IT-Compliance

IT-Compliance und Datenschutz – Management rechtlich-regulatorischer Anforderungen

Die Vorfälle der jüngsten Zeit zeigen, dass die Themen Datenschutz und Informationssicherheit von maßgeblicher rechtlicher, steuerlicher und wirtschaftlicher Bedeutung für Unternehmen geworden sind. Hinzu kommt, dass die elektronische Datenverarbeitung und der Umgang mit Informationen in Unternehmen im Allgemeinen längst nicht mehr auf den deutschen Rechtsraum beschränkt sind und überdies an Umfang und Komplexität stetig zunehmen.

(IT-)Compliance ist Chefsache

Die entsprechenden rechtlichen und regulatorischen Pflichten stellen daher auch im IT-Umfeld eine wesentliche Teilmenge der Gesamtheit der Compliance-Anforderungen dar und sollten heute auf der Agenda jedes Chief Information Officer (CIO) und Chief Compliance Officer (CCO) im Rahmen ihrer Governance, Risk und Compliance Aktivitäten präsent sein. 

Vielfältige regulatorische Anforderungen

Zu nennen sind neben den Anforderungen des Bundesdatenschutzgesetzes (BDSG) insoweit etwa die rechtlichen Anforderungen des Handels- und Steuerrechts, wie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPdU) oder die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) mit Regelungen zur Buchführung mittels Datenverarbeitungssystemen und internem Kontrollsystem aber auch Pflichten zur ordnungsgemäßen Datenaufbewahrung. Ergänzend bestehen regelmäßig branchen- und bereichsspezifische IT-CompIiance-Anforderungen, z. B. aufgrund zu wahrender Berufsgeheimnispflichten (§ 203 StGB), Sozialdatenverarbeitung (SGB IV, SGB V, SGB X) oder besonders regulierter Tätigkeitsfelder wie etwa Banken und Versicherungen im Hinblick auf die MaRisk und VaRisk oder Telekommunikation (TKG). Schließlich folgen entsprechende Compliance-Pflichten nicht selten aus Verträgen, Zertifizierungen (ISO/IEC 27001, ISO/IEC 20000, ISO 9001) oder unternehmerischer Selbstverpflichtung („Code of Conduct“). Nicht zuletzt ist der übergreifende Schutz und Fortbestand des Unternehmens mit seinen Mitarbeitern und essentiellen Werten oberstes unternehmerisches Ziel.

Risiken und Auswirkungen von Non-Compliance

Um die praktische Auswirkung und resultierende Handlungsbedarfe aus den genannten Compliance-Verpflichtungen einordnen zu können, hilft ein Blick auf die typischen Unternehmensabläufe, welche in aller Regel über die Elemente Organisation, ihrer handelnden Personen, der verschiedenen durch diese genutzten Prozesse sowie unterstützende (informationsverarbeitende) Technologien abgewickelt werden. Das bedeutet, dass unter dem Gesichtspunkt potentieller compliance-gefährdender Unternehmensrisiken alle aufgezählten Elemente unter den Aspekten der Informationssicherheit und des Datenschutzes ganzheitlich zu betrachten sind. Um etwaigen Verstößen und den damit verbundenen Problematiken wie wirtschaftliche Schieflage, Haftungsrisiken für Unternehmen, Geschäftsleitungen und Mitarbeiter entgegenzuwirken, sind IT-Compliance- und Datenschutzmaßnahmen zwingend zu ergreifen.

Lösungsansätze

Dies erfordert zunächst eine lückenlose Erfassung der maßgeblichen IT-Compliance-Anforderungen. Darüber hinaus sind die entsprechenden Anforderungen mit Prozess- und Kontrollmaßnahmen zu hinterlegen und deren Einhaltung regelmäßig zu überwachen und für Sachverständige Dritte wie etwa Betriebs- und Wirtschaftsprüfer nachvollziehbar zu dokumentieren. Ergänzend dazu bedarf es eines integrierten Managementansatzes, der überdies stetig zu verbessern ist (siehe ISO/IEC 27001 PDCA-Zyklus). Um dies nachhaltig im Unternehmen sicherstellen zu können, hat sich die Orientierung an marktüblichen Standards, Good Practices und anerkannte Methoden wie z.B. Cobit, ITIL, ISO/IEC 27001, IT Grundschutz bewährt.

 
 

Das könnte sie auch noch interessieren

(c) SAI Global

Compliance-Kultur im Home Office

Informationssicherheit, Datenschutz, aber auch Integrität, Respekt und Transparenz bleiben weiterhin wichtige Elemente der täglichen Arbeit. Wie kann man sicherstellen, dass sie auch im Homeoffice...

Foto: Getty Images / Eric Audras

Die neue EU-Richtlinie zum Schutz von Whistleblowern

Es ist jetzt genau einen Monat her, seit dem der Entwurf einer EU-Richtlinie zum Schutz von Whistleblowern veröffentlicht wurde. Und die erste offizielle Beratung durch die EU-Justizminister steht...

Foto: Thinkstock / YakobchukOlena

Die EU-DSGVO als Chance nutzen

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen...

Foto: Thinkstock / scyther5

Cyber-Sicherheit rückt in den Fokus der BaFin

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erkennt die Brisanz des Themas „Cyber-Sicherheit“ und stellt erste Weichen für die Zukunft.

Andreas H. Schmidt, Foto: Laurin Schmid

„Ein Unternehmen ist ohne IT tot“

IT und Compliance gehören für Andreas Schmidt zusammen. Wir haben mit dem Fachgruppenleiter IT-Compliance des BCM darüber gesprochen, warum IT-Compliance ein Thema ist, an dem kein Weg vorbei...

Dr. Thomas Kremer, Foto: andreas pohlmann / Deutsche Telekom

„Den Stein ins Rollen bringen“

Dr. Thomas Kremer ist Vorstand Datenschutz, Recht und Compliance der Deutschen Telekom. Im Compliance Manager hat er seinen...