Compliance ... Einhaltung von Rechtsvorschriften

Außer dem Datenschutzgesetz gibt es viele weitere Rechtsvorschriften, die für die Datenverarbeitung im Unternehmen von Bedeutung sind:

All diese Rechtvorschriften erfordern ein Mindestmass an Sicherheit in der Informationsverarbeitung und die entsprechende Dokumentation.

Buchführungsvorschriften, KonTraG und GDPdU

Die Buchführungsvorschriften nach HGB, AO, ESTG, GDPdU etc. verlangen Revisionssicherheit der Buchführung. Das entspricht dem Security-Thema Integrität.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) erfordert die Transparenz über Risiken, Kontroll- und Vorsorgemaßnahmen eines Unternehmens. Dazu gehören eben auch die Risiken, die sich aus der Datenverarbeitung ergeben.

Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) verlangen langfristige Verfügbarkeit und Korrektheit (Integrität) der Datenverarbeitung.

Digitale Archivierung für Finanzbehörden

Seit 1.1.2002 haben die Finanzbehörden das Recht, selber direkt in die steuerrelevanten Daten Ihres EDV Systems Einblick zu nehmen.
Sie als Unternehmer sind verpflichtet, ALLE steuerlich relevanten EDV-Vorgänge (z.B. die Buchhaltung), auf EDV Systemen vorzuhalten. Ein reiner Papier-Ausdruck von Konten, Journalen, Lagerlisten etc. ist nicht mehr ausreichend. Auch PDF-Dateien der Journale und Summen/Saldenlisten sind nicht ausreichend. Das Finanzamt möchte die Logik eines Buchhaltungsprogramms nachvollziehen können. Auch hier stellt sich wieder die Frage nach der Verfügbarkeit, denn diese Daten müssen über Jahre hinweg vorgehalten werden und dürfen nicht manipuliert werden (Integrität).
Denken Sie neben der reinen Speicherung der Daten auch daran, dass Sie Hardware und Software vorhalten müssen, mit denen diese Daten gelesen werden können. Das wird insbesondere dann problematisch, wenn Sie eine veraltete EDV Anlage austauschen. Stellen Sie sich vor es ist ein "altes Hündchen" für das der Hersteller auch keine Ersatzteile/Service mehr anbietet. Das Ding sollen sie also jetzt noch mehrere Jahre betriebsbereit vorhalten !
Denken Sie daher bei einem Systemwechsel auch immer an die Migration aller Daten auf das neue System.

Basel II

Vordergründig ist Basel II eine Regelung zur minimalen Eigenkapitalausstattung von Banken. Sie soll den Zusammenbruch durch zu viele "faule" Kredite verhindern.
Tatsächlich aber hat Basel II einen starken Einfluss auf die Kreditvergabe im Mittelstand. Denn um den Richtlinien gerecht zu werden, müssen Banken ihre Kreditvergabe nach Basel II bewerten. Und das heißt wiederum, dass jeder Unternehmer, der einen Kredit beantragt, seiner Bank die entsprechende Dokumentation nach Basel II vorlegen muss, damit die Bank die Einstufung des Risikos vornehmen kann.

Ein wesentlicher Bestandteil der Basel II Dokumentation ist die Erfassung und Bewertung operativer Risiken und der entsprechenden Kontroll- und Vorsorgemaßnahmen. Je nach Gewerbe kann die Informationsverarbeitung sogar den Löwenanteil der operativen Risiken ausmachen. Und genau da sind wir dann wieder bei den Themen:

Verfügbarkeit - Notfallplan etc.
Vertraulichkeit - Schutz vor Spionage
Integrität - Schutz vor Sabotage

Die Güte der Risikovorsorge und deren Dokumentation bestimmen fast ausschließlich das Kredit-Rating und damit den Zins für das Darlehen - oder sogar eine Ablehnung. Einen Ermessenspielraum der Bank wird es in Zukunft kaum noch geben.

Ein gut strukturiertes und dokumentiertes IT-Sicherheitskonzept führt also zu günstigeren Krediten !

Sarbanes Oxley

Das Sarbanes Oxley Oxley Gesetz - im Jargon auch SOX genannt - ist 2004 in USA in Kraft getreten und soll kriminelle Insolvenzen wie bei Enron und Worldcom verhindern. Der Name stammt von den beiden Senatoren Sarbanes und Oxley, die das Gesetz auf den Weg gebracht haben.
SOX soll zeitgerechte und korrekte Bilanzen der börsennotierten Unternehmen sicherstellen. Es sind auch alle Tochtergesellschaften von US Firmen weltweit betroffen.
Da Buchhaltung und Bilanzierung heute üblicherweise auf Datenverarbeitungsanlagen stattfindet, ist das Thema IT-Sicherheit bei SOX von zentraler Bedeutung - insbesondere die beiden Themen:

Verfügbarkeit - eben wegen der zeitgerechten Bilanzierung
Integrität - eben wegen der Gefahr der Manipulation von Finanzdaten

- zum Seitenanfang -

Arbeitsgesetze - Internet/Email Überwachung und private Nutzung

IT-Sicherheitsmassnahmen stehen mitunter im Konflikt mit Schutzrechten der Arbeitnehmer.

Sehr umstritten ist z.Zt. die Frage, ob und unter welchen Umständen und in welchem Umfang der Arbeitgeber den Email Verkehr und das Internet-Surfen der Mitarbeiter kontrollieren darf - selbst wenn im Unternehmen der private Gebrauch von Email/Internet strikt verboten ist.

Schon wenn die private Nutzung von Email/Internet gelegentlich toleriert wird, ist das Unternehmen ein Telekommunikations-Dienstleister und unterliegt damit einer verwirrenden Vielzahl von Rechtsvorschriften zur Telekommunikation.

Juristisch wird heute die Nutzung von Firmen-Email/Internet zunehmend der Firmentelefonanlage gleichgestellt.

Ein Betriebsvereinbarung ist hier sehr zu empfehlen, um Klarheit zu schaffen.

Der Trend den ich beobachte: Firmen gestatten den Mitarbeitern den "moderaten", privaten Gebrauch von Telefon, Email und Internet, z.B. in den Pausen. Downloads und größere Mail-Anhänge werden nicht geduldet, da die Firmennetze damit zu sehr belastet würden. Unter Umständen sind Filter installiert, die den Besuch von unerwünschten Web-Sites blockieren (Sex, Rassenhass, Kriegshetze etc.). Überprüfungen der Mails / Internetbesuche werden nur in Absprache mit dem Betriebsrat und auf konkreten Verdacht hin durchgeführt. Mit ein wenig Augenmass und Pragmatismus finden sich eine für alle gute Lösung.

Formulierungsvorschlag für eine Unternehmensanweisung zur privaten Internetnutzung:

Internetzugang und Emailsystem der Firma stehen Ihnen hauptsächlich zur Erfüllung Ihrer betrieblichen Aufgaben zur Verfügung. Wir tolerieren eine moderate private Nutzung in den Pausen. Moderat bedeutet, dass Ihre Nutzung:

den Dienstbetrieb nicht stört - z.B. durch größere Downloads
keine kriminellen, anstößigen oder sonstige Inhalte, die den Firmenrichtlinien zuwider laufen, aufgerufen oder versendet werden.

Das Unternehmen überwacht aus Gründen der IT-Sicherheit den Netzwerk- und Internetverkehr. In Ihrer Abwesenheit (Urlaub, Krankheit) kann es notwendig sein, auf Ihre Emails und Daten zuzugreifen. Da das Unternehmen technisch nicht zwischen Firmendaten und privaten Daten unterscheiden kann, können unsere IT-Administratoren somit auch auf Ihre privaten Daten zu greifen. Sobald es sich erkennbar um private Daten handelt, wird das Unternehmen diese Daten nicht weiter auswerten. Diese private Nutzung von Internet und Email ist daher nur gestattet, wenn Sie den obigen Regeln zustimmen. Andernfalls ist Ihnen die private Nutzung ausdrücklich nicht gestattet.

- zum Seitenanfang -

Spezielle Vorschriften von Aufsichtsbehörden

Für bestimmte Branchen (Banken, Versicherungen, Krankenkassen, Krankenhäuser, Ärzte etc.) gibt es weitere Rechtsvorschriften über die Verarbeitung von (personenbezogenen) Daten. So muss z.B. eine Bank innerhalb von 24 Stunden den aktuellen Stand seiner Konten und seine wirtschaftliche Lage darstellen können. Selbst in einem Desaster-Fall (z.B. Brand im Rechenzentrum) muss das nach 48 Stunden möglich sein. Das hat nichts mit Datenschutz zu tun, sondern mit IT-Compliance, der Einhaltung ALLER Rechtsvorschriften, von denen das BDSG nur eine ist.
Jedenfalls ist auch hier wieder die Gewährleistung von Verfügbarkeit, Vertraulichkeit und Integrität von zentraler Bedeutung.
Jedes Unternehmen ist gut beraten, einen Verantwortlichen für die IT-Compliance zu benennen, u.U. einen externen Berater.
Der IT-Sicherheitsbeauftragte kann diese Aufgabe auch in Personalunion wahrnehmen.

Bankgeheimnis

Das Bankgeheimnis ist kein eigenständiges Gesetz sondern ergibt sich aus diversen Rechtsvorschriften, darunter das BDSG. Salopp gesagt dehnt das Bankgeheimnis den Datenschutz von natürlichen auch auf juristische Personen (Firmen, Vereine etc.) aus und wird sehr eng ausgelegt. Allein schon die Information, dass eine Person oder Firma Kunde einer Bank ist, unterliegt dem Bankgeheimnis. In der Konsequenz müssen Banken bei der Erhebung / Speicherung / Verarbeitung / Weitergabe von Daten größte Sorgfalt walten lassen.

Zusammenfassung:

Es ist wirtschaftlicher Unsinn die für die jeweiligen Gesetze notwendigen IT-Sicherheitsmassnahmen einzeln durchzuführen und zu dokumentieren. Dies führt zu Mehrfachaufwand und unnötigen Kosten.
Vielmehr sollten Sie Ihr IT-Sicherheitskonzept so aufsetzen, dass alle Sie alle Ihr Unternehmen gesetzlichen Vorgaben erfüllt werden. Dazu ist natürlich eine gute Kenntnis aller entsprechenden Gesetze notwendig. Der Begriff IT Governance steht für diese übergreifende Betrachtung. Es gibt diverse Rahmen-Regelwerke, die sich zum Ziel gesetzt haben, eben diese übergreifende IT Governance zu gewährleisten. Am stärksten durchgesetzt hat sich dabei das Regelwerk CoBIT.
Der bedeutendste Verband zur IT Governance ist die ISACA, die auch ein recht aktives Deutsches Chapter unterhält.

Ich selber bin zertifizierter IT Governance Manager der ISACA

- zum Seitenanfang -

© 2001-2013 Hanns J. Proenen, Lohmar. Der Text ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Bilder - auch auszugsweise - ohne vorherige schriftliche Genehmigung von Hanns J. Proenen ist strafbar. Das gilt insbesondere für die Vervielfältigung, Verwendung in Kursunterlagen oder elektronischen Systemen.

Stand: 18. Juni 2013