AKADEMIE der DGI AG (Startseite)
DGI AG
AKADEMIE der DGI AG (Startseite)

IT Compliance


IT Compliance beschreibt die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen beim Betrieb IT-gestützter Geschäfts- und Produktionsprozesse. Aufgrund der Abhängigkeiten und Wechselwirkungen mit den Bereichen Risikomanagement und Governance bildet sich der Begriff „GRC“ als fester Bestandteil einer risikoorientierten Organisationsbetrachtung sowie eines risikoorientierten Vorgehens bei der Umsetzung von Maßnahmen zur Sicherstellung einer angemessenen Informationssicherheit.

Die Anforderungen zur Umsetzung von Maßnahmen im Bereich der IT Compliance erwirken insbesondere aus den für eine Organisation einzuhaltenden Rechtsvorschriften wie dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (sog. IT-Sicherheitsgesetz), der EU-Datenschutz-Grundverordnung (DSGVO) i. V. m. dem Bundesdatenschutzgesetz (BDSG) oder den Mindestanforderungen an das Risikomanagement für Kreditinstitute und Finanzdienstleistungsinstitute (MaRisk BA) i. V. m. den Bankenaufsichtlichen Anforderungen an die IT (BAIT).

Einfach gesagt gilt es die eigenen organisationsspezifischen Geschäfts- und Produktionsprozesse zu definieren, um rechtliche Einwirkungen auf den IT-gestützten Betrieb dieser Prozesse eruieren und unter Einhaltung sämtlicher Rechtseinwirkungen betreiben zu können.

Die fehlende Beachtung rechtlicher Vorgaben kann zu Schadensszenarien wie die Versendung infizierter E-Mail-Anhänge (Spamming) oder dem Verlust von (unverschlüsselten) Datenträgern oder mobilen Endgeräten führen oder diese begünstigen. Selbst Strafbarkeitshandlungen, wie die Verletzung des Fernmeldegeheimnisses durch Einsicht oder Löschen von privaten Daten oder das Offenbaren von persönlichen Informationen sog. Berufsgeheimnisträger, wie Ärzte, Steuerberater oder Anwälte, die der Schweigepflicht unterliegen, sind unter gegebenen Umständen sehr realistisch.

Des Weiteren erwachsen aus der geforderten Einhaltung Ihrer Rechenschaftspflichten verpflichtende Nachweispflichten, die beispielsweise eine aktuelle transparente Dokumentation des Risikofrüherkennungssystems, die Umsetzung der Aufbewahrungspflicht gemäß Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO) ebenso verlangen, wie die Umsetzung datenschutzrechtlicher Dokumentationen zur Verarbeitung personenbezogener Daten, wie das Führen eines Verzeichnis der Verarbeitungstätigkeiten, den Verträgen zur Auftragsverarbeitung oder die Dokumentation der Durchführung geforderter Datenschutzfolgenabschätzungen.

Abschließend sei auf die Kontrolle des Vertragswesens zur Einhaltung Ihrer Compliance-Anforderungen hingewiesen. Verträge müssen auf die mögliche Einhaltung definierter Sicherheitsmaßnahmen hin geprüft werden. Oftmals wird die verschlüsselte Übertragung von Daten schon im Rahmen des Abschlusses von Geheimhaltungsvereinbarungen vertraglich zugesichert, obwohl beispielsweise eine verschlüsselte E-Mail-Übertragung nicht umgesetzt wird. Andererseits ist auch der Abschluss sogenannter Service Level Agreements (SLA) als Service Provider unter Gesichtspunkten der Einhaltung der Compliance zu beachten, wie die Einhaltung der zugesagten Leistungen im geforderten Service Level und deren Reporting.


Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung bei der Umsetzung eines Projekts? Dann freuen wir uns auf Ihren Kontakt.


ITIL® ist eine eingetragene Marke von AXELOS Limited.
Das Swirl logo™ ist eine Marke von AXELOS Limited.

COBIT® ist eine eingetragene Marke von der
Information System Audit and Control Association® (ISACA®)