CW: Inwieweit beschäftigen sich deutsche Unternehmen derzeit mit Fragen der IT-Compliance?
REINERS: Wir befinden uns in der Findungsphase. Im Enterprise-Bereich ist das Thema zwar durch, im großen deutschen Mittelstand aber nicht. Weil es dort kaum Compliance-Beauftragte gibt, schieben Vorstände das Thema den IT-Leitern zu, die rein rechtlich jedoch nicht verantwortlich sind und es entsprechend als lästig empfinden. Für die praktische Umsetzung tragen sie zwar eine Mitverantwortung, sämtliche Haftungspflichten kommen aber der Unternehmensspitze selbst zu.
CW: Sie sagen, Compliance sei ein recht einfach zu verstehendes Thema, sobald Unternehmen sich von dem amerikanischen Denkmodell lösen. Was genau meinen Sie damit?
REINERS: Ich beziehe mich auf die mittelständischen Unternehmen in Deutschland, die keinem Mutterkonzern in den USA unterstellt sind. Es gibt davon eine Vielzahl, für die Richtlinien wie BASEL II, SOX etc. vollkommen irrelevant sind. Trotzdem bauen sich diese Unternehmen geistige Hürden auf, die real gar nicht existieren. Erfreulicherweise fängt das Bundesministerium für Sicherheit in der Informationstechnik (BSI) langsam an, sich um den Mittelstand zu kümmern - eben weil es erkannt hat, dass die bislang gültigen Richtlinien für einen Mittelständler nicht zu erfüllen sind. Wir sind nun einmal ein Land mit einem großen Mittelstandsbauch, diskutieren aber fast ausschließlich über die Konzerne. Für den Mittelstand relevant werden diese Themen immer erst zwei bis drei Jahre später. Während die meisten Hersteller das Wort IT-Compliance schon gar nicht mehr hören können, ist es für einen Mittelständler noch ziemlich neu.
CW: Brauchen wir neue oder veränderte IT-Gesetze?
Foto: PRW Consulting GmbH
REINERS: Das Wichtigste ist, dass wir einen machbaren Datenschutz hinbekommen. In Zeiten von Facebook und anderen sozialen Netzen müssen wir weg von einem Verbotsgesetz hin zu einem Angebotsgesetz. Es muss möglich sein, dass ich als Anwender meine Daten problemlos weitergebe, sie aber jederzeit "zurückholen" kann. Der heutige Datenschutz ist einfach nicht mehr abbildbar. Datenschützer möchte man nicht sein, weil man zwischen Baum und Borke hängt und die rechtlichen Anforderungen nicht mehr erfüllen kann. Andere gesetzliche Vorgaben mit IT-Bezug haben sich weitestgehend eingeschliffen. Ein Beispiel dafür ist die digitale Buchprüfung, die in den meisten ERP-Systemen integriert ist. Kurzum: Einen Bedarf an neuen Gesetzen sehe ich nicht - lediglich nach einer Veränderung des Datenschutzgesetzes.
IT-Gesetze abschaffen?
CW: Ist die Abschaffung bestehender Vorgaben wünschenswert, um die Komplexität zu verringern?
REINERS: Ein guter Gedanke. Das Wichtigste für ein Unternehmen ist doch, zu erkennen, welche Gesetze überhaupt relevant sind. In der Regel reduziert sich die Zahl der möglicherweise zur Anwendung kommenden Regelungen um mehr als die Hälfte, weil sie für ein Unternehmen nicht greifen. Schauen wir uns beispielsweise §28 Röntgenverordnung an - eine Norm, die Krankenhäuser und Radiologien betrifft und die Aufbewahrungsdauer für Röntgenbilder regelt. Die Aufgabe, diese innerhalb der Behandlungszeit im Normalfall 30 Jahre lang aufbewahren zu müssen, ist eine Herausforderung, keine Frage. Wer kann Ihnen heute schon sagen, wie Sie digitalisierte Daten drei Jahrzehnte lang zuverlässig vorhalten? Es gibt zwar viele Lösungsanbieter, die das behaupten - ein Blick zurück auf die vergangenen 30 Jahre zeigt aber, welche technischen Veränderungen dieser Zeitraum mit sich gebracht hat. Derzeit bedeutet das für mich noch die "ewige Migration". Um auf die Frage zurückzukommen, ganz generell betrachtet sind wir nicht überfrachtet mit Gesetzen.
CW: Welche rechtliche Bedeutung hat der Trend "Bring your own device" für deutsche Unternehmen?
REINERS: Wenn der Mitarbeiter sein privates Gerät auch in der Firma nutzt, eine sehr große. Das betrifft die Bereiche Haftung, Eigentum an Daten, Datenschutz, Verschwiegenheit, Geheimnisverlust und auch Datenabfluss im Sinne von Know-how-Abfluss. Das Problem ist, dass es keinen "Täter" im eigentlichen Sinne gibt. Es gibt lediglich einen Mitarbeiter, der Unternehmensdaten auf seinem privaten Gerät abspeichert. Viele Unternehmen versuchen, den aufkommenden Problemen mit allerlei liberalen Policies Herr zu werden. Ich kenne aber keine einzige liberale Policy, die das BYOD-Thema in Gänze abdeckt. Die Frage, die sich Unternehmen stellen müssen, lautet: Ist ein Gerät mit einem Anschaffungspreis von unter 1000 Euro das Risiko wert? Ich sage: Nein, nie. Ich bin kein Freund von BYOD. Auch wenn Unternehmen die Vorteile betonen - höhere Sorgfalt seitens des Mitarbeiters im Umgang mit dem Gerät und dessen Sicherheitslevel - empfehle ich immer, die Geräte für die Mitarbeiter anzuschaffen und nicht umgekehrt. Alles andere ist in hohem Maße rechtlich riskant.