7 Der Blick auf Unternehmen bzw. Organisationen

7.1 Vorbemerkung
7.2 Corporate Social Responsibility

7.2.1 CSR und Nachhaltigkeit
7.2.2 CSR und Unternehmensethik
7.2.3 CSR und IT-Sicherheit

7.3 Reichweite und Grenzen der Verantwortung von Organisationen
7.4 Das Modell der Kernverantwortung

7.4.1 Interne Selbstzuschreibung der Kernverantwortung
7.4.2 Externe Fremdzuschreibung der Kernverantwortung
7.4.3 Balance zwischen Selbst- und Fremdzuschreibung
7.4.4 Aufforderung an die IT-Sicherheit

7.5 Referenzen und Literatur

7.1. Vorbemerkung

Einen großen Teil unseres Lebens verbringen wir in Organisationen, also in formalen Gefügen, in denen wir mit anderen Menschen gemeinsam einen oder mehrere Zwecke verfolgen. Unternehmen sind ein prominentes Beispiel für Organisationen, die in der Regel unter ökonomischen Bedingungen ihre Ziele verfolgen. Die Mitarbeitenden eines Unternehmens bündeln in und mit dieser spezifischen Organisation ihre Kompetenzen, um in einer gemeinschaftlichen Anstrengung ihren Leistungsbeitrag zu den ausgewiesenen Zielen zu erbringen. Das gilt für die Expert*innen der IT-Sicherheit ebenso wie für andere Berufsgruppen. Idealerweise spielen alle Bereiche bzw. Mitarbeiter*innen so zusammen, dass sie wirksame Beitrage zur bestmöglichen Erreichung des Unternehmenszieles leisten. Für marktwirtschaftliche Unternehmen kommt dabei ökonomischen Zielen (Gewinne) eine wesentliche Bedeutung zu. Doch darüber hinaus gibt es noch weitere Aspekte, die mehr oder weniger zum Auftrag eines „guten“ Unternehmens gehören und die nicht zuletzt auch von der Gesellschaft eingefordert werden. Gemeint sind soziale (gesellschaftliche) und ökologische (umweltbezogene) Aspekte, die in die Unternehmensziele oder in die Strategie einfließen.

Die Überschrift Corporate Social Responsibility (CSR) hat sich den vergangenen zehn bis fünfzehn Jahren als Dach etabliert, unter dem die Maßnahmen gefasst werden, mit denen ein Unternehmen bzw. eine Organisation allgemein, gesellschaftliche und auch ökologische Verantwortung wahrnimmt. Idealerweise ist die Organisation so aufgestellt, dass ihre CSR alle Bereiche eines Unternehmens umfasst bzw. durchdringt. Damit wirkt eine verantwortungsvolle Cybersecurity auch auf die CSR eines Unternehmens ein.

Verantwortung ist ein hoher Anspruch an Unternehmen und ihre Mitarbeitenden, der in vielen Facetten aufkommt. Um diesen Ansprüchen in der unternehmerischen und beruflichen Praxis nachkommen zu können, ist auch ein Wissen darüber notwendig, wieweit die eigene Organisation verantwortlich ist. Das Konzept der Kernverantwortung hilft dabei, die Reichweite, und so mithin auch die individuellen Grenzen, der Verantwortung einer Organisation zu finden, um in dynamischen und komplexen Umwelten handlungsfähig sein zu können.

Das in diesem Kapitel behandelte Modell bzw. die vorgestellten Konzeptionen verdichten die bisherigen Überlegungen zur Verantwortung und Ethik in den organisationalen Bereich, in dem die Cybersecurity zur Anwendung kommt. Auf je spezifische Weise münden die theoretischen Grundlagen und Reflexionen zur Verantwortung allgemein, aber auch zur individuellen Verantwortung von IT-Expert*innen, in Konzepte, mit denen Unternehmen versuchen, im Rahmen ihrer Möglichkeiten unternehmensethischen Anforderungen in ihrem Alltag gerecht zu werden.

7.2 Corporate Social Responsibility

„Corporate social responsibility should include cyber security.“(1) Doch Corporate Social Responsibility – kurz: CSR – ist schwer zu fassen, da es sich weder um ein bestimmtes Konzept oder Modell, noch um eine bestimmte Theorie handelt (was aber nicht bedeutet, dass CSR theoriefrei sein müsste). Vielleicht würde man die zunehmenden CSR-Diskussionen und -Aktivitäten am besten als eine Art gesellschaftspolitischer Bewegung(2) fassen, bei der nur schwach koordinierte Handlungen für eine politische und soziale Umwälzung sorgen, die nicht so gewaltig und spontan wie eine Revolution sind, aber dennoch im Laufe der Zeit zunehmend Mitstreiter*innen gewinnen und einen zunehmend verbindlicheren Anspruch entwickeln. Vergleichbar wäre ein solches Verständnis von CSR-Aktivitäten dann beispielsweise mit Bewegungen im Klimaschutz oder in der Nachhaltigkeit, die Einfluss auf das Denken und Handeln der Menschen haben; und so nach und nach gesellschaftliche Veränderungen bewirken.

Den Ruf nach und das Engagement für CSR könnte man auch als eine neue Sichtweise auf Unternehmen verstehen.(3) Eine Sichtweise, die nicht mehr nur die ökonomischen Faktoren der Unternehmensführung fokussiert, sondern auch gesellschaftliche und ökologische. Wie und in welchem Verhältnis diese unterschiedlichen Faktoren zu einander stehen ist dabei (bislang) völlig offen. Vielleicht liegt gerade in der Offenheit der Charme und die Stärke von CSR, unter deren Dach sich zahlreiche Akteur*innen und Schwerpunkte wiederfinden können. Was indes alle Ansätze auszeichnet, ist die Frage nach der Verantwortung von Unternehmen; eine Verantwortung die über die klassische unternehmerische Verantwortung für den ökonomischen Erfolg der Unternehmung hinausgeht. Damit verschiebt sich die Wahrnehmung von Unternehmen als Erfüllungsgehilfen der primär monetären Interessen ihrer Shareholder hin zu einem Netz von mehrdimensionalen Interessen ihrer pluralen Stakeholdergruppen.

Die Europäische Kommission versteht CSR als „die Verantwortung von Unternehmen für ihre Auswirkungen auf die Gesellschaft“.(4) Mit ihrem Anspruch formuliert sie im Jahr 2011 ein umfassendes modernes Verständnis für die gesellschaftliche Verantwortung von Unternehmen, mit dem das breite Spektrum von CSR umrissen werden kann: „Damit die Unternehmen ihrer sozialen Verantwortung in vollem Umfang gerecht werden, sollten sie auf ein Verfahren zurückgreifen können, mit dem soziale, ökologische, ethische, Menschenrechts- und Verbraucherbelange in enger Zusammenarbeit mit den Stakeholdern in die Betriebsführung und in ihre Kernstrategie integriert werden.“(5) Damit erweitert und modernisiert sie ihre Definition aus 2001, die CSR abgrenzt „als ein Konzept, das den Unternehmen als Grundlage dient, auf freiwilliger Basis soziale Belange und Umweltbelange in ihre Unternehmenstätigkeit und in die Wechselbeziehungen mit den Stakeholdern zu integrieren“.(6) In gerade einmal zehn Jahren hat die CSR-Bewegung eine deutliche Aufwertung und Verbindlichkeit bekommen, womit ihr Einfluss auf die wirtschaftliche, gesellschaftliche und politische Sphäre deutlich wird.

7.2.1 CSR und Nachhaltigkeit

Mit der Integration von sozialen und ökologischen Aspekten in die ökonomische Unternehmenstätigkeit, verwendet die Definition von CSR dieselben drei Dimensionen (Umwelt, Gesellschaft, Wirtschaft), die für die Idee einer nachhaltigen Entwicklung leitend sind.(7) Der Begriff der Nachhaltigkeit kommt ursprünglich aus der Forstwirtschaft und besagt im Kern, dass pro Jahr nicht mehr Bäume abgeholzt werden dürfen, als nachwachsen. Damit wird – ökonomisch gesprochen – auf den Kapitalerhalt gezielt.(8) Würde man mehr Bäume pro Jahr schlagen und verwerten, als in der selben Zeit nachwachsen könnten, dann würde man von der Substanz leben. Das genau ist der Fall beim Abbau von nicht oder nur langsam regenerierbaren Ressourcen, wie etwa von fossilen Brennstoffen für unsere Energieversorgung oder von seltenen Erden, die für den Einsatz in unseren digitalen Endgeräten notwendig sind. In allgemeiner bzw. „menschlicher“ Hinsicht geht bei der Idee einer nachhaltigen Entwicklung um nichts Geringeres, als dass heutige Generationen ihren Wohlstand nicht zulasten künftiger Generationen verwirklichen. Es geht um die Gerechtigkeit zwischen den Generationen.(9)

Der Begriff der Nachhaltigkeit ist durch seine Herkunft mit dem Aspekt der Umwelt assoziiert. Da eine nachhaltige zukunftsverträgliche Entwicklung insgesamt jedoch nicht nur die Umwelt betrifft, sondern auch soziale und wirtschaftliche Dimensionen umfasst, spricht man auch von den drei Säulen der Nachhaltigkeit (Ökologie, Ökonomie, Gesellschaft). Es scheint also zwischen den Anliegen und Anforderungen sowohl an die CSR als auch an die Nachhaltigkeit eine gewisse Nähe zu geben, die – zumindest im alltäglichen Praxisgebrauch – zu einer bisweilen synonymen Verwendung der Begrifflichkeiten geführt hat. Das Bundesministerium für Arbeit und Soziales bringt es in seiner Initiative „CSR – Made in Germany“ auf einen Nenner: „Unter “Corporate Social Responsibility” oder kurz CSR ist die gesellschaftliche Verantwortung von Unternehmen im Sinne eines nachhaltigen Wirtschaftens zu verstehen.“(10)

7.2.2 CSR und Unternehmensethik

CSR ist auch ein Gegenstand unternehmensethischer Reflexion, bei der die Frage nach gutem unternehmerischen Handeln unter bereichsspezifischen Aspekten und Bedingungen untersucht wird.(11) Oder anders ausgedrückt: In CSR kommen auch unternehmensethische Aspekte zum Ausdruck, ohne dass man deshalb CSR mit Unternehmensethik per se gleichsetzen könnte. Dennoch kann es in der alltäglichen Praxis des beruflichen Alltags in Unternehmen durchaus vorkommen und auch intuitiv plausibel erscheinen, dass CSR und Unternehmensethik synonym verwendet werden. Gleichwohl ist anzunehmen, dass die Begrifflichkeiten um CSR die schon länger existierende und tiefer gehende Unternehmensethik salonfähig gemacht haben. Denn für die Konjunktur des Labels „CSR“ dürfte es in der Praxis auch eine Rolle gespielt haben, dass im Managementkontext gerne auf Anglizismen zurückgriffen wird. So klingt in vielen Ohren „CSR“ doch deutlich geschmeidiger als das sperrige Wort „Unternehmensethik“, mit dem rasch der erhobene Zeigefinger assoziiert wird.(12) Für die vermutete gesellschaftspolitische Bewegung, die zum Ziel hat, gesellschaftliche Verantwortung verstärkt zum Thema von Unternehmen zu machen, tut eine synonyme oder analoge Verwendung von CSR und Unternehmensethik in der Praxis keinen Abbruch. Dennoch sollte man bedenken: Wenn man Unternehmensethik als die ethische Reflexion und theoretische Begründung von ethisch gutem Handeln von Unternehmen und ihren Mitarbeiter*innen versteht, dann könnte man CSR als praxiskonformes Konzept oder Verfahren verstehen, mit dem ein bestimmtes Unternehmen auf seine individuelle Weise seine (ethische) Verantwortung anerkennt und übernimmt.

7.2.3 CSR und IT-Sicherheit

Die Facetten von CSR sind zahlreich und unterschiedlich. Egal ob ein bestimmter CSR-Ansatz eher aus der Praxis kommt, oder eher durch akademische Überlegungen angeregt ist: CSR tangiert immer auch unterschiedliche Unternehmensbereiche und -funktionen. Exemplarisch sei die Unternehmenskommunikation, das Marketing, das Personalwesen oder ganz grundsätzlich die Strategie oder das Innovationsgeschehen genannt.(13)

Auch zwischen dem Unternehmensbereich bzw. der Sachfunktion der Cybersecurity und CSR werden Verbindungen gesehen. „Corporate social responsibility should include cyber security.“(14) Damit wird die IT-Sicherheitstechnik eines Unternehmens konzeptionell in den Blick gesellschaftlicher Verantwortung gerückt, die über die primären Interessen des Unternehmens hinausgehen und auch die Belange beispielsweise der Konsumenten betreffen. Denn „Consumers can’t protect their utility services, banking systems or even their personal data on their own, and must depend on companies to handle that security.“(15)

Wenn Kunden von Unternehmen auf digitale Systeme angewiesen sind, die sie selbst nicht überschauen können, in ihrer Geschäftsbeziehung mit dem Unternehmen aber nutzen müssen, dann tragen diese Unternehmen auch eine erweiterte Verantwortung für Ihre Kunden und Geschäftspartner. Dies sollte sich in der CSR eines Unternehmens entsprechend abbilden. Auch wenn die Unterstützung der Kunden in Sachen Datenschutz im wohlverstandenen Eigeninteresse eines Unternehmens liegen mag, so handelt es sich dennoch um einen Akt korporativer Verantwortung, die über die Kundenbeziehung hinaus in gesellschaftliche Belange hineinreicht. Noch einmal sei an die Datensouveränität und mithin an die Menschenwürde als Schutzgut der IT-Sicherheit erinnert. (16)

Aus der grundsätzlichen Schutzbedürftigkeit und Datensouveränität der Menschen, die sich in der Regel selbst mangels hinreichender Expertise nicht umfassend vor Hackerangriffen schützen können, kann man durchaus einen Anspruch an die IT-Sicherheit und die CSR eines Unternehmens formulieren. „Cybersecurity is an effort that not only protects – and even benefits – a company’s bottom line, but also contributes to overall corporate and societal sustainability. In addition, by protecting privacy, free expression and the exchange of information, cyber security helps support people’s human rights, both online and offline. […] Cyber security and data privacy are key elements of this, and it’s time consumers demand corporations treat them as the 21st-century social responsibilities they are.“(17)

CSR ist im Bereich der IT-Sicherheit angekommen und es ist anzunehmen, dass die integrative Verbindung der beiden Bereiche zunehmen und enger wird. Dabei ist an dieser Stelle unerheblich, ob man aus Richtung der CSR schaut und sich fragt, ob die IT-Sicherheit ein Teil der CSR sei. Oder ob man aus der anderen Richtung kommt und fragt, ob CSR ein Teilaspekt der Cybersecurity ist.

7.3 Reichweite und Grenzen der Verantwortung von Organisationen

Organisationen und mithin Unternehmen als eine spezielle Form von Organisationen stehen in einer gesellschaftlichen Verantwortung. Die Ansätze von Corporate Social sowie eine mögliche spezifischere Corporate Digital Responsibility (CDR) sind einerseits Ausdruck dessen, dass Unternehmen eine solche Verantwortung zugeschrieben wird. Andererseits sind sie Ausdruck dessen, dass Unternehmen eine Verantwortung, die über den ökonomischen Erfolg hinausgeht, anerkennen. Zumindest dann, wenn sie CSR oder CDR umsetzen. Sei es aufgrund des äußeren Drucks oder aufgrund einer inneren Überzeugung. Dabei scheint das Spektrum der Gegenstände, für das Unternehmen verantwortlich gehalten werden immens groß. Man bedenke, wie viele Aspekte allein der verantwortliche Umgang mit der Digitalisierung umfassen kann, die wie wir wissen, beinahe alle Bereiche unseres Alltags durchdringt. Wenn dazu noch die Facetten eines verantwortlichen Umgangs mit primär gesellschaftlichem und ökologischem Bezug ergänzt werden – wie beispielsweise der Umgang mit Kinderarbeit in Zuliefererländern oder der Klimaschutz an nationalen wie internationalen Standorten, dann scheint die Reichweite der Verantwortung schier unendlich.

Das Verständnis einer Kernverantwortung von Unternehmen versucht, dieses Problem einfangen. Mit dem Modell der Kernverantwortung bekommt die Unternehmensführung ein Instrument an die Hand, mit dem sich auf begründeter Basis sowohl die Reichweite als auch die sich daraus ergebenen Grenze der Verantwortung für ein individuelles Unternehmen bestimmen lässt. Einer ansonsten ausufernden Verantwortung von Unternehmen wird mit der Bestimmung ihrer je spezifischen Kernverantwortung ein Rahmen gezogen. Damit wird das Problem gelöst, dass wenn man gewissermaßen für alles verantwortlich ist, man im Grund für nichts verantwortlich ist. Ähnlich wie bei der bereits diskutierten Verteilung der Verantwortung auf so viele Schultern, bis die zerteilte Verantwortung am Ende so klein ist, dass für den bzw. die Einzelne bildlich gesprochen keine Verantwortung mehr übrigbleibt.(18) Im Gegenteil, Grenzen sind wichtig: So, wie die Mauern eines Hauses überhaupt erst die Räume des Hauses bilden und diese zugleich nach außen hin abgrenzen, so bestimmt die individuelle Kernverantwortung eines Unternehmens die Sphäre der Objekte, für die es verantwortlich ist und für die es mit guten Gründen keine Verantwortung mehr trägt.(19)

Die Bestimmung der Reichweite und der Grenzen der Verantwortung von Unternehmen ist auch für die Cybersecurity bedeutsam. Wie wir im Zusammenhang mit CSR und CDR gesehen haben, ist die IT-Sicherheit eine Schlüsselfigur für einen verantwortlichen Umgang einer Organisation mit den digitalen, gesellschaftlichen und ökologischen Herausforderungen unserer Zeit und der Zukunft. Mit der Reichweite der Kernverantwortung eines Unternehmens wird auch das Spektrum bzw. der Gegenstandsbereich der Verantwortlichkeiten der IT-Sicherheit dieses Unternehmens definiert.

7.4 Das Modell der Kernverantwortung

Das Modell der Kernverantwortung nimmt sowohl eine interne (siehe Kapitel 7.4.1.) als auch eine externe (7.4.2.) Perspektive auf das Unternehmen ein. Darüber hinaus balanciert es (7.4.3.) seine Verantwortung zwischen den sich daraus ergebenden Selbst- und Fremdzuschreibungen aus. Für die IT-Sicherheit wiederum kann man daraus die Aufforderung (7.4.4.) ableiten, sich frühzeitig in gesellschaftliche Verantwortungsdiskurse einzubringen. Die nachstehende Abbildung illustriert das Modell der Kernverantwortung, die im Folgenden detaillierter – auch mit Bezug zur Abbildung – erläutert wird.(20)

Abb. 7.1: Modell der Kernverantwortung. (Schmidt 2016:44)

7.4.1 Interne Selbstzuschreibung der Kernverantwortung

Ein erster zentraler und naheliegender Bezugs- und Ausgangspunkt, an dem die Verantwortung eines Unternehmens festgemacht werden kann, ist sein Kerngeschäft. Was ist der Auftrag der betrachteten Unternehmung? Welche Produkte oder Leistungen werden erstellt und wie sehen die Wertschöpfungsprozesse aus? Mit dem Kerngeschäft sind auch die Beschaffungs- und Vertriebsstrukturen mitsamt dem für die Leistungserstellung notwendigen Ressourceneinsatz funktional verbunden. Auch der Einsatz sowie die Entwicklung digitaler Technologien und das mit ihnen einhergehende Datenaufkommen hängen eng mit dem Kerngeschäft zusammen. Es ist leicht einsehbar, dass beispielsweise ein Telekommunikationskonzern oder ein global agierender Onlinehändler eine andere digitaltechnologische Infrastruktur und ein anderes sensibles Datenvolumen haben, als ein stationärer Supermarkt oder eine städtische Verkehrsgesellschaft. Es ist also zu fragen, welche ethisch relevanten und eventuell kritischen Aspekte im oder am Kern des Geschäfts liegen und welche weiter entfernt davon in der Peripherie des Geschäfts liegen.

Ein zweiter wesentlicher Bezugspunkt für die Verantwortung eines Unternehmens liegt in dessen Kernimpact: Wo und wie wirkt das Unternehmen durch seine Aktivitäten oder auch durch sein bloßes Dasein in Bereiche hinein, die man nicht als sein Kerngeschäft bezeichnen kann? Man denke etwa an die Ausbreitung von Car-Sharing-Modellen oder Community-Marktplätzen (z. B. Airbnb), die dazu angetan sind, Lebens- und Mobilitätsweisen zu verändern und die ihrerseits proaktiv auf solche lebensweltlichen Veränderungen reagieren. Oder man denke an das avisierte Internet der Dinge, dass unseren Alltag und unser Verhalten verändert, ohne dass dies auf das Kerngeschäft eines (einzigen) Unternehmens zurückgehen müsste.

Drittens schließlich, aber nicht minder relevant, sind die Kernwerte zu nennen, die dem Unternehmen zu eigen sind. Dabei müssen diese Werte nicht unbedingt explizit vom Management benannt sein; oft wirken sie unter der Oberfläche. Ein Kennen und Benennen der Werte, die man allgemein und in seiner unternehmerischen Praxis für wichtig hält und nach denen man konsequent handelt, wäre zwar in einem rein theoretischen Sinne ideal. Den Kernwerten kommt eine wichtige Bedeutung zu. Denn die Legitimation der Geschäftstätigkeit sich selbst und anderen gegenüber hängt eng mit den eigenen Werthaltungen zusammen. Die Entscheidung, ob man beispielsweise in Branchen tätig sein möchte, die in den Augen vieler Menschen als unmoralisch oder mindestens fragwürdig erscheinen, zeigt die Bedeutung der Werte. Ob man ein Kerngeschäft in der Rüstungs-, Tabak- oder Sexindustrie für ethisch legitim hält oder nicht, ist eine Frage der Werte. Und auch die Frage, ob man sich beim Datenschutz oder der Sicherung der digitalen Infrastruktur gerade einmal an die gesetzlichen Vorgaben des Landes hält, in dem man Geschäfte macht, oder ob man eine darüberhinausgehende Sorgfaltspflicht ausübt, ist eine Frage der diesem Verhalten zugrundeliegenden ethischen Werte.

In ihrem Wechselspiel ergibt sich aus dem Kerngeschäft, dem Kernimpact und den Kernwerten die Kernverantwortung eines Unternehmens. Die auf diese Weise modellierte Kernverantwortung zeichnet sich aus den bisherigen Überlegungen als eine individuelle Selbstzuschreibung des Unternehmens aus. Es sind zunächst sein Geschäft, sein Impact und seine Werte, die das Unternehmen für die eigene Bestimmung seiner konkreten Verantwortung heranzieht. Dies ist in der linken Hälfte der Abbildung dargestellt.

7.4.2 Externe Fremdzuschreibung

Seine Kernverantwortung zu bestimmen und seine Handlungen danach auszurichten, ist ein erster (systematisch) notwendiger, aber nicht hinreichender Schritt für ein verantwortliches und gesellschaftlich legitimes Unternehmen. Schon das Wort Ver-Antwortung verweist auf eine immanent dialogische Struktur des Begriffs der Verantwortung.(21) Die Selbstzuschreibung der eigenen Verantwortung ist daher nur die eine Seite der Medaille. Die andere Seite ist das gesellschaftliche Umfeld des Unternehmens

Die Fremdzuschreibung von Verantwortung an ein Unternehmen ergibt sich aus seinem Umfeld. Denn das Umfeld eines Unternehmens ist nicht ein einziger oder homogener Akteur. Es ist vielmehr ein Gefüge von Akteuren mit pluralen und diversen Werthalten und Ansprüchen. Gerade in einer modernen, pluralen Gesellschaft vervielfältigt und kompliziert sich der bilaterale Frage-Antwort-Zusammenhang, den wir in der Grundstruktur der Verantwortung kennengelernt haben. Es handelt sich nicht mehr um eine „prima facie“ bilaterale persönliche, sondern um eine multilaterale anonyme Verantwortungsstruktur. Das heißt, dem Unternehmen werden zahlreiche und unterschiedliche Verantwortlichkeiten zugeschrieben; und zwar von ihm unbekannten Akteuren, wie beispielsweise Kunden*innen, Interessenvertretungen, Politiker*innen und anderen. Sie alle bilden ein Gefüge von Ansprüchen, die in ihrer Gesamtheit die Fremdzuschreibung von Verantwortung an das Unternehmen ergeben. Dies ist in der rechten Hälfte der Abbildung dargestellt.

7.4.3 Balance zwischen Selbst- und Fremdzuschreibung

Selbstzuschreibung sowie Fremdzuschreibung von Verantwortung finden innerhalb des gesellschaftlichen Diskurses statt. In diesem Diskurs werden gesellschaftlich virulente und strittige Themen verhandelt. Aktuell gehören zu diesen virulenten Themen beispielsweise die Corona-Situation, der Klimawandel, die Flüchtlingssituation oder die Digitalisierung, um nur einige zu nennen. Dieser Diskurs ist gleichsam die thematische Kulisse, in der Unternehmen bzw. wir alle zu einer bestimmten Zeit agieren und auf die wir unseren Entscheidungen und Handlungen (bewusst oder unbewusst) bezugnehmen. Dies ist in der Abbildung veranschaulicht durch den Kreis in den die Wippe eingebettet ist.

Die Wippe wiederum steht in der Abbildung für den beständigen Akt des Balancierens. Denn innerhalb dieses Diskurses gilt es die Selbstzuschreibung und die Fremdzuschreibung der Verantwortung argumentativ miteinander auszubalancieren. Unterschiedliche Vorstellungen über die Reichweite, den Umfang und die Grenzen der Verantwortung eines Unternehmens werden diskursiv aneinander abgeschliffen und können so zu einem (labilen) Konsens über die Kernverantwortung des Unternehmens führen. Der Diskurs ist als solcher ein strukturgebendes Element der Gesellschaft.

In einer idealen Hinsicht könnte man den gesellschaftlichen Diskurs als eine herrschaftsfreie argumentative Auseinandersetzung der Mitglieder einer Gesellschaft mit dem Ziel einer vernünftigen Konsensfindung bezeichnen.(22) Nun ist die Praxis, in der Unternehmen agieren und Verantwortung übernehmen sollen, kein idealer Raum, in dem alle auf die normative Kraft des besseren Arguments vertrauen könnten. Unter den Bedingungen einer ausdifferenzierten, pluralistischen Gesellschaft ist kein allgemeiner Konsens mehr möglich. Es gibt keine allgemeine Richtigkeit oder Wahrheit mehr. (23) Diese Erkenntnis kann man auf die Verantwortung übertragen. Es wird keine allgemein anerkannte Reichweite bzw. Grenze der Verantwortung geben. Insofern ist der Akt des Ausbalancierens von Selbst- und Fremdzuschreibung von Verantwortung ein unabgeschlossenes dynamisches Geschehen das auch von bestehenden Machtverhältnissen abhängt. Dazu gehört auch, dass Unternehmen mit ihren Produkten und Dienstleistungen Fakten schaffen und Werte ausdrücken können, die zwar nicht sprachlich, aber dennoch symbolisch für die Haltung des Unternehmens stehen und so in die Auseinandersetzung um die Frage nach der Verantwortung eingehen.(24) Sie werden zu Bezugspunkten, an denen sich die Verantwortlichkeit bzw. je nach Hinsicht die Unverantwortlichkeit eines Unternehmens kristallisiert. Wenn ein Unternehmen erst einmal eine vernetzte Kinderpuppe(25) vertreibt, die mit dem Kind spricht und diese Gespräche aufzeichnet, dann wurde durch dieses Produkt eine Tatsache geschaffen. Es ist gewissermaßen ein faktisches Statement im Diskurs über die Privatsphäre von Kund*innen und die diesbezügliche ethische Verantwortung von Unternehmen.

7.4.4 Aufforderung an die IT-Sicherheit

Der Zugang zum Diskurs und die Möglichkeit zu sprechen und gehört zu werden ist eine entscheidende Voraussetzung für die Einflussnahme.(26) Das wird am Beispiel der Klimadiskussionen deutlich. Schon lange ist bekannt und wissenschaftlich fundiert, dass sich das globale Klima verändert. Doch erst mit den Schülerprotesten der Fridays for Future Bewegung wurde eine breite gesellschaftliche Wahrnehmung erzeugt, die zu politischem Gehör geführt hat.(27) In dem noch jungen Bereich der Cybersecurity mit ihren zugrundeliegenden digitalen Technologien dürften noch einige herausfordernde Diskurse zu erwarten sein, um ihre Verantwortlichkeit im Unternehmen und auch für die Gesellschaft auszuloten.

Für die IT-Sicherheit steckt im dem Modell der Kernverantwortung die Aufforderung, sich frühzeitig und aktiv in den gesellschaftlichen Diskurs einzubringen. Durch ihre fachliche Expertise und die unmittelbare Nähe zu den digitalen Technologien mit ihren Potenzialen und Gefahren kann die IT-Sicherheit fachlich profunde Beiträge in einen ansonsten abstrakt laufenden Verantwortungsdiskurs einbringen. Noch ist das Feld der Verantwortung (und Ethik in) der IT-Sicherheit wenig bestellt. Umso wichtiger ist es, dass sich die Profis der Cybersecurity auch fundiert mit ethischen Fragen auseinandersetzen, sich hörbar in den Diskurs einbringen und mit ihrer eigenen Kernverantwortung, der Kernverantwortung der IT-Sicherheit, auseinandersetzen.

Ein verantwortungsvoller Umgang mit der Digitalisierung und eine dementsprechende IT-Sicherheit geht uns alle an. Gemeinschaftlich geht es darum, unsere Gesellschaft verantwortungsvoll zu strukturieren und zukunftsfähig zu halten. Es liegt also an uns allen gemeinschaftlich, welche Normen und Regeln wir uns auferlegen, um unsere Verantwortung zu begrenzen oder zu entfesseln. „Man ist letztlich nur für das verantwortlich, für das man – durch andere oder sich selbst – verantwortlich gemacht wird.“(28) Das gilt aus Perspektive der Kernverantwortung gleichermaßen für Unternehmen, wie für Bereiche im Unternehmen (bspw. die IT-Sicherheit) oder wie für die Gesellschaft in ihrer Pluralität und Diversität insgesamt.

7.5 Referenzen und Literatur

1. Shackelford (2017).
2. Vgl. zum Begriff der politischen Bewegung Frese (1971: 880).
3. Vgl. Schneider/ Schmidtpeter (2012: VII).
4. Europäische Kommission (2011: 4).
5. Ebd,: 7.
6. Ebd,: 4.
7. Vgl. Enquete (1998: 17ff.).
8. Vgl. König (2004: 58).
9. Vgl. Ebd.: 220.
10. BMAS – Nachhaltigkeit und CSR.
11. Vgl. Kapitel 4: Bereichsethik.
12. Vgl. Schmidt/ Beschorner (2008: 10).
13. Vgl. exemplarisch für die Vielfalt von CSR Schmidt/ Beschorner (2008) sowie Schneider/ Schmidtpeter (2012).
14. Shackelford (2017).
15. Ebd,
16. Kapitel 1: Was ist das Schutzgut?
17. Shackelford (2017).
18. Vgl. Kapitel 5: Arten der Verantwortung.
19. Vgl. auch im Folgenden Schmidt (2016: 35-52) und (2019: 47-68).
20. Schmidt (2016: 44).
21. Vgl. Kapitel 5: Grundstruktur der Verantwortung.
22. Vgl. Prechtl (1996: 107).
23. Vgl. Wilhelms (2017: 518).
24. Vgl. Schmidt (2016: 62f.).
25. Vgl. Kapitel 1: Ausblick – My fried Cayla. Vgl. auch Kühl (2017).
26. Vgl. Foucault (2012: 26).
27. Vgl. Nassehi (2020: 34).
28. Heidbrink (2007: 182).

BMAS – Bundesministerium für Arbeit und Soziales (o. Jg.): Nachhaltigkeit und CSR, https://www.csr-in-deutschland.de/DE/Was-ist-CSR/Grundlagen/Nachhaltigkeit-und-CSR/csr-grundlagen.html; letzter Abruf am 23.01.2021.

Enquete Kommission (1998): Abschlussbericht der Enquete-Kommission „Schutz des Menschen und der Umwelt“ – Ziele und Rahmenbedingungen einer nachhaltig zukunftsverträglichen Entwicklung. Konzept Nachhaltigkeit – Vom Leitbild zur Umsetzung. Deutscher Bundestag 13. Wahlperiode, Drucksache 13/11200 vom 26.06.98.

Foucault, Michel (2007): Die Ordnung des Diskurses. 12. Aufl., erweitere Ausgabe. Fischer Taschenbuch Verlag Frankfurt am Main.

Frese, Jürgen (1971): Bewegung, politische; in: Ritter, Joachim (Hrsg.): Historisches Wörterbuch der Philosophie, Band 1. Wissenschaftliche Buchgesellschaft Darmstadt.

Heidbrink. Ludger (2007): Handeln in der Ungewissheit. Paradoxien der Verantwortung. Kulturverlag Kadmos Berlin.

König, Matthias (2004): Nachhaltigkeit managen, in: Beschorner, Thomas/ Schmidt, Matthias (Hrsg.): Integritäts- und Umweltmanagement in der Beratungspraxis. Rainer Hampp Verlag München dn Mering, 57-70.

Kühl, Eike (2017): My Friend Cayla. Vernichten Sie diese Puppe. In ZEIT Online vom 17.2.2017. https://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur, letzter Abruf am 11.11.2019.

Lutz-Bachmann, Matthias (2019):  Diskursethik, I. Philosophisch. In: Staatslexikon online, Version 22.10.2019. https://www.staatslexikon-online.de/Lexikon/Diskursethik, letzter Abruf am 16.12.2020.

Nassehi, Armin (2020): Das große Nein. Kursbuch Kulturstiftung gGmbh Hamburg.

Prechtl, Peter (1996): Diskurs sowie Diskurstheorie in: Prechtl, Peter/ Burkhard, Franz-Peter (Hrsg.):  Metzler-Philosophie-Lexikon: Begriffe und Definitionen. Metzler Verlag Stuttgart und Weimar, 107-109.

Schmidt, Matthias/ Beschorner, Thomas (2008) (Hrsg.): Corporate Social Responsibility und Corporate Citizenship, 2. Aufl. Rainer Hampp Verlag München und Mering.

Schmidt, Matthias (2016): Reichweite und Grenzen unternehmerischer Verantwortung. Perspektiven für eine werteorientierte Organisationsentwicklung und Führung. Springer Gabler Verlag Wiesbaden.

Schmidt, Matthias (2019): Anforderungen an eine Unternehmensethik. Das Modell der Kernverantwortung auf dem Prüfstand, in: Neuser, Wolfgang/ Reichold, Anne/ Schmidt, Matthias/ Spang Michael. Rainer Hampp Verlag München und Mering, 47-68.

Schneider, Andreas/ Schmidtpeter, René (2012) (Hrsg.): Corporate Social Responsibility. Verantwortungsvolle Unternehmensführung in Theorie und Praxis. Springer Gabler Verlag Wiesbaden, VII.

Shackelford, Scott (2017): Corporate social responsibility should include cyber security; in: The Straits Times vom 30.06.2017, https://www.straitstimes.com/opinion/corporate-social-responsibility-should-include-cyber-security, letzter Abruf am 23.01.2021.

Wilhelms, Günter (2017): Systemverantwortung, in: Heidbrink, Ludger/ Langbehn, Claus/ Loh, Janina (Hrsg.): Handbuch Verantwortung. Springer VS Wiesbaden, 501-524.