Die hitzige Debatte um die Mitarbeiterüberprüfungen bei der Deutschen Bahn zeigt, dass sich verschiedene Compliance-Anforderungen oft widersprechen. Ein übergeordnetes Compliance-Gesetz, dass diesen Widerspruch auflösen könnte, bleibt aber wohl eher ein frommer Wunsch. In der Zwischenzeit ist der CIO als Mittler zwischen Business und IT gefordert. Plattformen für Governance, Risk Management und Compliance (GRC) können ihm helfen, einen Überblick zu gewinnen.
Angesichts der Debatte um die Mitarbeiterkontrollen bei der Deutschen Bahn hat Sachar Paulus vergangener Woche in seiner CZ-Webkolumne auf den Konflikt zwischen den Anforderungen an den Datenschutz und die Compliance hingewiesen. Es sei daher Zeit, dass Governance, Risk Management und Compliance (GRC) endlich strategisch verstanden wird, sagt Paulus.
Dass eine GRC-Strategie unverzichtbar ist, in der solche Konflikte bewusst analysiert und entschieden werden, steht außer Frage. Nur: Was macht die IT in der Zwischenzeit?
Zumal in der aktuellen Diskussion deutlich wird, dass der Konflikt zwischen Datenschutz und Compliance noch längst nicht verstanden wurde – der eigentlich ja ein Konflikt zwischen verschiedenen Compliance-Anforderungen ist, weil die Einhaltung der Datenschutzbestimmungen ja auch ein Teil des großen Compliance-Themas ist.
Selbst auf der Ebene des Aufsichtsrats scheinen zumindest viele Vertreter bei der Bahn den Konflikt noch nicht erkannt zu haben. Vielleicht schafft aber der inzwischen eingeschaltete Prüfungsausschuss des Aufsichtsrats der Bahn zumindest dort Klarheit. Denn dieser beschäftigt sich ja auch mit den Anforderungen der Wirtschaftsprüfer, die beispielsweise auf die – bei Siemens so viel diskutierte – Korruptionsbekämpfung und andere Regularien abzielen.
Damit wäre das Problem dann zwar bei einem Unternehmen in Angriff genommen. Jedoch würden die Diskussionen beim nächsten in die Öffentlichkeit getragenen Konflikt wieder aufflammen – sogar bei bewusst getroffenen Entscheidungen
Eine große und saubere Lösung wäre ein einheitliches „Compliance-Gesetz“, das alle Aspekte wie die Regelungen der 8. EU-Prüferrichtlinie, die Einflüsse von Basel II auf Unternehmen, das Datenschutzrecht und das Teledatendienstgesetz und all die anderen Regularien vereinheitlicht und zusammenfasst. Damit müsste die Politik Konflikte auflösen und Entscheidungen treffen, statt die Ausformulierung von Vorschriften entweder den Wirtschaftsprüfern zu überlassen oder sich in schwammigen Formulierungen wie dem „angemessenen“ Risikomanagement zu verlieren.
Da so ein einheitliches Gesetz aber, ähnlich wie ein einheitliches Umweltrecht, wohl auch in 25 Jahren noch nicht da sein wird, müssen Unternehmen selbst handeln. Dem CIO kommt dabei durch seine Schnittstellenfunktion zwischen Business und IT eine besondere Aufgabe zu. Er kann die Entscheidungen zwischen widersprüchlichen Anforderungen nicht treffen. Er kann sie aber offen legen und darauf drängen, dass diese Entscheidungen auf der Ebene der Unternehmensführung getroffen werden.
Dies setzt allerdings voraus, dass es innerhalb der IT-Organisation eine Gesamtsicht auf die Compliance-Anforderungen gibt, die erfüllt werden müssen. Und darauf, wie sie erfüllt werden. GRC-Plattformen (Governance, Risk Management, Compliance), bei denen solche Anforderungen, die daraus resultierenden Business-Richtlinien und die abgeleiteten IT-Richtlinien zentral verwaltet und überwacht werden können, helfen dabei.
Die Auflösung des Konflikts zwischen verschiedenen Regularien ist daher zwar nur ein Grund, in zentralisierte GRC-Lösungen zu investieren. Aber ein wichtiger.
Allerdings sind die meisten Systeme heute entweder nur auf eine abstrakte Verwaltung von Vorgaben aus Business-Sicht oder auf die IT-spezifische Umsetzung von Teilanforderungen wie der Attestierung der Richtigkeit von Zugriffsberechtigungen ausgelegt. Dennoch führt die Einführung solcher Plattformen dazu, dass man gezwungen ist, sich mit all den relevanten Vorschriften über die Ebene einzelner Systeme und einzelner Regularien hinaus auseinander zusetzen.
Das Ergebnis dürfen dann aber nicht Alibi-Lösungen sein, die den Schein einer Lösung, wie sie bei der Attestierung oft zu finden sind. Mehr dazu in der kommenden Kolumne.