Die sogenannte Euro-SOX (8. EU-Richtlinie) gilt seit Juli 2008. Mit der Novellierung des Datenschutzgesetzes vom 14. August 2009 wurden zahlreiche Regelungen, Straftat- und Bußgeldtatbestände neu eingeführt oder verschärft, etwa zum Umgang mit personenbezogenen Daten oder zu den Informationspflichten bei Datenschutzverstößen. Im Juni 2011 wurde MoReq2010, eine Spezifikation für elektronisches Dokumenten- und Records-Management, veröffentlicht. Andere Vorschriften wie die „Prüfbarkeit digitaler Unterlagen“ (GDPdU) schreiben die E-Mail-Archivierung vor oder verpflichten Unternehmen zu einem Risikomanagement (MaRisk) bzw. Risikofrüherkennungssystem (KonTraG).
Geschäftsführer und CIOs können haftbar gemacht werden
Geschäftsführer und CIOs sind verantwortlich und ggf. auch persönlich haftbar dafür, dass solche Verhaltensmaßregeln, Gesetze, vertragliche Pflichten und Richtlinien umfassend und dauerhaft eingehalten werden (Compliance). Verantwortliche in Deutschland werden immer häufiger zur Verantwortung gezogen. Sie sind verpflichtet, ein wirksames Risikomanagementsystem einzuführen, die Funktionsweise der IT nachvollziehbar zu dokumentieren und für eine angemessene Archivierung digitaler Dokumente zu sorgen. Können sie das nicht lückenlos nachweisen, drohen Haftungsklagen, Marktzugangsbarrieren, Probleme bei der Kreditaufnahme oder der Bilanzprüfung.
Compliance rechnet sich
Viele Unternehmen scheuen dennoch den Aufwand für ein systematisches Risikomanagement. Ganz zu Unrecht. Unternehmen, die z.B. gemäß der maßgeblichen ISO-Norm 27001 ein Informationssicherheits-Management eingeführt haben, verfügen nicht nur über einen Nachweis der IT-Compliance – sie profitieren auch von effektiveren und standardisierten Abläufen. Außerdem können sich Verantwortliche damit absichern, persönlich alles Notwendige getan zu haben.
Um den notwendigen Handlungsbedarf, sowie Kosten und Nutzen solcher Maßnahmen realistisch abschätzen zu können, empfiehlt AirITSystems zunächst einen Einstiegs-Workshop.
Ihr Kontakt: Georg Gomm, g.gomm(at)airitsystems.de