Mit einem Bein im Gefängnis

Zugleich muss es im Rahmen der IT-Compliance gesetzliche Bestimmungen, vertragliche Pflichten und anerkannte Standards zur IT-Sicherheit, wie etwa ISO/IEC 27001 oder des BSI (Bundesamt für Sicherheit in der Informationstechnik), einhalten. Bei Verstößen haften GmbH-Geschäftsführer mit dem eigenen Vermögen, Vorstände von Aktiengesellschaften dürfen nicht entlastet werden.

Revisionssicher archivieren

Für elektronische Buchungsprozesse und den E-Mail-Verkehr gelten wiederum die umfangreichen gesetzlichen Archivierungspflichten aus dem Handels- und Steuerrecht. Das verpflichtet Firmen dazu, die bei geschäftlichen Transaktionen anfallenden Daten und elektronischen Dokumente revisionssicher aufzubewahren.

Um den gesetzlichen Anforderungen zu genügen, ist der Einsatz von Archivierungs- und Dokumenten-Management-Systemen erforderlich. Auch bei Prozessen gegen (ehemalige) Geschäftspartner ist die lückenlose Dokumentation der geschäftlichen Korrespondenz oft hilfreich.

Datenschutzkonforme Mitarbeiterkontrolle

Wie die jüngsten Datenskandale, etwa bei der Deutschen Bahn, zeigen, dass eine datenschutzkonforme Kontrolle von Mitarbeitern - z. B. aus Gründen der Korruptionsbekämpfung - wichtig ist. Datenbankabgleiche, Auswertung von Protokolldateien, das Einsehen der E-Mail-Korresponz oder das Screening von Mitarbeitern sind laut BDSG nur zulässig, "wenn aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip die Maßnahme erforderlich und angemessen ist".

Den Leitfaden zur IT-Compliance hat das Münchner Software-Unternehmen Bluecoat zusammen mit dem auf IT-Recht spezialisierten Rechtsanwalt Horst Speichert von der Kanzlei esb Rechtsanwälte erstellt.