Die Vorfälle der jüngsten Zeit zeigen, dass die Themen Datenschutz und Informationssicherheit von maßgeblicher rechtlicher, steuerlicher und wirtschaftlicher Bedeutung für Unternehmen geworden sind. Hinzu kommt, dass die elektronische Datenverarbeitung und der Umgang mit Informationen in Unternehmen im Allgemeinen längst nicht mehr auf den deutschen Rechtsraum beschränkt sind und überdies an Umfang und Komplexität stetig zunehmen.
(IT-)Compliance ist Chefsache
Die entsprechenden rechtlichen und regulatorischen Pflichten stellen daher auch im IT-Umfeld eine wesentliche Teilmenge der Gesamtheit der Compliance-Anforderungen dar und sollten heute auf der Agenda jedes Chief Information Officer (CIO) und Chief Compliance Officer (CCO) im Rahmen ihrer Governance, Risk und Compliance Aktivitäten präsent sein.
Vielfältige regulatorische Anforderungen
Zu nennen sind neben den Anforderungen des Bundesdatenschutzgesetzes (BDSG) insoweit etwa die rechtlichen Anforderungen des Handels- und Steuerrechts, wie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPdU) oder die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) mit Regelungen zur Buchführung mittels Datenverarbeitungssystemen und internem Kontrollsystem aber auch Pflichten zur ordnungsgemäßen Datenaufbewahrung. Ergänzend bestehen regelmäßig branchen- und bereichsspezifische IT-CompIiance-Anforderungen, z. B. aufgrund zu wahrender Berufsgeheimnispflichten (§ 203 StGB), Sozialdatenverarbeitung (SGB IV, SGB V, SGB X) oder besonders regulierter Tätigkeitsfelder wie etwa Banken und Versicherungen im Hinblick auf die MaRisk und VaRisk oder Telekommunikation (TKG). Schließlich folgen entsprechende Compliance-Pflichten nicht selten aus Verträgen, Zertifizierungen (ISO/IEC 27001, ISO/IEC 20000, ISO 9001) oder unternehmerischer Selbstverpflichtung („Code of Conduct“). Nicht zuletzt ist der übergreifende Schutz und Fortbestand des Unternehmens mit seinen Mitarbeitern und essentiellen Werten oberstes unternehmerisches Ziel.
Risiken und Auswirkungen von Non-Compliance
Um die praktische Auswirkung und resultierende Handlungsbedarfe aus den genannten Compliance-Verpflichtungen einordnen zu können, hilft ein Blick auf die typischen Unternehmensabläufe, welche in aller Regel über die Elemente Organisation, ihrer handelnden Personen, der verschiedenen durch diese genutzten Prozesse sowie unterstützende (informationsverarbeitende) Technologien abgewickelt werden. Das bedeutet, dass unter dem Gesichtspunkt potentieller compliance-gefährdender Unternehmensrisiken alle aufgezählten Elemente unter den Aspekten der Informationssicherheit und des Datenschutzes ganzheitlich zu betrachten sind. Um etwaigen Verstößen und den damit verbundenen Problematiken wie wirtschaftliche Schieflage, Haftungsrisiken für Unternehmen, Geschäftsleitungen und Mitarbeiter entgegenzuwirken, sind IT-Compliance- und Datenschutzmaßnahmen zwingend zu ergreifen.
Lösungsansätze
Dies erfordert zunächst eine lückenlose Erfassung der maßgeblichen IT-Compliance-Anforderungen. Darüber hinaus sind die entsprechenden Anforderungen mit Prozess- und Kontrollmaßnahmen zu hinterlegen und deren Einhaltung regelmäßig zu überwachen und für Sachverständige Dritte wie etwa Betriebs- und Wirtschaftsprüfer nachvollziehbar zu dokumentieren. Ergänzend dazu bedarf es eines integrierten Managementansatzes, der überdies stetig zu verbessern ist (siehe ISO/IEC 27001 PDCA-Zyklus). Um dies nachhaltig im Unternehmen sicherstellen zu können, hat sich die Orientierung an marktüblichen Standards, Good Practices und anerkannte Methoden wie z.B. Cobit, ITIL, ISO/IEC 27001, IT Grundschutz bewährt.