In der heutigen digitalisierten und von künstlicher Intelligenz geprägten Welt werden die Compliance-Anforderungen für Unternehmen immer anspruchsvoller. Die fortwährenden Entwicklungen in der Regulatorik, wie die EU-Datenschutz-Grundverordnung (DSGVO), die Richtlinie über Netz- und Informationssicherheit (NIS2), der Digital Operational Resilience Act (DORA) oder der EU AI Act, stellen Verantwortliche in praktisch jeder Branche vor immense Herausforderungen. Angesichts dieser Komplexität muss sich die Rolle von Compliance-Managern wandeln: weg vom klassischen „Gatekeeping“ hin zu agiler Business-Unterstützung, und dies in enger Abstimmung mit den IT- und Fachabteilungen.
Komplex, komplexer, Compliance
Gesetze und Regulierungen wie die DSGVO erfordern von Unternehmen, dass sie strenge Richtlinien in Sachen Datenschutz einhalten. NIS2 bringt zusätzliche Vorgaben für die Cybersicherheit mit sich, während DORA Unternehmen und Dienstleister im Finanzsektor dabei unterstützt, sich gegen operationale Risiken abzusichern. Der EU AI Act soll als umfassendes Regelwerk die Risiken und ethische Prinzipien für KI-Systeme adressieren.
Durch die Vielzahl von Vorschriften und ständigen Änderungen ergibt sich ein dichtes Geflecht aus Anforderungen, die Unternehmen dazu verpflichten, technische und organisatorische Maßnahmen (TOMs) nahtlos zu integrieren.
Technische und organisatorische Maßnahmen als Schlüssel
Um dieser Dynamik gerecht zu werden und gleichzeitig die eigenen Abläufe zu optimieren, müssen in einem Unternehmen die nötigen TOMs nahtlos ineinandergreifen. Ein enger Schulterschluss zwischen IT-Abteilung und Compliance-Management ist Grundvoraussetzung, damit sowohl technische Lösungen als auch interne Prozesse effektiv integriert werden können. Auf diese Weise lassen sich Vorschriften zuverlässig erfüllen und Risiken minimieren.
Compliance-Manager*in: Eine Funktion im Wandel
Compliance-Manager werden in Unternehmen häufig als isolierte Gatekeeper wahrgenommen, die „Checklisten-getrieben“ agieren und in einer Welt der Rechtsvorschriften und Gesetzestexte leben, um die Überwachung und Überprüfung von rechtlichen Anforderungen zu steuern. Doch die Zeiten haben sich geändert: Compliance-Manager müssen sich zunehmend als Partner der IT-Abteilung verstehen. Mit einem verstärkt strategischen und planerischen Fokus können sie sich so aktiv in die Gestaltung der richtigen Rahmenbedingungen und die Umsetzung von Compliance-Maßnahmen einbringen. Einige Beispiele:
- Gemeinsame Risikoanalyse und Übersetzung der gesetzlichen Anforderungen in geeignete technische Gegebenheiten für das Unternehmen
- Integration von Sicherheitsvorgaben in den Entwicklungsprozess – von der Planung über das Design bis zur Implementierung
- Schulung und fortlaufende Sensibilisierung der Mitarbeitenden in allen Fachabteilungen, um Sicherheits- und Compliance-Themen auch firmenkulturell zu verankern
- Kontinuierliche Überwachung und Anpassung der technologischen Systeme, Prozesse und Sicherheitsrichtlinien, um sich ändernde Vorgaben abzubilden und die Resilienz zu stärken
Dieser Wandel bedeutet auch, dass Compliance-Manager sich zunehmend mit technischen Zusammenhängen auseinandersetzen und die Sprache der IT verstehen müssen. Die Fähigkeit, Technologien zu evaluieren und ihre Umsetzung mit der IT-Abteilung zu koordinieren, wird entscheidend. Auf diese Weise können Compliance-Manager nicht nur die Einhaltung regulatorischer Vorgaben sicherstellen, sondern gleichzeitig auch einen echten Mehrwert für das Unternehmen schaffen.
Effiziente Nutzung von Technologien
Technologische Lösungen wie Microsoft Purview können Compliance-Manager und IT-Abteilungen gleichermaßen bei der Einhaltung der Regulatorik und der Stärkung der Unternehmenssicherheit unterstützen. Diese Systeme ermöglichen es beispielsweise, Datenrichtlinien zu implementieren, Sicherheitsprotokolle zu überwachen und Compliance-Berichte zu erstellen – produktiv, zuverlässig und ganzheitlich.
Die Einbindung solcher Lösungen in die Compliance-Strategie verringert das Risiko von Verstößen, die zu hohen Geldstrafen und reputationsschädigenden Vorfällen führen können. Mit einem erfahrenen IT-Service-Anbieter als Partner lassen sich außerdem Standardzertifizierungen und Nachweise nutzen, die die eigenen regulatorischen Verpflichtungen erheblich vereinfachen. So bietet Microsoft das branchenweit umfassendste Compliance-Portfolio und stellt die entsprechenden Berichte auf dem öffentlich zugänglichen Service Trust Portal sowie über das Trust Center für seine Geschäftskunden zur Verfügung.
Fazit
Das Zusammenspiel von Compliance-Managern und der IT-Abteilung und gemeinsame Strategieentwicklung sind in einer zunehmend regulierten Welt wichtiger denn je. Letztlich verschafft es Unternehmen einen wichtigen Vorteil, um die eigene Resilienz, Effizienz und Innovationskraft in einem dynamischen und oft herausfordernden Geschäftsumfeld zu fördern.
Und zum Schluss noch ein Tipp: Erfahren Sie in unserem Fachvortrag „Datensicherheit und Compliance im Zeitalter von künstlicher Intelligenz“ auf dem Bundeskongress Compliance mehr über diese Themen: 21. November, 11:15 Uhr. Wir freuen uns auf den Austausch mit Ihnen!