Sie sind hier: Home » Markt » Interviews

Interview mit Anwalt Matthias Lindner

"Compliant" zu werden und auch zu bleiben ist ein ständiger Prozess - Anforderungen an die IT-Sicherheit vom konkreten Schutzbedarf abhängig
Rechtsanwalt und IT-Security Spezialist Matthias Lindner sieht Compliance als Chance, die Unternehmen nutzen sollten

(21.11.06) - Das Conex-Forum "Compliance & IT-Governance 2007" am 24. April 2007 thematisiert die wirtschaftlichen und rechtlichen Anforderungen an den IT-Manager. Rechtsanwalt und IT-Security Spezialist Matthias Lindner von der intersoft consulting services GmbH aus Hamburg verrät im Gespräch, warum IT-Leiter sich nicht vor den Anforderungen der Compliance fürchten sollen, sondern diese als Chance nutzen.

Michael Ghezzo: Welche Herausforderungen bringt das Thema Compliance tatsächlich für die IT-Manager?
Matthias Lindner: IT-Manager stehen zunächst einmal vor dem Problem den Begriff "ITCompliance" mit Leben zu füllen. Zum einen verbirgt sich hinter IT-Compliance ein Ziel, nämlich dass die eigene Unternehmens-IT dauerhaft bestimmten - auch gesetzlichen - Vorgaben entspricht.
Zum anderen "betreibt" ein Unternehmen IT-Compliance um dieseben beschriebenen Zustand zu erreichen und zu halten. Schon beim Erkennen und Festlegen des Zielzustandes bzw. der Anforderungen an die Unternehmens-IT bestehen erhebliche Schwierigkeiten.
Welche Normen und Gesetzte oder auch Standards gelten denn überhaupt für die eigene IT? Welche künftigen Entwicklungen (Gesetzesvorhaben) müssen dabei langfristig berücksichtigt werden? Wie sind die Vorgaben auszulegen und zu gewichten? Welcher Sicherheitsstandard passt für die eigene IT?
Auch die Etablierung der IT-Compliance als ständiger Prozess im Unternehmen fordert das Management erheblich.
Es gilt klare Zuständigkeiten zu regeln, Mitarbeiter zu motivieren und Methoden zu finden, welche IT-Compliance auch für die spezielle Branche langfristig sicherstellen. Dabei ergibt sich eine besondere Schwierigkeit daraus, dass Entscheidungen häufig Querschnittswissen aus verschiedenen Fachbereichen erfordern, wie z.B.: Recht, IT & Wirtschaft. Wie ist zum Beispiel eine Kundendatenbank mit wirtschaftlich vertretbarem Aufwand und gleichzeitig datenschutzgerecht zu modellieren?
Wie stellt das IT-Management überhaupt sicher, dass die soeben aufgeworfene Frage tatsächlich vor dem Design durch die Mitarbeiter gestellt und geklärt wird?

Michael Ghezzo: Wie sehen die Anforderungen an die Hard- und Software- Infrastruktur von Unternehmen aus?
Matthias Lindner: Das lässt sich nicht pauschal für sämtliche Unternehmen beantworten. So sind zum Beispiel die Anforderungen an die IT-Sicherheit vom konkreten Schutzbedarf abhängig. Ein wesentlicher Teil der Schwierigkeiten bei der Umsetzung der "ITCompliance" besteht gerade darin, die Frage nach den konkreten Anforderungen – auch an Hard- und Software – speziell für das eigene Unternehmen heraus zu arbeiten.
Beschäftigt zum Beispiel ein Unternehmen viele Mitarbeiter an Bildschirmarbeitsplätzen (z.B. Softwareprogrammierer), so müsste es hinsichtlich der Ausgestaltung der Arbeitsplätze die Bildschirmarbeitsplatzverordnung (BildscharbV) beachten und umsetzen. Dagegen hätte die BildscharbV zum Beispiel nicht diese Bedeutung für eine Einzelhandelskette, die Videoüberwachung (Aufzeichnung) Ihrer Filialen betreibt. Hier läge der Focus auf der Art, Aufstellung, Aufzeichnungsdauer, dem Zugriff der bzw. auf die Videoaufzeichnungsgeräte (Kameras, Bänder, Festplatten etc.) und ggf. der eingesetzten Videosoftware unter Datenschutzgesichtspunkten.
Die Anforderungen fallen daher für jedes Unternehmen individuell an und müssen im Rahmen des IT-Compliance-Prozesses heraus gearbeitet werden. In der Regel sind jedoch grundsätzlich Sicherheitsanforderungen – allerdings unterschiedlichen Grades – zu erfüllen. So ist zum Beispiel der Betrieb eines WLANs in jedem Falle nur gesichert (WPA2) zu empfehlen. Erst kürzlich hat das
Oberlandesgericht Hamburg den "Betreiber" eines ungesicherten WLANs für Urheberrechtsverletzungen haftbar gemacht, die nicht durch diesen selbst, sondern durch unbekannte Nutzer des ungesicherten WLANs erfolgt waren.

Michael Ghezzo: Was sind die Kostentreiber im Zusammenhang mit Compliance?
Matthias Lindner: Da die Anforderungen und damit die hieraus abzuleitenden Maßnahmen – wie bereits dargestellt – für jedes Unternehmen individuell zu betrachten sind, lassen sich Kostentreiber nicht generell benennen. Bei einem Unternehmen, das sich vertraglich bestimmten Sicherheitsanforderungen – z.B. des Verteidigungsministeriums – unterworfen hat, wird schon mehr Aufwendungen für die Zutrittskontrolle zum Firmengelände tätigen müssen, als allgemein üblich.
Aus meiner Sicht sind jedoch infrastrukturelle Anforderungen (z.B. an Gebäude) oder spezielle Hardware prinzipiell kostenintensiver als rein organisatorische Maßnahmen. Es ist daher generell im Rahmen der IT-Compliance zu prüfen, ob sich der geforderte Zustand nicht kostengünstiger durch organisatorische
Maßnahmen erreichen lässt.

Michael Ghezzo: Sehen Sie die Themen IT-Governance und Compliance als Risiken oder als Chance für Unternehmen?
Matthias Lindner: IT-Compliance birgt ein bisher unterschätztes Potential an Vorteilen für Unternehmen, sofern sie richtig verstanden und ausgeübt wird. Häufig kommt das Thema IT-Compliance durch irgendeinen "Impulsgeber" auf die Tagesordnung. Die Unternehmensleitung erkennt auch die Wichtigkeit dieses Themas.
Das Erkennen zieht jedoch die Umsetzung nicht automatisch nach sich. "Compliant" zu werden und auch zu bleiben ist ein ständiger Prozess. Diesen gilt es zu organisieren und zu etablieren. So müssen erst einmal relevante Regelungen erkannt und gewichtet, Zuständigkeiten geregelt und Dokumentationsstrukturen gefunden werden. Die betroffenen
Mitarbeiter müssen sich mit dem Thema identifizieren. Geschieht dies nicht, so verläuft das "Projekt IT-Compliance" im Sande, führt zu sinnlos aufgewendeten Ressourcen und hinterlässt frustrierte Mitarbeiter. Wird IT-Compliance jedoch "richtig" angegangen, so hilft sie nicht nur Schadensersatzansprüche oder sonstige Sanktionen zu vermeiden.
Vielmehr kann sie Vorteile wie etwa Existenzsicherung, bessere Kreditkonditionen (Basel II), Prozessinnovation, Wettbewerbsvorsprung (Kundenvertrauen), Steigerung des Unternehmenswertes sowie Stärkung und Sicherung der Marke bewirken.
Unter dem Strich sehe ich die IT-Compliance daher als Chance, ja sogar als Notwendigkeit für Unternehmen. (Conex: ra)

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Markt / Interviews

Orientierung am "Goldstandard" DSGVO
"Ich bin der festen Überzeugung, dass wir weltweit eine Art "Dominoeffekt" bei der Einführung von Datenschutzvorschriften sehen werden, die sich alle am "Goldstandard" DSGVO orientieren. Aber dies ist weniger auf die Corona-Pandemie zurückzuführen, sondern hat eher mit dem Druck der Bevölkerung zu tun, die nicht mehr bereit ist, rücksichtsloses Verhalten zu akzeptieren", Michael Hambsch, Director Solution Consulting Continental Europe bei Snow Software äußert sich zum Thema Umgang mit Datenschutz und -sicherheit.
Elektronischer Rechnungsaustausch
Die Experten Prof. Dr. Georg Rainer Hofmann vom eco - Verband der Internetwirtschaft e.V., Stefan Groß vom VeR, Verband elektronische Rechnung sowie Ha Doan von Comarch diskutieren Status und Entwicklung der elektronischen Rechnung. Sie alle sind beim Impulstag Digitalisierung am 25.06. in Garching vor Ort und werden dort mit Mirjana Stanisic-Petrovic vom Fraunhofer IAO umfangreiche Einblicke in ihre Erfahrungen geben.
Test auf das Down-Syndrom
Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."
Gut für Anwälte, schlecht für Anwender
Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.
Forderungsmanagement: Aufgabe für die Kommune
Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

Interview mit Rainer Schellhaas, Security-Experte Interview mit Rainer Knyrim, Datenschutzexperte