Definition IT-Compliance

Was bedeutet Compliance für Unternehmen?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.
IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: Pixabay / CC0)

Compliance in der IT ist für jedes Unternehmen Pflicht. Der Datenschutz ist dabei nur ein Beispiel. Vor jedem IT-Projekt muss geprüft werden, welche rechtlichen und vertraglichen Anforderungen bestehen und zu erfüllen sind.

Unter IT-Compliance versteht man die Einhaltung des Regelwerkes, das für die IT in Unternehmen und Behörden aufgestellt wurde. Welche Compliance oder Regeltreue genau gefordert ist, kommt auf die jeweilige Organisation und auf das jeweilige IT-Verfahren an. Neben den internen Richtlinien des Unternehmens oder der Behörde sind es die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.

Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist. Die Führung und Organisation der IT, die IT-Governance, muss sich also mit ihren Entscheidungen und Maßnahmen innerhalb des Rahmens bewegen, der sich aus den Vorgaben der IT-Compliance ergibt.

Compliance bedeutet Einhaltung des Datenschutzes

Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze der Bundesländer sowie auf EU-Ebene ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt.

IT-Compliance wird auch von Finanzämtern gefordert

Ein weiteres Beispiel, wo die IT genauen rechtlichen Vorgaben Folge leisten muss, sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Betriebsprüfungen durch Finanzämter finden digital statt. Damit dies technisch einwandfrei möglich ist, müssen Unternehmen die Vorgaben der GoBD einhalten. Die GoBD sind deshalb Teil der IT-Compliance-Vorgaben.

Vorgaben zur IT-Compliance verweisen häufig auf Standards

Neben den rechtlichen Vorgaben können auch Verträge bestimmte Regeln für die IT vorschreiben. Vertragliche Regelwerke für die IT verweisen oftmals auf anerkannte Standards, um einheitliche, erprobte Vorgaben zu machen. Im Bereich der IT-Sicherheit wird häufig eine Einhaltung des IT-Sicherheitsstandards ISO 27001 oder IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) gefordert. Die Einhaltung eines Standards kann durch unabhängige Stellen im Rahmen einer Zertifizierung bestätigt werden.

IT-Compliance berücksichtigt auch Branchenstandards

Während der Datenschutz von allen Unternehmen und Behörden zu beachten ist, die personenbezogene Daten verarbeiten, nutzen oder speichern, gibt es Regelwerke, die für bestimmte Branchen spezielle Vorgaben enthalten. Ein Beispiel ist der Payment Card Industry Data Security Standard (PCI/DSS), ein IT-Sicherheitsstandard, der von allen Unternehmen eingehalten werden muss, die Kreditkartendaten verarbeiten. Basel II ist ein Beispiel für rechtliche Rahmenbedingungen im Bankengeschäft und stellt eine Vorgabe der Bankenaufsicht dar, die auch Forderungen an die IT-Sicherheit der Banken enthält.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Sicherheitsexperten bewerten die DSGVO als ineffektiv

Unternehmen sind nicht auf Datenschutzverletzungen vorbereitet

Sicherheitsexperten bewerten die DSGVO als ineffektiv

Die überwiegende Mehrzahl von Unternehmen (76 Prozent) speichert vertrauliche Daten wie E-Mails, Gehalts- und Vergütungsinforma­tionen, geistiges Eigentum und Kundendaten in der Cloud. Dennoch haben sie Schwierigkeiten, wenn es darum geht eine Datenschutz­verletzung zu erkennen. Das zeigen die Ergebnisse einer Umfrage des IAM-Experten One Identity. lesen

Neue und fast vergessene Löcher in der Wolke

Cloud-Schwachstellen aufdecken

Neue und fast vergessene Löcher in der Wolke

Cloud-Sicherheit beginnt mit Sichtbarkeit. Die notwendige Transparenz betrifft die genauen Verantwortlichkeiten und genutzten Cloud-Dienste, aber auch die Fülle der vorhandenen Schwachstellen, die es abzusichern gilt. Ein neuer Blick auf Cloud-Schwachstellen ist deshalb entscheidend für den Erfolg der Cloud-Security und des Cloud Computing insgesamt. lesen

Datalocker aktualisiert Safecrypt

Daten sicher verschlüsseln

Datalocker aktualisiert Safecrypt

Ab sofort ist die neue Version von Datalockers Safecrypt verfügbar. Die Datenverschlüsselungslösung ist nun zentral verwaltet und sichert Daten unabhängig von ihrem jeweiligen Speicherort ab. lesen

Die EU-DSGVO in der Softwareentwicklung

Datenschutz, Datensparsamkeit und Informationspflicht

Die EU-DSGVO in der Softwareentwicklung

Datenschutz ist richtig und wichtig – und spätestens seit Einführung der DSGVO auch eine nicht unerhebliche Stolperfalle. Auch die Software-Entwicklung ist vom Datenschutz betroffen, weshalb es sinnvoll ist, einige Grundsätze zu beachten. lesen

Risiken intelligenter erkennen und bewerten

Access Governance und Risikomodellierung

Risiken intelligenter erkennen und bewerten

Risiko ist ein Begriff, der zwar intuitiv verständlich erscheint, gleichzeitig aber ziemlich nebulös und für viele Zwecke zu allgemein ist. Um effektive Instrumente zur Risikobewältigung oder zur Minderung negativer Auswirkungen entwickeln zu können, bedarf es zumeist nicht-trivialer und sehr spezifischer Details. lesen

Wie lässt sich Governance in der (Public-) Cloud durchsetzen?

Cloud Management Office

Wie lässt sich Governance in der (Public-) Cloud durchsetzen?

Wie können Compliance- und regulatorischen Verpflichtungen wie die DSGVO auch bei der Nutzung der (Public-) Cloud eingehalten werden? Der Managed Service Partner Rackspace schlägt dafür u.a. ein „Cloud Management Office“ vor. lesen

Pflegeanleitung für sichere Software

Sichere Softwareentwicklung – Teil 2

Pflegeanleitung für sichere Software

Will man eine Software auch sicher machen bedeutet das viel Arbeit. Es gilt Schwachstellen zu verhindern und von Beginn an einen sorg­samen Umgang mit Daten zu pflegen. Dazu gehört die Trennung von Datenverarbeitung und ihrer Darstellung ebenso wie eine konsequente Validierung von Ein- und Ausgangsdaten. Dann braucht es nur noch sichere Übertragungswege und regelmäßige Prüfroutinen. Oder fehlt da noch was? lesen

Cyberangriffe werden immer raffinierter

State of Cybersecurity Report

Cyberangriffe werden immer raffinierter

Cybersicherheit ist als Thema auf der Vorstandsebene angekommen, die Eskalation hat sogar bereits staatliche Akteure erreicht. Vor diesem Hintergrund verwundert es nicht, dass das Weltwirtschaftsforum in seinem diesjährigen „Global Risk Report” Cyberattacken zu den vier weltweit größten Risiken zählt, direkt hinter den Folgen des Klimawandels, Wetterextremen und der Zunahme von Naturkatastrophen. lesen

Compliance mit Open Source Tool im Griff behalten

Tool-Tipp: OpenSCAP

Compliance mit Open Source Tool im Griff behalten

Das Security Content Automation Protocol (SCAP) hilft mit Methoden dabei wichtige Sicherheitsrichtlinien im Unternehmen einzuhalten. Mit Programmen, wie zum Beispiel dem Open Source Tool OpenSCAP, lassen sich die dazugehörigen Richtlinien einlesen und mit den eigenen Systemen vergleichen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44448926 / Definitionen)