EuroSOX & Co.

In sechs Schritten zur Compliance-Lösung

Martin Ortgies ist Fachjournalist für IT und Telekommunikation.
EuroSOX, MoReq2, ISO 9000, GDPdU etc. Die Compliance-Anforderungen an die IT werden immer komplexer. Was müssen wir tun, was sollten wir tun, was lassen wir lieber? So fragt sich manches Unternehmen. Ein Compliance-Assessment kann hier hilfreich sein.

Verstoßen US-Manager gegen den Sarbanes Oxley Act (SOX) müssen sie mit einer Gefängnisstrafe von bis zu 20 Jahren rechnen. Ihre europäischen Kollegen lehnen sich noch gemächlich zurück - mit möglicherweise unangenehmen Folgen: In Europa wurden vergleichbare Vorgaben beschlossen. Die "EuroSOX"-Richtlinie (eigentlich 8. EU-Richtlinie/EU-Abschlussprüfer-Richtlinie) gilt seit Juli 2008 (siehe auch: "Wie gut kennen Sie EuroSOX?"). Schon im vergangenen Februar wurde "MoReq2" veröffentlicht. Dabei handelt es sich um eine Spezifikation für elektronisches Dokumenten- und Records-Management.

Vorstände und Geschäftsführer sind persönlich und gesamtschuldnerisch haftbar für die Einhaltung dieser und vieler weiterer Einzelregelungen, etwa für den Finanzbereich oder zur Archivierung von E-Mails. Und es ist damit zu rechnen, dass die Verantwortlichen künftig noch stärker zur Verantwortung gezogen werden. Sie sind verpflichtet, ein wirksames Risikosystem einzuführen, die Funktionsweise der IT nachvollziehbar zu dokumentieren und für eine angemessene Archivierung digitaler Dokumente zu sorgen.

Können sie dies alles nicht lückenlos nachweisen, drohen Haftungsklagen, Marktzugangsbarrieren und Probleme bei der Kreditaufnahme oder Bilanzprüfung. Legendär ist der Fall aus dem Jahr 2005, als das Unternehmen Morgan Stanley zur Zahlung von 1,45 Milliarden Dollar verurteilt wurde, weil es bestimmte E-Mails nicht vorlegen konnte.

Große Rechtsunsicherheit

In einem Compliance-Assessment werden alle juristischen, betriebswirtschaftlichen und IT-Fragen gleichrangig behandelt.
In einem Compliance-Assessment werden alle juristischen, betriebswirtschaftlichen und IT-Fragen gleichrangig behandelt.
Foto: FME

Aktuelle Umfragen anlässlich der EuroSOX-Umsetzung in nationales Recht zeigen, dass die meisten Unternehmen noch nicht auf die Anforderungen der EU-Richtlinie vorbereitet sind. Das große Problem: Nicht alle Gesetze und Normen gelten für alle Unternehmen. Wie Horst Speichert, ein auf IT-Recht spezialisierter Rechtsanwalt in Stuttgart, bestätigt, herrscht derzeit große Rechtsunsicherheit. Für international agierende Unternehmen gelte eine Vielzahl verschiedener Rechtsnormen. "Zudem sind die Anforderungen in einzelnen Branchen sehr unterschiedlich, weil oft Spezialregelungen zutreffen", ergänzt der Anwalt. Beispielsweise seien bei der Datenarchivierung neben den allgemeinen IT-Gesetzen auch die jeweiligen branchenspezifischen Regelungen einzuhalten.

Die Folge: Der Unternehmensverantwortliche kann im Regelfall kaum beurteilen, welche Maßnahmen aus der Fülle der Normen eigentlich zwingend umzusetzen sind und welche er in der Prioritätenliste nach hinten verschieben oder sogar außen vor lassen kann, kurz: was wirtschaftlich angemessen ist. Er muss sich folgende Fragen stellen:

  • Ist unser Unternehmen im juristischen Sinn compliant?

  • Wo müssen wir eigentlich compliant sein - hinsichtlich der internen Prozesse und IT-Systeme?

  • Wie wahrscheinlich ist ein Schadensfall?

  • Welche Auswirkungen hätte er?

  • Lohnt es sich nach Maßgabe der Betriebswirtschaft, die dafür notwendigen Vorkehrungen zu treffen?

    COMPUTERWOCHE-Marktstudie

    Mehr zum Thema Compliance erfahren Sie in der aktuellen Marktstudie der COMPUTERWOCHE, die Sie hier herunterladen können.