Das Dilemma mit den «adäquaten» Schutzmassnahmen

IT-Verantwortliche in einer Firma oder Behörde wissen, dass ihre Arbeit über Fragen der Technik weit hinausgeht. Personalentscheide sind zu treffen, Budgets zu managen, und Beziehungen mit Lieferanten müssen unterhalten werden. Doch immer häufiger sollen sie auch eine Funktion übernehmen, für die sie nicht über den nötigen Background verfügen: Die Einhaltung der Rechts.
Es versteht sich von selbst, dass auch ein CIO dafür sorgen sollte, dass in seinem Bereich nichts Illegales geschieht, zum Beispiel Raubkopien eingesetzt werden. Doch die Einhaltung rechtlicher Vorschriften (neudeutsch «com-pliance») geht viel weiter. Immer mehr Vorschriften werden geschaffen, welche die Informatik direkt betreffen. Das kommt zum einen daher, dass die IT in immer mehr Betrieben eine tragende Rolle spielt und daher der Gesetzgeber immer häufiger versucht, durch neue Vorschriften Mindeststandards zu schaffen. Zum anderen werden immer mehr seit jeher regulierte Bereiche «informatisiert». Das Dilemma eines IT-Leiters besteht nun darin, dass er für die praktische Umsetzung all dieser Regeln verantwortlich ist, ihm aber keiner sagt, dass er dies tun muss und wie.

Die rechtlich korrekte Aufbewahrung von geschäftlichen E-Mails ist ein Beispiel. Das Gesetz schreibt sie vor und stellt Vorschriften auf, die etwa darauf hinauslaufen, dass eine Speicherung auf einem normalen Backup-Tape oder Archiv-File auf einer Festplatte nicht genügt. Nun haben zwar manche Betriebe eine eigene Rechtsabteilung, doch diese Gesetzesvorschrift ist bei den wenigsten Juristen «auf dem Radar». Viele werden es erfahrungs­gemäss versäumen, den IT-Verantwortlichen von sich aus die nötigen Vorgaben machen. Diskutiert wird das Thema daher oft erst dann, wenn der CIO beginnt, Fragen zu stellen, und selbst dann wird er selten konkrete Handlungsanweisungen erhalten. Was ihm der Jurist gibt, ist eine abstrakte Definition des zu erreichenden Ziels, wie etwa dass er beim Datenschutz «angemessene» technische Schutzmassnahmen treffen muss, um unbefugte Datenbearbeitungen zu verhindern.

Was angemessen ist, ist in der Praxis wieder­um dem IT-Chef überlassen, genauso wie die Verantwortlichkeit für die Umsetzung. Das ist nicht nur der schwierigere, sondern auch pannenträchtige und kostenintensive Teil der Arbeit. Wer die Ausführungen der Datenschutzverordnung über technische Schutzmassnahmen im obigen Beispiel liest, wird rasch merken, dass sich all die Vorschriften mit einem vernünftigen Budget und ohne übermässige Einschränkungen der Systeme in der vom Gesetz verlangten Konsequenz gar nicht vollständig umsetzen lassen. Was bleibt, ist eine Reduktion auf das aus Sicht des IT-Chefs Vernünftige (und mit seinem Budget machbare).

Glücklicherweise sind viele dieser IT-relevanten Regelungen hierzulande etwas flexibler als im Ausland und bieten Interpretationsspielraum. Die Kehrseite für den CIO ist allerdings, dass nunmehr er selbst und nicht die Rechtsabteilung die Verantwortung für die Einhaltung des Rechts trägt. Und er muss dabei sein Budget trotz steigender Erwartungen einhalten.
Wie lässt sich dieses Dilemma lösen? Der IT-Manager muss diese Verantwortung aktiv und frühzeitig wegdelegieren. Ein Weg ist, die Rechtsabteilung frühzeitig einzubinden und sie «on the record», also mindestens per E-Mail, mit der Frage nach gesetzlichen Vorschriften in einem bestimmtem Bereich zu konfrontieren. Egal, wie sie reagiert und ob sie Bescheid weiss, ist dem IT-Manager geholfen: Sei es, dass er nicht mehr für etwaige Ungesetzlichkeiten verantwortlich ist, sei es, dass er für seinen nächsten Budgetantrag einen guten Grund vorweisen kann, den eine Firmenleitung nicht mehr ohne weiteres ablehnen kann.