Damit Compliance nicht zur Bürde wird

In der heutigen IT-Welt ist das auch nichts anderes. Das Thema ist also nicht neu, nur sind in der elektronischen Welt die Prozesse teilweise unterschiedlich, und daher bedarf es auch unterschiedlicher Vorgehensweisen. So wurden Geschäftsbriefe zu einem Projekt beispielsweise in Papierform in die Projektakte eingeheftet. Kommt heute dieser Geschäftsbrief per E-Mail, so reicht hier eine reine E-Mail-Archivierung nicht mehr aus.

Will ich sicherstellen, dass die Aufbewahrungsfristen korrekt berechnet werden und die Information in diesem Brief wieder zu finden ist, benötige ich eine elektronische Akte, in die ich einsortiere. Der Brief alleine kennt seine Aufbewahrungsfrist nicht – erst durch die übergeordnete Ordnungseinheit kann sie korrekt berechnet werden. Viele sagen, das Risiko durch Sanktionen sei jedoch so überschaubar (Bußgelder, Strafschätzung oder der Verlust von Steuervergünstigungen), dass man es darauf ankommen ließe.

Die Akte wird digital

Die Haftungsfrage wird bei dem Themenkomplex häufig vergessen. Selbst wenn eine Information nicht zwingend aufbewahrt werden muss, so sollte jedoch der Geschäftsführer ein essentielles Interesse an eben dieser Aufbewahrung haben. Ein Beispiel: In einem Projekt kommt es zu Problemen und jemand muss für den Schaden haften. Wenn man in einem solchen Fall die Informationen aus dem Projekt nicht lückenlos vorlegen kann – inklusive Telefonnotizen oder Gesprächsprotokolle – so geht es schnell in Richtung Fahrlässigkeit und im schlimmsten Falle wird der Geschäftsführer oder der Vorstand persönlich haftbar gemacht. Dies wurde im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) festgehalten.

Sicherungspflichten beachten

Wer seine Informationen bereits »compliant« in einem Dokumenten-Management mit angeschlossenem Archiv aufbewahren, so kommt der nächste interessante Punkt: die Sicherungspflichten. Heutzutage gibt es sehr viele Risiken, vor denen es die Informationen zu schützen gilt: Hacker-Angriffe, Viren oder auch mutwillige Zerstörung. Schützen kann man durch Backups, Firewalls, Rechte-Richtlinien und vieles mehr.

Bei geschäftsrelevanten Informationen ist deren Schutz mit einem passenden Dokumenten-Management nur der Anfang. Wer die Sicherungspflichten vernachlässigt, beispielsweise durch Nicht-Genehmigung des Budgets für eine Firewall, ist als verantwortlicher Entscheider gegebenenfalls wieder persönlich haftbar zu machen. Auch das ist Compliance. Und hier sind die Sanktionen unkalkulierbar.

Bei Compliance geht es also sehr stark um das Thema Haftungsentlastung – was muss ich tun, um im Schadensfall der Haftungsfolge zu entgehen? Kann ich ein effizientes Risikomanagement nachweisen? Kann ich nachweisen, dass ich nicht fahrlässig gehandelt habe? Habe ich technisch und organisatorisch alles Notwendige unternommen (IT-Nutzungsrichtlinien, Rechtevergabe, Auditing, Zertifizierungen, Schulungen der Mitarbeiter, Betriebsvereinbarungen etc.)? Schlussendlich geht es darum, Informationen bestmöglich zu schützen und Risiken für das Unternehmen zu vermeiden. -sg-

Ceyoniq Technology GmbH, Bielefeld Tel. 0521/9318-0, http://www.ceyoniq.com