IT-Compliance: Pflicht für den Mittelstand
Durch die illegale Überwachung von Mitarbeitern droht Geschäftsführern und Vorständen ein erhebliches Haftungsrisiko. Dies zeigen die aktuellen Vorgänge bei der Deutschen Telekom wie auch bei Einzelhandelsunternehmen.
Fraglich ist, wie Unternehmen ohne strafrechtliches Risiko – insbesondere bei konkretem Missbrauchsverdacht – zunächst eigene Ermittlungen durchführen können, um das Unternehmen davor zu schützen, dass vertrauliche Informationen weitergegeben werden.
“Wesentlich für beinahe jedes Unternehmen, egal von welcher Größe oder mit welchem Geschäftsvolumen, ist eine funktionierende Compliance-Struktur”, sagte Bierekoven dazu. “Diese muss mit Bezug auf den Gebrauch oder Missbrauch von Daten eine effektive IT-Compliance umfassen. Hier sollten sämtliche Einwilligungen der eigenen Mitarbeiter in die Protokollierung und Kontrolle der Nutzung der betrieblichen Kommunikationsmittel dokumentiert sein, seien es Telefon, Fax, Handy, E-Mail, Internet oder auch BlackBerry.”
Grundlage jeder IT-Compliance ist zunächst eine umfassende Analyse der IT-Infrastruktur aus technischer und rechtlicher Sicht – in deren Rahmen festgestellt wird, ob und welche technischen und rechtlichen Mechanismen das Unternehmen bereits ergriffen hat und ob bereits ergriffene Maßnahmen den gesetzlichen Anforderungen entsprechen.
Zentrale Fragen sind dabei, wer Daten erhebt und wie diese verarbeitet und gegen Missbrauch geschützt werden, wie Arbeitnehmer oder auch Dritte – beispielsweise Kunden – kontrolliert oder gar überwacht werden, ob hierfür die Einwilligungen vorliegen, der Betriebsrat beteiligt wurde, es einen unabhängigen Datenschutzbeauftragten gibt, wer im Unternehmen auf welche Daten Zugriff hat und schließlich, welche Maßnahmen für Missbrauchsfälle vorgesehen sind, insbesondere unter Einsatz personenbezogener oder sensibler Unternehmensdaten.
Auf der Grundlage der Bestandsaufnahme wird eine einheitliche Compliance-Richtlinie erstellt, die im Unternehmen durch Controlling-Mechanismen etabliert und durchgesetzt wird. Bierekoven: “Nur durch eine systematische IT-Compliance können Unternehmen das Risiko unbefugter Informationsabflüsse durch effektive Kontrollmaßnahmen verringern und dennoch sicherstellen, nicht als Big Brother wahrgenommen zu werden.”