Inwieweit beschäftigen sich deutsche Unternehmen derzeit mit Fragen der IT-Compliance?
REINERS: Wir befinden uns in der Findungsphase. Im Enterprise-Bereich ist das Thema zwar durch, im großen deutschen Mittelstand aber nicht. Weil es dort kaum Compliance-Beauftragte gibt, schieben Vorstände das Thema den IT-Leitern zu, die rein rechtlich jedoch nicht verantwortlich sind und es entsprechend als lästig empfinden. Für die praktische Umsetzung tragen sie zwar eine Mitverantwortung, sämtliche Haftungspflichten kommen aber der Unternehmensspitze selbst zu.
Sie sagen, Compliance sei ein recht einfach zu verstehendes Thema, sobald Unternehmen sich von dem amerikanischen Denkmodell lösen. Was genau meinen Sie damit?
REINERS: Ich beziehe mich auf die mittelständischen Unternehmen in Deutschland, die keinem Mutterkonzern in den USA unterstellt sind. Es gibt davon eine Vielzahl, für die Richtlinien wie BASEL II, SOX etc. vollkommen irrelevant sind. Trotzdem bauen sich diese Unternehmen geistige Hürden auf, die real gar nicht existieren. Erfreulicherweise fängt das Bundesministerium für Sicherheit in der Informationstechnik (BSI) langsam an, sich um den Mittelstand zu kümmern - eben weil es erkannt hat, dass die bislang gültigen Richtlinien für einen Mittelständler nicht zu erfüllen sind. Wir sind nun einmal ein Land mit einem großen Mittelstandsbauch, diskutieren aber fast ausschließlich über die Konzerne. Für den Mittelstand relevant werden diese Themen immer erst zwei bis drei Jahre später. Während die meisten Hersteller das Wort IT-Compliance schon gar nicht mehr hören können, ist es für einen Mittelständler noch ziemlich neu.
Brauchen wir neue oder veränderte IT-Gesetze?
REINERS: Das Wichtigste ist, dass wir einen machbaren Datenschutz hinbekommen. In Zeiten von Facebook und anderen sozialen Netzen müssen wir weg von einem Verbotsgesetz hin zu einem Angebotsgesetz. Es muss möglich sein, dass ich als Anwender meine Daten problemlos weitergebe, sie aber jederzeit "zurückholen" kann. Der heutige Datenschutz ist einfach nicht mehr abbildbar. Datenschützer möchte man nicht sein, weil man zwischen Baum und Borke hängt und die rechtlichen Anforderungen nicht mehr erfüllen kann. Andere gesetzliche Vorgaben mit IT-Bezug haben sich weitestgehend eingeschliffen. Ein Beispiel dafür ist die digitale Buchprüfung, die in den meisten ERP-Systemen integriert ist. Kurzum: Einen Bedarf an neuen Gesetzen sehe ich nicht - lediglich nach einer Veränderung des Datenschutzgesetzes.
IT-Gesetze abschaffen?
Ist die Abschaffung bestehender Vorgaben wünschenswert, um die Komplexität zu verringern?
REINERS: Ein guter Gedanke. Das Wichtigste für ein Unternehmen ist doch, zu erkennen, welche Gesetze überhaupt relevant sind. In der Regel reduziert sich die Zahl der möglicherweise zur Anwendung kommenden Regelungen um mehr als die Hälfte, weil sie für ein Unternehmen nicht greifen. Schauen wir uns beispielsweise §28 Röntgenverordnung an - eine Norm, die Krankenhäuser und Radiologien betrifft und die Aufbewahrungsdauer für Röntgenbilder regelt. Die Aufgabe, diese innerhalb der Behandlungszeit im Normalfall 30 Jahre lang aufbewahren zu müssen, ist eine Herausforderung, keine Frage. Wer kann Ihnen heute schon sagen, wie Sie digitalisierte Daten drei Jahrzehnte lang zuverlässig vorhalten? Es gibt zwar viele Lösungsanbieter, die das behaupten - ein Blick zurück auf die vergangenen 30 Jahre zeigt aber, welche technischen Veränderungen dieser Zeitraum mit sich gebracht hat. Derzeit bedeutet das für mich noch die "ewige Migration". Um auf die Frage zurückzukommen, ganz generell betrachtet sind wir nicht überfrachtet mit Gesetzen.
Welche rechtliche Bedeutung hat der Trend "Bring your own device" für deutsche Unternehmen?
REINERS: Wenn der Mitarbeiter sein privates Gerät auch in der Firma nutzt, eine sehr große. Das betrifft die Bereiche Haftung, Eigentum an Daten, Datenschutz, Verschwiegenheit, Geheimnisverlust und auch Datenabfluss im Sinne von Know-how-Abfluss. Das Problem ist, dass es keinen "Täter" im eigentlichen Sinne gibt. Es gibt lediglich einen Mitarbeiter, der Unternehmensdaten auf seinem privaten Gerät abspeichert. Viele Unternehmen versuchen, den aufkommenden Problemen mit allerlei liberalen Policies Herr zu werden. Ich kenne aber keine einzige liberale Policy, die das BYOD-Thema in Gänze abdeckt. Die Frage, die sich Unternehmen stellen müssen, lautet: Ist ein Gerät mit einem Anschaffungspreis von unter 1000 Euro das Risiko wert? Ich sage: Nein, nie. Ich bin kein Freund von BYOD. Auch wenn Unternehmen die Vorteile betonen - höhere Sorgfalt seitens des Mitarbeiters im Umgang mit dem Gerät und dessen Sicherheitslevel - empfehle ich immer, die Geräte für die Mitarbeiter anzuschaffen und nicht umgekehrt. Alles andere ist in hohem Maße rechtlich riskant.
BYOD: Das Gemeinwohl steht immer über dem Einzelwohl
Was entgegnen Sie den Unternehmen, die mit attraktiveren Arbeitsplätzen argumentieren, wenn Mitarbeiter ihre eigenen Geräte benutzen dürfen?
REINERS: Das ist eine Abwägungsfrage. Welche Vorteile stehen den Risiken gegenüber, die das Unternehmen zu tragen hat? Wer eine Balance hinbekommt, hat es gut. Ich sehe aber keine Balance. Ich sehe lediglich, dass das Unternehmen definitiv immer auf der Verliererseite ist. Die Frage nach dem attraktiven Arbeitsplatz für den Mitarbeiter und einem nicht mehr vorhandenen Arbeitsplatz, weil es Datenabflüsse über mitgebrachte Geräte gegeben hat, muss man einfach einmal anders gewichten. Kommt es auf den einzelnen Angestellten an und dessen Wohlgefühl oder auf die Gesamtheit der Mitarbeiter und die Stabilität des Arbeitsplatzes? Das mag jeder gewichten, wie er will - meiner Einschätzung nach kommt es auf die Gesamtheit an. Unternehmen, die das persönliche Wohlbefinden einzelner über das aller stellen, begehen einen Gewichtungsfehler.
Gab es in Ihrer Beratungsarbeit einen Fall, indem ein BYOD -Verbot ein Unternehmen Fachkräfte gekostet hat?
REINERS: Nein. Ich habe häufig mit dem Problem zu tun. Viele jammern zwar, aber niemand springt gleich ab. Ein "High Potential" springt nicht ab wegen eines Geräts im Wert von 1000 Euro. Dann wäre er auch kein "High Potential".
Inwieweit haben sich die Haftungsrisiken für IT-Entscheider durch die aktuellen Trends verschoben?
REINERS: In aller Regel haftet nicht der IT-Entscheider selbst, sondern die Unternehmensspitze. Nur wenn ein CIO Mitglied des Vorstands ist, trifft es ihn direkt. Die Gesetze im IT-Umfeld haben sich in der vergangenen Zeit nicht verändert. Verändert hat sich die Situation - gerade durch das Thema BYOD, das unser allgemeines Sicherheitsbewusstsein abgesenkt hat. Das merke ich beispielsweise in meiner Arbeit mit Studenten - sicherten sie ihre Diplomarbeit früher mehrfach auf USB-Sticks, speichern sie die Master Thesis heute in der Cloud. Entscheidend ist nunmehr, ob die Sicherheit aus technischer Sicht gleich geblieben ist. Erzählen uns die Techniker, dass die Daten in der Wolke genauso sicher sind wie auf einem physikalischen Speichermedium, haben wir kein Problem. Schlagworte wie "Data Leakage Prevention" und die gestiegene Nachfrage nach derartigen Produkten lassen mich daran aber zweifeln. Datenverluste nehmen augenscheinlich zu - meist gar nicht aus Vorsatz, sondern aus Unachtsamkeit oder Unwissenheit. Kurz zusammengefasst: Die Gesetzeslage ist gleich geblieben - die gefühlte Haftungslage aber hat sich aus Sicht der Unternehmen verschlechtert.
Datenverluste: Vertuschen oder nicht?
Datenverlust ist ein gutes Stichwort. Die Zahl der publik gewordenen Fälle - besonders bei großen US-Unternehmen - ist doch erheblich gestiegen. Was muss ein Unternehmen tun, wenn es einen Datenverlust erleidet?
REINERS: Eine gesetzliche Vorgabe für solch einen Fall findet sich in § 42a BDSG (Bundesdatenschutzgesetz, Anm. d. Red.), der vorschreibt, Abflüsse bestimmter personenbezogener Daten an die Aufsichtsbehörden melden zu müssen. Was das weitere Vorgehen danach angeht, empfehle ich folgendes: Wenn ein Unternehmen damit rechnen kann, dass Daten abhandenkommen, benötigt es in erster Linie eine gute und vorausschauende Krisenkommunikation und dazu professionelle PR-Berater. Es muss sich mit dem Krisenfall befassen, bevor er eintritt. Wie für andere Notfälle auch, braucht es ein Handbuch, das die Fragen, die im Eventualfall auftauchen könnten, beantwortet. Wichtig ist die offensive Kommunikation gegenüber Aufsichtsbehörden und Betroffenen.
Statements wie "Es ist etwas passiert - wir wissen zwar noch nicht, warum, aber es ist passiert" sind allemal besser als gar keine Statements. Es kommt auf die richtige Wortfindung an, warum etwas geschehen ist - schon allein wegen der Betroffenen. Reden Sie nicht um den heißen Brei herum, wenn Sie die Ursache kennen. Suchen Sie wie im Fall des § 42a BDSG sofort die Kommunikation mit der zuständigen Datenaufsichtsbehörde und machen die vorgeschriebene Meldung.
Wichtig: Teilen Sie Ihr Bemühen, den Fall aufzuklären, unmissverständlich mit. Wer sich an dieses Vorgehen hält, findet Verständnis und kommt schnell wieder aus der Schusslinie. Wer stattdessen versucht, den Datenabfluss zu verschweigen, wird bestraft und bleibt ewig in der öffentlichen Diskussion - das hat die Vergangenheit gezeigt. Die Herausforderung ist, aus einem unangenehmen Vorfall einen positiven Nutzen zu ziehen. Wer sagt: "Ja, uns ist etwas passiert, aber wir kümmern uns", wirkt souverän. Wer stattdessen unsicher kommuniziert a la "Ich weiß nicht, ob etwas passiert ist", bleibt in der Diskussion.
Wird trotzdem mehr vertuscht als veröffentlicht?
REINERS: Ja. In den meisten Fällen, mit denen ich zu tun hatte, wurde ein Datenverlust zunächst zu verschleiern versucht. So ein Vorfall ist den betroffenen Unternehmen peinlich - und öffentlich gemachte Peinlichkeit scheint Unternehmen nicht der richtige Weg zu sein. Es ist aber folgendes zu beachten: Wer direkt selbst an die Öffentlichkeit geht, hat noch jede Chance auf Verständnis. In den meisten Fällen kommt jedoch die Aufsichtsbehörde zuerst hinter einen Vorfall - und dann wird es für die Unternehmen äußerst lästig, wenn sie erklären müssen, warum sie sich bisher nicht ernsthaft mit dem Thema auseinander gesetzt haben. Ich kann nur jedem raten, sich rechtzeitig eine Krisenkommunikation zurechtzulegen und sich auch klar zu machen, wen man damit adressieren möchte - seien es Betroffene oder Behörden.