Geschäftsführer missachten häufig ohne es zu wissen wichtige Sicherheitsvorschriften der Informationstechnologie. Doch es drohen auch strafrechtliche Folgen.
Muss man sich wirklich damit befassen, welche Gesetze direkt oder indirekt die betriebliche Informationstechnologie (IT) betreffen? Die Antwort ist ein klares Ja. Denn von der Sicherheit und Sicherung der Daten hängt viel ab: Zum einen kann sich Missbrauch oder Verlust von geschäftsrelevanten Informationen sehr schnell negativ auf Wettbewerbsfähigkeit und Image niederschlagen. Zum anderen riskiert ein Unternehmer hier persönlich haftbar gemacht zu werden, und das nicht nur zivil-, sondern auch strafrechtlich.
Aber wer kennt schon alle wichtigen Gesetze für die Informationstechnologie? Kennen sollte man zumindest die IT-„Gebote“, die das Finanzamt, das Risikomanagement und das Internet betreffen.
Jedes Unternehmen trifft es irgendwann: Eine Steuerprüfung steht ins Haus. Damit es hier keine bösen und vor allem teuren Überraschungen gibt, sollten zumindest zwei der wichtigsten Regelungen erfüllt sein: Zum einen muss den Finanzbehörden laut Abgabenordnung (AO) im Rahmen der Betriebsprüfung der Zugriff auf das DV-System des Steuerpflichtigen möglich sein. Zum anderen gilt es, die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten: Alle steuerlich relevanten Daten müssen zehn Jahre lang aufbewahrt werden. Auch E-Mails, die Angebote oder Bestellungen enthalten, sind daher so zu archivieren, dass sie bei einer Betriebsprüfung zur Verfügung stehen.
Risikomanagement
Ein weiterer wichtiger Punkt ist das Risikomanagement, auch wenn das Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich (KonTraG) und Basel II in erster Linie für Kapitalgesellschaften (AG oder GmbH) Relevanz
haben. Um frühzeitig Entwicklungen zu erkennen, die den Fortbestand einer Kapitalgesellschaft gefährden, müssen
laut KonTraG geeignete Maßnahmen zum Risikomanagement getroffen sowie ein Überwachungssystem eingerichtet werden.
So verpflichtet das Gesetz unter anderem zur Überprüfung der EDV-Sicherheit und zur Dokumentation der erkannten
Risiken im Lagebericht. Nach Basel II haben die Banken künftig auf die Kreditwürdigkeit und Stabilität ihrer
Kunden zu achten und Rückstellungen zu bilden, die ihren tatsächlichen Risiken entsprechen. Im Rahmen des dadurch
initiierten Ratings werden zahlreiche Kriterien für die Bonitätseinstufung der eigenen Geschäftskunden bewertet
– auch die eingesetzte EDV wird dabei unter die Lupe genommen.
Internet-Sicherheit
Gefahrenquelle Nummer eins ist nach wie vor das Internet. Auch rechtlich gesehen sind die Kommunikation via
E-Mail und das World Wide Web für den Unternehmer ein Minenfeld. Hier könnten ihm vor allem das
Telekommunikationsgesetz (TKG) sowie das Urhebergesetz (UrhG) zu schaffen machen. Das TKG regelt insbesondere das
Fernmeldegeheimnis (§ 85) und damit die Internet-Nutzung am Arbeitsplatz: Werden von einer E-Mail-Adresse sowohl
geschäftliche als auch private E-Mails verschickt, so unterliegen private E-Mails dem Fernmeldegeheimnis. Das
bedeutet, dass diese Daten nur von den Adressaten zur Kenntnis genommen werden dürfen und nach Beendigung des
Abrufs unverzüglich vom Diensteanbieter – in diesem Fall vom Arbeitgeber – zu löschen sind. Bei
dienstlichen E-Mails hingegen besteht von Seiten des Arbeitgebers legitimes Interesse daran, Verbindungsdaten
längerfristig zu speichern (allein aus steuerrechtlichen Gründen, vgl. GDPdU).
PC-Anwender surfen oft auch auf Websites, deren Nutzung gegen bestehende Lizenzrechte verstoßen können (z. B. Musiktauschbörsen). Nach dem Urheberrechtsgesetz ist der Geschäftsführer dazu verpflichtet, die unrechtmäßige Nutzung geschützter Software in seinem Unternehmen zu unterbinden.
Wie kann also nun ein Vorstand oder Geschäftsführer sicherstellen, dass er bei den wichtigsten IT-Gesetzen keine größeren Fehler macht? Um sich hier Gewissheit zu verschaffen, empfiehlt sich ein IT-Sicherheits-Audit, wie es von externen Dienstleistern durchgeführt wird. Bei einem solchen „Security-Audit“ werden die wichtigsten IT-Systeme und deren Konfiguration auf Sicherheitslücken überprüft, notwendige organisatorische und technische Maßnahmen eingeleitet sowie umfangreiche Sicherheitsrichtlinien erstellt.
Abgesehen von solchen grundlegenden Überprüfungen gibt es vor allem zwei Themenbereiche, die im Fokus der IT-Verantwortlichen stehen sollten: Beim Speicher- und Datenmanagement gilt zu analysieren, ob die dauerhafte Archivierung von Daten und deren effiziente Verwaltung gewährleistet werden kann. Bei der E-Mail- und Internet-Nutzung muss sichergestellt sein, dass die Mitarbeiter keine illegalen Daten oder Viren zugeschickt bekommen oder während der Arbeitszeit private Recherchen im Internet vornehmen.
Sicherheitstechnologien allein machen ein Unternehmen noch nicht sicher. Vielmehr muss jeder einzelne Mitarbeiter verantwortungsvoll mit sensiblen Daten, E-Mail und Internet umgehen. Doch da der Chef letztendlich für Gesetzesverstöße gerade stehen muss, ist es seine Aufgabe, hier klare Vorgaben zu machen. Das heißt zum Beispiel in Sachen E-Mail-Nutzung am Arbeitsplatz: Wenn in einem Unternehmen eine Content-Security-Lösung oder ein E-Mail-Filter zum Einsatz kommt, muss die Geschäftsleitung den Mitarbeitern jede private Internet-Nutzung untersagen, da sie ansonsten gegen das Fernmeldegeheimnis verstößt. Private E-Mails darf es somit nicht geben.
