Nur wer die Regeln kennt, kann gewinnen
Das wird schon an einem simplen Beispiel aus dem Unternehmensalltag deutlich: Eine schwangere Mitarbeiterin verabschiedet sich von Vorgesetzten und Kollegen, weil ihr Mutterschutz beginnt. Nach der Geburt ihres Kindes möchte sie die dreijährige Elternzeit in Anspruch nehmen. In puncto IT-Compliance wirft die berufliche Pause eine Reihe von Fragen auf: Was geschieht mit den E-Mails der Mitarbeiterin? Wird ihr Account abgeschaltet oder die eingehende Post bis zur Rückkehr der Empfängerin auf dem Server gespeichert? Vielleicht sind wichtige Geschäftsnachrichten darunter. Kann die Firma darauf bestehen, das dienstliche Postfach der Mitarbeiterin regelmäßig zu durchforsten? Möglicherweise möchte die junge Mutter auch stundenweise weiterarbeiten und dabei Telearbeitsplatz nutzen. Wie ist es um Datensicherheit, Zugriffsrechte und Archivierungspflichten bestellt? Das alles klingt kompliziert, ist aber eigentlich noch einer der leichteren Fälle. So richtig schwierig wird es dann, wenn aufwendige Transaktionen an fehlenden E-Commerce-Standards scheitern oder Sicherheitslücken bei der Datenhaltung zum Image-GAU führen.
Am Gesetzesdschungel kommt niemand vorbei
Für praktisch jedes Detail im IT-Alltag gibt es Vorschriften und Gesetze. Allein im nationalen Recht sind mindestens drei große Regelwerke zu beachten: Das Telekommunikationsgesetz, das BDSG (Bundesdatenschutzgesetz) und die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen / Digitale Steuerprüfungunterliegen). Der Gesetzgeber kann dabei auch direkt in die betriebliche Organisation eingreifen. So sind etwa Unternehmen, die personenbezogene Daten zum Zwecke der geschäftsmäßigen Übermittlung an andere Stellen erheben oder verarbeiten, unabhängig von der Mitarbeiterzahl verpflichtet, einen Datenschutzbeauftragten zu ernennen. Zusätzlich zum deutschen Gesetzesdschungel müssen sich Unternehmen auch durchs internationale Rechts-Dickicht kämpfen – angefangen vom Rahmenwerk Basel II zur Analyse der Kreditwürdigkeit über diverse EU-Richtlinien bis hin zum amerikanischen Sarbanes Oxley Act, der sich auf deutsche Unternehmen auswirken kann, sofern sie mit US-Firmen in Geschäftsbeziehungen stehen.
Verstöße gegen das geltende Datenrecht sind keine Kavaliersdelikte: Der Firmenchef haftet grundsätzlich persönlich, dies gilt auch für die Geschäftsführer von GmbHs und die Vorstände von Aktiengesellschaften. Bei Missachtung drohen zivilrechtliche und auch strafrechtliche Sanktionen. Das Bundesdatenschutzgesetz etwa sieht bei Zuwiderhandlungen eine Freiheitsstrafe von bis zu zwei Jahren vor. Spätestens seit Basel II fließt IT-Compliance auch in die Unternehmensbewertung ein. Wer seine IT-Landschaft nicht im Griff hat, könnte also schon beim nächsten Banktermin eine unangenehme Überraschung erleben.
An professioneller IT-Compliance kommt also niemand vorbei. Grundlage sind die Dokumentation der IT-Ressourcen und die Analyse aller damit zusammenhängenden Risikofaktoren. Berücksichtigt werden Hardware, Software, Infrastruktur und die Rollen und Rechte der Anwender. Von Vater Staat gibt es dabei nicht nur Handlungsdruck, sondern auch handfeste Hilfe: So publiziert das Bundesamt für die Sicherheit in der Informationstechnologie die die „IT-Grundschutz-Kataloge“, ein Standardwerk und Leitfaden zum sicheren Umgang mit Information und IT.
&HTRE)
