Compliance: eine Aufgabe für die EDV

Wuppertal, 11.05.2007 – Im Rahmen der elektronischen Datenverarbeitung (EDV) werden Fragestellungen der Compliance immer bedeutender. Doch nicht nur der Datenschutz stellt die EDV-Leiter vor Herausforderungen, sondern auch Aspekte der Handels- und Steuergesetzgebung sind wichtig. Darüber hinaus sind erfahrungsgemäß auch im Mittelstand die Problemstellungen der Globalisierung wie Sarbannes Oxley oder internationaler Datentransfer, aber auch die ISO 27001 angekommen – und dass, obwohl sie im Regelfall keine gesetzliche Verpflichtung darstellen. Dies wurde auf der diesjährigen „IT-Trends Sicherheit“ am 8. Mai in Bochum durch die UIMC thematisiert. Nicht nur in Großunternehmen muss sich die EDV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Hierbei stellen schon die bereits seit Jahren bekannten Themen wie der Datenschutz insbesondere kleinere und mittelgroße Unternehmen (KMU) z. T. vor nicht gerade triviale Probleme: So müssen ein fachkundiger und zugleich interessenskonfliktfreier bzw. zuverlässiger Datenschutzbeauftragter bestellt, Zulässigkeitsfragestellungen geprüft und technisch-organisatorische Schutzmaßnahmen umgesetzt werden. Neben diesen alt-bekannten Fragestellungen stehen Themen wie allgemeine Gleichbehandlung, handels- und steuerrechtliche Anforderungen (wie beispielsweise GoDV, GdPSU) und Auskunftsersuchen der Strafverfolgungsbehörden auf der Agenda der EDV-Abteilungen zur Diskussion. Haftungsfragen gegenüber Geschäftspartnern durch eine schlechte IT-Sicherheit werden z. T. gar nicht erst bedacht. Auch der internationale Datentransfer oder Sarbannes Oxley sind mittlerweile Themenbereiche, denen sich nicht nur Großunternehmen, sondern unter Umständen auch der deutsche Mittelstand im Zusammenhang mit ausländischen Mutter-, Tochter- oder Schwesterunternehmen widmen muss. „Alleine diese exemplarischen Ausführungen zu möglichen Anforderungen an die EDV zeigt das Risikopotential, welches sich insbesondere KMU zunehmend aussetzen“, so Dr. Jörn Voßbein, Geschäftsführer der UIMC sowie mehrfach bestellter externer Datenschutz- und IT-Sicherheitsbeauftragter. Ferner gehen Wirtschaftsprüfer zunehmend dazu über, die Ordnungsmäßigkeit der Datenverarbeitung zu prüfen; und auch Banken und Investoren interessieren sich hierfür. Um diesen Risiken zu begegnen, müssen die o. g. Fragestellungen strukturiert angegangen, Schwachstellen aufgedeckt und mittels innerbetrieblicher Maßnahmen begegnet werden. „Doch vielen EDV- und Unternehmensleitern scheint gar nicht bekannt zu sein, welche Vorgaben für sie einschlägig sind und welchen Risiken sie sich aussetzen, geschweige denn, wie sie diesen begegnen können“, wie Tim Hoffmann, dessen Erfahrungswerte als Datenschutz- und IT-Sicherheitsberater im Mittelstand auf der diesjährigen „IT-Trends Sicherheit“ in vielen Gesprächen diesbezüglich bestätigt wurden. „Dies ist aber auch nicht weiter verwunderlich: Wer denkt bei EDV-Vorhaben schon an BGB, HGB und UWG?“ Dies hat die UIMC zum Anlass genommen, in ihrem Vortrag „Ist meine EDV ordnungsgemäß?“ über die Anforderungen und Risiken zu informieren sowie Lösungsmöglichkeiten zu skizzieren. Darüber hinaus zeigte sich auf dem Fachkongress, dass für die Vielzahl der anwesenden EDV-Verantwortlichen aus dem Mittelstand die ISO 27001 von steigenden Interesse ist, aber oftmals Bedenken hinsichtlich der Umsetzung bestehen. „Die Erläuterungen, dass diese durch den Einsatz von speziellen Analyse-Tools und von pragmatischen Auditoren, die einerseits erfahren sind und andererseits‚ das Rad nicht neu erfinden’ müssen, unbegründet sind, haben die Gesprächspartner aber nicht nur beruhigt, sondern vielmehr darin bestärkt, das Thema im eigenen Hause voranzutreiben“, so Tim Hoffmann weiter. Die Aktualität dieser Themen zeigte sich auch durch das Interesse der Zuhörer sowie durch intensive Diskussionen am Ausstellungsstand. Schließlich können sowohl die ISO 27001 als auch die rechtlichen Fragestellungen – sofern sie nicht als Selbstzweck verstanden werden – nicht nur eine gute Argumentationshilfe für die Bemühungen für mehr Sicherheit der eigenen EDV sein, sondern auch als Chance und als Richtschnur genutzt werden.