"Die gefühlte Haftungslage hat sich verschlechtert"

Warum BYOD rechtlich äußerst riskant ist

Simon verantwortet auf der Computerwoche redaktionell leitend die Themenbereiche IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er hat aber auch Trends wie Big Data, Analytics und Cloud Computing sowie IT-Projekte in den Fachabteilungen im Blick. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche und ab und an die iPad-Ausgaben der Computerwoche. Aufgaben als Computerwoche-Online-News-Aushelfer, in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Rechtsanwalt Wilfried Reiners, Geschäftsführer der PRW Consulting GmbH, erklärt, warum es keine Alternative zu einem BYOD-Verbot gibt.

Inwieweit beschäftigen sich deutsche Unternehmen derzeit mit Fragen der IT-Compliance?

REINERS: Wir befinden uns in der Findungsphase. Im Enterprise-Bereich ist das Thema zwar durch, im großen deutschen Mittelstand aber nicht. Weil es dort kaum Compliance-Beauftragte gibt, schieben Vorstände das Thema den IT-Leitern zu, die rein rechtlich jedoch nicht verantwortlich sind und es entsprechend als lästig empfinden. Für die praktische Umsetzung tragen sie zwar eine Mitverantwortung, sämtliche Haftungspflichten kommen aber der Unternehmensspitze selbst zu.

Sie sagen, Compliance sei ein recht einfach zu verstehendes Thema, sobald Unternehmen sich von dem amerikanischen Denkmodell lösen. Was genau meinen Sie damit?

REINERS: Ich beziehe mich auf die mittelständischen Unternehmen in Deutschland, die keinem Mutterkonzern in den USA unterstellt sind. Es gibt davon eine Vielzahl, für die Richtlinien wie BASEL II, SOX etc. vollkommen irrelevant sind. Trotzdem bauen sich diese Unternehmen geistige Hürden auf, die real gar nicht existieren. Erfreulicherweise fängt das Bundesministerium für Sicherheit in der Informationstechnik (BSI) langsam an, sich um den Mittelstand zu kümmern - eben weil es erkannt hat, dass die bislang gültigen Richtlinien für einen Mittelständler nicht zu erfüllen sind. Wir sind nun einmal ein Land mit einem großen Mittelstandsbauch, diskutieren aber fast ausschließlich über die Konzerne. Für den Mittelstand relevant werden diese Themen immer erst zwei bis drei Jahre später. Während die meisten Hersteller das Wort IT-Compliance schon gar nicht mehr hören können, ist es für einen Mittelständler noch ziemlich neu.

Brauchen wir neue oder veränderte IT-Gesetze?

Rechtsanwalt Wilfried Reiners kritisiert die Datenschutzgesetze.
Rechtsanwalt Wilfried Reiners kritisiert die Datenschutzgesetze.
Foto: PRW Consulting GmbH

REINERS: Das Wichtigste ist, dass wir einen machbaren DatenschutzDatenschutz hinbekommen. In Zeiten von Facebook und anderen sozialen Netzen müssen wir weg von einem Verbotsgesetz hin zu einem Angebotsgesetz. Es muss möglich sein, dass ich als Anwender meine Daten problemlos weitergebe, sie aber jederzeit "zurückholen" kann. Der heutige Datenschutz ist einfach nicht mehr abbildbar. Datenschützer möchte man nicht sein, weil man zwischen Baum und Borke hängt und die rechtlichen Anforderungen nicht mehr erfüllen kann. Andere gesetzliche Vorgaben mit IT-Bezug haben sich weitestgehend eingeschliffen. Ein Beispiel dafür ist die digitale Buchprüfung, die in den meisten ERP-Systemen integriert ist. Kurzum: Einen Bedarf an neuen Gesetzen sehe ich nicht - lediglich nach einer Veränderung des Datenschutzgesetzes. Alles zu Datenschutz auf CIO.de