Compliance ... Einhaltung von
Rechtsvorschriften
Außer dem Datenschutzgesetz gibt es viele weitere Rechtsvorschriften,
die für die Datenverarbeitung im Unternehmen von Bedeutung sind:
All diese Rechtvorschriften erfordern ein Mindestmass an Sicherheit in
der Informationsverarbeitung und die entsprechende Dokumentation.
Die Buchführungsvorschriften nach HGB, AO, ESTG, GDPdU etc. verlangen
Revisionssicherheit der Buchführung. Das entspricht dem Security-Thema
Integrität.
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG) erfordert die Transparenz über Risiken, Kontroll- und
Vorsorgemaßnahmen eines Unternehmens. Dazu gehören eben auch die
Risiken, die sich aus der Datenverarbeitung ergeben.
Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler
Unterlagen (GDPdU) verlangen langfristige
Verfügbarkeit
und Korrektheit (
Integrität) der
Datenverarbeitung.
Seit 1.1.2002 haben die Finanzbehörden das Recht, selber direkt in die
steuerrelevanten Daten Ihres EDV Systems Einblick zu nehmen.
Sie als Unternehmer sind verpflichtet, ALLE steuerlich relevanten
EDV-Vorgänge (z.B. die Buchhaltung), auf EDV Systemen vorzuhalten. Ein
reiner Papier-Ausdruck von Konten, Journalen, Lagerlisten etc. ist
nicht mehr ausreichend. Auch PDF-Dateien der Journale und
Summen/Saldenlisten sind nicht ausreichend. Das Finanzamt möchte die
Logik eines Buchhaltungsprogramms nachvollziehen können. Auch hier
stellt sich wieder die Frage nach der
Verfügbarkeit,
denn diese Daten müssen über Jahre hinweg vorgehalten werden und dürfen
nicht manipuliert werden (
Integrität).
Denken Sie neben der reinen Speicherung der Daten auch daran, dass Sie
Hardware und Software vorhalten müssen, mit denen diese Daten gelesen
werden können. Das wird insbesondere dann problematisch, wenn Sie eine
veraltete EDV Anlage austauschen. Stellen Sie sich vor es ist ein
"altes Hündchen" für das der Hersteller auch keine Ersatzteile/Service
mehr anbietet. Das Ding sollen sie also jetzt noch mehrere Jahre
betriebsbereit vorhalten !
Denken Sie daher bei einem Systemwechsel auch immer an die Migration
aller Daten auf das neue System.
Vordergründig ist Basel II eine Regelung zur minimalen
Eigenkapitalausstattung von Banken. Sie soll den Zusammenbruch durch zu
viele "faule" Kredite verhindern.
Tatsächlich aber hat Basel II einen starken Einfluss auf die
Kreditvergabe im Mittelstand. Denn um den Richtlinien gerecht zu
werden, müssen Banken ihre Kreditvergabe nach Basel II bewerten. Und
das heißt wiederum, dass jeder Unternehmer, der einen Kredit beantragt,
seiner Bank die entsprechende Dokumentation nach Basel II vorlegen
muss, damit die Bank die Einstufung des Risikos vornehmen kann.
Ein wesentlicher Bestandteil der Basel II Dokumentation ist die
Erfassung und Bewertung operativer Risiken und der entsprechenden
Kontroll- und Vorsorgemaßnahmen. Je nach Gewerbe kann die
Informationsverarbeitung sogar den Löwenanteil der operativen Risiken
ausmachen. Und genau da sind wir dann wieder bei den Themen:
Die Güte der Risikovorsorge und deren Dokumentation bestimmen fast
ausschließlich das Kredit-Rating und damit den Zins für das Darlehen -
oder sogar eine Ablehnung. Einen Ermessenspielraum der Bank wird es in
Zukunft kaum noch geben.
Ein gut strukturiertes und dokumentiertes IT-Sicherheitskonzept führt
also zu günstigeren Krediten !
Das Sarbanes Oxley Oxley Gesetz - im Jargon auch SOX genannt - ist 2004
in USA in Kraft getreten und soll kriminelle Insolvenzen wie bei Enron
und Worldcom verhindern. Der Name stammt von den beiden Senatoren
Sarbanes und Oxley, die das Gesetz auf den Weg gebracht haben.
SOX soll zeitgerechte und korrekte Bilanzen der börsennotierten
Unternehmen sicherstellen. Es sind auch alle Tochtergesellschaften von
US Firmen weltweit betroffen.
Da Buchhaltung und Bilanzierung heute üblicherweise auf
Datenverarbeitungsanlagen stattfindet, ist das Thema IT-Sicherheit bei
SOX von zentraler Bedeutung - insbesondere die beiden Themen:
- Verfügbarkeit - eben wegen der
zeitgerechten Bilanzierung
- Integrität - eben wegen der
Gefahr der Manipulation von Finanzdaten
IT-Sicherheitsmassnahmen stehen mitunter im Konflikt mit Schutzrechten
der Arbeitnehmer.
Sehr umstritten ist z.Zt. die Frage, ob und unter welchen Umständen und
in welchem Umfang der Arbeitgeber den Email Verkehr und das
Internet-Surfen der Mitarbeiter kontrollieren darf - selbst wenn im
Unternehmen der private Gebrauch von Email/Internet strikt verboten
ist.
Schon wenn die private Nutzung von Email/Internet gelegentlich
toleriert wird, ist das Unternehmen ein
Telekommunikations-Dienstleister und unterliegt damit einer
verwirrenden Vielzahl von Rechtsvorschriften zur
Telekommunikation.
Juristisch wird heute die Nutzung von Firmen-Email/Internet zunehmend
der Firmentelefonanlage gleichgestellt.
Ein Betriebsvereinbarung ist hier sehr zu empfehlen, um Klarheit zu
schaffen.
Der Trend den ich beobachte: Firmen gestatten den Mitarbeitern den
"moderaten", privaten Gebrauch von Telefon, Email und Internet, z.B. in
den Pausen. Downloads und größere Mail-Anhänge werden nicht geduldet,
da die Firmennetze damit zu sehr belastet würden. Unter Umständen sind
Filter installiert, die den Besuch von unerwünschten Web-Sites
blockieren (Sex, Rassenhass, Kriegshetze etc.). Überprüfungen der Mails
/ Internetbesuche werden nur in Absprache mit dem Betriebsrat und auf
konkreten Verdacht hin durchgeführt. Mit ein wenig Augenmass und
Pragmatismus finden sich eine für alle gute Lösung.
Formulierungsvorschlag für eine
Unternehmensanweisung zur privaten Internetnutzung:
Internetzugang
und Emailsystem der Firma stehen Ihnen hauptsächlich zur Erfüllung
Ihrer betrieblichen Aufgaben zur Verfügung. Wir
tolerieren eine moderate private Nutzung in den Pausen. Moderat
bedeutet, dass Ihre Nutzung:
- den Dienstbetrieb nicht stört - z.B. durch größere Downloads
- keine kriminellen, anstößigen oder sonstige Inhalte, die
den Firmenrichtlinien zuwider laufen, aufgerufen oder versendet werden.
Das
Unternehmen überwacht aus Gründen der IT-Sicherheit den Netzwerk- und
Internetverkehr. In Ihrer Abwesenheit (Urlaub, Krankheit) kann es
notwendig sein, auf Ihre Emails und Daten zuzugreifen. Da das
Unternehmen technisch nicht zwischen Firmendaten und privaten Daten
unterscheiden kann, können unsere IT-Administratoren somit auch auf
Ihre privaten Daten zu greifen. Sobald es sich erkennbar um private
Daten handelt, wird das Unternehmen diese Daten nicht weiter auswerten.
Diese
private Nutzung von Internet und Email ist daher nur gestattet, wenn
Sie den obigen Regeln zustimmen. Andernfalls ist Ihnen die private
Nutzung ausdrücklich nicht gestattet.
Für bestimmte Branchen (Banken, Versicherungen, Krankenkassen,
Krankenhäuser, Ärzte etc.) gibt es weitere Rechtsvorschriften über die
Verarbeitung von (personenbezogenen) Daten. So muss z.B. eine Bank
innerhalb von 24 Stunden den aktuellen Stand seiner Konten
und seine wirtschaftliche Lage darstellen können. Selbst in einem
Desaster-Fall (z.B. Brand im Rechenzentrum) muss das nach 48 Stunden
möglich sein. Das hat nichts mit Datenschutz zu tun, sondern mit
IT-Compliance, der Einhaltung ALLER Rechtsvorschriften, von denen das
BDSG nur eine ist.
Jedenfalls ist auch hier wieder die Gewährleistung von
Verfügbarkeit,
Vertraulichkeit und
Integrität von zentraler
Bedeutung.
Jedes Unternehmen ist gut beraten, einen Verantwortlichen für die
IT-Compliance zu benennen, u.U. einen externen Berater.
Der IT-Sicherheitsbeauftragte kann diese Aufgabe auch in Personalunion
wahrnehmen.
Das Bankgeheimnis ist kein eigenständiges Gesetz sondern ergibt sich
aus diversen Rechtsvorschriften, darunter das BDSG. Salopp gesagt dehnt
das Bankgeheimnis den Datenschutz von natürlichen auch auf
juristische Personen (Firmen, Vereine etc.) aus und wird sehr eng
ausgelegt. Allein schon die Information, dass eine Person oder Firma
Kunde einer Bank ist, unterliegt dem Bankgeheimnis. In der Konsequenz
müssen Banken bei der Erhebung / Speicherung / Verarbeitung /
Weitergabe von Daten größte Sorgfalt walten lassen.
Es ist wirtschaftlicher Unsinn die für die jeweiligen Gesetze
notwendigen IT-Sicherheitsmassnahmen einzeln durchzuführen und zu
dokumentieren. Dies führt zu Mehrfachaufwand und unnötigen Kosten.
Vielmehr sollten Sie Ihr IT-Sicherheitskonzept so aufsetzen, dass alle
Sie alle Ihr Unternehmen gesetzlichen Vorgaben erfüllt werden.
Dazu ist natürlich eine gute Kenntnis aller entsprechenden Gesetze
notwendig. Der Begriff IT Governance steht für diese übergreifende
Betrachtung. Es gibt diverse Rahmen-Regelwerke, die sich zum Ziel
gesetzt haben, eben diese übergreifende IT Governance zu gewährleisten.
Am stärksten durchgesetzt hat sich dabei das Regelwerk
CoBIT.
Der bedeutendste Verband zur IT Governance ist die
ISACA, die auch ein recht aktives
Deutsches Chapter unterhält.
Ich selber bin zertifizierter
IT
Governance Manager der ISACA
© 2001-2013 Hanns J. Proenen,
Lohmar. Der Text ist urheberrechtlich geschützt. Alle Rechte
vorbehalten. Die Verwendung der Texte und Bilder - auch auszugsweise -
ohne vorherige schriftliche Genehmigung von Hanns J. Proenen ist
strafbar. Das gilt insbesondere für die Vervielfältigung, Verwendung in
Kursunterlagen oder elektronischen Systemen.
Stand: 18. Juni 2013