Definition IT-Compliance

Was bedeutet Compliance für Unternehmen?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.
IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: Pixabay / CC0)

Compliance in der IT ist für jedes Unternehmen Pflicht. Der Datenschutz ist dabei nur ein Beispiel. Vor jedem IT-Projekt muss geprüft werden, welche rechtlichen und vertraglichen Anforderungen bestehen und zu erfüllen sind.

Unter IT-Compliance versteht man die Einhaltung des Regelwerkes, das für die IT in Unternehmen und Behörden aufgestellt wurde. Welche Compliance oder Regeltreue genau gefordert ist, kommt auf die jeweilige Organisation und auf das jeweilige IT-Verfahren an. Neben den internen Richtlinien des Unternehmens oder der Behörde sind es die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.

Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist. Die Führung und Organisation der IT, die IT-Governance, muss sich also mit ihren Entscheidungen und Maßnahmen innerhalb des Rahmens bewegen, der sich aus den Vorgaben der IT-Compliance ergibt.

Compliance bedeutet Einhaltung des Datenschutzes

Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze der Bundesländer sowie auf EU-Ebene ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt.

IT-Compliance wird auch von Finanzämtern gefordert

Ein weiteres Beispiel, wo die IT genauen rechtlichen Vorgaben Folge leisten muss, sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Betriebsprüfungen durch Finanzämter finden digital statt. Damit dies technisch einwandfrei möglich ist, müssen Unternehmen die Vorgaben der GoBD einhalten. Die GoBD sind deshalb Teil der IT-Compliance-Vorgaben.

Vorgaben zur IT-Compliance verweisen häufig auf Standards

Neben den rechtlichen Vorgaben können auch Verträge bestimmte Regeln für die IT vorschreiben. Vertragliche Regelwerke für die IT verweisen oftmals auf anerkannte Standards, um einheitliche, erprobte Vorgaben zu machen. Im Bereich der IT-Sicherheit wird häufig eine Einhaltung des IT-Sicherheitsstandards ISO 27001 oder IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) gefordert. Die Einhaltung eines Standards kann durch unabhängige Stellen im Rahmen einer Zertifizierung bestätigt werden.

IT-Compliance berücksichtigt auch Branchenstandards

Während der Datenschutz von allen Unternehmen und Behörden zu beachten ist, die personenbezogene Daten verarbeiten, nutzen oder speichern, gibt es Regelwerke, die für bestimmte Branchen spezielle Vorgaben enthalten. Ein Beispiel ist der Payment Card Industry Data Security Standard (PCI/DSS), ein IT-Sicherheitsstandard, der von allen Unternehmen eingehalten werden muss, die Kreditkartendaten verarbeiten. Basel II ist ein Beispiel für rechtliche Rahmenbedingungen im Bankengeschäft und stellt eine Vorgabe der Bankenaufsicht dar, die auch Forderungen an die IT-Sicherheit der Banken enthält.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Das müssen Unternehmen jetzt zur DSGVO wissen!

Europäischer Datenschutz

Das müssen Unternehmen jetzt zur DSGVO wissen!

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist bereits seit dem 24. Mai 2016 beschlossene Sache – die Schonfrist läuft allerdings am 25. Mai 2018 ab. Zu diesem Stichtag gilt für alle Unternehmen verbindlich die neue Rechtslage. Die Compliance-Experten von G Data verweisen dazu auf sechs Änderungen, über die Unternehmer jetzt Bescheid wissen müssen. lesen

Unternehmen unterschätzen die Gefahren der DSGVO

Studie von Veritas

Unternehmen unterschätzen die Gefahren der DSGVO

Viele Unternehmen sind der Meinung, die Pflichten aus der EU-Datenschutzgrundverordnung (EU-DSGVO) bereits abzudecken. Dass dies allzu oft ein Trugschluss ist, zeigen die Ergebnisse einer von Veritas veröffentlichten Umfrage. lesen

Dynamische Richtlinien gegen komplexe Cyber-Attacken

Neues eBook „Security Policy Management“

Dynamische Richtlinien gegen komplexe Cyber-Attacken

IT-Sicherheitsrichtlinien sind mehr als die Grundlage der Sicherheitsunterweisung für Mitarbeiterinnen und Mitarbeiter. Auch Security-Lösungen brauchen Policies, um Angriffe erkennen und abwehren zu können. Das neue eBook zeigt, wie diese Policies beschaffen sein müssen. lesen

Ransomware & Co. einfach den Riegel vorschieben

[Advertorial]

Next-Gen IT-Security-Technologien für KMUs unabdingbar

Ransomware & Co. einfach den Riegel vorschieben

Tradition ist gut und notwendig. Das gilt auch für IT-Sicherheitslösungen. Ohne die Erfahrungen der letzten Jahrzehnte wären Infrastrukturen bei weitem nicht so gut geschützt. Das alleinige Vertrauen auf Tradition ist aber eine Sackgasse. Neue Wege schieben modernen Hackerangriffen einen Riegel vor. lesen

Cyber Security: Weckruf für Unternehmen

[Advertorial]

Active Security Management

Cyber Security: Weckruf für Unternehmen

Die Flut an Meldungen über aktuelle Cyberattacken zeigt, wie verwundbar Unternehmen sind. Aktives Sicherheitsmanagement hilft Firmen, Schäden in Grenzen zu halten und schnell wieder zum Normalbetrieb zu finden. lesen

Was ist ein Compliance Audit?

Definition Compliance Audit

Was ist ein Compliance Audit?

Ein Compliance Audit überprüft die Einhaltung von gesetzlichen Vorgaben oder anderen Richtlinien in einem privaten Unternehmen oder einer öffentlichen Einrichtung. Sanktionen oder Geldbußen aufgrund von Verletzungen der Vorgaben lassen sich mit einem Audit vermeiden. lesen

Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen

VMware AppDefense

Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen

VMware will mit seiner neuen Sicherheitslösung AppDefense die Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen signifikant verbessern. Von innerhalb des vSphere Hypervisor nutzt AppDefense die virtuelle Infrastruktur, um laufende Anwendungen zu überwachen, Angriffe zu erkennen und automatisch darauf zu reagieren. lesen

So klappt’s mit der Informationssicherheit

Sicherheit und EU-DSGVO im Fokus

So klappt’s mit der Informationssicherheit

Wenn es um den Umgang mit Informationen geht, bietet das Thema Sicherheit immer wieder ein großes Diskussionspotential. Denn die Gefahren für Wirtschaft und Gesellschaft wachsen im digitalen Cloud-Zeitalter stetig. Für ausreichenden Schutz sorgen Entwickler und Nutzer von Softwarelösungen mittels verschiedener Maßnahmen. lesen

DSGVO mit Hilfe von Services und Dienstleistern umsetzen

Vorbereitung auf die Datenschutz-Grundverordnung

DSGVO mit Hilfe von Services und Dienstleistern umsetzen

Am 25. Mai 2018 ist Stichtag für die DSGVO. Die für die Umsetzung der Datenschutz-Grundverordnung verbleibende Zeit ist knapp. Unternehmen, die jetzt noch Lücken in der Vorbereitung haben, sollten sich mit den Services befassen, die Dienstleister und Hersteller speziell zur DSGVO anbieten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44448926 / Definitionen)