CW: Wie sieht es in deutschen Unternehmen mit der IT-Compliance aus?
Reiners: Es gibt große Unterschiede zwischen den Unternehmen und im Hinblick auf die verschiedenen rechtlich relevanten Bereiche. Man kann wohl sagen, dass es für die Themen, die man unter "Compliance" zusammenfasst, eine erhöhte Sensibilität und oft auch recht gut funktionierende Lösungen gibt. Aber das ist nur die halbe Wahrheit,denn Compliance,wie der Begriff meist verstanden wird, lässt viele drängende Probleme vollkommen außer Acht.
CW: Wie wird der Begriff denn verstanden?
Reiners: Compliance heißt ja eigentlich Übereinstimmung - und spezieller: Übereinstimmung mit gesetzlichen Vorgaben. Im Bereich der IT-Systeme ist dieser Begriff vonseiten der Anbieter geprägt - und die verstehen unter Compliance eben jene Probleme, die sich mit ihren Angebot an Hardund Software lösen lassen. Da geht es dann um die Einhaltung gesetzlicher Bestimmungen wie die GDPdU, GoB, handels und steuerrechtlicher Vorgaben bis zum amerikanischen Sarbanes-Oxley Act. Das lässt sich mit entsprechenden IT-Systemen für Daten- und Dokumenten-Management, Archivierungslösungen oder auch BI-Systemen durchaus in den Griff bekommen. Das ist zum guten Teil eine Frage der Awareness. Weniger leicht lösbare Probleme, die aber rechtlich ebenso relevant sind, bleiben oft unbeachtet.
CW: Was sind das für Probleme?
Reiners: Das sind zum Beispiel die rechtlichen Auswirkungen fehlender IT-Sicherheit. Unternehmen ist oft nicht klar, welche Daten sich überhaupt auf den Rechnern ihrer Mitarbeiter befinden.
Stellen Sie sich vor, Sie sitzen mit fünf Personen verschiedener Unternehmen zusammen und verschicken danach ein Besprechungsprotokoll als Word-Dokument. In einem Jahr frage ich dann bei einem der Unternehmen an, welche personenbezogenen Daten zu meiner Person gespeichert sind. Die Wahrscheinlichkeit, dass das Besprechungsprotokoll dann auftaucht, liegt nahe null. Das ist Datenschutz in Reinkultur - und der wird hier verletzt. Hier fängt eigentlich Compliance an.Wenn ich nicht weiß, welche Daten ich gespeichert habe, habe ich auch keine Chance, rechtskonform damit umzugehen. Solche Fragestellungen finden aber noch kaum Beachtung, da passiert fast nichts in den Unternehmen.
CW: Was müssen die Unternehmen tun, um sich dagegen zu schützen?
Reiners: Der Ansatz spielt die entscheidende Rolle: Verstehe ich Compliance zuerst unter dem Gesichtspunkt, mich für eventuell eintretende rechtliche Fragen abzusichern, oder versuche ich, mit einem konstruktiven Ansatz die Problematik ganzheitlich in den Griff zu bekommen. Wer Compliance-Regelungen als Alibi versteht, hat kaum eine Chance, alle rechtlichen Probleme zu erfassen, weil wesentliche Bereiche von vornherein unbeachtet bleiben.
CW: Wie sollen Unternehmen das Thema angehen?
Reiners:Sie müssen mit einer umfassenden Datenstrukturanalyse anfangen und sich Klarheit darüber verschaffen,welche Daten überhaupt im Unternehmensnetzwerk gespeichert sind. Dabei spielen auch technische Parameter eine Rolle, aber vor allem geht es um die inhaltliche Analyse. Das ist sehr viel Arbeit, aber der einzige Weg, um die Daten im Hinblick auf ihre Sensibilität und den Wert für das Unternehmen zu behandeln. Es geht dabei auch um Unternehmens-Know-how: Bleibt es im Umgang mit den Daten unberücksichtigt, oder kümmert sich das Management nicht um rechtliche Risiken wie Unterlizenzierung oder die Speicherung illegaler Dateien, tritt nach meiner Überzeugung der Haftungsfall ein – ganz abgesehen von Fragen des Datenschutzes, die ohne inhaltliche Klassifizierung gar nicht rechtskonform gelöst werden können.