Studie. Digitales Know-how spielt bei der Auswahl von Aufsichtsräten aktuell kaum eine Rolle. Sollte es aber, so eine Studie von Kanzlei Noerr und TU München (TUM).
Aufsichtsräte benötigen mehr digitalen Sachverstand, lautet die Schlussfolgerung der beiden Projektpartner: Das sei gerade in Zeiten wachsender Compliance-Anforderungen einerseits und des Voranschreitens des Cloud-Einsatzes immer wichtiger. Denn bekanntlich, so ein geflügeltes Wort der IT-Branche, gibt es die Cloud gar nicht – es gibt bloß den Server eines Anderen. Und was dieser kann, tut und leisten muss, ist eine Frage der IT und nicht zuletzt auch des IT-Rechts.
Derzeit sind IT-Kenntnisse kaum ein Thema
Doch derzeit hat für weniger als ein Drittel der Unternehmen die digitale Kompetenz des Aufsichtsrats eine hohe oder sehr hohe Relevanz. Das ist das Ergebnis einer gemeinsamen Studie der Kanzlei Noerr und des TUM Center for Digital Public Services von Professor Dirk Heckmann an der Technischen Universität München (TUM). Für die Studie wurden laut den Angaben 300 Führungskräfte der ersten und zweiten Ebene aus Unternehmen ab 250 Mitarbeitenden interviewt.
Dem Aufsichtsrat kommen vielfältige Digital-Aufgaben zu, so die Projektpartner: Er muss die Geschäftsleitung im Hinblick auf digitale Geschäftsprozesse, den Einsatz neuer Technologien und eine sichere und datenschutzkonforme IT-Infrastruktur kontrollieren. Zugleich muss er sich davon überzeugen, dass die Geschäftsleitung geeignete Compliance-Strukturen im Unternehmen einrichtet.
Nach der Studie sind viele Aufsichtsräte auf diese Aufgaben nur unzureichend vorbereitet:
- Nur 28 Prozent der Unternehmen schätzen digitale Kompetenzen und Fähigkeiten bei der Bestellung von Aufsichtsratsposten als wichtiges Kriterium ein.
- Selbst bei Unternehmen, in denen es in den vergangenen drei Jahren bereits Compliance-Vorfälle gab, liegt der Wert nur bei 33 Prozent.
Das sei auch deshalb ein bemerkenswerter Befund, weil zugleich bei der Befragung 42 Prozent der Unternehmen angaben, dass der Aufsichtsrat konkrete Maßnahmen ergreift, um den digitalen Sachverstand der Geschäftsleitung sicherzustellen. Andererseits beschäftigt sich auch nur gut die Hälfte (53 Prozent) der Aufsichtsräte regelmäßig mit Themen rund um die Digitalisierung – in Unternehmen mit weniger als 1.000 Beschäftigten seien es noch weniger.
Was im Fall des Falles passiert
Nach Compliance-Vorfällen sind Aufsichtsräte häufiger direkt in das Thema Digitalisierung involviert, heißt es weiter:
- In 61 Prozent der Fälle kommen Digitalthemen dann auf die Tagesordnung. Meist (39 Prozent) befasst sich der Aufsichtsrat selbst mit dem Thema, ein Viertel greift auf Experten zurück und 13 Prozent haben dafür einen Ausschuss eingerichtet.
- Demgegenüber sind in Unternehmen ohne Compliance-Vorfälle lediglich 22 Prozent der Aufsichtsräte regelmäßig mit der Digitalisierung befasst.
- Steht die Digitalisierung regelmäßig auf der Agenda des Aufsichtsrats, genießt die IT-Sicherheit mit 61 Prozent eine ähnlich hohe Wichtigkeit wie Digitalisierungsthemen zu Geschäftsprozessen (68 Prozent).
Die hohe Aufmerksamkeit des Aufsichtsrats zu Fragen der IT-Sicherheit sei zu begrüßen, liegen hier doch wesentliche Compliance-Risiken. So hat die Studie demnach ergeben, dass 47 Prozent der teilnehmenden Unternehmen in den vergangenen drei Jahren von digitalen Compliance-Vorfällen betroffen waren. Neben allgemeinen Datenschutzverstößen (29 Prozent) berichteten 27 Prozent der Befragten von Compliance-Vorfällen im Bereich der IT-Sicherheit.
Wo steht der Server?
Dabei hat die Untersuchung auch ergeben, dass flächendeckend ein Basisschutz zur IT-Sicherheit und zum Datenschutz besteht, jedoch weniger Unternehmen spezifischere Maßnahmen zum Stand der Technik im Einsatz haben. Bei der Nutzung von Cloud-Diensten sehen nur wenige Unternehmen hohe Risiken (16 Prozent). Zwar können Cloud-Lösungen meist die IT-Sicherheit erhöhen; bei der Datenauslagerung auf Server außerhalb der EU gelten jedoch erhöhte Anforderungen nach der DSGVO. Entsprechend hat der Serverstandort für 71 Prozent der Befragten eine hohe Relevanz.
Weiteres Ergebnis der Studie: Zwei von drei befragten Unternehmen (67 Prozent) verfügen über eine eigene Abteilung oder Funktion für Datenschutz, in vier von zehn Fällen (38 Prozent) ist diese getrennt von der Compliance-Abteilung. Zwei Drittel der Unternehmen verfügen zudem über eine Stelle für IT-Sicherheit bzw. einen Informationssicherheitsbeauftragten – meist in der IT-Abteilung (51 Prozent).
Mahnende Statements der Rechtsprofis
Sophia Habbe, Noerr-Partnerin in Frankfurt und Co-Leiterin der Praxisgruppe Compliance & interne Untersuchungen, hält zur Studie fest: „Durch die fortschreitende Digitalisierung von Unternehmensprozessen und Geschäftsmodellen ist digitale Kompetenz für den Aufsichtsrat essenziell. Denn nur dann kann er bei der Überwachung der Geschäftsleitung seine Rolle als zentrale Kontrollinstanz ausfüllen und beurteilen, ob die Geschäftsleitung die Risiken digitaler Technologien richtig eingeschätzt hat.“
Prof. Peter Bräutigam, Noerr-Partner und IT-Rechtsexperte in München: „Auch im Hinblick auf die Beurteilung von digitalen Compliance-Risiken ist entsprechender Sachverstand des Aufsichtsrats gefragt. So haben nach unserer Studie in den letzten drei Jahren 27 Prozent der Unternehmen Datenschutzvorfälle gemeldet. Eine besondere Herausforderung ist der vermehrte Einsatz von Cloud-Lösungen in Unternehmen – der Aufsichtsrat hat deshalb auch den Umgang der Geschäftsleitung mit den damit verbundenen Risiken im Auge zu behalten.“
