Wer Daten hat, macht sich angreifbar

19.02.2018

Compliance ist längst nicht mehr nur eine Aufgabe der Rechtsabteilung – im Gegenteil: Die Frage nach rechtskonformen Verhalten umfasst inzwischen das ganze Unternehmen. »Es reicht nicht mehr, einen Compliance Officer zu stellen«, sagte GGS-Professor Martin Schulz beim Symposium »Compliance und Integritätsmanagement in der digitalen Transformation« an der German Graduate School in Heilbronn. Mit dem Schwerpunkt »IT Compliance und Cyber Security« rückte bei der Veranstaltung des gemeinsamen Centers for Compliance, Integrity and Law der GGS und der Zeppelin Universität (ZU) ein hochrelevantes Thema in den Fokus.

»Durch die Digitalisierung der Geschäftsmodelle verändern sich die Risiken im Unternehmen«, sagte Professor Josef Wieland von der ZU in seinem Impulsvortrag. Um diese in den Griff zu kriegen, müsse die Compliance an anderen Stellen des Unternehmens andocken. Eine wichtige Schnittstelle dabei: Technik und Recht, an der auch die Veranstaltung selbst ansetzte.  So schärfte Maik Wienströer, IT-Chef an der GGS, noch einmal das Verständnis der 70 Teilnehmer für die technischen Grundlagen und die IT-Infrastruktur, über die heutzutage unzählige Daten vermittelt werden – die immer stärker geschützt werden müssen. Stichwort: Datenschutz-Grundverordnung (DSGVO).

Die tritt im Mai dieses Jahres in Kraft und verlangt von Unternehmen nicht nur rechtskonformes Verhalten, sondern auch, dass sie dieses aktiv nachweisen. Das betrifft in besonderer Weise den Umgang mit Daten. »Das ist nochmal eine ganz andere Kiste«, sagte Michael Morgenthaler, der bei SAP im Bereich Information Security speziell im betrieblichen Datenschutz tätig ist. Eine kürzlich veröffentlichte Studie unter 1000 Top-Managern in Europa kommt zu dem Ergebnis, dass viele Unternehmen das Ausmaß der Verordnung nicht richtig einschätzen bzw. nicht die Kapazität und Expertise haben, angemessen zu reagieren. Beim Walldorfer Software-Riesen hat man dagegen den Umfang der Aufgabe früh erkannt und seitdem akribisch an einer Lösung gearbeitet. Diese liegt bei SAP beim Aufbau eines zentralen Datenschutzmanagementsystems, das eine transparente Datennutzung gewährleisten soll.

Bewusstsein für Gefahren sehr gering

Wer Daten hat, hat die Macht, macht sich aber auch angreifbar. Darauf wies Dr. Viola Bensinger von der Kanzlei Greenberg Traurig in ihrem Vortrag hin. Vor Cbyerangriffen sei kein Unternehmen gefeit, betonte sie. Allerdings sei das Bewusstsein für die Gefahren aus dem Netz zu gering, dabei kann der Schaden immens sein: Im schlimmsten Fall drohen Produktions- oder ganze Betriebsausfälle. »Am besten lässt man es gar nicht erst dazu kommen«, sagte Bensinger. Das konnte Dr. Christian-Jürgen Bühring von Kraftverkehr Nagel nur bestätigen, der über die Lebensmittellogistik als lohnendes Ziel von Cyberattacken sprach. Beide appellierten dafür, vorbeugende Maßnahmen zu ergreifen, worunter insbesondere auch rechtliche Vorgaben fallen.  

Wie bei Cbyerangriffen seien sich viele Unternehmen auch ihrer Verantwortung in anderen Fragen der IT Compliance nicht bewusst, erklärte Sven Jacobs von Norton Rose Fulbright LLP. »Dabei sind wir so stark von der IT abhängig, dass wir uns darüber Gedanken machen müssen.« Beispiel gefällig?  Digitalisierte Geschäftsmodelle basieren auf Daten. Daten müssen aufbereitet werden, wofür Softwarelösungen nötig sind, die wiederum lizenzrechtliche Fragen nach sich ziehen. Et voilá befinden wir uns in der IT Compliance. Ob Lizenzpflichten oder Datenschutz, Unternehmen müssen nicht gleich auf alles eine Antwort haben. Sie müssen aber, das war der Tenor beim Symposium, sich ihrer eigenen Verantwortung bewusst werden, und da – auch das wurde deutlich – gibt es immer noch sehr viel Nachholbedarf.