Gut gemeint und gut gemacht sind zwei paar Schuhe. Unsere Angst vor falschem Umgang mit Daten treibt merkwürdige Blüten und schürt zuweilen Ängste: Millionenfach versandte Phishing-e-Mails, organisierte Virusattacken und vergleichbar spektakuläre Fälle von Computerkriminalität geraten daher regelmäßig in den Blickwinkel der Öffentlichkeit. Zuletzt erklärte der Präsident des Bundeskriminalamtes in der NDR-Reportage „Angriff aus dem Internet″ sogar, dass neben dem existierenden „Cyber-Abwehrzentrum″ zum Schutz der öffentlichen IT-Infrastruktur nun auch noch eine weitere Stelle vor allem zum Schutz von Wirtschaftsunternehmen eingerichtet werden soll.
Indes: Weder eine solche Einrichtung alleine noch die Flucht aus der Online-Welt dürften probate Mittel sein, um den Risiken des IT-Einsatzes in Unternehmen Rechnung zu tragen. Den Handlungsbedarf der Unternehmen selbst unterstreicht auch eine aktuelle Studie, die CMS Hasche Sigle gemeinsam mit dem Datenrettungs- und Computer-Forensik-Spezialisten Kroll Ontrack veröffentlicht hat.
Demnach ist das Problem der klassische „Vollzugsmangel″: So regeln zwar rund 87 Prozent der Unternehmen den Umgang mit Internet und E-Mail am Arbeitsplatz. Aber mehr als 75 Prozent kontrollieren nicht regelmäßig, ob diese Regeln auch eingehalten werden. Compliance-Programme, die zur Überwachung von gesetzlichen Vorschriften und betrieblichen Richtlinien dienen, gibt es nur in etwa der Hälfte der Unternehmen, 52 Prozent der Unternehmen haben bisher noch keine Compliance-Programme etabliert. 118 Personalmanager/innen aus deutschen Unternehmen haben für diese Studie Fragen zu Datendiebstahl, Computermissbrauch und Fehlverhalten von Mitarbeitern aus technischer und juristischer Sicht beantwortet.
„Laut der Studie sind sich Unternehmen der zunehmenden Risiken von Datendiebstahl und Computermissbrauch noch nicht ausreichend bewusst“, meint unsere Stuttgarter Arbeitsrechtspartnerin Dr. Antje-Kathrin Uhl, Mitautorin der Studie. „Um sich zu schützen, sollten sie die rechtlichen und die technischen Möglichkeiten kennen und bereits im Vorfeld geeignete Maßnahmen einleiten.“
Nach der Befragung haben zwar 87 Prozent der Unternehmen Regelungen zum Umgang mit Internet und E-Mail aufgestellt, 88 Prozent blockieren bestimmte Websites, beispielsweise Erotikseiten. Bemerkenswerterweise kontrolliert aber auch hier die große Mehrheit der Unternehmen (77 Prozent) aber nicht, ob die aufgestellten Regeln auch wirklich eingehalten werden.
Ohne Kontrollen bleiben Richtlinien ein stumpfes Instrument. Viele Unternehmen dulden private Internetnutzung. Wenn Mitarbeiter aber übermäßig viel privat surfen oder vertrauliche Informationen nach außen tragen, geben nur regelmäßig kontrollierte (Betriebs-)Vereinbarungen eine Handhabe, um dagegen vorzugehen.
Erheblichen Nachholbedarf zeigt die Studie auch im Bereich Compliance auf: Etwa die Hälfte der befragten Unternehmen (48 Prozent) hat kein Compliance-Programm für Vertrieb und Wettbewerb oder Human Resources. Dem entsprechend gibt es auch nur in 46 Prozent der Unternehmen einen Compliance-Beauftragten, der ein solches Programm überwacht.
Damit setzen sich die Unternehmen erheblichen Risiken aus: Denn Compliance-Programme sollen gewährleisten, dass sich ein Unternehmen gesetzeskonform verhält, also zum Beispiel Vorschriften zu Arbeitsschutz und Datenschutz einhält. Bei einem Verstoß drohen dem Unternehmen hohe Geldstrafen, teilweise haften auch die Verantwortlichen persönlich. Mit einem Compliance-Programm können sich Unternehmen hiergegen absichern.
Für den Fall, dass Mitarbeiter sich tatsächlich illegal verhalten, sind die befragten Unternehmen ebenfalls schlecht vorbereitet: Eine „Whistleblowing-Hotline“, also eine Instanz, über die Mitarbeiter Fehlverhalten melden können (auch anonym), gibt es nur in 37 Prozent der Unternehmen. Einen Notfallplan oder eine Eskalationsrichtlinie bei Verdacht auf illegale Handlungen hat weniger als die Hälfte der Unternehmen eingerichtet, nämlich nur 44 Prozent.
Zusammenfassend stellt die Studie in deutschen Unternehmen erhebliche Lücken beim Schutz vor Datenmissbrauch fest. Unternehmen unterschätzen die Risiken aus der privaten Internetnutzung, der Möglichkeit zum Datendiebstahl oder dem einfachen Zugriff der Mitarbeiter auf Unternehmensnetzwerke.
Um das Unternehmen effektiv gegen diese Risiken zu schützen, sollten Unternehmen eine Reihe von Maßnahmen ergreifen. An erster Stelle stehen dabei Richtlinien und Betriebsvereinbarungen für Internetnutzung und den Umgang mit sensiblen Daten – und deren regelmäßige Kontrolle. Zudem sollten sich Unternehmen in Deutschland auch mit Compliance stärker auseinandersetzen. Ein Compliance-Programm muss dabei jeweils auf die sensiblen Bereiche des Unternehmens zugeschnitten sein und – wie sämtliche eingesetzten Maßnahmen – die rechtlichen Rahmenbedingungen beachten. Hierzu gehören auch die derzeit zur Novellierung anstehenden Regelungen zum Beschäftigtendatenschutz, die die Nutzung von ABeschäftigtendaten zu Compliance-Zwecken in Zukunft detaillierter regeln sollen.
