Definition IT-Compliance

Was bedeutet Compliance für Unternehmen?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.
IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: Pixabay / CC0)

Compliance in der IT ist für jedes Unternehmen Pflicht. Der Datenschutz ist dabei nur ein Beispiel. Vor jedem IT-Projekt muss geprüft werden, welche rechtlichen und vertraglichen Anforderungen bestehen und zu erfüllen sind.

Unter IT-Compliance versteht man die Einhaltung des Regelwerkes, das für die IT in Unternehmen und Behörden aufgestellt wurde. Welche Compliance oder Regeltreue genau gefordert ist, kommt auf die jeweilige Organisation und auf das jeweilige IT-Verfahren an. Neben den internen Richtlinien des Unternehmens oder der Behörde sind es die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.

Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist. Die Führung und Organisation der IT, die IT-Governance, muss sich also mit ihren Entscheidungen und Maßnahmen innerhalb des Rahmens bewegen, der sich aus den Vorgaben der IT-Compliance ergibt.

Compliance bedeutet Einhaltung des Datenschutzes

Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze der Bundesländer sowie auf EU-Ebene ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt.

IT-Compliance wird auch von Finanzämtern gefordert

Ein weiteres Beispiel, wo die IT genauen rechtlichen Vorgaben Folge leisten muss, sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Betriebsprüfungen durch Finanzämter finden digital statt. Damit dies technisch einwandfrei möglich ist, müssen Unternehmen die Vorgaben der GoBD einhalten. Die GoBD sind deshalb Teil der IT-Compliance-Vorgaben.

Vorgaben zur IT-Compliance verweisen häufig auf Standards

Neben den rechtlichen Vorgaben können auch Verträge bestimmte Regeln für die IT vorschreiben. Vertragliche Regelwerke für die IT verweisen oftmals auf anerkannte Standards, um einheitliche, erprobte Vorgaben zu machen. Im Bereich der IT-Sicherheit wird häufig eine Einhaltung des IT-Sicherheitsstandards ISO 27001 oder IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) gefordert. Die Einhaltung eines Standards kann durch unabhängige Stellen im Rahmen einer Zertifizierung bestätigt werden.

IT-Compliance berücksichtigt auch Branchenstandards

Während der Datenschutz von allen Unternehmen und Behörden zu beachten ist, die personenbezogene Daten verarbeiten, nutzen oder speichern, gibt es Regelwerke, die für bestimmte Branchen spezielle Vorgaben enthalten. Ein Beispiel ist der Payment Card Industry Data Security Standard (PCI/DSS), ein IT-Sicherheitsstandard, der von allen Unternehmen eingehalten werden muss, die Kreditkartendaten verarbeiten. Basel II ist ein Beispiel für rechtliche Rahmenbedingungen im Bankengeschäft und stellt eine Vorgabe der Bankenaufsicht dar, die auch Forderungen an die IT-Sicherheit der Banken enthält.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

DSGVO-Investitionen sichern auch Wettbewerbsfähigkeit

Datenschutz-Grundverordnung

DSGVO-Investitionen sichern auch Wettbewerbsfähigkeit

Die aus der EU-DSGVO resultierenden Verordnungen werden Tausende von Unternehmen auf der ganzen Welt betreffen, nicht nur die in der EU ansässigen, sondern jedes Unternehmen, das personenbezogene Daten von EU-Bürgern sammelt oder verarbeitet. Unternehmen sollten die Regulierung aber nicht nur als teure Last, sondern als Chance begreifen, sich positiv gegen den Wettbewerb abzuheben. lesen

Cloud-Nutzung und DSGVO in Einklang bringen

EU-Datenschutzgrundverordnung

Cloud-Nutzung und DSGVO in Einklang bringen

Deutschlands Unternehmen legen immer mehr ihre Scheu vor der Cloud ab. Das hat der Cloud Monitor 2017 von KPMG und Bitkom eindrucksvoll bestätigt. Das ist zunächst auch ein positives Zeichen. Doch dürfen CEOs, COOs und andere Verantwortliche die kommende EU-Datenschutz-Grundverordnung (EU-DSGVO) nicht aus den Augen verlieren. lesen

Das Netzwerk steht bei IoT- Sicherheit in der Pflicht

Firewall, Virenscanner & Co. sind nicht genug

Das Netzwerk steht bei IoT- Sicherheit in der Pflicht

Immer mehr Unternehmen setzen IoT-fähige Geräte ein. Im Digitalisierungsrausch vergessen sie dabei häufig die Sicherheit. Sensoren und IoT-Anwendungen selbst können diese nicht gewährleisten. Das einzige, was derzeit hilft: ein widerstandsfähiges, schützendes Netzwerk. lesen

Steigende Cyberrisiken und fehlende Ressourcen

Prognose zur Cybersicherheit 2018

Steigende Cyberrisiken und fehlende Ressourcen

Nach einigen spektakulären Ereignissen im Jahr 2017 dürfte 2018 kaum weniger turbulent werden. Mit weiteren Cyberangriffen mittels Würmern ist ebenso zu rechnen wie mit Ransomware. Das ist ein Problem, denn wie in vielen technischen Sparten herrscht auch in der IT-Sicherheit chronischer Fachkräftemangel, der auch 2018 nicht abnehmen wird. lesen

Der umfassende Blick auf den Kunden für die neue DSGVO

Wie das Marketing die Compliance im Unternehmen vereinfachen kann

Der umfassende Blick auf den Kunden für die neue DSGVO

Seien wir doch mal ehrlich: im Grunde genommen ist es doch so, dass Marketingabteilungen immer wieder versuchen, gerade in puncto Daten die Compliance-Grenzen im Unternehmen aufzuweichen. Auf der anderen Seite stehen die Compliance-Teams, oft in der Rechtsabteilung verankert, und versuchen das zu verhindern. lesen

Hybrid Cloud und Sicherheit? – Das geht!

Cloud-Infrastrukturen und Sicherheit

Hybrid Cloud und Sicherheit? – Das geht!

Der Public Cloud-Markt wächst und wächst. Gartner geht von einem weltweiten Zuwachs des Cloud Services-Marktes von 18 Prozent bis Ende 2017 aus. Das entspricht einem Volumen von 246,8 Milliarden US-Dollar. Die rapide zunehmende Popularität ist verständlich: Unternehmen erzielen mit Public- oder hybriden Cloud-Plattformen oftmals bessere Ergebnisse hinsichtlich Quality of Service, Redundanz, Zuverlässigkeit, Performance und Agilität als mit Private Cloud-Modellen. lesen

ISO 27001 richtig umsetzen und verstehen

Security Compliance

ISO 27001 richtig umsetzen und verstehen

Viele IT-Entscheider stehen unter Zeitdruck, denn ab Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem überarbeiten viele Organisationen ihre Sicherheitsstandards und durch das IT-Sicherheitsgesetz gelten für Betreiber Kritischer Infrastruktur (KRITIS) ebenfalls neue Vorgaben. Das größte Problem ist die Umsetzung in der Praxis, wirklich brauchbare Leitfäden sind aber schwierig zu finden. Daher lohnt ein genauer Blick auf bestehende Normen wie die ISO 27001. lesen

Cloud Zertifikate - Was sind C5 und TCDP?

Sicherheit in der Cloud

Cloud Zertifikate - Was sind C5 und TCDP?

Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach. lesen

USB-Speicher im Unternehmenseinsatz

USB-Device-Management

USB-Speicher im Unternehmenseinsatz

USB-Sticks – Von Anwendern geliebt, von Administratoren und IT-Verantwortlichen aufgrund der Sicherheitsrisiken jedoch oft gehasst: USB-Speicher sind aus dem beruflichen Alltag nicht mehr wegzudenken. Ein zentrales USB-Device-Management kann für die notwendige Kontrolle sorgen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44448926 / Definitionen)