Foto: Getty Images / Westend61
Foto: Getty Images / Westend61
DSGVO:

Warum Unternehmen Government-Risk-Compliance Tools brauchen

Aufgrund der neuen Anforderungen der europäischen Datenschutzgrundverordnung (EU-DSGVO) in Hinblick auf die Prozesse des Rechtsmonitorings, die Datenschutzfolgeabschätzung sowie den Umgang mit Betroffenenrechten, aber auch in Hinblick auf die bankaufsichtlichen Anforderungen an die IT (BAIT), stellt die Softwareunterstützung in der Praxis einen bedeutenden Mehrwert dar. Mithilfe von toolbasierten Lösungen ist es möglich, insbesondere die geforderte Nachweis- und Dokumentationspflicht zu gewährleisten.

Das wirtschaftliche Handeln der Unternehmen wird durch immer mehr regulatorische Werke wie Basel II und III, MaRisk, MaComp oder die neue europäische Datenschutzgrundverordnung (EU-DSGVO) eingeschränkt. Diese Regulatorik stellt somit wachsende Anforderungen an das Compliance-Management. Um die Fülle der Anforderungen regelkonform umzusetzen, ist die Informationstechnologie in der heutigen Zeit nicht mehr wegzudenken. Dies dürfte auch im Bereich des Compliance-Managements allgemein akzeptiert sein.[1] Demnach hat die IT eine bedeutende Stellung für den Compliance-Verantwortlichen eingenommen. Dieser ist für die Verhinderung von Rechtsverstößen aus dem Unternehmen heraus verantwortlich. Sollte jedoch die präventive Tätigkeit des Compliance-Verantwortlichen fehlschlagen, kann es zu einer Untersuchung eines möglichen Fehlverhaltens, veranlasst durch die Geschäftsführung, das Aufsichtsorgan, die interne Revision oder sogar die Staatsanwaltschaft kommen.[2] In diesem Fall hat der Compliance-Verantwortliche präzise den aktuellen Stand der Compliance-Aktivitäten darzulegen, um idealerweise der Haftpflicht zu entgehen. Eine Möglichkeit, um diese Informationen präzise und schnell darlegen zu können, ist die Verwendung eines GRC-Tools. Anhand einer solchen Softwarelösung kann unter anderem die geforderte Nachweis- und Dokumentationspflicht gewährleistet werden. Manuell erstellte Unterlagen und Datenbanken sind dahingehend zeitintensiver und gegebenenfalls, beispielsweise aufgrund von Kommunikationsschwierigkeiten zweier Abteilungen, lückenhaft. 

Die Qualität der IT gewinnt an Bedeutung

In die Geschäftsabläufe implementierte Softwarelösungen durchdringen heutzutage jede Abteilung eines Unternehmens, um die Effizienz, Effektivität und Transparenz zu steigern. Damit diese Lösungen jedoch keine Schäden durch Fehlverhalten oder das Nichteinhalten von Regularien verursachen, gewinnt die Qualität der IT für die Compliance immer mehr an Bedeutung.

IT birgt in sich ein gewisses Risiko. Mithilfe adäquater Maßnahmen lässt sich das mit dem Einsatz von IT verbundene Risiko jedoch eingrenzen. Demnach müssen die regulatorischen Anforderungen an die IT an internationale Standards und Best Practices wie ITIL, COSO und COBiT angepasst sein. Die Verwendung dieser Standards bei der Ausgestaltung der IT-Systeme wird auch von der BaFin vorausgesetzt, um die Vertraulichkeit, Integrität und Verfügbarkeit dieser zu gewährleisten.[3]  Zudem wurden Konkretisierungen der MaRisk durch die bankaufsichtlichen Anforderungen an die IT (BAIT) sowie Konkretisierungen der MaGo durch die versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT) von der BaFin durchgeführt. Die direkte Bedeutung für die Compliance besteht darin, dass diese Regelungen neue Anforderungen darstellen und die Compliance somit für die unternehmensweite Einhaltung dieser Vorgaben verantwortlich ist. Es kann also festgehalten werden, dass die IT für die Compliance und sogar für das gesamte interne Kontrollsystem eine stark wachsende Bedeutung hat. Ohne die Zuhilfenahme von automatisierten Prozessen sind die aktuellen Herausforderungen kaum zu bewältigen.

Worauf Unternehmen achten müssen

Zum einen müssen Unternehmen also auf die Umsetzung der wichtigsten Aufgaben, wie die Überwachung, Kontrolle und regelmäßige Überarbeitung der Einhaltung und Anwendung der rechtlichen und aufsichtsrechtlichen Anforderungen sowie die Steuerung und Überwachung der Compliance-Risiken achten. Zum anderen müssen sie aber auch auf die zusätzlichen Aufgaben, die unter anderem durch die Schnittstellen zu den anderen Schlüsselfunktionen als auch den anderen Unternehmensbereichen entstehen, achten. Erfolgt das in einem zu geringen Maß, kann dies durchaus Auswirkungen auf das Risikoprofil sowie die daraus resultierenden Berichtspflichten haben.

Die Unternehmen müssen sich daher zum Beispiel mit dem Einsatz einer workflow- und IT-basierten zentralen GRC-Plattform für die Überwachung, Messung und Steuerung von Anforderungen und der daraus resultierenden Risiken auseinandersetzen. Die hohen Anforderungen, die unter anderem durch die Aufsicht sowohl an die geforderte Qualität als auch die teilweise kurzen Lieferfristen für Informationengestellt werden, können nur so erfüllt werden.

Hinweis: Den vollständigen Artikel können Sie hier herunterladen.


[1] Brockhausen, Compliance Praxis 2016, 14 (Heft 2).

[2] Brockhausen, Compliance Praxis 2016, 14 (Heft 2).

[3] Giebichenstein/Schirp, CB 2015, 430 (432).

 

Das könnte sie auch noch interessieren

Foto: Getty Images / TBE

Auswertung beschlagnahmter VW-Unterlagen erlaubt

Das Bundesverfassungsgericht hat entschieden: Die Unterlagen aus der internen Aufklärung der VW AG im „Diesel-Skandal“, die bei deren Rechtsanwaltskanzlei Jones Day beschlagnahmt wurden, dürfen...

Foto: Getty Images / Eric Audras

Die neue EU-Richtlinie zum Schutz von Whistleblowern

Es ist jetzt genau einen Monat her, seit dem der Entwurf einer EU-Richtlinie zum Schutz von Whistleblowern veröffentlicht wurde. Und die erste offizielle Beratung durch die EU-Justizminister steht...

Foto: Thinkstock / seb_ra

Keine „Vorgesetztenverantwortlichkeit“ im Strafrecht!?

Rechtsprechung und Strafverfolgungsbehörden erhöhen seit Jahren stetig den Druck auf Unternehmen und deren Leitungspersonen. Zuletzt kam ein weiterer Impuls von Seiten der Politik.

Foto: Thinkstock / YakobchukOlena

Die EU-DSGVO als Chance nutzen

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen...

Foto:Thinkstock / LucaZola

Kartellschadensersatz in der Unternehmenspraxis

Kartellfälle und daraus resultierende Schadensersatzklagen sind nicht erst seit diesen Tagen häufiges Thema. Doch mit der EU-Kartellschadensersatzrichtlinie kommt eine neue Dynamik, die für die...

Foto: Thinkstock / g-stockstudio

Mehr Schutz rund um Finanzen - die MiFID II

Ab Januar 2018 wird das Schutzniveau bei Finanz- und Anlageentscheidungen deutlich erhöht. Ein Kernpunkt der Neuregelungen ist die Aufzeichnung der telefonischen und elektronischen...

Neuen Kommentar schreiben