Definition IT-Compliance

Was bedeutet Compliance für Unternehmen?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.
IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: Pixabay / CC0)

Compliance in der IT ist für jedes Unternehmen Pflicht. Der Datenschutz ist dabei nur ein Beispiel. Vor jedem IT-Projekt muss geprüft werden, welche rechtlichen und vertraglichen Anforderungen bestehen und zu erfüllen sind.

Unter IT-Compliance versteht man die Einhaltung des Regelwerkes, das für die IT in Unternehmen und Behörden aufgestellt wurde. Welche Compliance oder Regeltreue genau gefordert ist, kommt auf die jeweilige Organisation und auf das jeweilige IT-Verfahren an. Neben den internen Richtlinien des Unternehmens oder der Behörde sind es die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.

Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist. Die Führung und Organisation der IT, die IT-Governance, muss sich also mit ihren Entscheidungen und Maßnahmen innerhalb des Rahmens bewegen, der sich aus den Vorgaben der IT-Compliance ergibt.

Compliance bedeutet Einhaltung des Datenschutzes

Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze der Bundesländer sowie auf EU-Ebene ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt.

IT-Compliance wird auch von Finanzämtern gefordert

Ein weiteres Beispiel, wo die IT genauen rechtlichen Vorgaben Folge leisten muss, sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Betriebsprüfungen durch Finanzämter finden digital statt. Damit dies technisch einwandfrei möglich ist, müssen Unternehmen die Vorgaben der GoBD einhalten. Die GoBD sind deshalb Teil der IT-Compliance-Vorgaben.

Vorgaben zur IT-Compliance verweisen häufig auf Standards

Neben den rechtlichen Vorgaben können auch Verträge bestimmte Regeln für die IT vorschreiben. Vertragliche Regelwerke für die IT verweisen oftmals auf anerkannte Standards, um einheitliche, erprobte Vorgaben zu machen. Im Bereich der IT-Sicherheit wird häufig eine Einhaltung des IT-Sicherheitsstandards ISO 27001 oder IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) gefordert. Die Einhaltung eines Standards kann durch unabhängige Stellen im Rahmen einer Zertifizierung bestätigt werden.

IT-Compliance berücksichtigt auch Branchenstandards

Während der Datenschutz von allen Unternehmen und Behörden zu beachten ist, die personenbezogene Daten verarbeiten, nutzen oder speichern, gibt es Regelwerke, die für bestimmte Branchen spezielle Vorgaben enthalten. Ein Beispiel ist der Payment Card Industry Data Security Standard (PCI/DSS), ein IT-Sicherheitsstandard, der von allen Unternehmen eingehalten werden muss, die Kreditkartendaten verarbeiten. Basel II ist ein Beispiel für rechtliche Rahmenbedingungen im Bankengeschäft und stellt eine Vorgabe der Bankenaufsicht dar, die auch Forderungen an die IT-Sicherheit der Banken enthält.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Effiziente Workflows verhindern Katastrophen

IT-Krisenmanagement optimieren

Effiziente Workflows verhindern Katastrophen

Notfälle lassen sich nie ganz verhindern, seien es IT-Notfälle, Naturkatastrophen oder vom Menschen gemachte Krisen. Unternehmen müssen bereit sein, Geschäftsprozesse auch im Notfall weiter führen zu können. Dann ist es von Vorteil, auf eine CEM (Critical Event Management)-Plattform zurückgreifen zu können, die dabei hilft, die Katastrophe abzuwenden. lesen

CxOSA-Engine für die Open-Source-Analyse

Analyse-Lösung für DevOps von Checkmarx

CxOSA-Engine für die Open-Source-Analyse

Checkmarx CxOSA ist eine Software Composition Analysis Engine für Open-Source-Komponenten und sichert den kompletten Software Development Lifecycle ab. DevOps-Umgebungen sollen so von hoher Software-Qualität und Compliance profitieren. lesen

Machine Learning für mehr IT-Sicherheit

Künstliche Intelligenz und IT-Security

Machine Learning für mehr IT-Sicherheit

Daten haben die Art, wie Unternehmen arbeiten grundlegend verändert. Neue Geschäftsmodelle und Umsatzquellen sind entstanden. Ganze Branchen basieren heute auf der intelligenten Nutzung von Informationen. Und der Datenbestand wächst ständig weiter an. Für die IT-Sicherheit ist das ein großes Problem: Diese Masse kann mit klassischen Methoden nicht mehr gegen Bedrohungen geschützt werden. lesen

Die Sicherheits-Teams versinken in Daten – was tun?

IT-Sicherheit und IT-Asset-Management

Die Sicherheits-Teams versinken in Daten – was tun?

Den IT-Sicherheitsteams stehen heute mehr Informationen zur Verfügung als je zuvor. Doch die schiere Datenmenge hilft keineswegs, Probleme zu lösen. Wie also können Unternehmen der Datenflut Herr werden und erreichen, dass sich die IT- Teams auf die dringendsten Aufgaben konzentrieren können? Die Antwort liegt in einer besseren Datenkonsolidierung, besserer Priorisierung und besseren Prozessen. lesen

Check Point: Ein weiterer Wächter für die Cloud

CloudGuard Log.ic

Check Point: Ein weiterer Wächter für die Cloud

Der Security-Anbieter Check Point erweitert seine CloudGuard-Produktfamilie. Mit Log.ic können Kunden künftig Datenflüsse und Audit-Trails nachverfolgen und kritische Ereignisse schneller erkennen. lesen

Mit einer IT-Risikoanalyse Sicherheitsrisiken senken

9 Schritte zu den richtigen Sicherheitsstrategien

Mit einer IT-Risikoanalyse Sicherheitsrisiken senken

In der Cybersicherheit geht es darum, Risiken für kritischen Vermögenswerte eines Unternehmens zu verstehen, zu verwalten, zu kontrollieren und zu minimieren. Das bedeutet, dass sich die für IT-Sicherheit verantwortlichen Teams mit dem Thema Risikomanagement beschäftigen müssen. lesen

5 Best Practices für sichere Softwareentwicklung

Leitfaden zu Risikominimierung und Datenschutz

5 Best Practices für sichere Softwareentwicklung

In einer Code-gesteuerten IT-Welt muss Sicherheit den gesamten Software Development Lifecycle abdecken. Doch wie bleibt dabei gewährleistet, dass Anwendungsentwicklung und -Bereitstellung nicht gestört werden? lesen

Kostenloser Schwachstellen-Scan mit Nessus Essentials

Tenable veröffentlicht Nessus-Home-Nachfolger

Kostenloser Schwachstellen-Scan mit Nessus Essentials

Fast jeder Cyber-Sicherheitsexperte hat irgendwann einmal Nessus benutzt. Tenable hat von der meistgenutzten Lösung für Schwach­stellen­analyse jetzt eine neue, erweiterte Freeware-Version veröffentlicht, die jetzt auch gewerblich genutzt werden darf. Pro Scanner dürfen Nutzer bis zu 16 IP-Adressen scannen. lesen

DSGVO-Hürden mit IAM erfolgreich bewältigen

Ist IAM das fehlende Element?

DSGVO-Hürden mit IAM erfolgreich bewältigen

Dank der DSGVO hat Europa sich offiziell als Wegbereiter für Datenschutz etabliert. Ein Konzept welches aus rechtlicher Sicht hoch gelobt wurde, doch für Unternehmen stand die DSGVO gleichbedeutend für ein lästiges Ärgernis ohne direkt erkennbaren Nutzen. Identitäts- und Access-Management (IAM) kann Unternehmen dabei helfen, die DSGVO korrekt zu adressieren. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44448926 / Definitionen)