computerwoche.de

Compliance & Recht

IT-Compliance

Wieso ist EuroSOX eigentlich ein IT-Problem?

23.09.2008
Von Jürgen Obermann

Zu viele Compliance-Regeln verhindern den Überblick

Der deutsche EuroSOX-Gesetzestext umfasst nicht weniger als 261 Seiten. In den anderen EU-Ländern sieht es ähnlich aus, Es gibt 25 verschiedene nationale Umsetzungen in der Europäischen Gemeinschaft. Außerdem existiert eine Fülle weiterer, in diesen Zusammenhang passender Gesetze im In- und Ausland. Die Anzahl der Compliance-Richtlinien, die selbst ein mittleres Unternehmen zu beachten hat, wenn es in Europa agiert, überspringt schnell die 100-Meter-Marke (siehe auch: "Alles, was Recht ist").

Kaum ein IT-Manager kennt sich mit den für ihn geltenden Compliance-Anforderungen aus.
Kaum ein IT-Manager kennt sich mit den für ihn geltenden Compliance-Anforderungen aus.
Foto: Inboxx

Für eine zentrale IT-Abteilung ist die Chance, jemals einen vollständigen Überblick zu bekommen, gleich null. Wieso sollte sie sich also mit diesen vielen Vorschriften beschäftigen? Wie eine aktuelle Umfrage unter IT-Managern in Europa ergab, kennen beispielsweise 94 Prozent von ihnen die gesetzlichen Anforderungen zur Archivierung von E-Mails in ihren jeweiligen Zielmärkten nur unzureichend. In anderen Compliance-Bereichen sieht das nicht besser aus, so die Zahlen von Inboxx Research.

Aus falschem Eifer sollte sich die IT-Abteilung nicht vor den EuroSOX-Karren spannen lassen. Das heißt: Es ist wenig sinnvoll, die IT-Abteilung definieren zu lassen, welche Daten besonders schützenswert sind, oder bei welchen Prozessen ein Vier-Augen-Prinzip erforderlich ist. Solche Entscheidungen und deren Umsetzung liegen in der Verantwortung der betroffenen Fachabteilungen, des Controllings und/oder der Rechtsabteilung.

Was EuroSOX und andere Compliance-Regelungen angeht, sollte sich die IT-Abteilung nicht mit der Interpretation einzelner Bestimmungen und Gesetze wie EuroSOX, GdPdU oder Basel II beschäftigen. Sie ist einfach nicht in der Lage, sich mit deren juristischen Details auseinander zu setzen. Erstens gibt es davon viel zu viele, und zweitens ist das die Aufgabe für juristisch geschultes und speziell qualifiziertes Fachpersonal. Die IT sollte ihr Augenmerk lieber auf die gemeinsamen, generischen Anforderungen aller Compliance-Richtlinien lenken und hierfür sinnvolle Mechanismen anbieten.