IT Governance

Compliance wird für IT immer wichtiger

29.09.2014
Folker Scholz schreibt zu den Themen Governance, Risk, Compliance, Nachhaltigkeit/CSR und Veränderungsmanagement. Als selbständiger Berater und Coach hilft er Unternehmen das dynamische IT-Umfeld und den Innovationsdruck neuer Geschäftsmodelle zu beherrschen. Er engagiert sich in der Fachgruppe Cloud der ISACA, in der Risk Management Association (RMA) und im Deutschen Netzwerk Wirtschaftsethik (DNWE).
EU Datenschutznovelle, CSR und Globalisierung verschärfen das Compliance-Risiko für das IT-Management.

Ob Sie morgens in der Bahn Ihre Mitreisenden beim Tippen und Wischen auf unzähligen Kleincomputern beobachten, im Auto durch ein Satelliten-gestütztes Navigationssystem geleitet werden oder Ihre neuen Weareables am Arm Blutdruck oder Körperschritte zählen: Informationstechnik wohin man sieht. Diese Entwicklung macht natürlich auch vor den Büros und Fabrikhallen der Unternehmen nicht halt. Die Sichtbarkeit und Funktionsfähigkeit der zentralen IT-Systeme und digitalen Präsenzen - egal ob Webshop, Internetseite oder Facebook-Forum - sind für viele Unternehmen mittlerweile unternehmenskritisch.

Fluch oder Segen?

Keine Frage: Die Errungenschaften der modernen Informationstechnik sind vielerorts ein Segen. Doch Technologie selbst ist neutral. Ein Messer kann man sowohl zum Schneiden einer Scheibe Brot verwenden als auch, um andere zu verletzen. Wie alle Technologien lässt sich auch die Informationstechnik gebrauchen und missbrauchen. Reichtum, Wissen und Macht locken seriöse Geschäftsleute und durchtriebene Verbrecher gleichermaßen an. Das technisch Machbare ist nicht immer gleichbedeutend mit dem gesellschaftlich Sinnvollen und ethisch Vertretbaren. Und wie immer, wenn sich eine Gesellschaft schützen möchte, werden rechtliche Rahmenbedingungen mit abschreckenden Konsequenzen geschaffen.

Folker Scholz: "Ein komplettes Re-Design von Anwendungen ist dann oftmals so teuer, dass die Versuchung groß ist, das Risiko einfach zu tragen."
Folker Scholz: "Ein komplettes Re-Design von Anwendungen ist dann oftmals so teuer, dass die Versuchung groß ist, das Risiko einfach zu tragen."
Foto: Folker Scholz

Egal ob es sich um Umweltverschmutzung, Banken oder IT handelt: Auf Serien von Verletzungen und Skandalen folgen fast unweigerlich gesetzliche Schranken, Haftungen und Strafandrohungen. So darf es nicht verwundern, wenn im hochdynamischen Markt informationstechnischer Lösungen auch die Rechtslage relativ schnell den ständigen Veränderungen folgt. Die zunehmende Internationalisierung und Vernetzung der Lieferketten potenziert die Komplexität relevanter Gesetze, Verordnungen und Normen. Diese einzuhalten - und dafür steht der Begriff der "Compliance" - wird daher ein immer schwierigeres Unterfangen - auch wenn uns die Anbieter anderes verheißen.

Sie versprechen uns einfachste Services in Form von Apps und Cloud-Anwendungen, die wir in Stores und auf elektronischen Marktplätzen quasi im Vorübergehen ordern und unverzüglich konsumieren können, gerade so wie das Bestellen beim Pizza-Service oder dem beliebten Coffee-to-Go. So ordern wir womöglich aus Deutschland heraus auf einem Süd-Afrikanischen Internet-Marktplatz, eine in China entwickelte und gewartete "Software-as-a-Service", die in einem Rechenzentrum in Australien betrieben wird, jedoch eine "Infrastructure-as-a-Service" aus den USA nutzt.

Und schon hat Ihr Einkauf alle fünf Kontinente "berührt" mit mindestens ebenso vielen nationalen Rechtssystemen. Auch wenn dieses Beispiel hinsichtlich der regionalen Ansiedlung vielleicht etwas konstruiert erscheinen mag, so ist das Grundproblem hochgradig präsent:

Wir wissen oftmals gar nicht, wie und wo ein eingekaufter Service arbeitsteilig produziert wird. Die Nutzung in den diversen weltweiten Niederlassungen Ihres Unternehmens und denen Ihrer Kunden und Partner mit weiteren internationalen Außenstellen ist dabei noch gar nicht berücksichtigt. Doch auch dort können nationale oder gar regionale Gesetze, den Technologieeinsatz so regulieren, dass Sie in ihrer Heimatbasis geeignete Vorsorgen treffen müssen, um den lokalen Bedrohungen zu entgehen.

Denn neben den üblichen Geißelwerkzeugen wie Haftung und Strafen verleihen in einigen Fällen auch die Streichung aus Lieferantenlisten der öffentlichen Auftraggeber oder nationale Geschäftsverbote den Nachdruck der landesspezifischen Wohlverhaltens-Erwartungen. Wie soll man diesem unüberschaubaren Regulations-Dickicht begegnen?

Strategie-Suche

Im Umgang mit Compliance-Verletzungen, kann man drei Grundstrategien verfolgen:

  • Prinzip Hoffnung
    Ihre Anhänger ignorieren jegliche Compliance und hoffen, dass es schon irgendwie gut. Sie proklamieren gerne "No risk, no fun!" und verweisen darauf, dass entsprechende Vorfälle einem schwarzen Schwan gleichen, dass heißt einem extrem seltenen Ereignis. Wie "selten" derartige Ereignisse zurzeit sind, lässt sich in quasi jeder Zeitung und über nahezu jeden Medienkanal nachvollziehen: Fast täglich laufen dort Berichte über verschiedene Compliance-Verstöße. Alleine das Stichwort "Datenschutz" - also ein ureigenes Thema der IT - schafft es seit Monaten regelmäßig in die Prime-Time-Talk-Shows der führenden TV-Kanäle. IT-Compliance ist omnipräsent! Kein IT Compliance-Thema zu haben wäre ein schwarzer Schwan!

  • Folge dem Schwarm
    Getan wird nur, was viele andere auch tun. Es wird darauf gesetzt, dass es bei der Masse im Falle einer Verletzung zuerst andere erwischt und man dann hoffentlich noch die Zeit findet, geeignete Gegenmaßnahmen zu ergreifen. In dieser Gruppe wächst allerdings die Nervosität. Datenschutz-Lecks treffen immer häufiger auch prominente Opfer. Bislang wurden außerdem vor allem Image-Schäden gefürchtet, denn die Strafen waren bislang eher milde. Aber die EU meint es jetzt ernst: 100 Millionen EUR oder 5 Prozent des Jahresumsatzes als Strafandrohung sind in der neuen EU-Datenschutznovelle geplant, die das EU-Parlament übrigens schon mit großer Mehrheit abgesegnet hat.

  • Versuche, compliant zu bleiben
    Bei vielen größeren Unternehmen ist dieser Ansatz ohnehin Bestandteil der Unternehmensleitlinie. Doch dem Lippen- oder Richtlinienbekenntnis zur Compliance stehen ein paar praktische Herausforderungen gegenüber.

Corporate Social Responsibility (CSR)

Um die Bedeutung von CSR für die Compliance besser zu verstehen, muss man sich zwei scherenartig aufeinander zulaufenden Effekten bewusst werden, die in der steigenden Transparenz des Internets und der wachsenden Vielfalt unabhängiger Medien ihre Ursache haben: Erstens werden Angebote immer vergleichbarer. Produktinnovationen werden schnell offensichtlich und provozieren Nachahmung. Echte Unterscheidungsmerkmale sind daher in vielen Märkten rar.

Zweitens fällt Fehlverhalten häufiger auf, die Information darüber macht schneller die Runde und öffentlichkeitswirksame Desaster lassen sich kaum noch vermeiden. Wenn das eigentliche Produkt kaum noch zur Differenzierung beiträgt, kommt den ergänzenden Angebotsfaktoren, wie dem Image des Anbieters, eine immer größere Bedeutung zu.

Die Werbung weiß das schon lange und setzt vielfach auf imagebildende Emotionen. Leider führt Fehlverhalten zu negativen Emotionen und schlechtem Image. Die meisten Firmen sind deshalb sorgsam daran interessiert, ihr Wohlverhalten und die Einhaltung einschlägiger Standards öffentlich zu machen und Fehlverhalten zu vermeiden. Dazu gehört neben den zentralen Umweltschutz- und Beschäftigungsaspekten regelmäßig auch die Einhaltung bestehender Gesetze.

Glaubhafte CSR ohne Compliance ist nicht darstellbar

Audits zur Dokumentation des korrekten Verhaltens werden die IT-Abteilungen zukünftig häufiger beschäftigen. Da entsprechende Erwartungen auch an die Lieferanten weitergegeben werden und viele Unternehmen selber in einer Lieferantenposition gegenüber anderen Unternehmen stehen, sieht sich aktuell eine wachsende Zahl von Unternehmen mit entsprechenden Erwartungen ihrer Auftraggeber konfrontiert. Die IT Abteilungen werden daher die in den Unternehmensleitlinien formulierten Forderungen nach Compliance ernst nehmen müssen.

Die Herausforderungen

Da jedoch in den Unternehmensleitlinien in aller Regel nicht steht, wie Compliance konkret erreicht wird, nehmen Fachabteilung und IT die freundliche Ermahnung zwar wohlwollend zur Kenntnis, fühlen sich im konkreten Tagesgeschäft jedoch oft gar nicht betroffen. Ergänzende Richtlinien und Handlungsempfehlungen werden - sofern sich die handelnden Akteure im Richtlinien-Dschungel ihres Unternehmens überhaupt ihrer bewusst sind - häufig als nicht immer ernst zu nehmendes Drangsal betrachtet.

Nicht praktizierte IT-Compliance ist mehr als ein Kavaliersdelikt und kann zu hohen Strafen führen.
Nicht praktizierte IT-Compliance ist mehr als ein Kavaliersdelikt und kann zu hohen Strafen führen.
Foto: macx, Fotolia.de

Diese Aufgabe jedoch den Compliance- oder Risiko-Abteilungen zu überlassen, kann für das Unternehmen fatal werden: diese Abteilungen sind in der Regel zu weit weg vom Tagesgeschäft der IT und ihren Entscheidungen. Die interne Revision kommt zudem meist erst dann vorbei, wenn die Systeme schon lange in Betrieb sind. Eine Rückabwicklung oder ein komplettes Re-Design von Anwendungen ist dann oftmals so teuer, dass die Versuchung groß ist, das Risiko einfach zu tragen. Die Missachtung der Richtlinien fällt aber am Ende auf die Entscheider - also auch die IT Abteilung - zurück.

Und in diesem Kontext sollte nicht unerwähnt bleiben, dass die persönliche Verantwortung und Haftung des Managements Teil des Trends der sich verschärfenden Compliance-Lage ist. Von funktionsverantwortlichen Managern wird unter dem Stichwort der Garantenpflicht erwartet, dass sie erkennbaren Bedrohungen für das Unternehmen im Rahmen ihrer Aufgabenstellungen adäquat begegnen und diese nicht durch Unterlassen zulassen.

Kommen signifikante Strafzahlungen auf ein Unternehmen zu, ist es mittlerweile durchaus en vogue geworden, Schadensersatz gegenüber den verantwortlichen Managern geltend zu machen. Auch vor diesem Hintergrund ist es also ratsam, Compliance in der IT nicht zu verharmlosen.