„Es geht um nichts Geringeres als um den Schutz der Assets und den Wert der Daten.“

GRC steht für Governance, Risk & Compliance – Praxisorientierte Lösungsansätze für IT und Datenschutz im Unternehmen erfolgreich absichern – Im aktuellen „Wirtschaftsführer“ fasst Dr. Thomas A. Degen zusammen, wie man in der Unternehmens- und Behördenpraxis den Vorschriften-Dschungel sowie die spezifischen Dienstleistungs-, Produkt- und Kundenanforderungen organisiert und systematisiert, um eine nachhaltige Struktur mit Leitlinien und Workflow einschließlich Notfallkonzept sicherzustellen. Es geht um nachhaltige Lösungen für Regeltreue und Fehlervermeidung bei IT und Datenschutz im Unternehmen.

Das GRC-Modell beinhaltet im Wesentlichen drei elementare Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung: Governance, Risk & Compliance. Anhand einer Systematisierung der bedarfsrelevanten Parameter und gesetzlichen und branchentypischen Umsetzungsgebote können eine Risikomatrix und konkrete Workflow-Strukturen und rechtstechnische Musterempfehlungen generiert werden, um der heutigen Compliance-Last gerecht zu werden.

Das Navigieren durch den Paragrafen-Dschungel in einem Schnittstellensegment (insbesondere bei Händlern, Herstellern, Dienstleistern) macht es erforderlich, sicherzustellen, dass z. B. die nach DSGVO vorzunehmenden Umsetzungen wie Privacy by Design und Privacy by Default und die technischen und organisatorischen Maßnahmen auch gewährleistet werden. So ist der Geschäftsführer einer GmbH neben derer selbst „Verantwortlicher“ und ggf. mit Anforderungen konfrontiert (wie i.S.v. DSGVO, TKG, TTDSG, GmbHG, BGB). Das OLG Dresden hat mit Urteil vom 30.11.2021 die persönliche Außenhaftung herausgestellt. Die Gesellschaft wird insoweit „gepierct“, d. h. durchstochen. Das Gericht hat folgenden Leitsatz geprägt: „Der Geschäftsführer einer ist neben der Gesellschaft ‚Verantwortlicher‘ im Sinne der DSGVO.“

Infolgedessen wird immer mehr Unternehmen bzw. deren leitenden Organen bewusst, wie groß die praktische Relevanz ist. Compliance erfordert die Bereitstellung von Ressourcen, Zeit, Material, Kapital.

Eine Zertifizierung wie nach DIN ISO 27001, 27701 kann sachdienlich sein und durchaus einen signifikanten Betrag kosten. In jedem Einzelfall muss geprüft werden, wie stark die Ausbaugrade der Compliance-Absicherung sein sollen. Das Sparen an der falschen Stelle kann zu kapitalen Folgen führen. Erschwerend kommt hinzu, dass die Sicherheitslage hinsichtlich IT und Projekten immens ist, bei denen es um die Verarbeitung personenbezogener Daten geht. Neue Technologien wie KI- und Blockchain-Anwendungen verlangen mehr als weniger Prüfungs- und Sicherungsaufwand. Big-Data-Analysen, die Konvergenz der Medien, mobile Endgeräte, Cloud-Computing sowie Trends wie „RegTech“ zeigen ein zunehmend technologiegetriebenes Koordinatensystem. Bei diesem sind die Risiken systemimmanent: Es bestehen Datenschutzrechtsrisiken, insbesondere Datendiebstahl, Ransomware-Attacken, Hacking, Persönlichkeits-, Urheberrechts-, Markenverletzungen etc.

In der Wissenschaft, der Unternehmens- und Beratungspraxis zu IT- und Datenschutz-Compliance hat sich jüngst eine Methodik entwickelt, die Unternehmen und Normadressaten hilft, den Anforderungen gerecht zu werden. Die Rede ist von GRC: „Damit befassen wir uns intensiv im Mandanteninteresse bei der Jordan & Wagner Rechtsanwaltsgesellschaft mbH. Im Bedarfsfall können wir interdisziplinäre Sachverständige hinzuziehen und z.B. mit dem Background der Experten der ValueAbler GmbH analysieren, ob Cloud-Businessmodelle valide sind. Es geht um nichts Geringeres als um den Schutz der Assets und den Wert der Daten.“, so Dr. Thomas A. Degen, der im aktuellen „Wirtschaftsführer“ des Boorberg Verlags Lösungen für Regeltreue und Fehlervermeidung bei IT und Datenschutz im Unternehmen vorstellt.

Zur aktuellen Ausgabe des Wirtschaftsführers (Ausgabe 2022/2023, S. 38 ff.): https://www.boorberg.de/studium/Der+aktuelle+Wirtschaftsführer

Ansprechparter bei der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, Stuttgart:

Peter Wagner, Rechtsanwalt und Mediator, Geschäftsführer, Cert. Monash University, Australia

Dr. Thomas A. Degen, Fachanwalt für Informationstechnologierecht (IT-Recht), Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV), Lehrbeauftragter an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW), Compliance-Beauftragter der ValueAbler GmbH

Dr. Hanns-Georg Pipping, Rechtsanwalt, Fachanwalt für Steuerrecht, Fachanwalt für Handels- und Gesellschaftsrecht, Zertifizierter Wirtschaftsmediator RAK, Compliance Management Beauftragter

Mathias Lang, LL.M., Rechtsanwalt, Fachanwalt für Informationstechnologierecht (IT-Recht), Master of Laws (LL.M.) Informationsrecht

Dr. Arnd-Christian Kulow, Rechtsanwalt, Zertifizierter Datenschutzbeauftragter – DSB (TÜV-SÜD), Zertifizierter Auditor für Datenschutz – DAS (TÜV-SÜD), Zertifizierter Beauftragter für QM nach DIN EN ISO 9001:2015 (QM-B) (TÜV SÜD)

Marzia Carla Iosini, LL.M., Avvocato (Mailand) Master of Laws (LL.M.), International Dispute Settlement (MIDS), IHEID und Universität von Genf, Master of Laws (LL.M.) Gewerblicher Rechtsschutz, Heinrich-Heine-Universität Düsseldorf, Master of Laws (LL.M.) Europäisches und Internationales Wirtschaftsrecht, Ludwig-Maximilians-Universität München, Master of Laws, Katholische Universität Mailand

Isabel Ledig-Sturm, Diplom-Juristin, Magister Iuris | Maître en droit, Zertifizierte Datenschutzbeauftragte (DEKRA)

Zentrale: 0711 255 404 60