Definition IT-Compliance

Was bedeutet Compliance für Unternehmen?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.
IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: Pixabay / CC0)

Compliance in der IT ist für jedes Unternehmen Pflicht. Der Datenschutz ist dabei nur ein Beispiel. Vor jedem IT-Projekt muss geprüft werden, welche rechtlichen und vertraglichen Anforderungen bestehen und zu erfüllen sind.

Unter IT-Compliance versteht man die Einhaltung des Regelwerkes, das für die IT in Unternehmen und Behörden aufgestellt wurde. Welche Compliance oder Regeltreue genau gefordert ist, kommt auf die jeweilige Organisation und auf das jeweilige IT-Verfahren an. Neben den internen Richtlinien des Unternehmens oder der Behörde sind es die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.

Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist. Die Führung und Organisation der IT, die IT-Governance, muss sich also mit ihren Entscheidungen und Maßnahmen innerhalb des Rahmens bewegen, der sich aus den Vorgaben der IT-Compliance ergibt.

Compliance bedeutet Einhaltung des Datenschutzes

Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze der Bundesländer sowie auf EU-Ebene ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt.

IT-Compliance wird auch von Finanzämtern gefordert

Ein weiteres Beispiel, wo die IT genauen rechtlichen Vorgaben Folge leisten muss, sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Betriebsprüfungen durch Finanzämter finden digital statt. Damit dies technisch einwandfrei möglich ist, müssen Unternehmen die Vorgaben der GoBD einhalten. Die GoBD sind deshalb Teil der IT-Compliance-Vorgaben.

Vorgaben zur IT-Compliance verweisen häufig auf Standards

Neben den rechtlichen Vorgaben können auch Verträge bestimmte Regeln für die IT vorschreiben. Vertragliche Regelwerke für die IT verweisen oftmals auf anerkannte Standards, um einheitliche, erprobte Vorgaben zu machen. Im Bereich der IT-Sicherheit wird häufig eine Einhaltung des IT-Sicherheitsstandards ISO 27001 oder IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) gefordert. Die Einhaltung eines Standards kann durch unabhängige Stellen im Rahmen einer Zertifizierung bestätigt werden.

IT-Compliance berücksichtigt auch Branchenstandards

Während der Datenschutz von allen Unternehmen und Behörden zu beachten ist, die personenbezogene Daten verarbeiten, nutzen oder speichern, gibt es Regelwerke, die für bestimmte Branchen spezielle Vorgaben enthalten. Ein Beispiel ist der Payment Card Industry Data Security Standard (PCI/DSS), ein IT-Sicherheitsstandard, der von allen Unternehmen eingehalten werden muss, die Kreditkartendaten verarbeiten. Basel II ist ein Beispiel für rechtliche Rahmenbedingungen im Bankengeschäft und stellt eine Vorgabe der Bankenaufsicht dar, die auch Forderungen an die IT-Sicherheit der Banken enthält.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Cybersicherheit: eine Chance für Führungskräfte im Zeitalter der digitalen Transformation

[Gesponsert]

Bedarf an Sicherheit steigt weiter an

Cybersicherheit: eine Chance für Führungskräfte im Zeitalter der digitalen Transformation

Zum Schutz einer Organisation reichen kleinen Gruppen hochspezialisierter technischer Experten, die solche Bedrohungen analysieren, nicht aus. Moderne Unternehmen streben derzeit ein holistischeres Verständnis für die Natur der Risiken und deren potentielle Auswirkungen auf ihre Geschäftstätigkeit an. lesen

Datenschutz und Cloud-Speicherorte

Public Cloud und Datenschutz

Datenschutz und Cloud-Speicherorte

Bei Cloud-Diensten gibt es oft Bedenken, dass der Cloud-Provider die Daten ohne das Wissens des Kunden ins Ausland verschiebt. Bei Iaas, PaaS und SaaS sind die geographischen Grenzen, in denen Daten verschoben werden können allerdings meist klar in den Verträgen definiert. Wichtiger als die Frage, wo die Daten gelagert werden, ist allerdings die nach dem Datenschutz. lesen

Cloud-Sicherheit durch CASB und Verhaltensanalyse

Cloud Security

Cloud-Sicherheit durch CASB und Verhaltensanalyse

Im Zuge der Digitalisierung und steigender Datenmengen setzen Unternehmen immer mehr auf Cloud-Lösungen und -Provider. In einer digitalen Welt ohne klare Grenzen ist aber der Faktor Mensch als Schnittstelle zwischen Anwender, kritischen Daten und geistigem Eigentum ausschlaggebend für ein ganzheitliches Sicherheitskonzept. lesen

CIOs bewerten unlizenzierte Software als riskant und gefährlich

Volle Lizenzierung der IT als Schutz vor Data Hacks und Malware

CIOs bewerten unlizenzierte Software als riskant und gefährlich

Unternehmen können sich vor Hackerangriffen sowie Malware auch dadurch schützen, indem sie Unterlizenzierung verwendeter Software vermeiden und effektive Software-Asset-Management-Prozesse einführen und somit den reibungslosen Ablauf ihrer Geschäftsprozesse gewährleisten. lesen

SAS setzt auf analytische Betrugsbekämpfung

Neue Geschäftsdivision gegründet

SAS setzt auf analytische Betrugsbekämpfung

Der Softwarehersteller SAS hat eine neue Division für analytische Betrugsbekämpfung ins Leben gerufen. „SAS Fraud & Security Intelligence“ ist bereits aktiv und wird von Finanzdienstleistern wie der Société Générale oder der isländischen Landsbankinn genutzt. lesen

Ist die Deutsche Cloud am Ende?

Treuhändermodell angeblich nicht mehr nachgefragt

Ist die Deutsche Cloud am Ende?

Vor kurzem ließ Microsoft mit der kolportierten Aussage aufhorchen, dass die Nachfrage nach der Microsoft Cloud Deutschland (MCD) und damit nach einer Public Cloud, die mit deutschen Datenschutzrechtsverständnis konform geht und bei der T-Systems als Treuhänder fungiert, nur wenig nachgefragt würde. Wir haben uns in der Branche umgehört, ob sich das Treuhändermodell für die Deutsche Cloud erledigt hat. lesen

4 Schritte zu mehr Sicherheit in Multicloud-Umgebungen

Die Verantwortung lässt sich nicht delegieren

4 Schritte zu mehr Sicherheit in Multicloud-Umgebungen

Multicloud, also die Nutzung multipler Public Clouds, entwickelt sich schnell zum nächsten Schritt beim Aufbau wirklich dynamischer Infrastrukturen. Durch die dynamische Ausführung von Workloads über mehrere Cloud-Provider hinweg können Unternehmen sicherstellen, dass Workloads wirklich optimiert werden. Aber sind Unternehmen bereit für die Sicherheitsherausforderungen, die Multicloud-Architekturen mit sich bringen? lesen

Was ist ein Managed Security Service (MSS)

Definition MSS / MSSP

Was ist ein Managed Security Service (MSS)

Managed Security Services (MSS) sind Dienstleistungen zur Verwaltung und Sicherstellung der IT-Sicherheit von Unternehmen oder Organisationen. Anbieter dieser Dienstleistungen sind die Managed Security Service Provider (MSSP). Je nach Anbieter können die Services unterschiedlichen Leistungsumfang haben. lesen

Isolierte Instanzen der IT-Betriebsumgebung

Dev- und Security-Testing mit Veeam Datalabs

Isolierte Instanzen der IT-Betriebsumgebung

Die Veeam Hyper-Availability Platform erlaubt es Entwicklern künftig, neue Funktionen und Updates produktionsnah zu testen. Hierfür erzeugt die DataLabs-Komponente isolierte Instanzen der Produktivumgebung. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44448926 / Definitionen)