Cyber Security und IT-Compliance – Grundlagen erklärt

Cyber Security und IT-Compliance sind wichtige Themen für jedes Unternehmen

Die Digitalisierung der Geschäftsmodelle verändert die Risikolage im Unternehmen. Wer Daten hat, macht sich angreifbar. Digitale Geschäftsmodelle basieren auf Daten. Diese wiederum müssen aufbereitet werden wofür oftmals Softwarelösungen zum Einsatz kommen, die selbst wiederum lizenzrechtliche Fragen mit sich bringen. Um der neuen Risikolandschaft adäquat begegnen zu können, muss Compliance- & Integritätsmanagement auch die Schnittstelle von Technik und Recht bedienen. IT-Compliance stellt eine solche Schnittstelle dar.

IT-Compliance

Der aktuellsten JuVe-Inhouse-Umfrage zu Compliance-Risiken (2018, JUVE Verlag für juristische Information) zufolge sind die Compliance-Risiken der befragten Unternehmen vermehrt auf den Themenbereichen des Datenschutzes und der IT/Cyber Security fokussiert. Die Verantwortung für IT-Compliance liegt beim Vorstand. Dabei muss dieser umso mehr Informationen über den Einsatz, den Umfang, die Art und Güte der IT, ihrer Pflegebedürftigkeit sowie der nötigen Anpassungen einholen, je bedeutsamer die IT für das Unternehmen und seine Geschäftsmodelle ist. Hierbei ist insbesondere auch auf das Vertrags- und Lizenzmanagement einschließlich der technischen Fragestellungen (z.B. Interoperabilität mit weiteren IT-Komponenten) zu achten.

Auch können Herausforderungen im Umgang mit personenbezogener Daten bei der Datennutzung als Geschäftsmodell entstehen (z.B. IoT-Plattformen). Eine hierfür sensibilisierte Rechtsabteilung im Unternehmen kann dabei unterstützen indem sie beispielsweise risikobehafteten Umgang mit personenbezogenen Daten vorab auf Vertragsebene umstellen kann.

Software-Lizenzmanagement

Ein weiterer risikobehafteter Bereich ist der des Software-Lizenzmanagements. Wenn im Unternehmen die Auswahl und Beschaffung von Software bedarfsorientiert über ein Lizenzmanagement erfolgt, muss dieses auch für einen angemessenen Umgang hinsichtlich der Sorgfalt einstehen. Beim Software-Lizenzmanagement können Compliance-Risiken in Form von Organisationsverschulden entstehen, wenn beispielsweise das Lizenzmanagement fahrlässig betrieben wird. Regelmäßige Kontrollen, eine entsprechende Organisationsstruktur im Unternehmen sowie Sorgfalt gegenüber Unter-bzw. Überlizensierung müssen umgesetzt sein. Ähnliche Risiken in diesem Zusammenhang, die in der Praxis immer wieder auftauchen sind z.B. die indirekte Nutzung von Software. Eine indirekte Nutzung liegt dann vor, wenn der Zugriff auf eine lizensierte Software über ein externes, vor- oder zwischengeschaltetes System erfolgt, also dem Betrieb von Anwendungsprogrammen anderer Anbieter. Die verwendete Drittanbietersoftware, die über Schnittstellen agiert und oftmals einen schutzfähigen Code unterliegt, enthält oft Lizenzpflichten.

Im vergangenen Jahr hatte der britische High Court of Justice in einem ähnlichen Fall bei SAP [SAP UK Ltd. (SAP) vs. Diageo Great Britain Ltd. (Diageo), 2017] ein weitreichendes Urteil gefällt. Im Konkreten ging es darum, dass SAP den lesenden Zugriff einer Drittsoftware als indirekte Nutzung bewertet hatte. In Folge vergab SAP Nutzerlizenzen und forderte rückwirkend Software-Support ein, was mit hohen Kosten für, in diesem Fall, Diageo, einer Software von Salesforce, die Verkaufsdaten über Produkte aus SAP entnimmt und den jeweiligen Kunden von Diageo über deren System zur Verfügung stellte, einherging. Seither ist für alle SAP-Kunden individuell zu prüfen, ob die zum Einsatz kommenden Anwendungen von Drittanbietern auf SAP-Daten zugreifen. Ein effektives Compliance & Integritätsmanagement mit dem Fokus auf Software- und Lizenzmanagement kann hier bei der prozessualen Umsetzung unterstützen und die Fachabteilungen auf Augenhöhe beraten. Themen wie die indirekte Nutzung oder Nutzung über Schnittstellen von Software sowie den Kosten für unterschiedliche Arten des Lizenzeinsatzes müssen im Unternehmen klar geregelt sein.

Im Allgemeinen muss in jedem Fall für die Themen der indirekten Nutzung oder Nutzung über Schnittstellen sowie den Kosten für die unterschiedlichsten Arten des Lizenseinsatzes im Unternehmen sensibilisiert werden. Dabei müssen die Kosten, der Zeitraum sowie die Nutzungsmetrik (ein Überwachungstool, das die Verwendung von Lizenzen verfolgen kann) klar geregelt sein. Lizenzeinkäufer im Unternehmen sollten beachten, dass oft versucht wird, Lizenzaltbestände mit in die Regelungen des Lizenzneuerwerbs einzubeziehen.

Open-Source-Software

Open-Source-Software sollte ebenfalls als potentielle Risikoquelle in das Compliance-Programm mit aufgenommen werden. Gerade im Hinblick auf den Einsatz von Open-Source-Software, also einer zumeist kostenlose Software mit öffentlichem Quelltext die von Dritten genutzt und auch abgeändert werden kann, entstehen oftmals Probleme mit den Nutzungsrechten und CopyLeft bzw. Lizenzpflichten. Wird eine quellcodeoffene Software im Unternehmen verändert bzw. auf die eigenen Bedürfnisse und Prozesse hin angepasst, so muss diese bei einer solchen Softwareveränderung quellcodeoffen weitergegeben werden, falls diese zum Einsatz bei der Güter- und Dienstleistungserbringung kommt. Sie muss also für das Unternehmen wertlos gestellt werden. Eine entsprechend etablierte Open-Source- Software-Compliance kann hierbei unterstützen zivilrechtliche sowie strafrechtliche Sanktionen vorzubeugen und neben dem Know-How Schutz für das Unternehmen auch bei der Verteidigung im Klagefall unterstützen.

Wer die Digitalisierung ernst nimmt, muss auch die Risiken ernst nehmen und für die Themen, wie Datenschutz, Urheberrecht, IT-Sicherheit, Lizenzmanagement, Cloud-Computing, Big Data und Datensicherheit im Unternehmen geeignete Compliance-Strukturen umsetzen. Gerade auch der Einsatz neuer Technologien im Medium der Blockchain oder Künstliche Intelligenz sind Themengebiete, auf die sich eine zukunftsorientierte Compliance im relevanten Geschäftsfeld einstellen muss.

Florian Mueller, MLitt., FRSA ist Research Fellow am Leadership Excellence Institute Zeppelin (LEIZ), Compliance Praktiker und Digital Enthusiast. Seine Forschungsinteressen fokussieren die Standardsetzungsfunktion der Firma, Compliance & Integrity Management, Digital Innovation sowie Socio-Legal Studies. Nach dem Studium der Soziologie, Politik, Ökonomie und Rechtswissenschaften forscht er seit Herbst 2017 am LEIZ im Schnittfeld von Institutionenökonomik, Innovation und Rechtstheorie.

Die Kommentarfunktion ist geschlossen.

Wir teilen gerne - Du auch?

Diesen Post einfach teilen. Gemeinsam können wir die Digitalisierung für jeden verständlich erklären.
close-link