Definition IT-Compliance

Was bedeutet Compliance für Unternehmen?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.
IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: Pixabay / CC0)

Compliance in der IT ist für jedes Unternehmen Pflicht. Der Datenschutz ist dabei nur ein Beispiel. Vor jedem IT-Projekt muss geprüft werden, welche rechtlichen und vertraglichen Anforderungen bestehen und zu erfüllen sind.

Unter IT-Compliance versteht man die Einhaltung des Regelwerkes, das für die IT in Unternehmen und Behörden aufgestellt wurde. Welche Compliance oder Regeltreue genau gefordert ist, kommt auf die jeweilige Organisation und auf das jeweilige IT-Verfahren an. Neben den internen Richtlinien des Unternehmens oder der Behörde sind es die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.

Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist. Die Führung und Organisation der IT, die IT-Governance, muss sich also mit ihren Entscheidungen und Maßnahmen innerhalb des Rahmens bewegen, der sich aus den Vorgaben der IT-Compliance ergibt.

Compliance bedeutet Einhaltung des Datenschutzes

Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze der Bundesländer sowie auf EU-Ebene ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt.

IT-Compliance wird auch von Finanzämtern gefordert

Ein weiteres Beispiel, wo die IT genauen rechtlichen Vorgaben Folge leisten muss, sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Betriebsprüfungen durch Finanzämter finden digital statt. Damit dies technisch einwandfrei möglich ist, müssen Unternehmen die Vorgaben der GoBD einhalten. Die GoBD sind deshalb Teil der IT-Compliance-Vorgaben.

Vorgaben zur IT-Compliance verweisen häufig auf Standards

Neben den rechtlichen Vorgaben können auch Verträge bestimmte Regeln für die IT vorschreiben. Vertragliche Regelwerke für die IT verweisen oftmals auf anerkannte Standards, um einheitliche, erprobte Vorgaben zu machen. Im Bereich der IT-Sicherheit wird häufig eine Einhaltung des IT-Sicherheitsstandards ISO 27001 oder IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) gefordert. Die Einhaltung eines Standards kann durch unabhängige Stellen im Rahmen einer Zertifizierung bestätigt werden.

IT-Compliance berücksichtigt auch Branchenstandards

Während der Datenschutz von allen Unternehmen und Behörden zu beachten ist, die personenbezogene Daten verarbeiten, nutzen oder speichern, gibt es Regelwerke, die für bestimmte Branchen spezielle Vorgaben enthalten. Ein Beispiel ist der Payment Card Industry Data Security Standard (PCI/DSS), ein IT-Sicherheitsstandard, der von allen Unternehmen eingehalten werden muss, die Kreditkartendaten verarbeiten. Basel II ist ein Beispiel für rechtliche Rahmenbedingungen im Bankengeschäft und stellt eine Vorgabe der Bankenaufsicht dar, die auch Forderungen an die IT-Sicherheit der Banken enthält.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Wichtige Tools für den CISO

Werkzeuge für die Steuerung der Security

Wichtige Tools für den CISO

Die Security leidet eher unter zu vielen Tools als unter zu wenigen. Trotzdem sollten CISOs für bestimmte Aufgaben Softwarewerkzeuge einsetzen, um ihre anspruchsvollen Aufgaben besser bewältigen zu können. Das beginnt mit dem Security Project Management und reicht bis zu Tools für Risk Management. Wir nennen die wichtigsten Bereiche und geben Beispiele. lesen

Was ist Endpoint Security?

Definition Endgerätesicherheit / Endpoint Security

Was ist Endpoint Security?

Endpoint Security schützt die verschiedenen Endgeräte in einem Netzwerk vor diversen Bedrohungen. Technische und organisatorische Maßnahmen verhindern den unbefugten Zugriff auf Geräte oder die Ausführung schädlicher Software. Der Endpunktschutz stellt sicher, dass die Endgeräte das gewünschte Sicherheitsniveau erreichen. lesen

Die Gegenwart und Zukunft der Datensicherheit

Europäischer Datenschutztag 2020

Die Gegenwart und Zukunft der Datensicherheit

Am 28. Januar findet der erste Europäische Datenschutztag im neuen Jahrzehnt statt. Das Alte brachte Unternehmen eine Reihe an Bußgeldern und Abmahnungen aufgrund neuer Datenschutzrichtlinien wie etwa der Datenschutz-Grundverordnung (DSGVO). Joe Garber, Global Vice President of Strategy and Solutions bei Micro Focus wagt einen Blick auf aktuelle und zukünftige Entwicklungen im Bereich der Datensicherheit. lesen

Neue Risiken, überall!

Sicherheitsprognosen 2020

Neue Risiken, überall!

Was erwartet Unternehmen im Jahr 2020 in den Bereichen IT-Sicherheit und Compliance? Ashvin Kamaraju, Vice President Technology & Strategy bei Thales versucht in den vier Bereichen „Datenschutz“, „KI“, „Quanten­computing“ und „5G“ eine Antwort zu geben. lesen

Grundlagen der Cloud-Security

Daten und Dienste trotz Cloud fest im Griff

Grundlagen der Cloud-Security

Das Thema Sicherheit in Zusammenhang mit Cloud-Technologien stellt für viele IT-Verantwortliche einen Wiederspruch in sich dar. Dabei gibt es durchaus sinnvolle Methoden, um das Sicherheitsniveau in der Cloud umfassend anzuheben und um Cloud-Infrastrukturen sicher zu betreiben. Dieser Beitrag nimmt die in diesem Zusammenhang wichtigsten Punkte unter die Lupe. lesen

Datensicherheit hat für deutsche Firmen Top-Priorität

Sicherheitsprognosen 2020

Datensicherheit hat für deutsche Firmen Top-Priorität

Die Umfrage „Netwrix IT Trends 2020“ zeigt die höchsten Prioritäten von Unternehmen für das Jahr 2020 auf. Die drei Top-IT-Prioritäten, die von deutschen Unternehmen genannt wurden, waren die Verbesserung der Datensicherheit (100 Prozent), die Sensibilisierung der Mitarbeiter für Cybersicherheit (78 Prozent) und die Automatisierung manueller Prozesse (67 Prozent). lesen

Mobiler Arbeitsplatz ohne Kompromisse

Security und Datenschutz am Endpoint

Mobiler Arbeitsplatz ohne Kompromisse

Der Trend zum mobilen Arbeiten geht mit Sicherheitsrisiken einher. Einen häufig unterschätzten Schwachpunkt stellen unverschlüsselte USB-Sticks dar. Um sensible Informationen vor Datendiebstahl zu schützen und gesetzliche Direktiven wie die Datenschutz-Grundverordnung (DSGVO) einhalten zu können, gehört eine Implementierung benutzerfreundlicher Endpoint-Security-Lösungen zum Pflichtprogramm. lesen

Keine Angst vor Citizen Developers

Datensicherheit und Compliance bewahren

Keine Angst vor Citizen Developers

Mit den neuen Cloud-, Low-Code- und No-Code-Plattformen kann quasi jedermann im Unternehmen eine App entwickeln. Doch Citizen Development ist nur auf den ersten Blick eine Win-Win-Situation. Dieser Beitrag befasst sich mit den Risiken und möglichen Gegenmaßnahmen. lesen

Zögerliche Automatisierung gefährdet die Sicherheit

Firemon-Studie „State of the Firewall 2019“

Zögerliche Automatisierung gefährdet die Sicherheit

Unternehmen stellen trotz dünner Personal­decke nur schleppend von manuellen auf automatisierte Prozesse um. Ergebnis sind die IT-Sicherheit gefährdende Fehlkonfigurationen, die Nacharbeit erfordern und damit zusätzlich Kosten verursachen. Das zeigt die von Firemon veröffentlichte Studie mit dem Titel „State of the Firewall 2019“. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44448926 / Definitionen)