Geschäftsleitungspflichten nach §38 BSIG
Gesetzliche Pflichten
§38 Abs. 1 – Billigung und Überwachung
Die Geschäftsleitung ist persönlich verpflichtet:
| Pflicht | Beschreibung | Nachweis |
|---|---|---|
| Billigung | Formale Genehmigung aller Risikomanagementmaßnahmen nach §30 | Unterschriebenes Freigabedokument |
| Überwachung | Laufende Kontrolle der ordnungsgemäßen Umsetzung | Regelmäßige Sicherheitsberichte, KPI-Reviews |
§38 Abs. 2 – Persönliche Haftung
- Geschäftsleitungen haften für Schäden, die durch Verletzung ihrer Pflichten aus Absatz 1 entstehen
- Verzichtsvereinbarungen sind unwirksam
- Vergleiche über Ersatzansprüche sind unwirksam
- Schadensersatzansprüche der Einrichtung gegen die Geschäftsleitung können nicht ausgeschlossen werden
§38 Abs. 3 – Schulungspflicht
- Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen
- Zweck: Ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken
- Inhalt: Risikomanagementpraktiken und deren Auswirkung auf die Dienste der Einrichtung
Umsetzung bei BAUER GROUP
Billigungsprozess
| Schritt | Beschreibung | Dokumentation |
|---|---|---|
| 1. ISB erstellt Maßnahmenvorschlag | Basierend auf Risikoanalyse und §30-Anforderungen | Maßnahmenplan |
| 2. Präsentation an Geschäftsleitung | Erläuterung der Risiken und vorgeschlagenen Maßnahmen | Präsentationsunterlagen |
| 3. Diskussion und Anpassung | Geschäftsleitung kann Änderungen einfordern | Protokoll |
| 4. Formale Billigung | Unterschrift der Geschäftsleitung | Freigabedokument mit Datum und Unterschrift |
| 5. Umsetzungsauftrag | Ressourcenfreigabe und Verantwortungszuweisung | Dokumentierter Auftrag |
Überwachungsmechanismen
| Mechanismus | Intervall | Format |
|---|---|---|
| KPI-Dashboard | Monatlich | Digitaler Report |
| Quartals-Managementbericht | Quartalsweise | Präsentation + Diskussion |
| Jährlicher Sicherheitsbericht | Jährlich | Schriftlicher Bericht mit Maßnahmenplan |
| Anlassbezogene Eskalation | Bei Stufe Hoch/Kritisch | Sofortige Information |
Schulungsnachweis
| Aspekt | Umsetzung |
|---|---|
| Häufigkeit | Mindestens jährlich |
| Format | Präsenzschulung oder qualifiziertes Webinar |
| Trainer | ISB oder externer Cybersicherheitsexperte |
| Nachweis | Teilnahmebestätigung mit Datum, Inhalt, Dauer |
| Archivierung | Mindestens 3 Jahre |
Haftungsminimierung
Zur Minimierung des persönlichen Haftungsrisikos der Geschäftsleitung empfiehlt sich:
| Maßnahme | Beschreibung |
|---|---|
| Dokumentierte Billigung | Jede Maßnahme schriftlich genehmigen und archivieren |
| Regelmäßige Berichte | Nachweisbare Überwachung durch Kenntnisnahme und Diskussion der Berichte |
| Nachweisbare Schulung | Teilnahmenachweise aufbewahren |
| Angemessene Ressourcen | Budget und Personal für Informationssicherheit bereitstellen |
| Zeitnahe Reaktion | Bei bekannt gewordenen Risiken zeitnah Maßnahmen ergreifen |