Rechts- und Prüfungssicherheit in IT-Projekten

Obwohl es eigentlich selbstverständlich sein sollte, dass erbrachte Leistungen und Gewerke – egal ob intern oder durch Fremdfirmen produziert – gesetzlichen Gegebenheiten und Syndikatsvorschriften entsprechen, zeichnet sich in der Praxis ein komplett anderes Bild. Selbst bei einem prominenten ERP-System findet sich im dort publizierten Prüfungsleitfaden folgender Hinweis: „… Da die Software als international eingesetzte Standardsoftware unter betriebswirtschaftlichen Aspekten konzipiert ist, kann ein Anwender nicht ohne weiteres davon ausgehen, dass für alle angebotenen Datenfelder die Rechtsgrundlagen im Sinne der deutschen Datenschutzgesetze gegeben sind …“ Natürlich wäre es in erster Linie eine Aufgabe der Corporate Governance – und damit der obersten Führung – diese Aspekte entsprechend zu berücksichtigen, aber oftmals wird versucht, diese Verantwortung auf den Projektleiter abzuwälzen.

Zusätzlich verschärft wird diese Situation, wenn Projekte grenzüberschreitend durchgeführt oder ihre Auswirkungen über die betroffene Niederlassung hinaus schlagend werden. Hier wird oftmals das Optimierungspotenzial auf technischer Seite voll ausgeschöpft, ohne sich der damit einhergehenden Risiken und Haftungsfragen bewusst zu sein (z.B. Verbot der Datenverarbeitung aufgrund fehlender Genehmigung durch die Datenschutzkommission (DSK), Strafen wegen Datenmissbrauchs, etc.).

Verbindliche neue Richtlinie für Europa

Zu der Fülle an Gesetzen, die zu berücksichtigen sind, gesellt sich allerdings auch noch das Problem der Prüfungssicherheit. Bisher wurde die IT im Rahmen der Jahresabschlussprüfung einer „traditionellen“ Begutachtung unterworfen. Im Gegensatz dazu haben all jene Unternehmen, die SOX unterliegen, bereits dramatischen Mehraufwand und wesentlich tiefgreifendere Prüfmethoden über sich ergehen lassen müssen. Mit der 8. EU-Richtlinie („Euro-SOX“) wurde nun ein für Europa generell verbindliches Rahmenwerk geschaffen, das auf alle Kapitalunternehmen (also nicht nur Aktiengesellschaften) Anwendung finden wird. Zwar wird erst die Praxis zeigen, wie der Begriff „wirtschaftlich bedeutende Unternehmen“, für die eine Ausweitung der Prüfungen vorgesehen ist, interpretiert werden wird. Aber es ist wohl davon auszugehen, dass es hier eine an den österreichischen Markt angepasste Regelung geben wird. Nichtsdestotrotz ist es für jedes Unternehmen ratsam, bereits jetzt Vorkehrungen zu treffen, damit der Prüfvermerk nicht eingeschränkt oder sogar verweigert wird.

Für alle Beteiligten – sowohl Auftraggeber als auch Auftragnehmer – steigt somit das Risiko enorm, für Verstöße zur Rechenschaft gezogen zu werden. Auf Auftragnehmerseite
ist hier wohl als erstes die Gewährleistungspflicht zu nennen (verschuldensunabhängiges Einstehenmüssen für Mängel, wobei ein Mangel alles ist, was den ausdrücklich vereinbarten oder gewöhnlich vorausgesetzten, verkehrsüblichen Eigenschaften widerspricht und somit auch – sofern vereinbart oder versprochen – diese Punkte, zumindest aber die Warnpflicht, umfasst).

Durch das Verbandsverantwortlichkeitsgesetz wird aber auch der Auftraggeber nicht aus der Pflicht entlassen, selbst Vorkehrungen dafür treffen zu müssen, dass rechtswidrige Taten nicht einfach durch das Fehlen personeller, organisatorischer oder technischer Maßnahmen begangen werden können (Haftung des Unternehmens bis 1,8 Mio. Euro.).

Haftung für Unternehmen und Einzelpersonen

Zusammenfassend lässt sich sagen, dass ein Umdenken notwendig und das Berücksichtigen der Faktoren Recht- und Prüfungssicherheit mehr als ratsam ist, da sich die Haftung
sowohl auf Unternehmen als auch auf Einzelpersonen erstreckt. Zwar gibt es derzeit noch keine so strengen Urteile wie in Deutschland (mehr als 20.000 Verfahren zu Haftungsfragen im IT-Umfeld), aber aufgrund fortschreitender Globalisierung ist wohl mittelfristig auch in Österreich mit einer ähnlichen Situation zu rechnen.

Um diesem Problemfeld entsprechend zu begegnen, sind zum einen die Unisys MitarbeiterInnen in diesen Gebieten besonders geschult, zum anderen bietet Unisys auf Wunsch eine Prüfung relevanter Projekte sowohl aus rechtlicher Sicht als auch aus Sicht von Wirtschaftsprüfern (in Form von Consulting oder Audit Engagement) an, wobei diese Zusatzleistungen aus rechtlichen Gründen immer in Kooperation mit den entsprechenden Berufsgruppen erbracht werden.