Die Notwendigkeit eines funktionierenden IT-Compliance-Systems

IT-Compliance – Fragen und Antworten

©-Coloures-Pic-Fotolia.com
©-Coloures-Pic-Fotolia.com

Kaum ein Unternehmen kommt heutzutage ohne eine funktionierende IT-Abteilung aus. Doch mit der Schaffung der technischen Voraussetzungen ist es zwischenzeitlich leider nicht mehr getan.

Hierbei spielt der Begriff der IT-Compliance eine wichtige Rolle. Bei der IT-Compliance geht es grundsätzlich um die Schaffung eines Systems zur Sicherung der Einhaltung gesetzlicher und vertraglicher Regelungen. Aufgrund der sich zunehmend regelmäßig ändernden Rechtsprechung und Gesetzesvorschriften haben wir zwischenzeitlich die Situation, dass Unternehmen zunehmend für die Überprüfung der Einhaltung von gesetzlichen Regelungen Arbeitnehmer einsetzen müssen, die sich ausschließlich um diese Aufgabe kümmern. Dies führt zwischenzeitlich dazu, dass größere Unternehmen vermehrt eine vollständige IT-Compliance-Abteilung mit mehreren Mitarbeitern unterhalten.

Es stellt sich in diesem Zusammenhang die berechtigte Frage, weshalb die Schaffung eines derartigen IT-Compliance-Systems überhaupt notwendig ist.

Um diese Frage zu beantworten muss man sich zunächst Haftungsfragen von Geschäftsführern und sonstigen Verantwortlichen genauer anschauen. Geschäftsführer einer GmbH z. B. haften gemäß § 43 GmbHG persönlich für die Einhaltung von gesetzlichen Regelungen, zu welchen IT-Compliance-Richtlinien ebenfalls zählen.

Allein dieser Umstand sollte jeden Geschäftsführer dazu bewegen, ein rechtlich und tatsächlich funktionierendes IT-Compliance-System aufzubauen.

Darüber hinaus ist ein funktionierendes IT-Compliance-System für die Glaubwürdigkeit gegenüber Kapitalgebern elementar, da hierdurch nachweislich Schadensrisiken innerhalb eines Unternehmens verbessert bzw. reduziert werden. Betrachtet man zum allein als Beispiel verschiedene mögliche Lizenzverstöße bei Softwareanwendungen, die aufgrund rechtlicher Unwissenheit sehr schnell vorliegen, so können diese zu erheblichen Mehrkosten eines Unternehmens führen, die letztendlich die finanzielle Einstufung eines Unternehmens nachhaltig beeinflussen. Wenn jedoch ein Unternehmen ein funktionierendes IT-Compliance-System unterhält, in welchem etwa Lizenzbestimmungen richtig angewendet und dokumentiert werden, so sind die daraus resultierenden Schadenersatzrisiken erheblich minimiert.

Softwareverträge richtig gestalten

Im Rahmen einer funktionierenden IT-Abteilung kommt man nicht daran vorbei verschiedene Software- und IT-Verträge mit dritten Unternehmern oder eigenen Tochterunternehmen zu begründen. Die Vertragsgestaltung setzt jedoch voraus, dass sämtliche Eventualitäten, die direkten Einfluss auf den Geschäftsbetrieb eines Unternehmens haben, insoweit geklärt sind.

Ein sehr großes und mittlerweile elementares Thema sind hierbei datenschutzrechtliche Fragen, die leider immer wieder gerne als unwichtig angesehen werden.

Es sind innerhalb von Softwareverträgen bzw. IT-Verträgen allgemein, etwa Fragen zu klären wie: Was passiert wenn das IT-System ausfällt und das Unternehmen faktisch handlungsunfähig wird, wie sind Reaktionszeiten des Supports, welche Haftungssachverhalte werden zwischen den Vertragspartnern geregelt, sprich wer bezahlt für vermeidbare Systemausfälle.

Zunehmend wird jedoch festgestellt, dass Unternehmen innerhalb ihres IT-Systems im Unternehmen keinerlei Verträge pflegen und die Funktionsfähigkeit des eigenen IT-Systems im Unternehmen zum Teil auf reiner Vertrauensbasis überwacht wird.

Der Mitarbeiter als Teil des IT-Compliance-Systems

Im Rahmen der IT-Compliance wird etwa auch definiert, welche Sicherheitsstandards bei einem Serverbetrieb bestehen müssen oder in welcher Form Datenschutz betrieben werden muss. Für den Fall, dass ein behördlicher Datenschutzkontrolleur das Unternehmen aufsucht, sind entsprechende Vorgänge lückenlos und unverzüglich zu dokumentieren. Hierbei sind interne als auch externe Datenschutzbeauftragte dringend auf ein funktionierendes IT-Compliance-System angewiesen. Ist die IT-Abteilung im Unternehmen jedoch unstrukturiert und rechtlich ohne entsprechende Verträge ausgestaltet, so drohen im Rahmen einer datenschutzrechtlichen Prüfung empfindliche Bußgelder, sofern der Unternehmensbetrieb nicht datenschutzkonform ausgestaltet ist. Allein die in beinahe jedem Unternehmen durchzuführende Auftragsdatenverarbeitung muss innerhalb der jeweiligen IT-Verträge lückenlos geregelt sein.

Auch eine Regelung des Unternehmens gegenüber den eigenen Mitarbeitern ist im Rahmen der IT-Compliance notwendig. So ist die konkrete Nutzung des Internetzugangs sowie der geschäftlichen E-Mails zu regeln, darüber hinaus ebenfalls die etwaige Nutzung privater mobiler Geräte zu Geschäftszwecken, als auch die Regelung wie personenbezogene Daten im Rahmen einer Auftragsverarbeitung durch die Mitarbeiter zu handhaben sind.

Lizenzmanagement als Basis einer IT-Abteilung

 Ein großes Thema ist ebenfalls das bereits angesprochene Lizenzmanagement im Rahmen der einzelnen Softwareprogramme, die ein Unternehmen ständig nutzt.

Für den Fall, dass keine ausreichende Lizenz verwendet wird, ist mit erheblichen Schadenersatzansprüchen seitens der Lizenzgebern zu rechnen. Unwissenheit schützt hierbei nicht vor Strafe.

Weitere Themen im Rahmen der IT-Compliance sind unter anderem rein technische Maßnahmen zum Datenschutz, wichtige Sorgfaltspflichten etwa beim IT-Outsourcing, die Einrichtung eines voll umfassenden Überwachungssystems der eigenen IT-Infrastruktur, ein Risikomanagement, der rechtlich konforme Dialog mit dem Betriebsrat als auch die ständige Anpassung des IT-Compliance-Systems an die sich ändernde Rechtsprechung bzw. Gesetzeslage.

Innerhalb der Rechtsprechung ist zu beachten, dass sich innerhalb eines Geschäftsjahres die anzuwendende Rechtsprechung mehrmals ändern kann, da IT-Compliance überwiegend durch die zugrunde liegende Rechtsprechung geregelt wird.

Für das erfolgreiche Führen einer IT-Abteilung und im Rahmen einer IT-Abteilung als Business-Innovator ist es unablässig ein entsprechendes IT-Compliance-System innerhalb des eigenen Unternehmens einzuführen und zu pflegen.

Aus arbeitsrechtlicher Sicht sind im Rahmen von Compliance noch weitere wichtige Punkte zu beachten, die jedoch nicht in unmittelbarem Zusammenhang mit der IT-Struktur eines Unternehmens steht.

Vielmehr sind hierbei allgemeine Verhaltensregeln etwa von Führungskräften zu Annahme von Zuwendungen etc. zu erarbeiten.

Sollten Sie hierzu Fragen haben, so stehen wir Ihnen jederzeit gerne zur Verfügung.

 

Rechtsanwalt Michael Richter

Rechtsanwalt Michael Richter ist Fachanwalt für IT-Recht und steht ihnen in allen Fragen rund um Themen wie dem Softwarerecht, allen Bereichen des E-Commerce, als auch dem Wettbewerbs- und Markenrecht, sowie dem Gewerblichen Rechtsschutz kompetent zur Seite.