Ein neues Kürzel beschäftigt die IT-Verantwortlichen in den Unternehmen: GRC. Es steht für Governance, Risk & Compliance und lässt sich in etwa mit Unternehmensführung, Risikomanagement und Einhaltung von Regeln übersetzen.
Die zahlreichen wirtschaftskriminellen Großskandale der letzten zehn Jahre und auch die aktuelle Finanzkrise führen dazu, dass Regierungen mit immer mehr Gesetzen in die Tätigkeit von Unternehmen eingreifen. Dies führt gerade bei international und in mehreren Rechtsräumen tätigen Konzernen zu Zielkonflikten, da nationale Regeln einander oft widersprechen aber trotzdem unternehmensweit umzusetzen sind.
Dies wäre an sich kein Problem – in Deutschland hat man sich an deutsches, in Italien an italienisches und in den USA an amerikanisches Recht zu halten. Doch speziell die USA neigten in den letzten Jahren stark dazu, US-Gesetze so zu formulierten dass sie auch in anderen Ländern Geltung erlangen können und so in andere Rechtsräume „hineindiffundieren“. Ein Beispiel für diese Form „juristischer Osmose“ ist der amerikanische Sarbanes-Oxley-Act, kurz SOX genannt. Das SOX-Gesetz gilt für amerikanische und ausländische Unternehmen, deren Wertpapiere an US-Börsen notiert sind, außerbörslich gehandelt oder öffentlich angeboten werden und bezieht auch deren Tochterunternehmen mit ein. Es betrifft verschiedene Aspekte der Corporate Governance, Compliance und der Berichterstattungspflichten von Publikumsgesellschaften sowie der damit zusammenhängenden Durchsetzung. Insbesondere Vorgaben, die die vorgeschriebene Einrichtung eines internen Kontrollsystems betreffen, verstoßen dabei häufig gegen deutsches Datenschutzrecht.
Der Datenschutzskandal der Deutschen Bahn (Rasterdatenabgleich von Mitarbeiterdaten und Lieferantendaten zum Zwecke angeblicher Korruptionsvorbeugung) wäre nach SOX ein wichtiges Element eines internen Kontrollsystems. Ebenso das Überwachen und Mitlesen von Mails der Beschäftigten zur Aufdeckung von Insider-Datenlecks.
Nach deutschem Arbeitsrecht wären solche Aktionen schlicht illegal. Hier zeigen sich grundsätzliche Unterschiede der angelsächsischen und kontinentaleuropäischen Rechtskultur.
Heikel ist auch die Übermittlung personenbezogener Daten von Beschäftigten oder Kunden in die USA, bekanntlich eine datenschutzrechtliche Bananenrepublik.
Wie aber sollen Unternehmen damit umgehen?
Andreas Jaspers, Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) schlägt in einem Interview mit der Computerzeitung vor, dieses Problem durch entsprechende individualvertragliche Vereinbarungen zu lösen, die US-Partner bzgl. der übermittelnden Daten auf europäische Datenschutzstandards festlegen.
Auch die von SOX geforderten Meldesysteme für interne Compliance-Verstöße (Whistleblowing-Systeme) könnten durchaus datenschutzkonform gestaltet werden. Jaspers: „Wichtig ist hier, die Datenschutzbeauftragten in die Ausgestaltung der Anforderungen einzubinden, da beim Datenschutzbeauftragten in der Regel das notwendige Fach-Know-how zur Auflösung dieses Zielkonfliktes vorhanden ist.“
Ähnliches schlägt auch Holger Wöhle, Leiter für Informationssicherheit bei Arcor vor: „SOX lässt sich durchaus datenschutzkonform umsetzen, eben über Einbeziehung von Datenschutzbeauftragten und Betriebsrat sowie Transparentmachen der Maßnahmen.“
Umgekehrt bedeutet das aber auch, dass gerade Firmen, die das Compliance-Argument gegenüber ihren Betriebsräten bisher gerne zur Durchsetzung unangemessener Formen der Bespitzelung und Ausforschung ihrer Beschäftigten nutzten, jetzt Gegenwind erhalten. Denn Compliance bedeutet keinesfalls nur verstärkte Kontrolle sondern schlicht die Einhaltung aller Gesetze und Normen. Also auch die zum Schutze der Rechte der Beschäftigten. Und Betriebsräte sind schon gesetzlich mit einem „allgemeines Wächteramt“ ausgestattet und haben darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen eingehalten werden (§ 80 BetrVG). Sie haben sich daher bereits mit Compliance-Problemen befasst, als es den Begriff im deutschsprachigen Raum noch gar nicht gab.
Letztlich muss aber jeder IT-Sicherheitsmanager zusehen, wie er die zum Teil widersprüchlichen regulatorischen Anforderungen in ein trotzdem noch praktikables IT-Sicherheitskonzept bzw. in Compliance-Richtlinien einbringen kann. Allerdings kann selbst ein CIO Entscheidungen zwischen widersprüchliche Anforderungen nicht selbst treffen sondern täte gut daran, diese Widersprüche dem Management offen zu legen und entsprechende Priorisierungen auf der Ebene der Unternehmensführung einzufordern.
Dort aber werden die Entscheider in den Vorstandsetagen der Unternehmen das tun müssen, was sie in solchen Fällen schon immer taten: Prioritäten setzen, entsprechende Entscheidungen treffen und die Verantwortung für die Folgen tragen.
Um dies aber tun zu können, werden sie bis auf weiteres immer umfänglicheres Zahlen- und Datenmaterial aus der IT erwarten. Was auf Dauer den Anbietern von Tools und Plattformen zur Umsetzung von Compliance-Anforderungen zugute kommen dürfte. Sowie der Standardisierung der IT durch Vorgehensmodelle wie ITIL (Prozesse) oder COBIT (Kennzahlen).
