Verbandsverantwortlichkeitsgesetz

Das Verbandsverantwortlichkeitsgesetz (VBVG) regelt die Verfolgung juristischer Personen (auch Unternehmen) für Straftaten, die ihre Entscheidungsträgerinnen und Entscheidungsträger oder Mitarbeiterinnen und Mitarbeiter begangen haben.

Es kommt zur Anwendung, wenn eine Straftat entweder zu Gunsten des Verbandes begangen oder wenn sie durch die Unterlassung bestimmter Sorgfaltspflichten ermöglicht oder wesentlich erleichtert wurde. Letzteres ist insbesondere der Fall, wenn Straftaten von Mitarbeiterinnen oder Mitarbeitern nicht durch technische, organisatorische oder personelle Maßnahmen verhindert wurden. Als Strafen sind Geldbußen vorgesehen, die je nach Ertragslage des Verbands und der Schwere des Vergehens bis zu 1,8 Millionen Euro betragen können.

Aus dem VBVG ergeben sich auch verstärkte Anforderungen an die IT-Sicherheitsmaßnahmen eines Unternehmens:

• Wenn eine Mitarbeiterin oder ein Mitarbeiter eine Straftat unter Verwendung der vom Unternehmen zur Verfügung gestellten IT-Systeme begeht und das Unternehmen die gebotene Sorgfalt zur Verhinderung dieser Tat außer Acht gelassen hat, kann das Unternehmen selbst verfolgt werden.
• Dazu kann es unter Umständen ausreichen, wenn die Beschäftigten ihren Internetzugang für den Bezug von Kinderpornografie verwenden und vom Unternehmen keinerlei Vorkehrungen gegen diese Verwendung getroffen wurden.
• Zur Abwehr einer strafrechtlichen Verfolgung muss das Unternehmen nachweisen, dass es seinen Sorgfaltspflichten nachgekommen ist. Das ist insbesondere durch die Einführung einer straffen, gut dokumentierten Unternehmensorganisation möglich.
• Für typische Unternehmensrisiken sollten eigene Verantwortliche eingesetzt und ein Risikomanagement eingeführt werden. Für IT-Risiken bedeutet das im Wesentlichen die Bestellung einer oder eines IT-Sicherheitsbeauftragten und die Erstellung von IT-Sicherheitsrichtlinien bzw. einer IT-Sicherheitspolitik.

Weitere Informationen

• Weitere Informationen unter www.ris.bka.gv.at