Computer-Nutzung wird immer mehr zum Fall für Juristen

IT-Governance birgt rechtliche Risiken für CIOs

02. März 2005
Von Dorothea Friedrich
Firmenvereinbarungen zur IT, Personalfragen und Governance sind nichts für den CIO. Diese Themen sollten Experten überlassen werden. Das meinte zumindest Andres Stein, ein führender IT-Anwalt im Gespräch mit unserer australischen Schwesterzeitschrift Computerworld.

Stein glaubt, dass eine Firmenvereinbarung über eine effektive Computernutzung fast immer zum Scheitern verurteilt sei. Unternehmen würden entweder ihre eigenen Richtlinien verwässern oder die Aufgabe gleich an den IT-Manager übergeben. Die Verantwortung für eine solche Vereinbarung gehöre aber in die Hände des Unternehmensvorstands oder der Personal- und Rechtsabteilungen, ist der IT-Anwalt überzeugt. IT-Manager sollten sich aus allem heraushalten, was Governance betreffe.

Mit einem Bein im Gefängnis

Seien IT-Manager jedoch an Governance-Prozessen beteiligt, sollten sie mit der Verantwortung nicht alleine gelassen werden. "Sie sind strafrechtlich verantwortlich, wenn sie bei der Verwendung von Personal- oder Finanzinformationen geltendes Recht brechen. Gerade weil CIO keine Rechts- oder Politikexperten seien, wären die gesetzlichen und finanziellen Risiken beträchtlich, so Stein.

So könnten unautorisierter Zugang oder Nutzung des Netzwerks für den IT-Verantwortlichen teilweise strafrechtliche Konsequenzen haben, sagte der Rechtsexperte. Dass sie angesichts der Rechtslage oft mit einem Bein im Gefängnis stünden, werde vielen IT-Verantwortlichen nämlich erst allmählich bewusst. "Ich hatte mit einer Firma aus dem Bankensektor zu tun, die ihre Richtlinien direkt von einer Firma aus dem Gesundheitssektor übernommen hatte und sie dann als ihre eigenen verkaufte", erinnerte sich Stein an einen Fall von besonders lockerem Umgang mit IT-Governance.

Ohne Juristen läuft nichts mehr

Rechtsabteilungen müssten deshalb künftig verstärkt in die Verabschiedung von IT-Richtlinien involviert sein. "Die IT-Abteilung kennt sich in ihrem Bereich aus und die Rechtsabteilung mit dem Gesetz. Aber wo bleibt die Alltagstauglichkeit, wenn man sagt, ein Student muss zunächst eine Schadensersatzvereinbarung unterschreiben, bevor er sich ins Netzwerk einloggt", zweifelte Stein an der Regulierungswut seiner Kollegen. Nach seiner Erfahrung sei es zwar noch nicht soweit, wie im fiktiven Fall, aber einige Rechtsabteilungen seien bereits auf so etwas vorbereitet.