IT-Compliance

Die Organisation, Steuerung und Kontrolle rechtlich korrekten Verhaltens wird für die Unternehmensleitung und deren Rechtsabteilung zur wachsenden Herausforderung. Denn mit der zunehmenden Regulierungsdichte steigt die Gefahr von Verstößen gegen Verhaltensgrundsätze, Richtlinien und Gesetze - auch bei der Arbeit am Computer. Von besonderer Bedeutung ist dabei die so genannte IT-Compliance.

Aber was ist Compliance eigentlich?

Aufgrund der relativen Neuheit dieses Themas, gibt es noch keine einheitliche Definition für den Begriff „Compliance“. Grundsätzlich wird unter Compliance die Regeltreue, sprich die Einhaltung der gegebenen Gesetze oder auch freiwilliger Kodizes innerhalb eines Unternehmens verstanden. Ziel ist es, den Mitarbeitern durch Compliance-Systeme die geltenden gesetzlichen Vorschriften zu vermitteln und dafür zu sorgen, dass eben diese eingehalten werden. Auslöser, die das Thema Compliance derart in den Fokus gestellt haben, waren einige – auch in den Medien heftig diskutierte – Korruptionsskandale von Großunternehmen, die den Firmen mit Strafen in Höhe von mehreren Millionen bzw. Milliarden Euro teuer zu Buche kamen.

Doch auch schon etwas früher war das Thema bereits in der Kredit- und Finanzbranche bekannt geworden. Die § 25 a Kreditwesengesetz (KWG) und § 33 Wertpapierhandelsgesetz (WpHG) konstituieren für diese Bereiche relativ konkret die Sorgfalts- und Aufsichtspflichten der Vorstände zur Risikoanalyse und Prävention. Auch die Bundesfinanzaufsicht (BaFin) hat 2011 diesbezüglich bereits einen Leitfaden zum Thema Compliance („Best Practice“) herausgegeben. Dennoch gibt es im Allgemeinen keine gesetzliche Vorschrift, die Compliance per se regelt, oder die Einrichtung eines Compliance-Systems vorschreibt. Eine derartige Verantwortung lässt sich jedoch aus einigen Vorschriften ableiten und wird daher bereits als „Quasi-Gesetz“ anerkannt. Zum einen finden sich in den §§ 91 und 93 Aktiengesetz (AktG) bzw. in § 43 GmbH-Gesetz (GmbHG) Regelungen, die auf die Implementationspflicht hinweisen. Die Geschäftsleitung wird darin insbesondere zur Sorgfaltspflicht (§ 93 AktG, § 43 GmbHG) und zur Einrichtung von Überwachungssystemen (§ 91 II AktG) angehalten. Des Weiteren ist in den §§ 9, 30 und 130 Ordnungswidrigkeitengesetz (OWiG) die strafrechtliche Grundlage für eine Zuwiderhandlung gelegt. Folglich hat die Führungsebene dafür zu sorgen, dass die gegebenen Gesetze eingehalten werden und ist dadurch quasi angehalten ein Compliance-System einzurichten. Somit ist auch klar geregelt, dass Compliance „Chefsache“ und daher meist in der Führungsebene angesiedelt ist. Die Rechtsprechung in der Praxis hat gezeigt, dass bei Missachtung dieser Pflichten harte Urteile ergehen, in denen empfindliche Geldstrafen verhängt werden. Beträge in Millionenhöhe sind dabei durchaus keine Seltenheit.

IT-Compliance

Wie bereits erwähnt spielt speziell IT-Compliance, als Teilbereich der Compliance, eine immer größere Rolle im Unternehmen. Nicht nur die aktuellen Regelverstöße aus der Praxis, wie die Datenschutzskandale bei Lidl, Sony oder der deutschen Bahn, machen die Bedeutung der IT-Compliance für das Management klar. Auch die alltägliche Arbeit mit dem Computer und die immer komplexer werdenden Datenverarbeitungsprogramme verdeutlichen die Relevanz dieser Thematik.

Unter IT-Compliance versteht man grundsätzlich die Einhaltung der gesetzlichen Vorschriften im Bereich des IT-Rechts. Eben auf diesem Rechtsgebiet führt die ständige Zunahme an Regeln und Gesetzen für die Unternehmen zu steigender Intransparenz und macht eine zielgerichtete Beschäftigung mit der Thematik unausweichlich. Vor allem dem Datenschutz, Lizenzmanagement und der elektronischen Archivierung sollten Aufmerksamkeit geschenkt werden. Risikobereiche stellen unter anderem die Archivierung von Bankdaten, die Speicherung von E-Mail-Verkehr, das Process History Management, das Dokumentmanagementsystem, die sinnvolle Organisation von Lizensierung und auch die Behandlung der Daten von ausgeschiedenen Mitarbeitern dar.

rechtliche Vorgaben IT-Compliance

Anforderungen an die IT-Compliance beruhen auf verschiedensten Grundlagen. Dabei kann es sich sowohl um rechtliche Vorgaben, wie auch um interne Vereinbarungen, externe Regelwerke und vertragliche Vereinbarungen handeln.
Auf der gesetzlichen Ebene stellen die folgenden Gesetze – neben den zu beachtenden allgemeinen zivilrechtlichen Regelungen im Handelsgesetzbuch und im Aktiengesetzbuch - die wichtigsten einzuhaltenden Regeln bezüglich IT-Compliance dar:

Bei den internen Vereinbarungen handelt es sich um Vereinbarungen, die innerhalb eines Unternehmens zur Regelung und Optimierung der IT-Sicherheit getroffen wurden. Dies können unter anderem Betriebsvereinbarungen, Kodizes oder andere Richtlinien (z.B. zum Umgang mit Passwörtern) sein.
Unter externen Regelwerken versteht man die in der Branche üblichen Kodizes, Standards und Normen, die mehr oder weniger freiwillig (eventuell auch zur Verbesserung des Rufs) eingehalten werden. Dazu zählen unter anderem der deutsche Corporate Governance Kodex, der IT-Grundschutzkatalog, der IDW PS 330 (ein Prüfungsstandard des Institut für Wirtschaftsprüfer, der die Anforderungen an die Abschlussprüfungen beim Einsatz von IT regelt) oder auch dem ISO 27001 (eine international anerkannte Norm für IT-Sicherheit, die sich intensiv mit dem Informationssicherheitsmanagementsystem beschäftigt). Ebenfalls relevant hier sind der ITIL (Information Technology Infrastructure Library) und COBIT (Control Objectives for Information and Related Technology), die sich schwerpunktmäßig mit der prozessualen Ausgestaltung beschäftigen.

Vertragliche Vereinbarungen sind die Vereinbarungen, die zwischen dem Unternehmen und dessen Lieferanten, Kunden oder anderen Partnern vereinbart werden. Dabei handelt es sich folglich um bindende Vertragsregelungen, die entweder nur einen IT-Bestandteil haben oder auch vollkommen IT-spezifisch sein können. Geregelt werden dabei unter anderem der Umgang mit Daten und Geheimhaltungsbestimmungen oder etwa auch das Hosting und die Wartung der IT-Systeme.

Praxisrelevante Regelungsfelder IT-Compliance:

Wie bereits erwähnt, sind vor allem der Datenschutz, die elektronische Archivierung und die Lizensierung von praktischer Bedeutung.
Beim Datenschutz ist vor allem das Bundesdatenschutzgesetz (BDSG) zu beachten. Nach § 4 BDSG ist eine Verarbeitung (Speicherung, Veränderung, Übermittlung, Löschung, Sperrung) von personenbezogenen Daten nur erlaubt, wenn eine Einwilligung vorliegt oder eine Rechtsvorschrift dies erlaubt. Dies muss sorgfältig vor jeder Verarbeitung geprüft werden. Des Weiteren sind Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen nach § 9 BDSG dazu verpflichtet, technische und organisatorische Maßnahmen zu treffen, die die Ausführung des BDSG ermöglichen. Selbst beim Outsourcing der IT bleibt die Sorgfaltspflicht beim Unternehmen selbst, § 11 BDSG.

Lizenzen für urheberrechtlich geschütztes Material wie Z.B. Software sind kostenpflichtig zu erwerben. Daher ist es für Unternehmen wichtig den legalen und effizienten Umgang mit Lizenzen zu sichern. Ein Lizenzmanagement kann dafür sorgen, dass Lizenzen einerseits nur im erlaubten Umfang genutzt werden und anderseits keine überflüssigen (kostspieligen) Lizenzen erworben werden.

Bei der elektronischen Datensicherung sind zunächst unter anderem das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO) zu beachten. § 257 HGB besagt, dass insbesondere Handelsbücher, Bilanzen, Lageberichte, Abschlüsse und Handelsbriefe aufbewahrt werden müssen. Dies darf auch in elektronischer Form erfolgen, § 257 III HGB, wenn die Dokumente jederzeit zugänglich und lesbar sind. Speziell im Steuerrecht ist § 147 AO zu beachten, der das Pendant zu der HGB-Vorschrift darstellt. Neben den allgemeinen Vorschriften sind dabei auch die speziell auf die digitale Archivierung bezogenen Grundsätze der ordnungsgemäßen DV-gestützten Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) relevant. Hierbei spielt u.a. die Archivierung von E-Mails mit steuerrechtlich-relevantem Kontext, die Vertraulichkeit (zum Beispiel nur beschränkter Zugriff durch berechtigte Administratoren) und die Sicherstellung der Unveränderbarkeit eine wichtige Rolle. Zusätzlich sind die §§ 34 f. BDSG im Hinblick auf personenbezogene Daten zu berücksichtigen.

Differenzierung nach Größe des Unternehmens:

Die Anforderungen an ein Compliance-System differieren je nach Größe des Unternehmens. Ein kleines, regionales Unternehmen kann nicht dem gleichen Standard genügen müssen wie ein börsennotierter, weltweit agierender Konzern. Generell wird von den Unternehmen erwartet, die geltenden Gebote zu kennen und zu achten. Zur Verhinderung einer Haftung, muss die Unternehmensleitung folglich darlegen können, dass alle erforderlichen und zumutbaren Maßnahmen ergriffen wurden, um einen Gesetzesverstoß im Unternehmen zu verhindern. Dabei sind meist in einem Großunternehmen mehr Maßnahmen nötig, als in einem kleinen oder mittleren Unternehmen. Daher kann man sich grundsätzlich an den Leitsatz halten „Je größer das Unternehmen, desto höher die Anforderungen an ein Compliance-System“.

Großunternehmen und Konzerne sind durch ihre weitrechende, internationale Tätigkeit auch mehreren ausländischen Gesetzen unterworfen. Für sie gilt zum Beispiel auch der Sarbanes-Oxley Act, wenn sie an der US-Börse notiert sind. Von ihnen wird aufgrund der vielen Mitarbeiter, Zweigstellen und verschiedenen Hierarchieebene eine durchdringende und ausgeprägte Compliance-Kultur erwartet, um Gesetzestreue sicherzustellen. Die Einrichtung einer eigenen Stelle bzw. Abteilung, die mit dieser Aufgabe betreut ist, ist demnach fast unausweichlich. Ein gutes Beispiel dafür ist Siemens, das nach dem großen Korruptionsskandal nun eine Compliance Abteilung mit mehr als 500 Mitarbeitern eingerichtet hat. Auch umfassende Lernprogramme zur Aufklärung der Mitarbeiter und interne Verhaltenskodizes sollten Bestandteil des Compliance-Programms sein. Nicht zuletzt sollte auch ein Kontroll- und Rügesystem implementiert werden.

Kleine und mittlere Unternehmen dagegen müssen sich im Allgemeinen nicht derart hohen Ansprüchen stellen. Allein schon aufgrund der finanziellen Belastung wird nicht erwartet, dass ein derart umfangreiches Compliance-System integriert wird. Vor allem bei inhabergeführten oder kleinen Unternehmen ist die Etablierung einer Compliance-Kultur oftmals leichter, da engerer Bezug zu den Mitarbeitern besteht und ein Durchdringen zur Belegschaft einfacher ist.

Vorgehen:

Da IT-Compliance mittlerweile eine wichtige Rolle im Unternehmen spielt, sollte diese Aufgabe ernst genommen werden. Die Führungsebene darf ihre Verantwortung in diesem Bereich nicht unterschätzen und sollte den Mitarbeitern durch die eigene Einstellung die Wichtigkeit dieses Bereichs verdeutlichen.
Zunächst ist es wichtig, die Verwaltung von Compliance zentral zu organisieren und möglichst (nahe) bei der Geschäftsführung zu belassen. Wichtig dabei ist die Definition von Verantwortung, Zuordnung und Umgang mit Schnittbereichen. Da Compliance ein sehr dynamischer Bereich – besonders im Bereich IT - ist, fordert er sowohl eine ständige Weiterentwicklung und Anpassung als auch fortdauernde Überprüfung und Kontrolle neuer Projekte, Prozesse und Verträge. Generell sollte ein Compliance–System die Funktionen Prävention, Korrektur, Information, Kommunikation und Dokumentation erfüllen. Dies gilt für alle Teilbereiche der Compliance.

Speziell in der IT-Compliance ist dabei  auf die folgenden Bereiche zu achten:

Zum einen stellt der Datenschutz einen der wichtigsten Bereiche dar. Dabei muss ein Unternehmen nachweisen können, dass seine Assets und Daten hinreichend geschützt sind, um die Anforderungen zu erfüllen. Verständlicherweise sollen die Möglichkeiten der IT-Systeme zu Auswertung der erhobenen Daten voll ausgeschöpft werden. Dennoch darf dabei nicht vergessen werden, dass es sich meist um personenbezogene Daten handelt, die den strengen Regeln des BDSG unterfallen. Auch bei Betriebsvereinbarungen spielt dieser Bereich häufig eine Rolle. Daher ist es sinnvoll eine/n Datenschutzbeauftragte/n mit dieser Aufgabe zu betrauen, um die Risikobereiche aufgezeigt zu kriegen und eine Kontrolle über die Einhaltung der gesetzlichen Vorschriften zu haben.

Im Bereich der IT-Sicherheit wird nicht nur ein funktionierendes IT-Risikoanalysesystem oder die Ergreifung technischer und organisatorischer Maßnahmen erwartet, sondern auch die Sicherstellung vertragsrechtlicher Anforderungen, wie etwa einer ordnungsgemäßen Lizensierung. Ein effektives Lizenzmanagement ist folglich wichtig. Auch die Sicherheitsstandards beim Serverbetrieb müssen eingehalten werden. Daher sollte auch hier ein lückenloses Kontrollsystem eingeführt werden, dass die Risikofelder immer wieder überprüft und Verstößen vorbeugt.

Grundsätzlich hilfreich kann bei IT-Compliance eine regelmäßige interne Dokumentenerstellung sein. Dadurch können Vorgänge dokumentiert werden, um eine etwaige spätere Beweiserbringung zu erleichtern. Zusätzlich stellt die Dokumentierung ein Mittel für die Optimierung der IT-Prozesse dar –wer dokumentiert kann vergleichen.

Fazit:

Das Feld der zu beachtenden Regelungen in der IT-Landschaft ist groß und unübersichtlich. Ohne eine systematische Organisation fällt es hier schwer den Durchblick zu bewahren und rechtlich korrekt zu agieren. Daher ist das Anhalten zur Errichtung eines IT-Compliance-Systems durch den Gesetzgeber durchaus sinnvoll. Durch einige durchdachte Einrichtungen im Unternehmen kann das Risiko einer Regelverletzung minimiert und eine sicherere Arbeitsweise geschaffen werden.