Zugangsbeschränkungen aus juristischer Sicht

Rechtsfragen in Bezug auf Logins berühren hauptsächlich zwei Bereiche. Erstens das weite Feld der Compliance, also der Befolgung von (Rechts-)Vorschriften. Der zweite Bereich erstreckt sich noch weiter. Er betrifft alle Beweisfragen, die nach dem Zugriff oder der Änderung von Daten auftreten können.

Compliance umfasst die gesetzlichen Vorschriften, hier im Wesentlichen die steuerrechtlichen Aufzeichnungspflichten. Das Steuerrecht stützt sich in den deutschsprachigen Ländern einerseits auf das überlieferte Handelsrecht, das "ordentliche", jederzeit nachvollziehbare Aufzeichnungen, die auch nicht nachträglich verändert werden, zur Voraussetzung für eine ordnungsgemäße Buchführung macht.

Andererseits kommen die Abgabengesetze ins Spiel, die das Gleiche verlangen. Weil heute Datenträger als Speichermedien das Papier weitgehend abgelöst haben, kommt es besonders darauf an, nachträgliche Änderungen zu verhindern. Bloßes Erschweren genügt hier nicht, Änderungen müssen technisch so weit wie möglich ausgeschlossen sein. Daraus entsteht der Bezug zu Zugangs- und Zugriffsberechtigungen.

Internes Kontrollsystem

Darüber hinaus finden sich in den Sondergesetzen über die Kapitalgesellschaften Bestimmungen, die ein internes Kontrollsystem fordern. Solche Systeme sind inzwischen aus Richtlinien und Rahmenbestimmungen der Europäischen Union in nationales Recht umgesetzt. Sie entstanden, weil zu viele Unternehmen beziehungsweise deren (leitende) Mitarbeiter Misswirtschaft betrieben haben, was Kapital und Arbeitsplätze vernichtete. Ein internes Kontrollsystem verlangt klare Zuordnung, wer im Unternehmen was machen darf und wer wann über die Maßnahmen informiert wird.

In den Bereichen wie Buchhaltung, Verkaufs- oder Vertragsabteilung geschieht die eigentliche Arbeit im Wesentlichen mittels Datenzugriff. Ein internes Kontrollsystem muss daher unberechtigte Zugriffe ausschließen und berechtigte im Idealfall umfangreich protokollieren. Die Protokollierung sollte sich auch auf unberechtigte Zugriffsversuche erstrecken - nicht nur, um den gesetzlichen Anforderungen an das Kontrollsystem zu genügen.

In jüngster Zeit gerieten freiwillige Verpflichtungen in den Blickpunkt der Öffentlichkeit, etwa die Basel-II-Übereinkommen der Kreditinstitute [1], deren Vorgaben auf Unternehmen abfärben. Danach müssen Banken Mindeststandards einhalten, wenn es um kreditrelevante interne Vorgänge, Kontrollsysteme und Reporting geht - und kreditrelevant ist bei Unternehmen fast alles.

Zertifizierungsdruck

In gleicher Weise drücken auch ausländische Standards inländischen Unternehmen ihre Stempel auf. Paradebeispiel ist der Sarbanes-Oxley Act [2], der Kontrollsysteme und Informationsoffenlegung für (wenige) US-börsennotierte Unternehmen regelt. Ähnlich wie bei den inzwischen verbreiteten ISO-Zertifizierungen wirkt der Zertifizierungsdruck auch auf Geschäftspartner oder verbundene Unternehmen.

Maßgeblich sind der SAS 70 [3], der von der AICPA [4] veröffentlicht wird und sich auf die USA oder Unternehmen beschränkt, die nach US-GAAP bilanzieren, sowie Normen des Instituts der Wirtschaftsprüfer [5]. Sie bestimmen, welche Kriterien gelten, um das Testat eines Prüfunternehmens (Wirtschaftsprüfer, Steuerberater und sonstige Prüfdienstleister) zu erhalten.

In diese Kerbe schlägt auch die 8. EU-Audit-Richtline, die das Vertrauen in Abschlussprüfer und deren Arbeit stärken soll. Sie verpflichtet Abschlussprüfer zur Einhaltung internationaler Prüfstandards, zu denen auch die Überwachung des internen Kontrollsystems (IKS) gehört. Die Richtlinie muss bis Juni europaweit in nationales Recht umgesetzt sein.