Geschäftsleitung haftet für verlorene Daten
Compliance-Risiken sicher managen
Der Bundesgerichtshof hat sich 1997 umfassend mit dem Thema Haftung für IT-Ausfälle befasst. Dabei ging es um verlorene Daten. Generell gilt seitdem: Unterstützt die IT wichtige Prozesse im Unternehmen, ist die Unternehmensleitung verpflichtet, auch hier für angemessene Sicherheit zu sorgen. Seither kamen viele weitere Richtlinien und gesetzliche Anforderungen hinzu, allen voran das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Demnach ist ein Unternehmen zum Beispiel zu einem IT-Risiko-Management verpflichtet. Sie müssen allen Entwicklungen vorbeugen, aus denen sich ein Risiko für das Unternehmen ergeben könnte.
"Deutscher Corporate Governance Kodex" hilft
Deshalb ist es wichtig, sich im Unternehmen mit "ComplianceCompliance" (Einhaltung von Verhaltenmaßregeln, Gesetzen und Richtlinien) sowie mit "Corporate Governance“ (rechtlicher und faktischer Ordnungsrahmen für die Leitung eines Unternehmens) zu befassen. Börsennotierte Unternehmen haben die beiden Begriffe weitgehend im Griff. Nun ist auch der Mittelstand am Zug. Hier hilft der "Deutsche Corporate Governance Kodex". Er stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften (Unternehmensführung) dar und enthält national und international anerkannte Standards guter und verantwortungsvoller Unternehmensführung. Daraus lassen sich auch Regeln für den Mittelstand ableiten. Alles zu Compliance auf CIO.de
Eine klare Regelung zur Sicherung von Compliance im Umfeld von Daten gibt es nicht. Der Grund liegt einerseits in der unterschiedlichen Bedeutung der Daten in den Applikationen, andererseits an der unterschiedlichen Ausrichtung der Geschäftsfelder der Unternehmen. Um ein hohes Maß an rechtlicher Sicherheit zu gewährleisten, sollten die bereits bestehenden Richtlinien und Handlungsempfehlungen von BSI, ISO-Standard ITILITIL, COBIT, IDW PS 330 und weiteren verfolgt werden. Darüber hinaus muss jedes Unternehmen für sich selbst definieren muss, welche Gesetze und Vorschriften über die IT-Infrastruktur, besonders über die ausgewählte Software, angewandt werden. Alles zu ITIL auf CIO.de
Für den Autor ist es besonders wichtig, die Umsetzung von Compliance als Projekt anzugehen. Dieses bestehe aus drei Phasen sowie einer ständigen Nachkontrolle. In der ersten Phase (Analyse) müssen zunächst die für das Unternehmen relevanten Compliance-Vorschriften ermittelt werden. Dabei gilt folgende Faustregel: Etwa 70 Prozent der Vorschriften sind für alle Firmen gleich, die restlichen 30 Prozent ergeben sich aus dem betrieblichen Zweck des Unternehmens.
In der zweiten Phase (Transformation) müssen die relevanten Vorschriften auf die IT-gestützten Prozesse herunter gebrochen werden. In der dritten Phase (Integration) wird die Einhaltung der Vorschriften als überprüfte Selbstverständlichkeit in den Regelbetrieb überführt. Da sich auch Gesetze und Vorschriften ändern, sollte nach einer gewissen Zeit eine Überprüfung (Audit) erfolgen.