„Ein Unternehmen ist ohne IT tot“

Compliance & IT

Seit November 2016 kooperieren der Berufsverband der Compliance Manager (BCM) und der ISACA Germany Chapter, der Berufsverband der IT-Revisoren und IT-Governance-Experten, inhaltlich miteinander. In der Fachgruppe IT-Compliance sollen Juristen und Informatiker zusammengebracht werden und zu einem neuen gemeinsamen Verständnis hinsichtlich technisch-juristischer Fragestellungen gelangen. Andreas Schmidt, der Leiter dieser Fachgruppe, erklärt, worum es gehen wird.

Herr Schmidt, beim BCM gibt es seit langem die Fachgruppe IT-Compliance, deren Leiter Sie sind. Beim ISACA gab es sie bisher nicht. Warum?
Ja, jetzt gibt es auch beim ISACA Germany Chapter die Fachgruppe IT-Compliance. Tatsächlich ist sie die legitime Nachfolgerin der seit 2007 bei ISACA bestehenden Fachgruppe „Datenschutz“. Zuletzt hatten wir 2009 in dieser Fachgruppe, nach Aufforderung des Innenministeriums, den damaligen Entwurf des aktuellen Bundesdatenschutzgesetzes kommentiert. Allerdings wurde uns in der Fachgruppe wie im ISACA-Vorstand immer mehr bewusst, wie die gesetzlichen Anforderungen für die IT-Abteilungen immer mehr anschwollen, sich teilweise auch überlappten, während die Unternehmen kaum noch den Überblick hatten, geschweige denn bei der technischen Umsetzung rechtlicher Normen unterstützt wurden. Da hat jeder bestmöglich mit viel Aufwand, mehr oder weniger effizient versucht, diesen Anforderungen gerecht zu werden. Diese betrafen insbesondere die Themen Datenschutz und seit kürzerem Gesetze betreffend die IT-Sicherheit. Traditionell ist die Umsetzung von Gesetzen im Unternehmen bei den Rechtsabteilungen verortet, die aber ebenso traditionell eher gering ausgeprägte IT-Kenntnisse haben.

Ich gebe Ihnen dazu ein Beispiel: Aktuell spielt das Thema Cloud Computing in der Wirtschaft eine immer größere Rolle auf der Suche nach effizientem Rechenzentrumsbetrieb und Kosteneinsparung. Welcher „allgemeine“ Jurist ist so tief mit diesem Thema vertraut, um hier vernünftige Verträge aufzusetzen, außer natürlich darauf spezialisierte Fachanwälte? Allein das Thema Cloud Computing beinhaltet so viele rechtliche Fragestellungen und Fallstricke, insbesondere nach der Aufkündigung von Safe Harbour und dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DS-GVO). Es war höchste Zeit, dass unser Verband sich dieses Problems annimmt und unseren Mitgliedern ein umfassenderes Angebot zur Erarbeitung von Lösungen und Hilfe bietet. Das war u.a. der wesentliche Grund, warum wir bei ISACA in Deutschland die Fachgruppe Datenschutz in einer neuen Fachgruppe IT-Compliance aufgehen ließen, wo natürlich das Thema Datenschutz auch noch eine wesentliche Rolle spielt – aber es ist dort nunmehr ein juristisches Thema von vielen.

Sie haben mittlerweile auf Seiten des ISACA Germany Chapter führende Experten auf dem Gebiet IT Compliance in der Fachgruppe versammelt. Wer ist schon dabei?
Wir konnten zum Beispiel Prof. Michael Klotz von der Stralsund University of Applied Sciences gewinnen. Er ist eine Institution für IT-Compliance in Deutschland und hat als Erster dieses Thema wissenschaftlich aufgearbeitet. Auch Prof. Klaus Gennen, Fachanwalt für IT-Recht in der Kanzlei Legerlotz, Laschet und Partner aus Köln, ist ein ausgewiesener Spezialist im IT-Recht. Darüber hinaus konnten wir auch Holger Klindtworth, Partner bei Ebner Stolz, überzeugen, ebenfalls ein wichtiges Asset aufgrund seiner langjährigen Erfahrungen im Bereich Prüfung von IT-Compliance. Und nicht zuletzt haben wir noch eine Reihe von Praktikern aus den Unternehmen, die ebenfalls dabei sind.


Quellen: http://www.dsri.de/downloads/itc2007/folien/01-Rath.pdf

Erklären Sie uns bitte, welchen Mehrwert IT-Compliance für BCM-Mitglieder hat.
Lassen Sie mich das mit dem menschlichen Körper vergleichen: Wir schützen unseren Körper von außen wie von innen, wir überwachen ihn regelmäßig durch Untersuchungen oder neuerdings durch elektronische Gadgets. Und wir Menschen haben uns an Regeln zu halten. Wir sind aufgefordert, uns nach den Regeln und Moralvorstellungen der herrschenden Gesellschaftsethik zu verhalten und uns nach den jeweiligen Gesetzen als Standard für unser Verhalten und Tun zu richten. Ähnlich verhält es sich mit IT-Sicherheit und IT-Compliance.
Und damit kommen wir zur Ausgangslage, dass hinsichtlich des Betreibens Ihres IT-Systems das Thema IT-Compliance, also der regelkonforme Betrieb, sowohl von der technischen Seite als auch zunehmend von der juristischen Seite betrachtet werden muss. Daher ist es allerhöchste Zeit, dass Juristen und Informatiker zu einem gemeinsamen Verständnis und einer gemeinsamen Sprache finden. Bisher, so mein Eindruck, fehlt eben dieses gemeinsame Grundverständnis! Und diese Lücke wollen wir mit der Fachgruppe IT-Compliance schließen.

Ich habe kürzlich eine sehr gute Übersicht über die Masse von gesetzlichen und sonstigen Anforderungen gefunden (siehe Übersicht), die bereits heute für den Bereich IT-Compliance relevant sind und eingehalten werden müssen. Und diese Regeln können weitestgehend nur informationstechnisch umgesetzt werden. Der Jurist heutzutage, insbesondere wenn er sich mit Compliance auseinandersetzt, benötigt zumindest ein wenig technische Sensibilität, da inzwischen der Umfang der Regulierung die IT betreffend so angewachsen ist, dass es zunehmend schwieriger wird, im IT-Betrieb compliant zu sein. Wenn Sie an dieser Stelle nicht zumindest über ein „informationstechnisches Grundrauschen“ verfügen oder gar Ablehnung gegen IT hegen, dann haben Sie über kurz oder lang ein Problem.

Daher meine Überlegung: Wenn man es schaffen würde, Juristen und Informatiker an einen Tisch zusammenzubringen, diese sich in einer lockeren Runde über technisch-juristische Anforderungen austauschen, dann hat jeder die Möglichkeit, voneinander zu lernen. Wenn der Informatiker seine Sichtweise zu einem bestimmten Problem darlegt, dann hat der Jurist die Möglichkeit, das mit seiner rein juristischen Sichtweise zu vergleichen. Es geht im ersten Schritt darum, dass beide Seiten einander zuhören, dass die Problematik gemeinsam besprochen und letztlich gelöst wird.

Ihnen selbst geht es ja auch darum, das Verständnis darüber zu schärfen, wie wichtig IT-Compliance ist …
Ja, denn die Kronjuwelen eines Unternehmens sind heute und noch mehr zukünftig völlig unstrittig die IT und ihre Daten. Darüber muss sich jeder im Klaren sein, insbesondere in der Geschäftsführung.  Und dieses Denken muss durch alle Managementebenen diffundieren.

Und die IT wird zukünftig wesentlich für den Geschäftserfolg eines Unternehmens verantwortlich sein, weil nur darüber neue Geschäftsfelder erschlossen und die Möglichkeiten der Digitalisierung erfolgreich genutzt werden können, und nur über IT ist es möglich, zukünftige Unternehmensprozesse effizient zu gestalten. Wer heute noch IT als Hilfsmittel, Anhängsel oder lediglich als Kostenfaktor betrachtet, der hat eine wichtige wirtschaftliche Entwicklung nicht bemerkt, nämlich dass wir uns bereits in der 4. industriellen Revolution befinden. Entsprechend müssen die Unternehmen ihre IT anpassen, möglichst effizient und unkompliziert, aber ordnungsgemäß. Und das ist die Aufgabe von IT-Compliance.

Weitere Artikel