Compliance-Management
IT-Recht für den Verdachtsfall
Der neue Prototyp und die Adressen von Kunden und Mitarbeiten - mit besonders sensiblen Daten hantieren die Geschäftsbereiche Wettbewerb und Vertrieb sowie HR. Besonders hier empfielt die Studie ein Compliance-Programm - und bemängelt, dass nur 45 Prozent der befragten Unternehmen ein System für diese Bereiche nutzen, und vier Prozent nur für Vertrieb oder Wettbewerb.
Ein Compliance-Officer könne das Programm in der Hand halten und überwachen - und sei somit verantwortlich für die Einhaltung der Regeln. "Laut der Aussage eines Richters am BGH (Bundesgerichtshof) wird der Compliance-Officer wie der verlängerte Arm des Vorstandsvorsitzenden gesehen." Nur in 46 Prozent der Unternehmen gibt es Personen mit diesen Vollmachten.
Tragende Rolle: Die IT-Verantwortlichen
Im Notfall muss das Compliance-Programm reibungslos funktionieren. "Als Elemente gehören dazu Organisation, Schulung, Kontrolle, Sanktionen und Risikobewältigung." Die Mitarbeiter müssten regelmäßig geschult und Beweise in Verdachtsfällen nach standardisierten Vorgaben dokumentiert werden. Klar geregelt sein müsse außerdem, wer welche Vollmachten besitzt und welche Stellen einzuschalten sind. Eine Anzeige bei der Polizei könne immer bedeuten, dass der Fall an die Öffentlichkeit dringt.
Die IT-Abteilung sei besonders gefragt, um Datenmissbrauch aufzudecken - durch ein regelmäßiges Backup der Daten. Sie müssen für Untersuchungen schnell griffbereit sein, auch wenn das Finanzamt vor der Tür steht. Zudem müssten sie dafür sorgen, dass nur berechtigte Personen Zugang zu Unternehmens-Interna und personenbezogenen Daten erhalte.
"Die Praxis zeigt außerdem, dass Zugangsdaten und -berechtigungen für ausgeschiedene Mitarbeiter von Seiten der IT oft zu spät gesperrt werden." Bleiben Passwörter zu lange erhalten, stünden "Ex-Mitarbeitern möglicherweise Tür und Tor offen".