8. August 2008 - Setzen Sie Ihr Know-how als DSB gezielt ein

EuroSOX und Datenschutz

Die 8. EU-Richtlinie – umgangssprachlich EuroSOX genannt – wird in diesem Jahr in Deutschland in geltendes Recht umgesetzt. Doch auch wenn die Begriffe Compliance oder internes Kontrollsystem zurzeit in aller Munde sind, bedeutet dies noch lange nicht, dass Unternehmen den Anforderungen des EuroSOX in der Praxis gerecht würden. Welche Anforderungen stellt der EuroSOX an Unternehmen, und wie können Sie bei der Umsetzung von EuroSOX einen wertvollen Beitrag leisten?

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

In der Vergangenheit haben diverse Bilanzskandale wie bei Enron oder Worldcom immer wieder die Öffentlichkeit erschüttert.

Der US-amerikanische Vorläufer SOX

Die Vereinigten Staaten haben auf die Skandale mit der Einführung einheitlicher Richtlinien für die Prüfung von Finanzabschlüssen etc. reagiert und im Jahr 2002 den Sarbanes-Oxley-Act („SOX“) erlassen, der als Namensgeber für den EuroSOX dient.

Was bedeutet EuroSOX?

Kapitalmarktorientierte Unternehmen, wie börsennotierte Unternehmen, Banken, Versicherungen, die Post, die Bahn, Energieversorger oder andere Monopolunternehmen sind nach den Vorgaben des EuroSOX u.a. verpflichtet, umfassende interne Kontroll- und Dokumentationsprozesse in den verschiedensten Bereichen einzuführen.

Transparenz und Vertrauen herstellen

Ziel ist es, die Transparenz im Unternehmen zu erhöhen und das Vertrauen von Anlegern in die Finanzdaten von Unternehmen wieder herzustellen.

Welche Anforderungen kommen mit EuroSOX auf die Unternehmen zu?

Die Unternehmen werden künftig verstärkt ihre IT- und TK-Infrastruktur dokumentieren sowie interne Kontroll- (= IKS) und Risikomanagementsysteme einführen müssen, um die Vorgaben des EuroSOX einzuhalten.

Es ist u.a. sicherzustellen, dass

  • die Merkmale der eingesetzten IKS und Risikomanagementsysteme, insbesondere ihre Strukturen und Prozesse, beschrieben werden (mindestens für den Bereich der Rechnungslegung),
  • die für die Wirtschafts- und Abschlussprüfung relevanten Daten kurzfristig verfügbar sind,
  • diese Daten ordnungsgemäß archiviert werden und
  • Verstöße gegen Gesetze, Regelungen sowie interne Policies im Vorfeld und ohne Schwierigkeiten identifiziert werden können.

Technische und organisatorische Maßnahmen für die interne Kontrolle

Ein funktionierendes IKS besteht im Wesentlichen aus technischen und organisatorischen Prinzipien, die die Einrichtung und die Aktivitäten zur unternehmensinternen Kontrolle und zur Einhaltung der gesetzlichen Vorgaben sowie die entsprechenden Verlinkungen der einzelnen Bereiche untereinander regeln. Ergänzt werden diese Prinzipien durch Maßnahmen zur Minimierung von Risiken.

Umsetzung der Prinzipien

Die Prinzipien sollten im Bereich der IT und des Datenschutzes durch folgende Maßnamen umgesetzt werden:

  • IT-Sicherheitskonzepte
  • Archivierungs-, Löschungs- und Sperrkonzepte
  • Zutritts- und Zugangskontrollen sowie Berechtigungskonzepte
  • Überwachung der Systempflege
  • Einführung von entsprechenden Richtlinien, wie z.B. IT-Policies, Datenschutzpolicies, Vertraulichkeitsvereinbarungen, ggf. ethischen Richtlinien, Vier-Augen-Prinzip
  • Erstellung von Konzepten zur Steuerung, Organisation und Sicherstellung des laufenden IT-Betriebs
  • Überwachung und Weiter-entwicklung des IT-Betriebs
  • Notfallkonzepte etc.
Welche Konsequenzen drohen bei fehlender Umsetzung von EuroSOX?

Unterlässt es das Management, aktuelle, vollständige und nachvollziehbare Dokumentationen zu schaffen und ein IT-Sicherheitskonzept zu erstellen, oder versäumt es die Umsetzung von Risikomanagementanforderungen, wie dem Vier-Augen-Prinzip, kann dies zu einer Haftung des Managements im Rahmen des Organisationsverschuldens führen.

Weitere Risiken sind Haftungsklagen (Schadenersatzansprüche), Marktzugangsbarrieren (entsprechend den SOX-Vorgaben) und Schwierigkeiten bei der Kreditaufnahme im Rahmen des vielfach bekannten Basel-II-Ratings.

Daneben kann der Wirtschaftsprüfer das Bilanz-Testat verweigern, was z.B. zu erheblichen zeitlichen Verzögerungen bei der Gewinnausschüttung führen kann.

Wie erfolgt die praktische Umsetzung von EuroSOX?

Bevor Unternehmen angesichts der Konsequenzen bei fehlender oder lückenhafter Umsetzung von EuroSOX nun panikartig vermeintlich notwendige Dokumentationen u.Ä. unter Einbindung verschiedenster Abteilungen erstellen, empfiehlt sich zunächst die Sichtung des bereits vorhandenen Know-hows.

Vorhandenes Wissen nutzen

Hier sollte bereits der DSB eingebunden werden. Er verfügt neben der IT über umfassendes Know-how betreffend den unternehmensinternen Umgang mit Daten, Datensicherheit und die damit einhergehenden Prozesse.

Schwachstellen identifizieren, Prozesse einrichten, Kontrollen garantieren

Nach Identifizierung der Schwachstellen sollten die fehlenden Dokumente, Prozesse und Managementsysteme erstellt und eingerichtet, Ansprechpartner benannt und ein funktionierendes Controlling errichtet werden, das sämtliche relevanten Abteilungen wie IT, Compliance, Datenschutz oder Geschäftsführung einbezieht.

Wie kann der Datenschutzbeauftragte das Unternehmen bei EuroSOX unterstützen?

Die obige Auflistung von Maßnahmen wird bei den meisten DSBs einen Wiedererkennungseffekt ausgelöst haben.

In einer funktionierenden Datenschutzorganisation sollten dem Datenschutzbeauftragten entsprechende Dokumente entweder vom Unternehmen bereits übergeben worden sein, oder er sollte sie selbst erstellt haben. Zur Verfügung stehen müssten v.a.:

  • eine Aufstellung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und der dazugehörigen Anlage inkl. des IT- Sicherheits- und Archivierungskonzepts
  • Sperr-, Lösch- und Berichtigungskonzepte
  • Zugangs- und Zugriffskonzepte
  • Verfahrensverzeichnisse über die Datenverarbeitung von bilanzrechtlich relevanten Vorgängen
  • Datenschutzpolicies, Internetpolicies, Vertraulichkeitsvereinbarungen etc.
  • Notfallkonzepte bei Betriebsstörungen, höherer Gewalt etc.

Begleiten Sie die Realisierung

Der DSB sollte die Geschäftsführung proaktiv kontaktieren, in Abstimmung mit den zuständigen Abteilungen gemeinsam ein Konzept für die Umsetzung der Anforderungen des EuroSOX erarbeiten und die Umsetzung begleiten.

Nutzen Sie EuroSOX, um Ihr Know-how ins rechte Licht zu rücken

Der Datenschutzbeauftragte kann sein Unternehmen durch die Zurverfügungstellung des bei ihm bereits gebündelten Know-hows effizient bei der Umsetzung der Anforderungen des EuroSOX unterstützen.

Vervollständigen Sie Ihre Datenschutzorganisation

Sollte der eine oder andere DSB bei genauerer Prüfung bestehende Lücken in der eigenen Dokumentation feststellen, bietet der EuroSOX eine gute Gelegenheit, die in diesem Fall noch zu erstellenden Dokumente beim Unternehmen einzufordern und für Zwecke der Datenschutzorganisation zu nutzen.

Machen Sie Ihren Beitrag für das Unternehmen deutlich

So oder so bieten die neuen Regelungen eine gute Möglichkeit, sich als Datenschutzbeauftragter für die Belange seines Unternehmens einzusetzen und einen wertvollen Beitrag zu leisten.

RAin Silvia C. Bauer
Silvia C. Bauer ist Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft mbH, Köln.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln