IT-Compliance ist Chefsache!

Auch wenn die Digitalisierung rund ums Wohnen erst am Anfang steht: Gerade jetzt sollte man sich Gedanken ­machen über die einzuhaltenden Regeln.

Informationstechnische Anwendungen, die Funktionalitäten zur Vereinfachung und Optimierung von betrieblichen Abläufen zum Gegenstand haben, sind gefragt. Der Markt ist ebenso agil wie kreativ, bedient zunehmend die Nachfrage nach für die Immobilienwirtschaft maßgeschneiderten Tools. Geschäftsprozesse, auch betriebskritische, werden vor diesem Hintergrund mehr und mehr elektronisch abgewickelt oder an externe Dienstleister ausgelagert. Kein Wunder, dass der IT-Sicherheit und der Einhaltung gesetzlicher, unternehmens­interner oder auch vertraglicher Regelungen im Rahmen der Geschäftsführung eine gesteigerte Bedeutung zukommt. Denn der ordnungsgemäße Betrieb der IT gehört zu den wesentlichen Lenkungsaufgaben der Unternehmensführung. Er ist als Chefsache so auszugestalten, dass etwaige Risiken frühzeitig identifiziert und durch geeignete Maßnahmen Schäden vom Unternehmen abgewendet werden.

Die Fülle der potenziell anwendbaren Regelungen und Vorgaben, die im Rahmen eines ordnungsgemäßen IT-Betriebs zu beachten sind, lassen Unternehmen oft verzweifeln. Dennoch ist es unerlässlich, im Rahmen einer Einzelfallprüfung rechtliche Vorgaben von reinen Handlungsempfehlungen oder Branchenusancen zu unterscheiden – die ihrerseits aber als Best-Practice-Beispiele durchaus eine Bedeutung für die Beurteilung des aktuellen Stands der Technik haben können. Diese Risikoanalyse gelingt zwar häufig nur unter Zuhilfenahme externer Beratung, kann aber durchaus auch mit Bordmitteln organisiert werden, wenn Unternehmensführung und Fachabteilungen an einem Strang ziehen.
Der wichtigste Aspekt der IT-Compliance ist zumeist die IT-Sicherheit, dies sowohl in Hinblick auf die Aufrüstung der IT-Systeme gegen Angriffe als auch auf die Auswahl geeigneter Hard- und Softwarelösungen sowie externer IT-Dienstleister. Dies gilt insbesondere für betriebskritische Prozesse, deren Störung erhebliche Schäden nach sich ziehen kann. Dabei gilt: Ungeachtet vertraglicher Regressabreden verbleibt auch beim Outsourcing die Pflicht, ein wirksames Risikomanagement und eine effektive Kontrolle der Prozesse zu betreiben, grundsätzlich beim auslagernden Unternehmen. Daher ist die Auswahl digitaler Tools und externer Anbieter sorgfältig zu prüfen und anhand der konkreten Unternehmensanforderungen zu bewerten.

Was ist zu tun?

Um eine ordnungsgemäße IT-Compliance zu gewährleisten, haben Unternehmen der Immobilienwirtschaft in Hinblick auf ihre digitalen Geschäftsprozesse strukturelle und organisatorische Vorkehrungen zu treffen, um frühzeitig Risiken zu identifizieren und zu vermeiden sowie durch Strukturierung eine effiziente Überwachung sicherzustellen. Ausgangspunkt jeder Bewertung ist eine Bestandsaufnahme des Status quo, also die Erfassung und Prüfung des eigenen oder ausgelagerten IT-Bestands. Hierbei ist insbesondere zu untersuchen, welche Hard- und Software eingesetzt wird, welche Struktur die IT insgesamt aufweist und wie einzelne Unternehmensbereiche miteinander vernetzt und voneinander abhängig sind.

Die Unternehmensleitung hat sich dabei zunächst einen Überblick zu verschaffen, welche Geschäftsprozesse elektronisch abgewickelt werden und welche Tools im Einsatz sind. An zweiter Stelle steht die Entwicklung konkreter Maßnahmen des IT-Sicherheits- und IT-Risikomanagements. Ziel sollte es dabei sein, Schutz und Sicherheit, Verfügbarkeit sowie Nachvollziehbarkeit der IT-Systeme und ihrer Inhalte bestmöglich zu gewährleisten sowie durch organisatorische Maßnahmen Transparenz und effektive Kontrolle sicherzustellen.

Technischen Maßnahmen, die äußere Bedrohungen verhindern (etwa Virenschutz, Verschlüsselungstechnik und Firewall), können rein physische Schutzmaßnahmen zur Seite stehen: Die geschützte Aufbewahrung etwa von Servern und Datenträgern ist ebenso angezeigt wie die Vorbeugung menschlicher Fehler durch Schulung der Mitarbeiter und – soweit zulässig – die IT-spezifische Beaufsichtigung von Anwendern.

Weitere Maßnahmen können die Erarbeitung eines Verhaltenskodex und von Geschäftsanweisungen sein, oder konkrete Vorgaben im Personalbereich, die etwa in Arbeitsverträgen oder Betriebsvereinbarungen verortet werden. Daten sollten nach ihrem Inhalt und ihrem Schutzbedürfnis klassifiziert und durch Zugriffskontrollen sowie andere technische Vorkehrungen geschützt werden. Auch die Einführung eines Dokumenten- und nutzerbezogenen Identitätsmanagement ist empfehlenswert. Zur Vermeidung von Schäden aufgrund des Ausfalls betriebskritischer Prozesse, die von externen Dritten verantwortet werden, sind Vertragswerke mit Dritten etwa in Hinblick auf Service-Level-Zusagen, Gewährleistung und Haftung sowie Backup- und Notfallkonzepte zu überprüfen.

Herausforderung IT-Sicherheit

Auch die Immobilienwirtschaft ist Angriffen auf die IT von außen ausgesetzt, etwa durch Hacking, Trojaner oder andere Virus-Attacken. Die organisierte Kriminalität hat es zunehmend auf sensible Bankdaten oder etwa personenbezogene Mieterdaten abgesehen. Da sich Unternehmen der Wohnungswirtschaft an der Schnittstelle von Daten befinden, die für Dritte von Wert sein können, ist nicht nur der gesetzeskonformen Verarbeitung dieser Daten, sondern auch ihrem Schutz in besonderer Weise Rechnung zu tragen. Hierbei spielen etwa das Bundesdatenschutzgesetz (BDSG) sowie die in § 9 BDSG erwähnten Anforderungen an technisch-organisatorische Maßnahmen eine große Rolle. Zu beachten ist nicht zuletzt die im kommenden Jahr in Kraft tretende EU-Datenschutzgrundverordnung (EU-DSGVO). Ob Mitarbeiterdaten oder Mieterdaten – der effektive (vor allem technische) Schutz dieser Daten ist unverzichtbar, so dass sich Unternehmen mit den gesetzlichen Grundlagen in § 9 BDSG, § 13 TMG oder § 109 TKG ebenso auseinanderzusetzen haben wie mit den Vorgaben des IT-SichG oder des BSI-Gesetzes. Zur Bestimmung eines zumutbaren Schutzniveaus nach anerkanntem Stand von Technik und Wissenschaft sind auch anerkannte Standards, Best Practices sowie DIN- und ISO-Normen zu beachten. Insbesondere die IT-Grundschutzkataloge des BSI sollte jedes Unternehmen der Immobilienwirtschaft kennen und beachten.
 

Vertragsrecht

Ein oft unterschätzter, aber der Vollständigkeit halber zu ­erwähnender Aspekt der IT-Compliance ist das Vertragsrecht. Durch Verträge bindet sich ein ­Wohnungsunternehmen an Dritte und erwartet, dass eingekaufte Soft- und ­Hardware voll einsatzbereit und jederzeit verfügbar ist sowie allen ­betrieblichen Anforderungen des Unternehmens ­entspricht. Sichern die entsprechenden Verträge nicht die Anforderungen, die für das Unternehmen relevant sind, drohen Betriebs- und Haftungsrisiken. Hier hilft ein effektives Vertrags­management. Zudem haben viele ­Unternehmen keinen Überblick über die in ihrem Betrieb ­eingesetzten Lizenzen. Dies gilt sowohl für genutzte ­Software als auch für andere Inhalte, also etwa für Fotos, Texte und andere urheberrechtlich geschützte Werke. Auch hier muss ein Unternehmen frühzeitig durch ein ­geeignetes Rechte­management sicherstellen, dass Nicht- oder ­Unterlizenzierungen ausgeschlossen werden. Nur so werden ­Unterlassungs- und Schadensersatzansprüche vermieden.

Fazit

Im Ergebnis stellt sich IT-Compliance als ­komplexes und dynamisches, aber auch ­wertbildendes Thema dar. Neben zivil- und ­strafrechtlichen Sanktionen bei Rechtsverstößen sind insbesondere Nachlässigkeiten im Bereich der IT-­Sicherheit geeignet, ­Unternehmen in erheblicher Weise zu belasten und sogar den ­Fortbestand der Geschäftstätigkeit zu gefährden. Dabei vermeidet eine ­verteidigungsbereite IT nicht nur Attacken von außen und innen – sie erhöht auch das Vertrauen aller Nutzer und vermeidet nachhaltige Reputationsschäden. In der Praxis steigen ­Effizienz und Qualität, wenn die ­Geschäftsleitung ihre Hausaufgaben macht.

Foto: © SFIO CRACHO / Shutterstock.com