Befragt wurden Fach- und Führungskräfte über ihre Einschätzung zum Identity-Management. Dabei sagten 17 Prozent, dass kein einziges Unternehmen zu einer solchen Darstellung fähig sei. 30 Prozent meinten, dass das bei weniger als zehn Prozent der Firmen der Fall sei. Weitere 33 Prozent gehen davon aus, dass es zwischen zehn und 25 Prozent schaffen.
Die Studie spricht im Hinblick auf die gestiegenen Anforderungen an die IT-Compliance und die verschärften Haftungsregelungen bei Verstößen von einer erschreckenden Bilanz. Denn Transparenz bei Unternehmens-Prozessen und Berechtigung einzelner Mitarbeiter sei das notwendige Fundament für Compliance.
Bei Verstößen gegen die Einhaltung von Sorgfaltspflichten, die sich vor allem aus dem GmbH- und Aktiengesetz ergeben, können mittlerweile massive Regress-Forderungen entstehen. Das belegen einige Gerichtsurteile aus dem vergangenen Jahr, in denen Unternehmenslenker schlecht weggekommen sind.
Die Teilnehmer an der Umfrage wurden deshalb gefragt, wie sie zu der Entwicklung stehen, dass Vorstände und Geschäftsführer bei Verstößen gegen die IT-Compliance jetzt verstärkt in die Haftung genommen werden. Die meisten der Befragten begrüßen diesen eingeschlagenen Weg.
38 Prozent sind der Ansicht, dass diese Vorgehensweise längst überfällig war. Sie sind außerdem optimistisch, dass die Justiz diesen Kurs in Zukunft auch konsequent durchzieht. Ein Drittel emfindet die Entwicklung als richtig, glaubt aber, dass sich die Aufregung um dieses Thema bald wieder legen wird. Nur 16 Prozent halten es für falsch, Vorstände und Geschäftsführer nun auch noch für die IT haftbar zu machen.
Haftung für viele zu rigide ausgelegt
Als problematisch stufen die meisten Befragten aber die Tatsache ein, dass eine Haftung schon bei relativ geringem Eigenverschulden der Führungskräfte einsetzt. Hintergrund ist ein Urteil des Münchner Landgerichts aus dem Jahr 2007. Das Gericht sah damals in der fehlenden Dokumentation eines Risiko-Früherkennungs-Systems einen schwerwiegenden Verstoß des Vorstands.
Vielen geht das zu weit. Laut Studie ist herrschende Meinung, dass eine Haftung erst eintreten soll, wenn ein Missstand von Seiten der Unternehmensführung zumindest bewusst in Kauf genommen wird. 51 Prozent sind der Meinung, dass der Betroffene den dem Pflichtverstoß zugrundeliegende Sachverhalt gekannt und geduldet haben muss. Knapp ein Viertel verlangt für eine Haftung sogar, dass der Vorstand oder Geschäftsführer selbst bewusst gegen die IT-Compliance verstoßen hat.
Für die Studie "Identity-Management im Spannungsfeld der IT-Compliance" befragte Völcker Informatik rund 100 Fach- und Führungskräfte.