Von: Martin Führlein, Kai Bonnermann
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ist vor fast drei Jahren in Kraft getreten. Wichtigstes Ziel dieses Gesetzes war, eine Vielzahl an Unternehmen unterschiedlichster Rechtsformen - AG, teilweise GmbH und GmbH & Co. KG - zu einer verstärkten Kontrolle kritischer Entwicklungen anzuhalten und dazu zu bewegen, diese Entwicklungen auch in ihren Bilanzen zu veröffentlichen. Mit den Worten des Gesetzgebers heißt das: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden" ( 91 Abs. 2 AktG).
Die Faktoren, die die künftige Entwicklung eines Unternehmens beeinflussen, sind vielfältig. Für eine Spedition sind Dollarkurs und Ölpreise wesentlich wichtiger als für ein Systemhaus, und für den Hersteller von Fleischkonserven ist BSE weitaus mehr von Belang als für eine Anwaltskanzlei. Bei der EDV allerdings erlebt fast jedes Unternehmen einen "Aha-Effekt", sobald es deren Bedeutung erforscht: Ohne IT-Infrastruktur geht nichts mehr, und ihren Ausfall zu kompensieren würde finanzielle Mittel erfordern, die nur selten vorhanden sind.
Vielfältige EDV-Risiken
Durch das KonTraG wurde insbesondere §289 Abs. 1 HGB geändert, der die Bilanzierung betrifft. Seit 1998 muss ein Unternehmen im Lagebericht, der den Geschäftsverlauf im abgelaufenen Geschäftsjahr darstellt, auch auf die Risiken der künftigen Entwicklung eingehen. Das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) empfiehlt, dass dabei all jene Risiken darzustellen sind, die als "wesentlich" gelten können und die sich innerhalb eines überschaubaren Zeitraums von etwa zwei Jahren nach dem Abschluss-Stichtag des Geschäftsjahres voraussichtlich auf die Vermögens-, Finanz- und Ertragslage auswirken werden (Ziffer 3.1.3.2. des IDW-Rechnungslegungsstandards: Aufstellung des Lageberichts). Damit verpflichtet das KonTraG zur Überprüfung der EDV auf ihre Sicherheit; im Lagebericht sind die erkannten Risiken auch anzugeben. Wird der Lagebericht trotz Kenntnis der Risiken fehlerhaft aufgestellt, drohen Geldbußen und Schadenersatz gegen die Gesellschaft sowie deren Geschäftsführung.
Gesetz verpflichtet nicht zu sicherer EDV
Entgegen weit verbreiteter Auffassungen bestehen derzeit keine direkten gesetzlichen Vorgaben dafür, wie ein Unternehmen seine EDV-Sicherheitseinrichtungen ausgestalten muss. Es existieren lediglich Spezialvorschriften, zum Beispiel im Atomrecht. In der Praxis allerdings gibt es gute Gründe, mit dem Blick auf die Rechtsprechung gewisse Standards aus eigenem Interesse einzuhalten.
Infrastrukturen entweder in die Obhut von Spezialisten zu geben oder sie permanent zu überprüfen.
Die Kunden eines Rechenzentrums zum Beispiel, das Millionen von Datenspeicherungen, Veränderungen und Transaktionen für einen Kunden abwickelt, werden auf jeden Fall vertraglich auf garantierten Verfügbarkeitskorridoren bestehen. Unter diesen Umständen steht der Anbieter auch ohne gesetzliche Vorschriften, die die Form der Sicherheitsmaßnahmen beschreiben, in der Pflicht. Ist das System nämlich abweichend vom vertraglich vereinbarten Umfang von 99,5 Prozent uneingeschränkter Verfügbarkeit für einen gewissen Zeitraum nur zu 98 Prozent verfügbar, gilt bereits, dass eine garantierte vertragliche Leistung nicht erbracht werden konnte. Der Betreiber des Rechenzentrums wird in diesem Fall unabhängig von der Frage, ob er die Unterschreitung schuldhaft oder nicht schuldhaft herbeigeführt hat, für den entstandenen Schaden haften. Da sich Schäden wie entgangener Gewinn schwer nachweisen lassen, gehen Unternehmen in der Praxis außerdem dazu über, bei Unterschreitung von garantierten Verfügbarkeitswerten Vertragsstrafen in gestaffelter Höhe zu vereinbaren, die vergleichsweise einfach durchzusetzen sind. Ein Rechenzentrumsbetreiber kann seinen Kunden beispielsweise nicht mehr durch die kurze Aussage "wird bestritten" zu umfangreichen Beweisversuchen nötigen, die im Regelfall nie vollständig gelingen.
Das Risikomanagement zählt
Auch in anderen Bereichen, wo keine Systemerreichbarkeit oder -funktionsfähigkeit garantiert wird, ist der Weg vom EDV-Ausfall zur Schadenersatzverpflichtung kürzer, als oftmals vermutet wird. Werden nämlich im Rahmen des Risikomanagements Schwachpunkte entdeckt, die das Unternehmen nicht behebt, und führen diese Mängel nachfolgend zu einer Schädigung eines Vertragspartners, kann dieser häufig Schadenersatz wegen "Nichtbeachtung der im Verkehr üblichen Sorgfalt" verlangen. Ein sorgfältiger Unternehmer, so würde es in einem eventuellen Prozess dann heißen, merzt bereits erkannte Schwachstellen in seinem EDV-System konsequent aus.
Verschlafene Entwicklungen oder nicht behobene Schwächen im EDV-System können auch unter weiteren Gesichtspunkten erhebliche finanzielle Auswirkungen haben. So wird vor Mergern und Akquisitionen bei der Bewertung eines Unternehmens, das erwoben werden soll, zunehmend überprüft, ob die vorhandene EDV ihr Geld auch unter dem Gesichtspunkt der "Zukunftsfähigkeit" wert ist und bleibt. Eine neu erworbene, in ihren Funktionen jedoch nicht erweiterbare und somit nicht zukunftsfähige EDV führt schnell zu einem erheblichen Abschlag vom Kaufpreis, da sie gleichbedeutend mit anstehendem Investitionsbedarf ist. Entsprechend ist die Situation, wenn wichtige Lizenzen für Computerprogramme bald auslaufen. Gleiches gilt natürlich, wenn die mit der Bewertung beauftragte Unternehmens- oder Steuerberatungsgesellschaft relevante Schwachstellen feststellt wie beispielsweise die Anfälligkeit für äußere Einflüsse, mangelnde Absicherung gegen Hacker oder ein überlastetes Leitungsnetz für die Online-Anbindung.
Neue bankrechtliche Vorgaben
Zusätzliche Bedeutung erlangt die EDV-Sicherheit durch die neue Basler Eigenkapitalvereinbarung (NBE). Dabei handelt es sich um eine Empfehlung des Basler Ausschusses für Bankenaufsicht, der bei der Bank für Internationalen Zahlungsausgleich tagt. Seine Mitglieder sind Vertreter der Bankenaufsichtsbehörden und der Zentralbanken aller wichtigen Industrieländer, somit auch Deutschlands.
Die Richtlinien und Vereinbarungen des Basler Ausschusses sind kein Gesetz, werden jedoch in den einzelnen Industrieländern und somit auch in Deutschland von den Regierungen umgesetzt, weil die Länder den Finanzmarktsystemen der Welt angehören wollen. In Deutschland geschieht dies unter anderem durch Änderungen des Kreditwesengesetzes (KWG). Auch die Deutschen Banken und Sparkassen werden deshalb die NBE umsetzen, wenn sie erlassen ist.
Die derzeit noch diskutierte NBE soll die aktuelle Eigenkapitalvereinbarung aus dem Jahr 1988 ersetzen. Diese stellt eine Zusammenfassung wichtiger aufsichtsrechtlicher Vorgaben an Privatbanken dar und hat das Ziel, dem Bankwesen Stabilität und Sicherheit zu verleihen. Insbesondere soll die Pleite von Bankhäusern aufgrund einer übermäßig risikofreudigen Kreditvergabe verhindert werden.
Kredit-Rating und IT-Sicherheit
Bereits jetzt entspricht es der gesetzlichen Rechtslage, dass Banken einen bestimmten Prozentsatz des von ihnen im Kreditgeschäft verliehenen Geldes als Eigenkapital vorhalten müssen, um auch bei ausfallenden Schuldnern solvent zu bleiben. Grundlegende Neuerung des NBE ist nunmehr, dass der Prozentsatz der Eigenkapitalquote im Verhältnis zu den Krediten nicht mehr starr ist, sondern von der mutmaßlichen Bonität der Kreditnehmer abhängt. Maßgebliches Instrument zur Ermittlung dieser Bonität sollen Ratings sein, die vom Kreditnehmer wie ein Wirtschaftsprüfertestat vor Abschluss des Kreditvertrages vorgelegt werden müssen. Kann kein Rating vorgelegt werden, gilt der Kreditnehmer als bonitätsschwach, und die Bank muss einen besonders hohen Prozentsatz des Kredits in Form von Eigenkapital vorhalten. Der Basler Ausschuss geht in einem Konsultationspapier weiter davon aus, dass beispielsweise Venture-Capital-Gesellschaften eine deutlich schlechtere Kreditbewertung erhalten als Kommunen oder Banken.
Man darf erwarten, dass sich Ratingunternehmen einen potenziellen Kreditnehmer künftig ansehen werden, wie es ein Wirtschaftsprüfer tut. Es wird also wichtig sein, wo das Unternehmen Schwachstellen aufweist, welche die Rückzahlung des aufgenommenen Kredits in Frage stellen.
Um die Vorgaben der Zentralbank und des Bundesaufsichtsamts für das Kreditwesen einhalten zu können, welche ihrerseits wiederum diejenigen der NBE erfüllen müssen, werden die Banken und Sparkassen formalisiertere und strengere Maßstäbe als die bisher üblichen an ihre Kreditnehmer stellen.
Die EDV-Sicherheit als eines von mehreren Merkmalen für die zukünftige Entwicklung eines Unternehmens wirkt sich also nicht nur auf Lageberichte, einen möglichen Verkaufserlös bei Unternehmensveräußerung oder auf Schadenersatzansprüche gegen ein Unternehmen aus. Auch die Kreditvergabe wird sich in Zukunft - abhängig vom jeweiligen Geschäftsfeld - nach dessen Standards im EDV-Bereich richten.
Die NBE sollte deshalb ein zusätzlicher Ansporn im Bereich des E-Business sein, EDV-Lösungen stringent zu dokumentieren, wenn möglich abzusichern und fortlaufend zu überprüfen. Mit EDV-Systemen sind hierbei nicht nur das System aus Software, Rechner und Leitungsnetz gemeint. Auch periphere Fragen wie die Laufzeit von Lizenzen, die Skalierbarkeit der Infrastruktur bei erhöhter Kapazitätsnachfrage oder der Schutz gegen Angriffe von Hackern oder Kreditkartenbetrügern erlangen zusätzliche Bedeutung.
Junge Unternehmen, deren wesentliches Kapital eine Geschäftsidee ist, müssen daher mit erheblich verschlechterten Konditionen rechnen. Zum einen nämlich sind Geschäftsideen wirtschaftlich nur sehr schwer zu bewerten, zum anderen werden die Kosten derartiger Ratings auf zirka 10 000 bis 50 000 Mark geschätzt. Vielen Startups dürfte also bereits das Rating zu teuer sein. Zugleich wird sich das Rating stark an objektiven Fakten wie Umsatz- und Ertragsentwicklung, Erweiterungsfähigkeit der EDV, Absicherung des Zentralservers gegen äußere Einflüsse und so weiter orientieren und somit für die Newcomer relativ nutzlos sein.
Darüber hinaus schrumpfen der Spielraum für persönliche Verhandlungen und die Bewertung so genannter "Soft Skills" - wie das persönliche Vertrauen einer Bank in die Leistungskraft ihres Kreditkunden - aufgrund des objektivierten Verfahrens merklich. Zugleich dürfte sich die Partnerschaft mit Venture-Capital-Gebern schwieriger gestalten, da sich auch diese nur zu schlechteren Konditionen refinanzieren können.
Server so wichtig wie LKW
Die Bedeutung der EDV für ein Unternehmen liegt in der Praxis schon lange auf dem Niveau unternehmenstragender Wirtschaftsgüter. Im E-Business ist der Server so wichtig wie der LKW für den Fuhrunternehmer. Bilanz-Vorschriften und Bewertungsgrundlagen vollziehen diesen Bedeutungszuwachs nun nach. Es wird deshalb im E-Business entscheidend sein, den Wert des eigenen EDV-Systems durch Schutz gegen Eingriffe Dritter und durch rechtliche Vorsorge bei Lizenzen zu steigern und diese Faktoren auch "bilanz- und ratingfähig" ausweisen zu können.
Zur Person
Kai Bonnermann
ist als Steuerberater im Bereich Unternehmensbewertung tätig.
Martin Führlein
arbeitet als Rechtsanwalt vertragsgestaltend im IT-Bereich. Beide Autoren sind für das Nürnberger Büro der Sozietät Köning Kärgel Lauritzen tätig.