Haftungsrisiken IT-Compliance ist mehr als Datenschutz

Autor / Redakteur: Oliver Schonschek* / Stephan Augsten

So wichtig das Thema Datenschutz auch ist: Es gibt weitaus mehr gesetzliche Compliance-Vorgaben und Branchenstandards, die die Informationssicherheit betreffen. Angesichts der Haftungsrisiken sollten sich Führungskräfte dessen stets bewusst sein. Compliance-Tools können helfen.

Firmen zum Thema

In Deutschland rücken Cyberrisiken unter die Top 10 Unternehmensrisiken, wie das Allianz Risk Barometer 2015 zeigt.
In Deutschland rücken Cyberrisiken unter die Top 10 Unternehmensrisiken, wie das Allianz Risk Barometer 2015 zeigt.
(Bild: Allianz Global Corporate & Specialty)

Die Zeiten, in denen der Datenschutz ein Schattendasein fristete, sind lange vorbei. Inzwischen sind die Schlagzeilen ebenso gefüllt mit Themen rund um den Datenschutz wie die politischen Diskussionen und die IT-Sicherheitskonferenzen.

Laut dem aktuellem eco Report „IT Sicherheit 2015“ sehen 88 Prozent der befragten Sicherheitsexperten den „Datenschutz“ als das wichtigste Sicherheitsthema für 2015 an. Es besteht kein Zweifel, dass noch zahlreiche Aufgaben zu bewältigen sind, damit die Mehrzahl der Unternehmen die Vorgaben des Datenschutzes tatsächlich umgesetzt hat.

Es kommt nicht von ungefähr, dass die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz regelmäßig Mängelberichte über den Datenschutz in Unternehmen enthalten. Allerdings wäre es auch verfehlt, wenn sich die Geschäftsleitung eines Unternehmens ganz auf die Fragen des Datenschutzes konzentriert, wenn es um die rechtlichen und vertraglichen Forderungen zur IT-Sicherheit geht.

IT-Sicherheit muss vielen Forderungen gerecht werden

Oftmals ist sich das Management der Vielfalt der IT-Sicherheitsanforderungen und der damit verbundenen Risiken nicht bewusst genug. Einer der Gründe dafür ist die mangelnde Kommunikation zwischen den IT-Sicherheitsverantwortlichen und den Vertretern der Geschäftsleitung, wie eine Ponemon-Studie deutlich gemacht hat.

Weitere Probleme bereitet die Komplexität der rechtlichen Vorgaben für die IT-Sicherheit. Ein ganzes Bündel an Gesetzen, Verordnungen, Richtlinien und vertraglichen Vereinbarungen kann zur sogenannten IT-Compliance gezählt werden, die erreicht werden muss. Fehlt ein Prozess zur Erreichung der IT-Compliance, ist der Prozess und der Status nicht ausreichend dokumentiert oder wird die IT-Compliance insgesamt nicht erreicht, kann dies spürbare Folgen haben.

Dies gilt insbesondere für die Geschäftsleitung, die sowohl beim Datenschutz als auch bei den anderen Compliance-Vorgaben als die verantwortliche Stelle betrachtet wird. Compliance-Verstöße können je nach rechtlichem Bereich zu Vertragsstrafen, Bußgeldern und sogar zur persönlichen Haftung der Unternehmensleitung führen.

Compliance-Verstöße und Haftungsrisiken vermeiden

Jedes Unternehmen sollte für sich prüfen, welche rechtlichen Anforderungen hinsichtlich IT-Compliance für die eigene Branche und das eigene Unternehmen bestehen. Dabei sollte man auch die einzelvertraglichen Pflichten nicht vergessen, denn in Kundenverträgen können ebenfalls konkrete Forderungen an die IT-Sicherheit zu finden sein.

Im Fall einer Auftragsdatenverarbeitung ist dies sogar Pflichtbestandteil der Verträge. Zusätzliche Verpflichtungen ergeben sich aus internen IT-Sicherheitsrichtlinien und einzuhaltenden SLAs (Service Level Agreements).

Ergänzendes zum Thema
Sicherheitsrelevante Compliance-Vorgaben

Die folgenden Beispiele für Compliance-Vorgaben mit Bezug zur IT-Sicherheit sind teilweise branchenabhängig und/oder Gegenstand vertraglicher Vereinbarungen.

  • Interne IT-Sicherheitsrichtlinien (individuell)
  • IT-Grundschutz-Kataloge
  • IT-Grundschutz-Standards
  • Payment Card Industry Data Security Standard
  • Service Level Agreements (SLA, individuell)

Die Geschäftsleitung muss die IT-Compliance sehr ernst nehmen, um (teilweise persönliche) Konsequenzen zu vermeiden. Die Benennung eines Compliance-Beauftragten oder zum Beispiel eines Datenschutzbeauftragten (DSB) entbindet das Management nicht von der eigenen Verantwortung.

Trotzdem ist die Beauftragung einer speziell zuständigen Person sehr sinnvoll, teilweise auch rechtlich gefordert. Hinzu kommt, dass die IT selbst ihren Beitrag leisten kann, um den Prozess und die Einhaltung der IT-Compliance besser in den Griff zu bekommen.

Compliance-Tools helfen bei der Übersicht und Dokumentation

Eine Reihe von Speziallösungen können Unternehmen dabei unterstützen, die jeweiligen IT-Risiken zu identifizieren und zu bewerten, Gegenmaßnahmen zu definieren und zu dokumentieren und den Umsetzungsstand mit verschiedenen Compliance-Vorgaben abzugleichen.

Beispiele für solche Lösungen sind die IT-Sicherheitsdatenbank SAVe der INFODAS GmbH, DocSetMinder der GRC Partner GmbH, die Agiliance RiskVision Platform, die MetricStream Compliance Management Solution, verinice und die RSA Archer GRC Suite. Je nach Lösung sind bereits umfangreiche Compliance-Kataloge integriert, in aller Regel können auch eigene Anforderungen definiert oder importiert werden.

Ganz gleich, mit welcher Lösung oder Methode ein Unternehmen den Überblick zur IT-Compliance behält: das Risiko einer Haftung oder von Vertragsstrafen sollte keiner unbeantwortet lassen, weder im Datenschutz noch in einem anderen Bereich der IT-Compliance.

* Oliver Schonschek, Dipl.-Phys., ist IT-Fachjournalist und IT-Analyst. Sein Fokus liegt auf IT-Sicherheit und Datenschutz in allen Bereichen der IT wie Cloud Computing, Mobile Enterprise, Big Data und Social Enterprise.

(ID:43501694)