Blogpost

IT-GRC zwischen Recht und Praxis: Haftung vermeiden – Sicherheit verankern

IT-GRC, also das Steuern (Governance) der IT, das Beherrschen der IT-​Risiken (Risk) und das Beachten von externen und internen Vorgaben (Compliance), wird in Zeiten von vermehrten Cyberangriffen, zunehmender Digitalisierung und verschärfter Regulierung für Banken und Finanzdienstleister immer wichtiger. In einem Gespräch mit Prof. Dr. Josef Scherer haben wir die juristischen Grundlagen der IT-/KI-Governance diskutiert. Dabei wurde deutlich: IT-GRC ist keine theoretische Debatte, sondern eine konkrete Leitungsaufgabe.

msg for banking
244
Compliance
5 Minuten Lesezeit
Header IT-GRC, IT GRC

Einleitung

Cyberangriffe, zunehmende Digitalisierung und verschärfte Regulierung stellen Banken und Finanzdienstleister 2025 vor erhebliche Herausforderungen. Gleichzeitig wächst die Verantwortung der Unternehmensleitung, den sicheren Betrieb von IT-Systemen und Datenverarbeitungsprozessen zu gewährleisten.

In unserem Gespräch mit Prof. Dr. Josef Scherer haben wir die juristischen Grundlagen der IT-/KI-Governance diskutiert. Dabei wurde deutlich: IT-GRC ist keine theoretische Debatte, sondern eine konkrete Leitungsaufgabe – mit klaren Pflichten, Haftungsrisiken und der Möglichkeit zur Entlastung durch wirksame Systeme.

Die folgenden Abschnitte geben die zentralen Inhalte wieder: Welche Pflichten bestehen, welche Haftungsrisiken drohen und wie kann ein Compliance-Management-System Leitungsorgane rechtlich absichern?

Prof. Dr. Josef Scherer

Rechtsanwalt Prof. Dr. Josef Scherer ist seit 1996 Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf. Zuvor arbeitete er als Staatsanwalt an diversen Landgerichten und Richter am Landgericht in einer Zivilkammer.

Neben seiner Tätigkeit als Seniorpartner der auf Wirtschaftsrecht und Governance, Risiko- und Compliancemanagement (GRC) spezialisierten Kanzlei Prof. Dr. Scherer & Partner, erstellt er wissenschaftliche Rechtsgutachten und agiert als Richter in Schiedsgerichtsverfahren.

Rechtliche Leitplanken: Pflichten, Haftung und Entlastung

Für Begriffe wie „IT-Governance“ oder „KI-Governance“ existiert keine Legaldefinition. Ihre Bedeutung leitet sich aus Gesetzen, höchstrichterlicher Rechtsprechung und internationalen Standards ab. Dazu gehören die DIN ISO 37000 (Governance of Organizations)1, die ISO/IEC 38500 (Governance of IT for the Organization) 2 sowie die ISO/IEC 420013 als erster Standard für ein KI-Managementsystem.

Prof. Scherer definiert IT-/KI-Governance aus juristischer Sicht als die „nachhaltige, compliance- und risikobasierte gewissenhafte Führung und Überwachung von Organisationen inklusive Interaktion mit relevanten Stakeholdern im Bereich IT (KI)“.

Compliance ist nach Prof. Scherer die Basis jeder Governance. Über 90 % aller Governance-Risiken sind zugleich Compliance-Risiken, da fast alle relevanten Pflichten sanktionsbewehrt sind. Fehlt ein Compliance-System, liegt in der Regel eine Organisationspflichtverletzung vor.

Prof. Scherer betont: „All das, was im Themenfeld IT-/KI-Governance getan werden muss, muss getan werden. Das ist reine Compliance ohne Ermessensspielraum bezüglich des Ob.“

Die Gerichte haben in den letzten Jahren mehrfach klargestellt, dass ein fehlendes oder unzureichendes Compliance-Management-System (CMS) eine Verletzung der Organisationspflicht darstellt. Das Landgericht München I (2013, Siemens-Fall) beurteilte das Fehlen eines Compliance-Systems als Pflichtverletzung. Das Oberlandesgericht Nürnberg (2022, 12 U 1520/19) wertete auch das Fehlen interner Kontrollsysteme als Pflichtverstoß. Der Bundesgerichtshof (2017, Urteil StR 265/16) stellte klar, dass ein wirksames Compliance-System strafrechtlich entlastend wirken kann.

Gesetzliche Grundlagen

  • 43 GmbHG: Geschäftsführer haften bei Pflichtverletzungen
  • 93 AktG: Vorstände müssen die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anwenden
  • 91 Abs. 2 AktG: Pflicht zur Einrichtung eines Überwachungssystems, um den Fortbestand der Gesellschaft zu sichern
  • 130 OWiG: Organisationspflichtverletzungen können zu Bußgeldern führen

Um nicht aufgrund des Vorwurfs einer nicht rechtssicheren Organisation einer Haftbarkeit zu unterliegen, ist ein enthaftendes IT-/KI-Governance-CMS unverzichtbar.“

Prof. Dr. Josef Scherer

Die Business Judgment Rule (§ 93 Abs. 1 Satz 2 AktG) schützt Manager nur, wenn sie nachweislich auf Grundlage ordnungsgemäßer Informationen handeln. Ohne systematische Prüfungen und Kontrollen können sich Geschäftsleiter nicht auf diesen Schutz berufen. Ein dokumentiertes Compliance Management System (CMS) mit klaren Prozessen ist daher Voraussetzung, um Entscheidungen rechtssicher zu treffen.

Ein CMS für IT-/KI-Governance ist nach Prof. Scherer eine Aufbau- und Ablauforganisation, bestehend aus Rollen, Zielen, Ressourcen, Prozessen und Kontrollen. Dazu gehören insbesondere das IT-Compliance-Management, das IKT-Risikomanagement, die IT-Strategie und Planung, Informationssicherheit und Datenschutz, das interne Kontrollsystem (IKS) inklusive Revision sowie die Steuerung der Digitalisierung und des KI-Einsatzes.

Normen und Frameworks wie ISO4 oder COBIT sind wertvolle Orientierungen. Maßgeblich sind aber Gesetze und Gerichte. Prof. Scherer betont: „Ob eine Vorgehensweise korrekt war oder Haftung auslöst, entscheiden nicht Standards, sondern die Gerichtsbarkeit.“

Ob eine Vorgehensweise korrekt war oder Haftung auslöst, entscheiden nicht Standards, sondern die Gerichtsbarkeit.“

Prof. Dr. Josef Scherer

IT-GRC: Umsetzung in der Praxis – Governance operationalisieren

Die praktische Umsetzung von Governance-Anforderungen zeigt sich insbesondere in den Kernsystemen der Banken. Aus Projekten im Finanzsektor wird deutlich, dass immer wieder ähnliche Schwachstellen auftreten. Dazu zählen zu weit gefasste Berechtigungen, nicht eingespielte sicherheitskritische Patches, fehlende Audit-Logs sowie Manipulationsmöglichkeiten bei Stammdaten. Gerade SAP-Systeme als digitale Schaltzentrale von Banken stehen hier im Fokus.

Um solche Risiken zu beherrschen, sind verschiedene Maßnahmen etabliert: Systemhärtung und konsequentes Patch-Management, aktives Log-Management und die Anbindung an SIEM-Systeme, regelmäßige SoD-Analysen sowie Code-Reviews für ABAP-Programme. Prinzipien wie „Zero Trust“ und „Least Privilege“ tragen dazu bei, die Angriffsfläche nachhaltig zu reduzieren.

Ein weiterer zentraler Baustein ist die Umsetzung des Digital Operational Resilience Act (DORA). Die Verordnung verpflichtet Banken unter anderem zu einem IKT-Risikomanagement, das in der Verantwortung des Leitungsorgans liegt.

Hinzu kommen Anforderungen an ein strukturiertes Vorfallmanagement, regelmäßige Resilienztests einschließlich Threat-led Penetration Testing (TLPT) sowie ein umfassendes Drittparteienmanagement. Diese Vorgaben erfordern nicht nur technische Anpassungen, sondern auch klare Governance-Strukturen, die im Vorstand verankert sind.

Da IT-/KI-Governance primär Chefsache ist, müssen Vorstände und Aufsichtsräte regelmäßig geschult werden. In DORA-Schulungen für Leitungsorgane wird vermittelt, welche Pflichten bestehen, welche Haftungsrisiken drohen und wie die praktische Umsetzung aussehen kann. Ziel ist es, die Leitungsorgane so zu befähigen, dass sie ihre Verantwortung nachweisbar und rechtssicher wahrnehmen.

Handlungsempfehlungen für Banken 2025

Um die rechtlichen Anforderungen aus der juristischen Analyse von Prof. Scherer in die Praxis zu übertragen, sollten Banken 2025 mehrere Prioritäten setzen. An erster Stelle steht der Aufbau eines integrierten Governance-CMS, das alle relevanten Rollen, Prozesse und Kontrollen umfasst. Ergänzend dazu sind regelmäßige SAP-Security-Audits notwendig, um den Stand der Technik nachzuweisen.

Die Umsetzung der DORA-Vorgaben ist seit 2025 verpflichtend und sollte systematisch erfolgen. Zudem helfen Reifegradbewertungen und Benchmarkings, die Wirksamkeit von Maßnahmen messbar zu machen. Schließlich sind gezielte Schulungen für Leitungsorgane unerlässlich, da die Verantwortung letztlich beim Vorstand liegt.

Handlungsfeld Rechtliche Pflicht (Prof. Scherer) Praktische Umsetzung (msg for banking)
Governance-CMS Pflicht zur Einrichtung (§ 91 AktG, § 43 GmbHG) Aufbau von Compliance- & Risikoprozessen
SAP Security Stand der Technik muss eingehalten werden Security Audits, Hardening, Quick Wins
DORA-Compliance EU-Verordnung verbindlich seit 2025 Gap-Analyse, Resilienztests, Drittparteienmanagement
Reifegradbewertung Fundierte Entscheidungen nötig (Business Judgment Rule) Bewertungsmatrix, Benchmarking
Schulungen Leitungsorgane Verantwortung liegt beim Vorstand DORA-Trainings, IT-GRC-Seminare

Fazit

IT- und KI-Governance sind keine Option, sondern eine gesetzliche Pflicht. Fehlende Systeme führen zu Organisationspflichtverletzungen und potenzieller persönlicher Haftung. Umgekehrt gilt: Ein wirksames Compliance- und Governance-System wirkt entlastend. Dokumentierte Prüfungen, klare Prozesse und nachweisbare Maßnahmen belegen, dass die Leitung ihrer Verantwortung gerecht wird.

Quellen
Share: LinkedIn Xing X Facebook
msg for banking Logo

msg for banking

denkt Banking neu und bietet seinen Kunden smarte, innovative und plattformbasierte digitalisierte Lösungen aus einer Hand.

linkedin xing
Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Fachartikel
5 Minuten Lesezeit

DORA-Umsetzung – Die größten Herausforderungen im Detail

Maximilian Barg
Blogpost
4 Minuten Lesezeit

DORA-Prüfung und digitale Betriebsresilienz: Herausforderungen und Lösungen für den Finanzsektor

Amin Kasipour
Fachartikel
11 Minuten Lesezeit

Interview: „Compliance ist ein stückweit gesunder Menschenverstand.“