Law and Order: Was ist IT-Compliance?

26.03.2007
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Das Thema betrifft das Unternehmen unter verschiedenen Aspekten. Hier eine kurze Übersicht.

Die Begriffe "Corporate Governance" und "Corporate Compliance" sind heute in aller Munde - aber was ist das genau? Und vor allem: Was ist dabei im Zusammenhang mit der IT zu beachten?

IT-Compliance heißt auf "gut Deutsch": Einhaltung und Umsetzung von regulatorischen Anforderungen im weitesten Sinne mit dem Ziel eines verantwortungsvollen Umgangs mit allen Aspekten der Informationstechnik (IT). Mit der Umsetzung dieser Vorgaben einher geht der Begriff "IT Governance". Darunter sind alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme eines Unternehmens zu verstehen.

Mit der Governance verknüpft

Viel hängt davon ab, ob die System in rechtlicher Hinsicht noch "okay" sind.
Viel hängt davon ab, ob die System in rechtlicher Hinsicht noch "okay" sind.

IT-Governance ist ein wichtiger Bestandteil von Corporate Governance, sprich: der "verantwortungsvollen Unternehmenssteuerung durch die Geschäftsführung". Danach sind sowohl der Vorstand einer AG als auch der Geschäftsführer einer großen GmbH verpflichtet, neben der - eigentlich ja selbstverständlichen - Einhaltung der einschlägigen Gesetze und Vorgaben auch für eine transparente Organisation und ein angemessenes Risiko-Management zu sorgen.

Angesichts der stetig zunehmenden Komplexität von Geschäftsprozessen in einem Unternehmen ist das heute ohne den Einsatz effektiver IT-Systeme nicht mehr vorstellbar. Corporate Governance ist demzufolge eng mit IT-Compliance verknüpft. Und aus diesem Grund darf das Thema keinesfalls unterschätzt werden.

Risiko-Management

Zunächst bedeutet IT-Compliance die Einhaltung von Sorgfaltsanforderungen, wie sie sich aus dem GmbH-Gesetz (GmbHG) und dem Aktiengesetz (AktG) ergeben (unter anderem aus den Paragrafen 43 GmbHG sowie 93 und 116 AktG). Daneben zielt IT-Governance auf die Informations- sowie Dokumentationspflichten durch und mit Hilfe der IT. Für das Risiko-Management im Unternehmen ist ein solches "internes Kontrollsystem" (IKS) unabdingbar. Zudem wird es benötigt, um eine ausreichende Basis für die Unternehmenslenkung zu schaffen sowie die gesetzlichen Berichts- und Dokumentationspflichten zu erfüllen.

Wegen seiner Bedeutung für die Risikosteuerung ist das IKS auch für den Abschlussprüfer im Unternehmen von Interesse. Er wird die vorhandenen Überwachungssysteme mitsamt den dort etablierten Risiko-Management-Prozessen sowie den zugehörigen Risikofrüherkennungs-Systemen (außerhalb wie innerhalb der IT) beurteilen.

IT-Security

Ein weiterer Pfeiler der IT-Compliance ist das Thema IT-Security. Die im Unternehmen vorhandenen IT-Systeme müssen wirksam gegen Angriffe von innen und außen geschützt werden. Notwendig ist es deshalb zum einen, Lese- und Editierrechte für die Anwender festzulegen und durchzusetzen. Daneben müssen Firewalls, Virenschutz- und Antispam-Software eingeführt sowie genutzt werden.

Vorsicht ist beim E-Mail-Monitoring geboten: Der Blick des Arbeitgebers in das Postfach eines Mitarbeiters kann ein strafrechtlich relevantes "Ausspähen von Daten" im Sinne des Paragrafen 202a StGB (Strafgesetzbuch) darstellen. Das gilt zumindest dann, wenn der Arbeitgeber erlaubt oder auch nur duldet, dass Telefon und E-Mails privat genutzt werden. Damit während des Urlaubs oder einer Krankheit ein Zugriff auf die Mailboxen der Mitarbeiter möglich ist, empfiehlt sich der Abschluss von Betriebsvereinbarungen oder die Einführung einer Policy zur Nutzung von E-Mails.

Sonderregeln für Finanzdienstleister

Die Bafin (Bundesanstalt für Finanzdienstleistungsaufsicht) hat im Rahmen ihrer Fachaufsicht Sonderregeln für Banken und Dienstleister im Finanzsektor aufgestellt. Hierzu zählen im Zusammenhang mit der IT - neben den gesetzlichen Anforderungen aus dem Kreditwesengesetz und dem Wertpapierhandelsgesetz auch das "Outsourcing-Rundschreiben" (RS 11/2001) sowie die Mindestanforderungen an das Risiko- Management (RS 18/2005, MaRisk).

Zur Eindämmung von IT-Risiken ist es unter Umständen - je nach Bedeutung der IT-Systeme - auch notwendig, diese redundant, gegebenenfalls sogar in speziellen Server-Räumen mit Zugangskontrolle und unterbrechungsfreier Stromversorgung, vorzuhalten. So lässt sich eventuellen Schäden bei einem Ausfall der betriebsnotwendigen IT-Systeme vorbeugen.

Rechtskonforme IT-Systeme

IT-Compliance bedeutet auch, dass die IT-Systeme selbst rechtskonform sein müssen. "Rechtmäßige" IT-Systeme sind aber nur solche, für die genug Betriebslizenzen im Unternehmen vorliegen. Wer Software ohne Nutzungsvereinbarung betreibt, verstößt gegen das Urheberrecht, was sogar strafrechtlich relevant sein kann.

Durch Software-Asset-Management lässt sich eine Unterlizenzierung vermeiden, aber auch nicht mehr benötigte Software identifizieren, für die Nutzungentgelt gezahlt wird. Somit lohnt sich der Aufwand auch für die Anwenderunternehmen. Jüngsten Berechnungen zufolge geben sie ohne ein effizientes Lizenz-Management bis zu 60 Prozent zu viel für ihre Software aus. Hier lässt sich also bares Geld sparen.

Datenschutz

Unter IT-Compliance fällt auch die Einhaltung von datenschutzrechtlichen Bestimmungen. Hier ist vor allem das Bundesdatenschutzgesetz (BDSG) zu erwähnen. Im Falle der Auftragsdatenverarbeitung sind zwingend die Vorgaben von Paragraf 11 BDSG einzuhalten und hierzu schriftliche Vereinbarungen zu treffen. Eine wichtige Vorgabe für IT-Systeme enthält auch Paragraf 9 BDSG mit der zugehörigen Anlage, in der die Anforderungen bezüglich Unversehrtheit und Vertraulichkeit der Daten sowie Zurechenbarkeit und Verantwortlichkeiten definiert sind.

GoB, GoBS und GDPdU

Darüber hinaus ist IT-Compliance auch bei der elektronischen Archivierung von Dokumenten gefordert. Während der gesetzlichen Aufbewahrungsfristen müssen "Geschäftsbriefe" - das können auch E-Mails sein - gemäß den "Grundsätzen ordnungsgemäßer Buchführung" (GoB) und den "Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme" (GoBS) gespeichert werden.

Die Anforderungen an die Archivierung digitaler Unterlagen werden zudem vom Bundesfinanzministerium durch die "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) konkretisiert. Die Finanzverwaltung darf danach auf alle digitalen steuerrelevanten Unternehmensdaten zugreifen; auf Anfrage des Steuerprüfers müssen die Unternehmen ihre steuerrelevanten Daten maschinell auswertbar zur Verfügung stellen.

It?s the Law!

IT-Compliance ist kein Selbstzweck. Ihre Vernachlässigung kann zu einer persönlichen Haftung des Vorstandes oder des Geschäftsführers nach den Paragrafen 93 Absatz 2 und 116 Absatz 1 AktG (analog) führen. Daneben erlaubt IT-Compliance der Geschäftsleitung aber auch, kräftig zu sparen, etwa indem sie eine Überlizenzierung erkennt und behebt. Zudem bietet sie eine Gelegenheit zum Aufbau wirklich prozessorientierter IT-Systeme - und damit letztlich auch für die Einführung einer Service-orientierten Architektur (SOA).