Stein glaubt, dass eine Firmenvereinbarung über eine effektive Computernutzung fast immer zum Scheitern verurteilt sei. Unternehmen würden entweder ihre eigenen Richtlinien verwässern oder die Aufgabe gleich an den IT-Manager übergeben. Die Verantwortung für eine solche Vereinbarung gehöre aber in die Hände des Unternehmensvorstands oder der Personal- und Rechtsabteilungen, ist der IT-Anwalt überzeugt. IT-Manager sollten sich aus allem heraushalten, was Governance betreffe.
Mit einem Bein im Gefängnis
Seien IT-Manager jedoch an Governance-Prozessen beteiligt, sollten sie mit der Verantwortung nicht alleine gelassen werden. "Sie sind strafrechtlich verantwortlich, wenn sie bei der Verwendung von Personal- oder Finanzinformationen geltendes Recht brechen. Gerade weil CIO keine Rechts- oder Politikexperten seien, wären die gesetzlichen und finanziellen Risiken beträchtlich, so Stein.
So könnten unautorisierter Zugang oder Nutzung des Netzwerks für den IT-Verantwortlichen teilweise strafrechtliche Konsequenzen haben, sagte der Rechtsexperte. Dass sie angesichts der Rechtslage oft mit einem Bein im Gefängnis stünden, werde vielen IT-Verantwortlichen nämlich erst allmählich bewusst. "Ich hatte mit einer Firma aus dem Bankensektor zu tun, die ihre Richtlinien direkt von einer Firma aus dem Gesundheitssektor übernommen hatte und sie dann als ihre eigenen verkaufte", erinnerte sich Stein an einen Fall von besonders lockerem Umgang mit IT-Governance.
Ohne Juristen läuft nichts mehr
Rechtsabteilungen müssten deshalb künftig verstärkt in die Verabschiedung von IT-Richtlinien involviert sein. "Die IT-Abteilung kennt sich in ihrem Bereich aus und die Rechtsabteilung mit dem Gesetz. Aber wo bleibt die Alltagstauglichkeit, wenn man sagt, ein Student muss zunächst eine Schadensersatzvereinbarung unterschreiben, bevor er sich ins Netzwerk einloggt", zweifelte Stein an der Regulierungswut seiner Kollegen. Nach seiner Erfahrung sei es zwar noch nicht soweit, wie im fiktiven Fall, aber einige Rechtsabteilungen seien bereits auf so etwas vorbereitet.
Als Konsequenz aus diesen Risikofaktoren wolle die Rechtsabteilung nun bei Gestaltung von IT-Richtlinien das Sagen haben, ist Stein überzeugt: "In der Vergangenheit war es für die IT-Abteilung ausreichend, etwas in allgemein verständlicher Sprache zu produzieren. Angesichts zunehmender Rechtsstreitigkeiten ist das Verfassen solcher Vereinbarungen nun außerhalb der Zuständigkeit der IT."
Dass die Wirklichkeit immer noch ganz anders aussieht, war von einem IT-Manager einer Weltfirma, der namentlich nicht genannt sein wollte, zu erfahren. In seinem Unternehmen kämen entsprechende Vereinbarungen aus der IT-Abteilung. "Wir schreiben sie und schicken sie der Rechtsabteilung. Entweder sie stimmt zu oder sie lässt es. In die Praxis umgesetzt wird sie aber auf jeden Fall.", sagte er.
Weitere Meldungen:
Die 6 Säulen einer erfolgreichen IT Strategie
Bisher nur unbefriedigende Planungs-Tools für CIOs
CIOs 2005 unter Zugzwang
Bücher zu diesem Thema:
Management von IT-Architekturen
Auftragsklärung in IT-Projekten
Studie aus diesem Bereich: