KonTraG — Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Eine mittelständische Aktiengesellschaft hat im Risikoinventar IT-Risiken geführt, allerdings ohne Verbindung zu Liquidität, Marktrisiko oder Lieferkette. Ein Ransomware-Vorfall legt die Auftragsabwicklung für vier Wochen still — das Liquiditätsrisiko, das daraus entsteht, wurde im Frühwarnsystem nie bewertet. Der Aufsichtsrat fragt nach der Berichtskette: Wer hat wann was gewusst und welche Maßnahmen wurden ergriffen? Wer das Frühwarnsystem nicht als integriertes Modell führt, kann diese Fragen nicht plausibel beantworten — und der Vorstand steht persönlich in der Verantwortung.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hat 1998 § 91 Abs. 2 AktG eingeführt: Der Vorstand muss ein System einrichten, das den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkennen lässt. Das ist die Geburtsstunde des unternehmensweiten Risikomanagements in Deutschland — und damit ein zentraler Bezugspunkt für jedes ISMS in einer Aktiengesellschaft.

Vollständiger Name: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich; eingebettet in §§ 91, 93, 116 AktG, §§ 289, 315 HGB sowie §§ 43, 49 GmbHG
Geltungsbereich: Aktiengesellschaften unmittelbar; größere GmbHs, KGaAs, Kapitalmarkt-orientierte Unternehmen mittelbar; Konzernobergesellschaften mit Konzernweite-Wirkung
Aufsichtsbehörde: Aufsichtsrat (Überwachung des Vorstands), Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung (§ 317 Abs. 4 HGB), BaFin bei börsennotierten Gesellschaften
Bußgeld-Rahmen: Persönliche Vorstandshaftung gegenüber der Gesellschaft (§ 93 AktG); strafrechtliche Verantwortung bei Insolvenzverschleppung; Nichtigkeit des Jahresabschlusses bei wesentlichen IKS-Mängeln
Inkrafttreten: 1. Mai 1998; signifikante Erweiterungen durch BilMoG (2009), CSR-Richtlinien-Umsetzungsgesetz (2017) und FISG (2021)

Wer ist betroffen?

Direkt nur Aktiengesellschaften — faktisch deutlich mehr Organisationen. Der Wortlaut von § 91 Abs. 2 AktG adressiert den Vorstand der AG. Die Praxis hat den Pflichtenkreis aber erweitert:

Aktiengesellschaften — unmittelbar adressiert; Vorstand trägt die volle Pflicht.
Kommanditgesellschaften auf Aktien (KGaA) — wie AG.
Größere GmbHs — über § 43 GmbHG und ständige Rechtsprechung; je größer und komplexer die GmbH, desto strenger der Maßstab. Ab Konzernebene und kapitalmarktnaher Tätigkeit gilt der KonTraG-Standard faktisch immer.
Kapitalmarktorientierte Unternehmen — verschärfte Pflichten zur Lageberichterstattung über das interne Kontroll- und Risikomanagementsystem (§§ 289 Abs. 4, 315 Abs. 4 HGB).
Versicherungen, Banken — zusätzliche sektorale Anforderungen (VAG, KWG, MaRisk, BAIT/VAIT, künftig DORA).

Auch ohne formale Erfassung lohnt für jede Organisation der Blick ins KonTraG: Die Methodik (Risiko-Inventar, Bewertung, Eskalation, Maßnahmen, Berichterstattung) ist universell anwendbar.

Was verlangt das Gesetz?

Das KonTraG selbst ist ein Mantelgesetz, das mehrere bestehende Gesetze geändert hat. Die für die Informationssicherheit relevanten Kernpunkte:

§ 91 Abs. 2 AktG — Frühwarnsystem — der Vorstand richtet ein System ein, das bestandsgefährdende Entwicklungen früh erkennen lässt. Das umfasst Risikoidentifikation, Risikobewertung, Maßnahmen und die Berichterstattung.
§ 93 AktG — Sorgfaltspflicht — Business Judgment Rule: Vorstandsmitglieder haften nicht, wenn sie auf Basis angemessener Information eine vernünftige unternehmerische Entscheidung getroffen haben. Die Beweislast liegt beim Vorstand.
§ 116 AktG — Aufsichtsratspflichten — der Aufsichtsrat überwacht die Wirksamkeit des Risikomanagements und das Frühwarnsystem.
§ 317 Abs. 4 HGB — Prüfung des Frühwarnsystems — bei börsennotierten Gesellschaften prüft der Wirtschaftsprüfer, ob der Vorstand die Pflichten aus § 91 Abs. 2 AktG erfüllt hat. IDW PS 340 ist der Prüfungsstandard.
§§ 289, 315 HGB — Lagebericht — Beschreibung der wesentlichen Risiken und der Funktionsweise des internen Kontroll- und Risikomanagementsystems.
FISG (2021) — neue Pflicht für Vorstand und Aufsichtsrat börsennotierter AGs zur Einrichtung wirksamer interner Kontroll- und Risikomanagementsysteme (§ 91 Abs. 3 AktG); Prüfungsausschuss verpflichtend.

Die Anforderung „angemessenes Frühwarnsystem” ist offen formuliert. Wesentliche Konkretisierungen liefern IDW PS 340, der Deutsche Corporate Governance Kodex und die einschlägigen ISO-Normen (ISO 31000 für Risikomanagement, ISO 27001/27005 für IT-Risiken).

In der Praxis

Cyber-Risiken sind bestandsgefährdend. Ransomware-Vorfälle haben Mittelständler und Konzerne mehrwöchig lahmgelegt. Wer Cyber-Risiken nicht ausdrücklich in das KonTraG-Frühwarnsystem aufnimmt, hat die Risikolage seiner Zeit nicht dokumentiert. Die Bewertung gehört zur jährlichen Risikoinventur und wird zwischen IT-Sicherheit, Geschäftsleitung und Internem Audit abgestimmt.

Eskalationsschwellen vorab definieren. Was an den Vorstand berichtet wird, was an den Aufsichtsrat, was an den Prüfungsausschuss — diese Schwellwerte sollten schriftlich festgelegt sein. Im Krisenfall ist keine Zeit für Kompetenzdiskussionen. Praxisbewährt: ein Eskalationsbaum mit klaren Triggern (Ausfall > 24 h, Datenverlust > X Datensätze, behördliche Anfrage usw.).

Aufsichtsrat einbinden, nicht nur informieren. Der Aufsichtsrat trägt mit der Pflicht zur Effektivitätsprüfung des Risikomanagements eine eigene Verantwortung. Praktisch heißt das: regelmäßige Berichterstattung im Prüfungsausschuss, gelegentliche direkte Befassung mit IKT-Risiken (z. B. nach größeren Vorfällen oder Audits), dokumentierte Beschlüsse zur Akzeptanz oder Ablehnung wesentlicher Risiken.

Mapping zu ISO 27001

Das KonTraG-Frühwarnsystem und das ISO-27001-ISMS überschneiden sich strukturell stark. Wer ein zertifiziertes ISMS betreibt, hat den IT-bezogenen Teil des Frühwarnsystems weitgehend abgedeckt — die Integration mit nicht-IT-Risiken bleibt aber eine eigene Aufgabe.

Direkt relevante Kontrollen:

A.5.1 — Richtlinien zur Informationssicherheit: Verankerung der Sicherheitspolitik durch das Top-Management.
A.5.2 — Informationssicherheitsrollen und -verantwortlichkeiten: klare Zuständigkeiten als Voraussetzung der Vorstandshaftung.
A.5.4 — Verantwortlichkeiten der Leitung: explizite Brücke zur Geschäftsleitungsverantwortung.
A.5.7 — Bedrohungsinformationen: Informationsgrundlage für das Frühwarnsystem.
A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Vorbereitung auf bestandsgefährdende Vorfälle.
A.5.29 — Informationssicherheit bei Störungen: operationelle Resilienz.
A.5.30 — IKT-Bereitschaft für die Geschäftskontinuität: zentrale Verbindung zu Business-Continuity-Pflichten.
A.5.36 — Einhaltung von Richtlinien: Compliance-Prüfung als Bestandteil des IKS.
A.6.3 — Informationssicherheitsbewusstsein: Risikobewusstsein im Management und in den Fachbereichen.
A.8.8 — Handhabung technischer Schwachstellen: kontinuierliche Risikoreduktion.
A.8.16 — Überwachung von Aktivitäten: Frühwarnsignale aus dem operativen Betrieb.

Typische Audit-Befunde

Risikoinventar fragmentiert — IT-Risiken, Marktrisiken und operationelle Risiken laufen in getrennten Listen, eine konsolidierte Sicht fehlt.
Bestandsgefährdung nie definiert — die Schwelle, ab der ein Risiko als bestandsgefährdend gilt, ist nicht quantifiziert. In der Konsequenz wird gar kein Risiko als solches eingestuft.
Eskalationspfad informell — wer wann an Vorstand und Aufsichtsrat berichtet, hängt vom Bauchgefühl der jeweiligen Bereichsleitung ab.
Effektivitätsprüfung wird ausgespart — die Prüfung nach IDW PS 340 oder vergleichbar findet nicht statt; der Wirtschaftsprüfer beanstandet das im Bestätigungsvermerk.
Lagebericht nichtssagend — die Risikoberichterstattung im Lagebericht beschreibt Standardrisiken in Bausteinen, ohne unternehmensspezifischen Bezug.
Cyber-Risiken nicht mit Geschäftsrisiken verknüpft — der IT-Sicherheitsbericht erwähnt Vorfälle, ohne Bezug zur Geschäftskontinuität, Liquidität oder Marktposition herzustellen.

Quellen

AktG-Volltext (gesetze-im-internet.de) — amtliche Fassung des Aktiengesetzes mit § 91 Abs. 2
HGB-Volltext (gesetze-im-internet.de) — §§ 289, 315, 317 zur Risikoberichterstattung und Prüfung
Bundesgesetzblatt 1998 Teil I Nr. 24 — Verkündung des KonTraG
IDW PS 340 — Prüfung des Risikofrüherkennungssystems — anerkannter Prüfungsstandard
Deutscher Corporate Governance Kodex — ergänzende Empfehlungen für börsennotierte Gesellschaften
FISG — Finanzmarktintegritätsstärkungsgesetz — Erweiterung der Pflichten 2021

Häufig gestellte Fragen

Wer fällt unter das KonTraG?

Adressat des § 91 Abs. 2 AktG ist der Vorstand jeder Aktiengesellschaft. Über den Verweis aus § 43 GmbHG und die ständige Rechtsprechung wird die Pflicht zum Risikofrüherkennungssystem aber auf größere GmbHs ausgedehnt — vor allem auf solche mit Konzernstruktur, kapitalmarktnahem Geschäftsmodell oder erhöhtem Haftungsrisiko. Für börsennotierte Gesellschaften gelten zusätzlich §§ 289, 315 HGB zur Lageberichterstattung über das interne Kontrollsystem.

Was ist ein bestandsgefährdendes Risiko?

Ein Risiko, das den Fortbestand der Gesellschaft gefährden kann — also typischerweise Liquiditäts-, Solvenz-, oder operationelle Risiken erheblicher Tragweite. Cyber-Vorfälle (Ransomware, längere IT-Ausfälle, schwerwiegende Datenverletzungen) gehören seit Jahren regelmäßig in diese Kategorie. Der Vorstand muss die Eintrittswahrscheinlichkeit, die Schadenshöhe und die Eskalationsgeschwindigkeit beobachten.

Wie hängt KonTraG mit ISO 27001 zusammen?

ISO 27001 verlangt einen risikobasierten Ansatz für Informationssicherheit (Klauseln 6.1, 8.2, 8.3) und die Verankerung beim Top-Management. Wer ein zertifiziertes ISMS betreibt, hat den IT-bezogenen Teil des KonTraG-Frühwarnsystems weitgehend operationalisiert. Das KonTraG verlangt aber zusätzlich die Integration mit nicht-IT-Risiken (Markt, Liquidität, Strategie) und die Berichterstattung an Vorstand und Aufsichtsrat.