AKADEMIE der DGI AG (Startseite)
DGI AG
AKADEMIE der DGI AG (Startseite)

IT Compliance


IT Compliance beschreibt die Einhaltung der gesetzlichen, unternehmensinternen (IT-Governance) und vertraglichen Regelungen beim Betrieb IT-gestützter Geschäfts- und Produktionsprozesse. Aufgrund der Abhängigkeiten und Wechselwirkungen mit den Bereichen (IT) Risk Management und (IT-)Governance bildet sich der Begriff „GRC“ als fester Bestandteil einer risikoorientierten Organisationsbetrachtung sowie eines risikoorientierten Vorgehens bei der Umsetzung von Maßnahmen in der Informationssicherheit.

Die Anforderungen zur Umsetzung von Maßnahmen im Bereich der IT Compliance erwirken insbesondere aus den für eine Organisation einzuhaltenden Rechtsvorschriften wie dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (sog. IT-Sicherheitsgesetz), dem Bundesdatenschutzgesetz (BDSG) oder den Mindestanforderungen an das Risikomanagement für Kreditinstitute oder Versicherungsunternehmen (MaRisk).

Einfach gesagt gilt es die eigenen organisationsspezifischen Geschäfts- und Produktionsprozesse zu definieren, um rechtliche Einwirkungen auf den IT-gestützten Betrieb dieser Prozesse eruieren und unter Einhaltung sämtlicher Rechtseinwirkungen betreiben zu können. Beispielhaft sind beim Betrieb einer Internetpräsenz u. a. folgende Rechtsvorgaben zu erfüllen

  • Telemediengesetz (§§ 5, 13 TMG)
  • Rundfunkstaatsvertrag (§ 55 RStV)
  • Gesetz gegen den unlauteren Wettbewerb
  • Gesetz über Urheberrecht und verwandte Schutzrechte
  • Bürgerliches Gesetzbuch (§ 312b BGB (Fernabsatzverträge))
  • Einführungsgesetz zum Bürgerlichen Gesetzbuch
    (Artikel 246 Informationspflichten bei besonderen Vertriebsformen)

Die fehlende Beachtung einzuhaltender Rechtsvorgaben kann zu Schadensszenarien wie die Versendung infizierter E-Mail-Anhänge (Spamming) oder dem Verlust von (unverschlüsselten) Datenträgern oder mobilen Endgeräten führen oder diese begünstigen. Selbst Strafbarkeitshandlungen, wie die Verletzung des Fernmeldegeheimnisses durch Einsicht oder Löschen von privaten Daten (§ 206 StGB (E-Mail-Filter)) oder das Offenbaren von persönlichen Informationen sog. Berufsgeheimnisträger, wie Ärzte, Steuerberater oder Anwälte, die der Schweigepflicht unterliegen (§ 203 StGB), sind unter gegebenen Umständen sehr realistisch.

Des Weiteren erwachsen aus der Einhaltung geltender Rechtvorschriften verpflichtende Dokumentationsanforderungen, wie der Nachweis eines Risikofrüherkennungssystems, die Umsetzung der Aufbewahrungspflicht gemäß § 257 Handelsgesetzbuch (HGB) oder § 147 Abgabenordnung (AO), die Umsetzung der Nachweispflichten aus dem BDSG wie die Dokumentation des Verfahrensverzeichnisses und der Verarbeitungsübersicht sowie u. a. die Verträge zur Auftragsdatenverarbeitung oder die Dokumentationen zur Durchführung der gesetzlich vorgeschriebenen Vorabkontrollen. Zudem erfüllen die Dokumentationen Anforderungen an das Reporting u. a. gegenüber dem Vorstand und dem Aufsichtsrat, der Revision, den Wirtschaftsprüfern und den Gesellschaftern.

Abschließend sei auf die Kontrolle des Vertragswesens zur Einhaltung Ihrer Compliance-Anforderungen hingewiesen. Verträge müssen auf die mögliche Einhaltung definierter Sicherheitsmaßnahmen hin geprüft werden. Oftmals wird die verschlüsselte Übertragung von Daten schon im Rahmen des Abschlusses von Geheimhaltungsvereinbarungen vertraglich zugesichert, obwohl beispielsweise eine verschlüsselte E-Mail-Übertragung nicht umgesetzt wird. Andererseits ist auch der Abschluss sog. Service Level Agreements (SLA) als Service Provider unter Gesichtspunkten der Einhaltung der Compliance zu beachten, wie die Einhaltung der zugesagten Leistungen im geforderten Service Level.


Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung bei der Umsetzung eines Projekts? Dann freuen wir uns auf Ihren Kontakt.


ITIL® ist eine eingetragene Marke von AXELOS Limited.
Das Swirl logo™ ist eine Marke von AXELOS Limited.

COBIT® ist eine eingetragene Marke von der
Information System Audit and Control Association® (ISACA®)
iso9001

itil-exin