Weka Plus

IT-Risiken: Risikomanagement bei digitalen Projekten

Die digitale Welt eröffnet viele Chancen und revolutioniert unser Leben in vielen Bereichen. Das Gegenstück dazu bilden allerdings auch die IT-Risiken, welche zu einem (unerwarteten) Verlust führen können. Deshalb ist es immer wichtig, bei der Implementierung eines Projekts mögliche Risiken möglichst umfassend zu erkennen und diese adäquat einzuschätzen. Vor allem bei digitalen Projekten ist bei Markteinführung nicht klar, wohin der Weg führen wird und ob dem Projekt jemals Erfolg beschieden sein wird. Deshalb ist es wichtig, Risiken zu erkennen und die vorherrschende Risikokultur zu verstehen. Bei einem Risiko handelt es sich um ein unerwünschtes und unvorhersehbares Vorkommnis, das zu einem Verlust führen kann. Ebenso muss die eigene Risikoeinstellung definiert werden. Die Risikoeinstellung stellt das Verhalten des Risikoträgers im Umgang mit potentiellen Risken dar. Es werden risikoaverse Personen und risikofreudige Personen unterschieden.

12.03.2024 Von: André Henri Kuhn, Ursula Sury
IT-Risiken

Risiken im Recht

Das Recht selbst kennt den Begriff der Risiken. So wird von grösseren Unternehmen erwartet, dass sie sich in ihrem Geschäftsbericht im Rahmen der Rechnungslegung eine Risikoeinschätzung vornehmen und diese beilegen (Art. 961c OR). Auch der Swiss Code of Best Practice weist auf die Anforderung eines Risikomanagements hin und verlangt ein Internes Kontrollsystem (IKS). Darin müssen auch potentielle Risiken genannt und bewertet werden.

Mittlerweile haben sich auch im Bereich der IT Standards durchgesetzt, welche eine Guidance bilden. Es kann z.B. gemäss den Vorgaben des Information Security Management Systems (ISMS) nach ISO 27001 vorgegangen werden.

Risiken identifizieren

Bei jedem Businessmodell müssen in einem ersten Schritt als Gegenstück zu den Vorteilen, die man sich erhofft, auch die Schwachstellen eruiert werden. Es müssen die Eigenheiten des Modells genaustens verstanden werden. In einem dynamischen und sich digital rasant entwickelnden Umwelt sind drohende Verlustgefahren vielleicht noch schlechter fassbar. Es ist schwierig Eventualitäten vorherzusehen. Deshalb muss man sich bei einer solchen Analyse genügend Zeit nehmen und diese umfassen darstellen und an sämtliche Bereiche und Schnittstellen denken. Nur dann ist man überhaupt in der Lage, sämtliche möglichen Risiken überhaupt erst man zu nennen.

Risken bewerten

Das Recht verlangt, dass Risiken nach dem Vorsichtsprinzip zu bewerten sind und ebensolche auch nachzuweisen sind (Art. 958 Abs. 1 Ziff. 5 OR und Art. 958 Abs. 2 OR). Identifizierte Risiken müssen in Geld ausgedrückt werden. Deshalb werden einem einzelnen Risiko Kosten zugeordnet. Wenn eine Kostenspanne vorhanden sein soll, so ist immer der Maximalbetrag einzusetzen (Ausfluss des Vorsichtsprinzips). Es sind immer die Vollkosten zu berücksichtigen. Dem einzelnen Risiko wird ein Gesamtbetrag zugeordnet, welcher auch aus möglichen Kosten und daraus anfallenden Ansprüchen ableitet. Bei digitalen Projekten und Anwendungen besteht die Herausforderung gerade darin, dass bei Eintritt gewisser Risiken sogleich ein gesamtes Business-Modell in Frage gestellt werden kann.

Festhalten von Wahrscheinlichkeiten

Ein Schaden muss sodann widerrechtlich eingetreten sein. Jede ungerechtfertigte Verletzung eines absolut geschützten Rechtsguts wie z.B. von Leib und Leben, von Eigentum oder Immaterialgüterrechten (z.B. von Urheber-, Patent- und Markenrechte sowie Designschutz) ist widerrechtlich. Die Verletzung eines relativ geschützten Rechtsguts ist hingegen nur dann widerrechtlich, wenn eine spezifisch dieses Rechtsgut schützende Norm verletzt wurde. Als Rechtfertigungsgründe kommen z.B. Notwehr oder Einwilligung des Verletzten in Frage.

Risikolandkarte

Einsatz und Begrifflichkeiten

Zumindest im vertraglichen Bereich kann man die Haftung durch Haftungsausschlussklauseln beschränken. Dies wird denn auch regelmässig in Verträgen oder Allgemeinen Geschäftsbedingungen getan. Dort wird festgehalten, in welchen Fällen eine Haftung übernommen wird und wann eine solche abgelehnt wird. Solche Klauseln werden auch als Freizeichnungsklauseln bezeichnet. Eine Partei versucht sich vertraglich von ihrer Haftung ganz oder teilweise «frei zu zeichnen». Um einen Haftungsausschluss handelt es sich bei einer Klausel, bei welchem ein Vertragspartner keine Haftung übernimmt. Bei einer Haftungsbeschränkung bezieht sich die Haftungsbeschränkung auf eine Reduktion der Haftung, regelmässig durch Begrenzung des Haftungsumfangs.

Das Bedürfnis z.B. einer Software-Anbieterin nach Haftungsreduktion ist nachvollziehbar. Bereits kleine Fehler können in der IT grosse Auswirkungen haben und ein vollumfängliches fehlerfreies Arbeiten im IT-Bereich praktisch unmöglich ist. Die Risiken einer Haftung müssen deshalb bei der Erarbeitung eines Vertrags genau analysiert werden und im Zusammenhang mit der Ausformulierung von Haftungsbeschränkungen einkalkuliert werden.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren