Vor einigen Jahren machte das Gerücht die Runde, Top-Manager würden nicht mehr so gern in die USA reisen.Angeblich fürchteten sie, schon an der Grenze verhaftet zu werden. Der Grund: Nach Worldcom- und Enron-Pleite sorgte der damals neu in Kraft getretene Sarbanes-Oxley Act (Sox) mit seinen drastischen Strafandrohungen für Unsicherheit und Besorgnis im Top-Management. Die erste Aufregung hat sich inzwischen gelegt und ist einer sachlichen Betrachtungsweise gewichen.
Aber Sarbanes-Oxley markiert einen Wendepunkt. Seither hat sich die Erkenntnis durchgesetzt, dass es zu den Pflichten des Managements gehört, für einen rechtskonformen Umgang mit IT-Systemen und Daten zu sorgen. Andernfalls drohen ernsthafte Konsequenzen, die – wie bei Sox – bis zu langjährigen Haftstrafen reichen können.
Zwar sind nur wenige Unternehmen in Deutschland direkt von Sox betroffen – das Gesetz betrifft nur Firmen, die an amerikanischen Börsen notiert sind –, aber die gesetzlichen Vorschriften sind dennoch vielfältig und für juristische Laien schwer überschaubar: Sie reichen vom deutschen Steuerrecht und der Abgabenordnung bis zum Handelsrecht (HGB), den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und Basel II.Und bei allem ist das Bundesdatenschutzgesetz (BDSG) zu beachten, das schon einen fahrlässigen Verstoß beim Umgang mit personenbezogenen Daten mit einer Geldbuße von bis zu 250 000 Euro belegt. Die unterschiedlichen Regelungen haben Auswirkungen auf die gesamte Unternehmens-IT: Firewall- und Viren-Scanner, Storage-und E-Mail-Architektur,ERP- und BISysteme, Desaster-Recovery- und Business-Continuity-Lösungen. Compliance ist deshalb eine Querschnittsaufgabe, die von Security und Storage bis zu betriebswirtschaftlichen Auswertungs- und Berichtssystemen reicht, vom E-Mail-Filter bis zum physikalischen Zugangsschutz.
Die Experten sind sich einig: Um das Problem in den Griff zu bekommen, bedarf es einer umfassenden, unternehmensweiten Compliance-Strategie. Eine Studie der Experton Group aus dem vergangenen Jahr offenbart, dass die Sensibilität für Compliance-Fragen zugenommen hat: Fast 70 Prozent der befragten Unternehmen gaben an, ihre Richtlinien für die Datenspeicherung auf Basis gesetzlicher Regelungen festzulegen.Allerdings stützte sich dabei weniger als die Hälfte auf eine Compliance-Strategie.Aber es gibt Hoffnung:„Man trifft in den Unternehmen immer häufiger auf einen zentralen Compliance-Verantwortlichen. Das ist ein entscheidender Erfolgsfaktor für die konsistente Erfüllung von Compliance-Anforderungen“, sagt Marina Walser, Director Business Development bei Novell Central Europe.
Wer darauf hofft, dass sich das Problem durch gängige Praxis und Gewohnheitsrecht gleichsam von selbst erledigt – jeder macht es eben nach bestem Wissen und Gewissen –, begibt sich auf gefährliches Terrain:„Die Bedeutung rechtlicher Vorschriften in digitalen Welten wird zunehmen. Für die juristischen Festlegungen in Gesetz und Rechtsprechung hat das digitale Zeitalter gerade erst begonnen“, resümiert der auf IT-Recht spezialisierte Rechtsanwalt Wilfried Reiners aus München (siehe Interview nächste Seite).