IT Compliance

Compliance (englisch: Einhaltung, Befolgung) steht für die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien durch Unternehmen. Eine Teildisziplin der Compliance befasst sich mit den besonderen Aspekten von IT Landschaften. Zu den wesentlichen Compliance Anforderungen in der IT gehören die Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz.

Für die Umsetzung innerhalb eines Unternehmens wurden verschiedene Rahmenwerke entwickelt. Als Beispiel hierfür können die Rahmenwerke DIN ISO 2700x oder auch das Framework COBIT herangezogen werden. Neben diesen allgemeinen Rahmenwerke für die Umsetzung existieren noch branchenspezifische Regelwerke. Bekannte Beispiele sind das Rahmenwerk Basel II zur Analyse der Kredirwürdigkeit oder SOX welcher auch für europäische Unternehmen gilt, die an der Börse in den USA notiert sind.

Die IT Compliance betrifft im wesentlichen alle Aktiengesellschaften (AG) und GmbHs, da hier die Geschäftsführer und Vorstände persönlich für die Einhaltung der gesetzlichen Regelungen haftbar gemacht werden können. Neben der Dokumentation der IT Ressourcen besteht in der Analyse und Bewertung von Gefahrenpotentialen (IT Risikomanagement) eine wesentliche Kernaufgabe. Hierbei steht der fortgeführte Prozess  im Fordergrund und sichert somit die ständige Weiterentwicklung und Kontrolle der IT Prozesse.

Zur Einführung der IT Compliance ist es sinnvoll einen IT Sicherheitsbeauftragten zu bestellen und mit der Einführung eines Information Security Management System (ISMS) zu beauftragen. Hierbei sind nützliche Hilfmittel und Vorgaben über das BSI Grundschutzhandbuch heranzuziehen. Neben einer Einführung eines ISMS nach dem BSI Grundschutz, DIN ISO 27001 oder der Einführung des COBIT / COSO Frameworks zur Sicherstellung der IT Compliance kommt aber auch ein Start mit ISIS12 in Betracht.

Compliance Ziele

Ziel ist die umfassende und dauerhafte Einhaltung von Anforderungen des Gesetzgebers und des Unternehmens. Daraus resultieren u. a. Vorteile bei der Unternehmensbewertung und höhere IT-Sicherheit. Betroffene Bereiche sind zum Beispiel: Im Falle des Ausscheidens von Personen aus dem Unternehmen muss es klare Regelungen beim Umgang mit weiterhin eintreffenden E-Mails geben. Hier besteht ein schmaler Grat zwischen Archivierungspflicht und Schutz der Persönlichkeit.
Quelle: Wikipedia

Betrieblicher Datenschutzbeauftragter nicht unproblematisch

Wird ein betrieblicher Datenschutzbeauftragter ohne entsprechende Sachkenntnis bestellt, ist der Ärger im Schadensfall vorprogrammiert. Fällt ein Unternehmen unter die Regelungen des Bundesdatengesetz wird in vielen Fällen ein betrieblicher Datenschutzbeauftragter eingesetzt. Doch genau hier liegt ein nicht zu unterschätzendes Problem, da viele Eckpunkte berücksichtigt werden müssen. Hierzu zählt neben der fachlichen und persönlichen Eignung insbesondere auch die Unabhängigkeit bei der Durchführung …

Read More

Datenschutz durch Managementsysteme einfacher erreichbar

Durch das sinnvolle nutzen bestehender Managementsysteme wie z.B. ITIL oder ISO 9001 können bestehende Prozesse genutzt und Doppelaufwendungen vermieden werden. Können Datenschutz Managementsysteme in bestehende Managementsysteme integriert werden, verringern sich die entstehenden Kosten. Grund ist die immer stärkere Übereinstimmung des Vorgehens der einzelnen Managementsysteme. So lassen sich zum Beispiel durch die Einführung von Checklisten Prozesse absichern, die dann innerhalb von …

Read More

Ein Datenschutzbeauftragter als Teil des Compliance Team?

Die organisatorische Einordnung des Datenschutzbeauftragten unterhalb des Compliance Officer ist für die Organisation eine Möglichkeit die aber auch Gefahren beinhalten kann. Betrachtet man die Compliance als unternehmensweite Gesamtaufgabe, so ist ein Datenschutzbeauftragter und die Einhaltung des Bundesdatenschutzgesetzes BDSG eine zentrale Compliance Forderung. Als natürliche Reaktion ist die Zuordnung des Datenschutzbeauftragten in das Compliance Team nur eine logische Konsequenz. Doch genau …

Read More

Fehlende IT Standards gefährden Datenschutz

Sollen Datenschutzmanagementsysteme durch Datenschutzbeauftragte aufgebaut werden, sind fehlende IT Standards häufig ein Hinderungsgrund. Die Funktion des Datenschutzbeauftragten macht es notwendig, die IT betreffende Informationen abzufragen und zu bewerten. Dabei können Datenschutzbeauftragte auf IT Standards zurückgreifen und somit den eigenen Aufwand aber auch Zusatzaufwendungen für die IT Abteilung reduzieren. Fehlende IT Standards sorgen hingegen oft für erhebliche Widerstände innerhalb des Unternehmens …

Read More

Compliance für Personengesellschaften

Entgegen der landläufigen Meinung bestehen auch Vorschriften zur Compliance für Personengesellschaften und somit ein Zwang zur Compliance. Dies steht jedoch im Widerspruch zu der oft vertretenen Meinung, dass lediglich Aktiengesellschaften und GmbH zur Compliance verpflichtet sind. Dabei nehmen entsprechende Beiträge häufig Bezug auf das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Lesen Sie weiter zum KontraG Die Compliance für …

Read More

Wer kann Datenschutzbeauftragter werden?

Wer Datenschutzbeauftragter werden kann und welche Kompetenzen die Person benötigt wurden vom Düsseldorfer Kreis in den Mindestanforderungen festgelegt. Doch was bedeutet das konkret und wie werden die variablen Größen wie Branchenzugehörigkeit, Unternehmensgröße, IT Infrastruktur und Leistungsfähigkeit des Unternehmens richtig ermittelt und sind das wirklich alle Parameter die zu betrachten sind? Es wird bei näherer Betrachtung deutlich, dass es sich hier …

Read More

Unterschätzte Gefahr – Die Haftung des Geschäftsführers

Trotz steigender Regulierung und zunehmend kritischer Justiz hat das Thema Risikoprävention im deutschen Mittelstand eine immer noch geringe Bedeutung – mit oft fatalen Folgen. Als Günter W. die Post öffnete, wartete auf ihn eine böse Überraschung. Mit gleicher Post erhielt er sowohl einen Haftungsbescheid des Finanzamtes für überfällige Körperschaftssteuer seiner GmbH als auch eine Klage des Insolvenzverwalters über 40.000,00 Euro. …

Read More

Aufgabe des IT Sicherheitsbeauftragten in der IT Compliance

Zur Aufgabenerledigung eines IT Sicherheitsbeauftragten in der IT Compliance sollte in einem Unternehmen oder einer Intistution eine verbindliche Stelle eingesetzt werden. Ob diese Stelle von einer einzelnen Person, einer Personengruppe oder in Teilzeit wahrgenommen wird, hängt von der Größe des Unternehmens, der vorhandenen Ressourcen und dem angestrebten Sicherheitsniveau ab. Die Hauptaufgabe des IT-Sicherheitsbeauftragten  in der IT Compliance besteht darin die Unternehmensleitung …

Read More