Ein im Jahr 2023 verabschiedetes Gesetz macht es möglich: Virtuelle Aufsichtsratssitzungen sind nun auch dauerhaft erlaubt. Was in Pandemiezeiten als Notlösung startete, ist nun offiziell durch die Bundesregierung gebilligt. Gute Nachrichten für international agierende Unternehmen, denn wollen sie wettbewerbsfähig sein, darf die Arbeit des Aufsichtsrats nicht von der Digitalisierung ausgeschlossen sein. Dennoch bringt die Verlagerung in den virtuellen Raum einige Hürden mit sich – allen voran das Thema Cybersicherheit.
Keyfacts
Jetzt Checkliste „Gremienarbeit – 6 Must-haves für Ihr digitales Sitzungsmanagement“ herunterladen!
Was sind die Vor- und Nachteile virtueller Aufsichtsratssitzungen?
Worauf gilt es bei Online-Aufsichtsratssitzungen bezüglich Datenschutz und Compliance zu achten?
Welche technischen Voraussetzungen sind für sichere digitale Aufsichtsratssitzungen zu erfüllen?
Welche Kriterien muss eine Software für sichere digitale Aufsichtsratssitzungen erfüllen?
Tipps für die Organisation und Durchführung virtueller Aufsichtsratssitzungen
Die Bedrohungslandschaft im Bereich der Cybersicherheit hat sich in den letzten Jahren rasant entwickelt. So vermeldete das Bundesministerium für Sicherheit in der Informationstechnik (BSI) für 2023 rund 250.000 neue Malware-Varianten und 21.000 mit Schadsoftware infizierte Systeme – pro Tag. Laut aktuellem Lagebericht erreichte die Anzahl an Risiken aus dem Cyberraum damit einen erneuten Höchststand. Obendrein verzeichnete das BSI im Durchschnitt täglich 70 neue Sicherheitslücken – jede zweite davon bewertete es als besonders groß oder kritisch. Verglichen mit den Zahlen aus dem Vorjahr entspricht dies einem Anstieg von 24 Prozent. Dass auch virtuelle Aufsichtsratssitzungen solchen Risiken ausgesetzt sind, ist offensichtlich. Denn hier geht es um bisweilen strengstens vertrauliche Geschäftsinformationen und strategische Inhalte, was diese Sitzungen zu attraktiven Angriffszielen für Kriminelle macht. Hier heißt es also, gewisse Vorkehrungen zu treffen, um die Vorteile virtueller Aufsichtsratssitzungen dennoch für sich nutzen zu können.
Eine Aufsichtsratssitzung ist ein wesentliches Element der Unternehmensüberwachung. Hier die relevanten Aspekte in Kürze:
Vorteile online stattfindender Aufsichtsratssitzungen gibt es viele, allen voran das bequeme Austauschen und Beschlussfassen ohne erforderliche Reisetätigkeit. Dadurch, dass An- und Abfahrt entfallen, reduziert sich nicht nur der Zeit- und Kostenaufwand, sondern auch der Reisestress für den Aufsichtsrat. Ganz abgesehen davon sind digitale Sitzungen erheblich umweltschonender. Dennoch gibt es auch diverse Nachteile. Im Folgenden finden Sie eine Gegenüberstellung der verschiedenen Plus- und Minuspunkte von Online-Aufsichtsratssitzungen.
| Vorteile virtueller Aufsichtsratssitzungen | Nachteile virtueller Aufsichtsratssitzungen |
|---|---|
| ➕ Der zentrale Speicherort für alle für die Besprechung relevanten Dokumente ermöglicht den zeit- und ortsunabhängigen Zugriff und die Aktualisierung sowie Verteilung via Knopfdruck. | ➖ Die eingeschränkte persönliche Interaktion bei Online-Aufsichtsratssitzungen mindert die nonverbale Kommunikation und die soziale Dynamik, die für kritische Themen aber von Bedeutung sein können. |
| ➕ Ein Ausdruck der Unterlagen ist nicht mehr erforderlich, sodass ausgeschlossen ist, dass eine Sitzungsmappe etwa versehentlich irgendwo liegengelassen wird – und brisante Informationen in die Hände von Unbefugten gelangen. | ➖ Es können technische Herausforderungen bestehen, wie zum Beispiel eine schlechte Internetverbindung oder der Einsatz von Tools, die sich nicht für virtuelle Aufsichtsratssitzungen eignen. |
| ➕ Die geringere Reisetätigkeit für das Gremium bei digitalen Aufsichtsratssitzungen reduziert Zeit- und Kostenaufwand sowie Reisestress. | ➖ Potenziell lauern rechtliche Stolperfallen, denn technische Störungen können digital gefasste Beschlüsse unter Umständen anfechtbar machen. |
| ➕ Kurzfristig angesetzte Meetings aus aktuellem Anlass sind bei den meist eng getakteten Terminplänen der Führungsriege besser möglich als bei Präsenzmeetings mit Reisetätigkeit. | ➖ Hemmschwellen sinken durch Anonymität im digitalen Raum, wodurch Teilnehmer möglicherweise Vorschläge mit einem Klick ablehnen anstatt sie zu diskutieren. |
| ➕ Digitale Aufsichtsratssitzungen sind erheblich umweltschonender. | ➖ Es existieren gewisse Sicherheitsrisiken der digitalen Kommunikation durch ungeeignete Tools, beispielsweise ohne ausreichende Zugangskontrollen und -konzepte wie das Zero-Trust-Modell. |
| ➕ Die wesentlich zielgerichtetere Diskussionskultur bei Online-Aufsichtsratssitzungen sorgt für deutlich höhere Effizienz und kürzere Entscheidungsprozesse. | |
| ➕ Die Flexibilität ist groß, dadurch sind Meetingteilnahmen für die Einzelnen häufiger realisierbar. | |
| ➕ Virtuelle Aufsichtsratssitzungen erleichtern aktives Partizipieren externer Personen, auch aus dem Ausland, die ansonsten aufgrund der Distanz nicht hätten teilnehmen können (vorteilhaft für international tätige Unternehmen). | |
| ➕ Gastteilnehmer lassen sich gezielt zuschalten. | |
| ➕ Online-Aufsichtsratssitzungen vereinfachen das In-Einklang-Bringen von Beruf und Familie, Freizeit sowie Ehrenamt. | |
| ➕ Sitzungsteilnahmezeiten werden gering gehalten und es besteht die Möglichkeit, mehrere Termine am Tag wahrzunehmen. | |
| ➕ Der Informationsaustausch ist vielfältiger möglich (wie etwa durch Bildschirmfreigabe). | |
| ➕ Im virtuellen Raum herrscht in der Regel ein strafferes Sitzungsmanagement (Vor- und Nachbereitung). |
Online-Aufsichtsratssitzungen sind also nicht nur zeitgemäß, sondern tragen in vielerlei Hinsicht zu einer bequemen und nachhaltigen Arbeit von Aufsichtsräten bei. Doch zunächst müssen sich Letztere der Gefahren bewusst sein.
☝ Schon gewusst?
Das IT-Sicherheitskonzept Zero Trust (zu Deutsch: null Vertrauen) basiert auf dem Prinzip, keine Geräte, User oder Dienste automatisch als vertrauenswürdig anzusehen – und zwar außerhalb wie innerhalb des eigenen Netzwerks. Zugriffe auf bestimmte Daten und Systeme erfordern umfangreiche Authentifizierungs-Maßnahmen.
Hinsichtlich Datenschutz und Compliance gibt es bei virtuellen Aufsichtsratssitzungen einige Dinge zu beachten. Insbesondere sind folgende Aspekte sicherzustellen:
„Datensicherheit” bezeichnet den angemessenen Schutz von Daten aller Art vor Diebstahl, Verlust, Löschung, unberechtigtem Zugriff, Verfälschung (Manipulation) und ähnlichen Bedrohungen. Während virtueller Aufsichtsratssitzungen gilt es daher, für die Sicherheit sämtlicher Daten zu sorgen – nicht nur bei ihrer Übertragung und Speicherung („Data in Transit“ beziehungsweise “Data at Rest“), sondern auch während ihrer Verarbeitung („Data in Use“).
Der Begriff „Datenschutz“ bezieht sich ausschließlich auf personenbezogene Daten und die rechtlichen Voraussetzungen für deren Erhebung, Verarbeitung und Speicherung. Daher ist schon allein die Wahl des geeigneten Standorts für das Rechenzentrum, in dem die Daten gespeichert und verarbeitet werden, äußerst wichtig. Um mit der DSGVO konform zu sein, heißt es, darauf zu achten, dass in einem Land mit ausreichendem Datenschutzniveau gehostet wird. Noch besser, wenn die Rechenzentren zudem von unabhängiger Stelle zertifiziert sind. Ebenfalls gilt es, darauf zu achten, dass personenbezogene Daten nur in dem Umfang verarbeitet werden, der für die Durchführung der Aufsichtsratssitzungen erforderlich ist.
Alle an der Online-Sitzung teilnehmenden Aufsichtsräte sollten über die geltenden Datenschutzrichtlinien informiert sein und diese einhalten. Hierzu ist es sinnvoll, klare Richtlinien festzulegen, wie personenbezogene Daten während der Sitzungen behandelt werden sollen. Eine entsprechende Zugangskontrolle stellt sicher, dass nur autorisierte Personen Zugriff auf die Sitzungsunterlagen und sensiblen Informationen haben.
Um Compliance und Revisionssicherheit bei digitalen Aufsichtsratssitzungen zu gewährleisten, gilt es sämtliche durchgeführten Aktionen zu dokumentieren. So muss beispielsweise nachvollziehbar sein, wer welche Dokumente vor, während oder nach der virtuellen Aufsichtsratssitzung bearbeitet, gelöscht, heruntergeladen, kopiert oder eingesehen hat. Dies wird durch eine entsprechende Journalfunktion geregelt, die zudem eine Filterung nach bestimmten Nutzern, Aktionskategorien sowie Zeiträumen ermöglicht. So entsteht ein lückenloser und durchgängiger Audit Trail. Um rechtliche Anforderungen und Compliance-Vorgaben zu erfüllen, heißt es für die Aufsichtsräte bei ihren Sitzungen geeignete Maßnahmen für die Archivierung von Sitzungsunterlagen und -protokollen zu ergreifen. Etwaige elektronische Aufzeichnungen sind ebenfalls korrekt und sicher aufzubewahren.
Nicht nur aus Compliance-Gründen ist eine Protokollierung der Aktivitäten während virtueller Aufsichtsratssitzungen unabdingbar. Ein solches Protokoll stellt sicher, dass alle Beteiligten auch noch zu einem späteren Zeitpunkt nachvollziehen können, welche Themen besprochen wurden, welche Teilnehmer anwesend waren und welche Beschlüsse gefasst wurden.
Für virtuelle Aufsichtsratssitzungen sind bestimmte technische Voraussetzungen erforderlich, die eine reibungslose und sichere Kommunikation gewährleisten. Vor der Online-Mitgliederversammlung sollte sich der Aufsichtsrat vor allem diese Fragen stellen:
Ebenso gilt es, geeignete Hard- und Software für die Aufsichtsratssitzungen zu wählen. So etwa lässt sich eine spezifische Board-Management-Software für die Aufsichtsratssitzung nutzen. Insbesondere aufgrund der in diesen Besprechungen anfallenden strengvertraulichen Informationen lohnt es sich aber auch, einen sicheren virtuellen Datenraum in Erwägung zu ziehen.
Folgende Aspekte sollte der virtuelle Datenraum abdecken, um für eine sichere Board-Kommunikation zu sorgen:
Entsprechende Zertifikate (idealerweise TCDP-Schutzklasse III) können dabei helfen, einen Dienst mit dem passenden Schutzniveau zu finden.
Datenräume mit Standort in Deutschland oder Europa entsprechen den europäischen Sicherheitsstandards.
Technische Maßnahmen wie die Sealed-Cloud-Technologie verhindern, dass IT-Administratoren, Cloud-Dienste oder der Datenraumbetreiber selbst Zugriff auf die enthaltenen vertraulichen Informationen haben (Betreiberabschirmung). Realisieren lässt sich dies beispielsweise durch einen Confidential-Computing-Ansatz.
Nur weil ein Sitzungsmitglied Zugang zum virtuellen Datenraum hat, heißt es nicht automatisch, dass es auch Einsicht in alle darin enthaltenen vertraulichen Dokumente erhalten darf. Der Datenraumadministrator muss in der Lage sein, die Zugriffsberechtigungen auf Benutzer- und Dokumentenebene individuell festzulegen.
Auch über Notebooks, Smartphones & Co. muss die Teilnahme an der Online-Aufsichtsratssitzung möglich sein – und zwar sicher. Dies erfordert angemessene technische Vorkehrungen, die es gestatten, den virtuellen Datenraum über ein solches Mobilgerät zu betreten. Die Dokumente gilt es zu verschlüsseln, ebenso ist eine Funktion zur Fernlöschung nötig, falls das mobile Endgerät abhandenkommen sollte. Last but not least sollte der Datenraum eine Integrationsmöglichkeit von Standard-Videokonferenz-Tools bieten, so dass auch dann für Sicherheit in der Board-Kommunikation gesorgt ist, wenn Microsoft Teams & Co. zum Einsatz kommen.
Darüber hinaus sollte der virtuelle Datenraum über spezielle Funktionen für Online-Sitzungen verfügen, die dem Aufsichtsrat die Vor- und Nachbereitung des Meetings erleichtern. Dazu gehören etwa:
Bei der Wahl des virtuellen Datenraums sollten Unternehmen sicherstellen, dass der Anbieter hohe Sicherheitsstandards erfüllt und den spezifischen Anforderungen der Aufsichtsratssitzungen gerecht wird.
Damit virtuelle Aufsichtsratssitzungen gelingen, gibt es hier noch ein paar praktische Tipps, wie sich die Meetings effektiv und produktiv gestalten lassen:
Eine sorgfältige Planung inklusive einer frühzeitigen Einladung, einer gut gestalteten Agenda, einer effektiven Moderation, klaren Entscheidungsverfahren und angemessener Protokollierung sind das A und O von virtuellen Aufsichtsratssitzungen.
Laut § 109 Abs. 1 Satz 1 AktG sind lediglich Personen zur Aufsichtsratssitzung zugelassen, die entweder Mitglieder des Aufsichtsrats oder des Vorstands sind (mit Ausnahme des Protokollführers). Allerdings wird dies in der Praxis oft ignoriert, was jedoch prinzipiell die Gültigkeit der Beschlussfassung nicht beeinträchtigt.
Daher sind in der Regel folgende Personen Teilnehmer einer Aufsichtsratssitzungen:
Als Kontrollinstanz spielt der Aufsichtsrat eine zentrale Rolle bei Kapitalgesellschaften, Genossenschaften, Stiftungen und in manchen Fällen auch GmbHs. Primär kontrolliert er die Unternehmensleitung – repräsentiert durch den Vorstand – und steuert dessen Handeln im Sinne der Gesetze und der Stakeholder-Interessen. Ebenso überwacht der Aufsichtsrat die Finanzen des Unternehmens sowie die Wirtschaftlichkeit und Zweckmäßigkeit des Vorstands, um eine mögliche Misswirtschaft zu verhindern. Dazu ist er berechtigt, Einsicht in Geschäftsunterlagen zu nehmen und Berichte zur Geschäftspolitik und Rentabilität anzufordern.
Zu seinen wesentlichen Befugnissen zählen außerdem Personalentscheidungen wie die Ernennung oder die Abberufung von Vorstandsmitgliedern. Eine weitere Aufgabe ist die Genehmigung strategischer Initiativen oder großer Investitionen.
Darüber hinaus hat der Aufsichtsrat die Aufgabe, den Jahres- und Konzernabschluss zu prüfen und zu ratifizieren. Er hat damit eine erhebliche Verantwortung für die finanzielle Transparenz und Korrektheit im Unternehmen inne und trägt zur Einhaltung der Corporate Governance bei. In seiner Rolle als Kontrollinstanz kann der Aufsichtsrat bestimmte geschäftliche Maßnahmen von seiner Zustimmung abhängig machen, wodurch er direkt auf die Geschäftsführung Einfluss nimmt. Ebenfalls hat er die Befugnis, im Namen des Unternehmens rechtliche Schritte einzuleiten oder Ansprüche gegenüber aktiven sowie ehemaligen Vorstandsmitgliedern geltend zu machen, sollte es zu Pflichtverletzungen kommen.
Wichtig: Ignoriert der Aufsichtsrat offensichtliche Missstände oder unterlässt er notwendige Untersuchungen, kann dies zur persönlichen Haftung der Mitglieder führen. Insgesamt gewährleistet der Aufsichtsrat durch seine umfangreichen Kontroll- und Beratungsfunktionen, dass die Unternehmensführung im besten Interesse aller Beteiligten agiert.
Mögliche Sicherheitsbedrohungen für Online-Aufsichtsratssitzungen sind zahlreich. So etwa begünstigt die Nutzung unsicherer Videokonferenzplattformen unautorisierte Zugriffe auf vertrauliche Meetinginhalte. Unzureichende Verschlüsselung und Schwachstellen in der für die Aufsichtsratssitzung genutzten Software wiederum können zu Datenschutzverletzungen führen.
Auch die lückenhafte Zugangskontrolle zu sensiblen Daten ist ein Vorbote von Datenschutzverletzungen. Umso erschreckender ist es, dass Zero-Trust-Konzepte laut der Gartner-Studie “2024 State of Zero Trust Adoption” bei mehr als einem Drittel (37 Prozent) der Unternehmen noch immer keine Anwendung finden.
Ein weiteres Problem: unsichere Heimnetzwerke. Aufsichtsratsmitglieder, die von zu Hause aus an der Sitzung teilnehmen, sind unter Umständen anfälliger für Angriffe, da ihr privates Netzwerk nicht die gleiche Sicherheitsstufe aufweist wie die unternehmenseigene Infrastruktur. Unzureichend gesicherte Router, unsichere WLAN-Passwörter oder veraltete Geräte sind Einfallstore für Hacker & Co. Wie die aktuellen Trends zeigen, sind dem Einfallsreichtum der Cyberkriminellen keine Grenzen gesetzt.
