) ergibt sich aus der allgemeinen Sorgfaltspflicht gem § 25 GmbHG (bzw. § 84 AktG). Geschäftsführer sind dafür verantwortlich, dass die Gesellschaft über eine geeignete und (möglichst) sichere IT-Infrastruktur verfügt und diese aktuell ist.
Nach zutreffender Ansicht gilt auch hier, dass grundsätzlich ein der Branche und der Größe des Unternehmens entsprechender Qualitätsstandard zu erreichen ist, wobei eine Kosten-Nutzen-Rechnung anzustellen ist und der Geschäftsführung ein Ermessensspielraum zukommt. In der Praxis wird die primäre Verantwortung für den IT-Bereich in größeren Unternehmen häufig einem bestimmten Mitglied der Geschäftsführung im Rahmen einer Ressortverteilung zugewiesen.
Informierte Mitarbeiter und der Fake President Fraud
Die Geschäftsführer haben auch vorzukehren, dass die Mitarbeiter hinsichtlich der besonderen Anforderungen des Unternehmens bezüglich des Umgangs mit E-Mails hinreichend informiert sind und dass sie Gefahren grundsätzlich erkennen können. Auch hierbei bedarf es der vorausschauenden Planung und der Kontrolle. Bei Bedarf sind etwa (zusätzliche) Mitarbeiterschulungen vorzunehmen und Weisungen zu erteilen.
Illustrativ ist der Fall eines „Fake President Fraud“, der einer OGH-Entscheidung aus dem Jahr 2021 zugrunde liegt. Es zeigt sich, dass die Information von Mitarbeitern ein essenzielles Element zur Schadensvermeidung, jedenfalls aber auch für die Haftungsvermeidung der Geschäftsführer ist. Die Informationen müssen regelmäßig aktualisiert werden.
Datenschutzrecht und Geschäftsgeheimnisse
Der Umgang mit E-Mails berührt rechtliche Fragen, welche für die Zwecke des Unternehmens zu klären sind. Insbesondere stellen sich Fragen des Datenschutzrechts. Auch die Frage, ob Mitarbeitern die private Nutzung betrieblicher Accounts gestattet werden sollte, ist unter Berücksichtigung des Datenschutzrechts zu beantworten.
Die Risiken einer Übermittlung von Geschäftsgeheimnissen per E-Mail sind von der Geschäftsführung sorgfältig zu hinterfragen. Ist der Übermittlungsweg nicht ausreichend sicher, hat die Übermittlung regelmäßig zu unterbleiben, damit Dritte keinen Zugriff nehmen können, durch welchen der Gesellschaft ein Schaden entstehen könnte. Verlassen vertrauliche Informationen den Bereich, der von den Sicherheitsvorkehrungen des Unternehmens erfasst ist (gelangen sie zum Beispiel auf fremde Server), bestehen praktische Risiken. Das Thema steht auch in Zusammenhang mit der Verschwiegenheitspflicht von Mitarbeitern und Organen.
Jegliche Maßnahmen zur Geheimhaltung von Geschäftsgeheimnissen können auch im Kontext einer Anspruchsverfolgung gegen Dritte von Bedeutung sein. So ist zu berücksichtigen, dass die §§ 26a ff UWG voraussetzen, dass ein Geschäftsgeheimnis im Sinne von § 26b UWG überhaupt vorliegt. Vorausgesetzt wird unter anderem, dass das Geschäftsgeheimnis „Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person ist, welche die rechtmäßige Verfügungsgewalt über diese Informationen ausübt“ (§ 26b Abs 1 Z 3 UWG).
Der gesetzliche Schutz setzt somit die angemessenen Geheimhaltungsmaßnahmen voraus. So könnte in bestimmten Zusammenhängen zumindest erforderlich sein, auf die Geheimhaltungsbedürftigkeit von in E-Mails übermittelten Informationen deutlich hinzuweisen; entsprechende Richtlinien (auch Schulungen) für Mitarbeiter wären vorzusehen.
Passwörter und Verschlüsselungen
Aus der Sorgfaltspflicht der Geschäftsführer (und anderer Organe) folgt, dass sich diese mit technischen Verbesserungen wie auch mit alternativen Informationsübermittlungstechnologien zu befassen haben, wenn die bestehende E-Mail-Infrastruktur für bestimmte Zwecke ungeeignet ist. Ein wesentliches Thema ist in diesem Zusammenhang die Vertraulichkeit der Informationsübermittlung.
Hinsichtlich einer Sicherung von Dateien durch Passwörter wird in der Literatur festgehalten, dass auch hier ein großes Sicherheitsrisiko bestehen kann, weil Passwörter in der Regel in relativ kurzer Zeit geknackt werden können. Die Verwendung ausreichend sicherer Passwörter wird aber zugleich als Standardmaßnahme qualifiziert.
Ein bekanntes Thema, das in der Praxis aber häufig nicht umgesetzt wird, sind ausreichende Verschlüsselungen der E-Mail-Kommunikation. Oft sind es Praktikabilitätserwägungen, insbesondere im Kontakt mit Dritten, die keinen Wert auf Verschlüsselung legen. Die Verwendung asymmetrischer Schlüssel, bei welchem jeder Nutzer ein Schlüsselpaar besitzt (einen „öffentlichen Schlüssel“ zum Verschlüsseln, einen „privaten Schlüssel“ zum Entschlüsseln) setzt voraus, dass der Absender auf den öffentlichen Schlüssel des Empfängers zugreifen kann. Auf die Bedeutung solcher Maßnahmen wird insbesondere für die Übermittlung von Daten auf gesellschaftsfremde Server hingewiesen.
Für die unternehmensinterne Korrespondenz (insbesondere auch zwischen Organen) wird sich eine Verschlüsselung zumeist realisieren lassen. Möchte ein Organmitglied Informationen per E-Mail erhalten, wird die Gesellschaft verlangen können, dass sich das Mitglied geeigneter Verschlüsselungssoftware bedient.
Alternativen zu E-Mails
Eine Alternative zur Übermittlung durch E-Mails kann die Verwendung von elektronischen Datenräumen sein, für welche berechtigten Personen jeweils ein Zugang eingerichtet wird. Zudem können besondere Vorkehrungen bei mobilen Endgeräten, welche die Gesellschaft Organmitgliedern oder Mitarbeitern zur Verfügung stellt, getroffen werden; etwa indem nur ein Lesezugriff möglich ist, nicht aber die Bearbeitung oder Weiterleitung. Ist bei besonders sensiblen Daten der Einsatz elektronischer Korrespondenz gar nicht angezeigt, dann werden traditionelle Methoden (zum Beispiel Boten) anzuwenden sein.
Stark gekürzter und bearbeiteter Auszug des Fachbeitrags „Unternehmenskommunikation per E-Mail“ von „Grauzonen“-Chefredakteur Roman A. Rauter. Den gesamten Text inklusiver praxisnaher Beispiele und Tipps sowie einer detaillierten Erörterung der OGH-Entscheidung zum „Fake President Fraud“ finden Sie auch in der Printausgabe „Grauzonen 1/2022“.
Querverweise zur Norm in der RDB wurden automatisch mit dem MANZ Linkbutler erstellt.
