SOX Sarbanes Oxley Act
Im Rahmen von IT-Security fällt oft der Begriff SOX. Der Begriff ist die Abkürzung für den Sarbanes-Oxley Act, ein US-Gesetz aus dem Jahre 2002. Der etwas eigentümliche Name beruht darauf, dass das Gesetz nach seinen beiden Verfassern benannt wurde. Es beinhaltet Regelungen, welche Daten von Unternehmen zu veröffentlichen sind und gilt für alle Unternehmen, die an US-Börsen notiert sind sowie deren Tochterunternehmen. Ziel des Gesetzes ist es, das Vertrauen der Anleger durch diese veröffentlichten Informationen zu schützen.Damit ist der Anwendungsbereich von SOX in Deutschland selbst eingeschränkt. Mit anderen Worten, den Sarbanes-Oxley Act ist nur bestimmten deutschen Unternehmen, vorwiegend im Konzernbereich, zu beachten. Welche Daten deutsche Unternehmen zu veröffentlichen haben, richtet sich nach dem zum 01.01.2007 eingeführten Gesetz über elektronische Handelsregister.
Probleme ergeben sich in rechtlicher Hinsicht vielmehr daraus, dass Vorgaben nach SOX teilweise nicht mit deutschen Regelungen in Einklang zu bringen sind. Ist etwa eine in Deutschland ansässige Aktiengesellschaft auch an einer US-Börse notiert, haften die Vorstandsmitglieder für Schäden nach SOX persönlich – nach dem deutschen Aktiengesetz schuldet ein Vorstandsmitglied für Schadensersatzansprüche nur gegenüber der Gesellschaft, jedoch nicht den Aktionären oder Dritten gegenüber. Rechtlich droht einem deutschen Vorstandsmitglied, das etwa ein Tochterunternehmen einer amerikanischen börsennotierten Gesellschaft ist, die persönliche Haftung für fehlerhafte Geschäftsführung. Ist außerdem durch grobe Fahrlässigkeit oder gar Vorsatz beim Anleger Schaden entstanden, kommen Geld- und Haftstrafen noch hinzu.
Mit IT-Sicherheit hat SOX im eigentlichen Sinne nichts zu tun. Doch sowohl nach SOX als auch nach dem deutschen Aktiengesetz ist ein Risikomanagement einzuführen, das eben auch die Datensicherheit betrifft. SOX definiert zudem besondere Anforderung an die Integrität der Daten und Revisionsicherheit. Lässt die Geschäftsleitung hier Versäumnisse zu, kann ein solches Organisationsverschulden teuer werden.
Nach allen Rechtsordnungen ist eine ausreichende Fürsorge für die IT-Sicherheit jedoch grundlegendem Interesse, nicht nur in gesellschafts- oder strafrechtlicher Hinsicht, sondern aufgrund der herausragenden Bedeutung der Firmendaten vor allem um den laufenden Betrieb zu gewährleisten. Hierzu sind bestenfalls alle technisch sinnvollen Maßnahmen zu treffen und die vertraglichen Haftungsregelungen stets auf einem aktuellen Stand zu halten.
Kontakt: kontakt@fasp.de
Stand: 04/07
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ Bankrecht/ BankhaftungRechtsinfos/ Datenschutzrecht/ IT-Security
Rechtsinfos/ Bankrecht/ Kapitalanlagerecht
Rechtsinfos/ Bankrecht/ Kapitalmarktrecht
Rechtsinfos/ Vertragsrecht/ Schadensersatz
Rechtsinfos/ IT-Recht/ IT-Security
Rechtsinfos/ Gesellschaftsrecht/ Aktiengesellschaft