Aus Pflichten Vorteile ziehen


I nformationen und Wissen sind für Unternehmen das größte Kapital. Daten werden für Unternehmen immer wertvoller. Daher gelten für diese die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität in besonderem Maße. Unternehmen speichern ihre Daten in digitaler Form und wickeln große Teile ihrer Kommunikation über das Internet ab. Die Businesskommunikation wird flexibler und mobiler. Diese Entwicklung setzt eine sichere IT-Infrastruktur voraus, da Störungen oder Ausfälle jährlich allein in Deutschland Schäden in Milliardenhöhe verursachen.

Wer Daten und IT-Infrastruktur seines Unternehmens – und damit Investitionen – zuverlässig schützen will, muss deshalb ein umfassendes IT-Sicherheitskonzept befolgen.

Mit den richtigen Maßnahmen in den Bereichen IT-Sicherheit und Datenschutz schützen Sie Ihr Unternehmen vor IT-Systemausfall, Datenverlust, -abfluss, -missbrauch, -manipulation und Wirtschaftsspionage. Auf diese Weise werden die Wettbewerbsvorteile des Unternehmens gewahrt, Arbeitsausfälle durch IT-Systemausfall minimiert und der guten Ruf des Unternehmens in Zeiten einer kontinuierlich wachsenden Zahl von Gesetzen, regulatorischen Bestimmungen, Standards und Best Practices durch die Einhaltung der IT-Compliance-Anforderungen bewahrt.

U m dem gerecht zu werden, müssen im Rahmen der IT-Compliance alle für die IT des Unternehmens relevanten Anforderungen nachweislich eingehalten werden, unabhängig davon, ob die IT-Leistungen ausschließlich unternehmensintern oder durch externe IT-Dienstleister erbracht werden.

Zu den zentralen Anforderungen der IT-Compliance gehören neben IT-Sicherheit und Datenschutz auch der Aufbau und Betrieb interner Kontrollsysteme (IKS). IT-Compliance dient der Schaffung und dauerhaften Gewährleistung von Transparenz, Kontrollierbarkeit und effektiver Gestaltung der Organisation der Geschäftsprozesse sowie der Risikominimierung. Daraus resultiert das Ziel von IT-Compliance in der umfassenden und dauerhaften Einhaltung und Umsetzung der gesamten Bandbreite von externen und internen Regularien. Im Rahmen der IT-Compliance werden daher alle Maßnahmen und Methoden zur Sicherstellung einer regelkonformen Corporate Governance im Bereich der IT eines Unternehmens ergriffen, die eine umfassende und dauerhafte Einhaltung nationaler, internationaler und innerbetrieblicher regulatorischer Vorgaben durch Gesetze und Aufsichtsorgane, Richtlinien, Bestimmungen, branchenüblicher Best Practices und ethischer Grundsätze, sowie von Kundenanforderungen in der Unternehmensführung garantieren und die auf die IT-Sicherheit, die Verfügbarkeit der IT-Systeme, Services und Daten sowie den Datenschutz abzielen. Dazu zählen beispielsweise folgende externe Regularien:

Datenschutz Grundverordnung (DSGVO; engl.: General Data Protection Regulation (GDPR)),

Bundesdatenschutzgesetz (BDSG),

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG),

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD),

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz),

Mindestanforderungen an das Risikomanagement (MaRisk),

Telekommunikationsgesetz (TKG).

Z u den Aufgaben der IT-Compliance gehört auch die Schaffung eines Bewusstseins der Mitarbeiter für Regelkonformität, sowie Kontrolle und Dokumentation der Einhaltung der relevanten Regularien gegenüber externen und internen Adressaten.

Vor allem bezüglich Datenschutz, elektronischer Archivierung und Lizensierung sowie der daraus verpflichtenden technischen, organisatorischen und personellen Maßnahmen für sichere IT-Systeme sind die externen regulatorischen Vorgaben für alle Unternehmen von praktischer Bedeutung. Dabei geht es nicht nur um die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes, es geht vor allem auch um Chancen, sich durch regelkonformes Verhalten echte Wettbewerbsvorteile zu schaffen.

In Unternehmen werden Geschäftsprozesse zunehmend digital abgebildet. Die damit verbundenen Prozessketten müssen unter anderem bei staatlichen Kontrollen nachweisbar sein. Ein praxisnahes Beispiel für die Umsetzung dieser Beweispflicht ist die DSGVO, die ein Verzeichnis von Verarbeitungstätigkeiten für Kundendaten, die Dokumentation der Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen – TOM) und eine Datenschutz-Folgenabschätzung (DSFS; Data Protection Impact Assessment (DPIA)) fordert. Darüber hinaus fordert die DSGVO den Nachweis über die regelmäßige Überprüfung und Bewertung der Wirksamkeit der für ein angemessenes Schutzniveau realisierten technischen, organisatorischen und personellen Maßnahmen.

Unternehmensinterne Regelungen aus dem Bereich der IT sind beispielsweise interne Richtlinien und Verfahrensvorgaben zur IT-Sicherheit. Dazu gehören u.a. Sicherheitsvorschriften und Richtlinien zum Betrieb von Servern, Arbeitsplatz-PCs, E-Mail- und Passwort-Richtlinien, Regelungen zum Outsourcing und zur Einrichtung von Überwachungssystemen wie z.B. von automatisierten Protokollierungs- und Kontrollverfahren für den Netzverkehr oder zu technischen Maßnahmen zum Datenschutz. Dazu gehören aber auch Service-Level-Agreements zwischen der IT-Abteilung und anderen Fachabteilungen im Unternehmen.

Die im Rahmen der IT-Compliance umfassend, dauerhaft und nachweisbar einzuhaltenden Regularien haben nicht nur eine unmittelbare Auswirkung auf organisatorische und personelle Aspekte, sondern auch auf den Betrieb der IT-Systeme (Hard- und Software). Dabei geht es um in Richtlinien und Verfahrensvorgaben niedergelegte Pflichten beim Umgang mit IT-Systemen und sonstigen Geräten der IT-Landschaft aber auch um die Einhaltung der rechtlichen Vorschriften des Datenschutzes zum Schutz personengebundener Daten durch geeignete technische Maßnahmen, die sich im stetigen Wandel befinden. Aus den Regelungen des Datenschutzrechts ergibt sich die Pflicht zum Schutz personenbezogener Daten. Datenverarbeitende Stellen müssen technische und organisatorische Maßnahmen (TOM) ergreifen, um den Datenschutz zu garantieren. So dürfen zum Beispiel Unbefugte keinen Zugang zu den betreffenden Rechnern haben und die Datenverarbeitung darf nur für Berechtigte möglich sein. Offensichtlich adressieren die Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des IT-Betriebs sicherstellen, zu einem hohen Anteil an die IT-Sicherheitsziele Vertraulichkeit, Verfügbarkeit und Integrität.

Daraus wird deutlich, dass aus der IT-Compliance unmittelbar die Forderung nach IT-Sicherheit resultiert. Gleichzeitig schafft die Umsetzung eines IT-Sicherheitskonzepts zahlreiche neue interne Richtlinien und Verfahrensvorgaben, die ihren Eingang in die IT-Compliance finden müssen.

IT-Compliance und IT-Sicherheit bedingen sich gegenseitig.

D eshalb muss das Management alle Prozesse und Strukturen der IT-Sicherheit unter Einbeziehung aller Abteilungen – vom Management bis hin zur IT-Organisation – aktiv vorantreiben. Ein ganzheitliches IT-Sicherheitskonzept kann ohne Compliance nicht fruchten. Dieses muss vom Management eingesetzt, vorgelebt und auf jeder Ebene durchgesetzt werden. Das gelingt nur, wenn IT-Sicherheit und IT-Compliance Eingang in die Corporate Governance des Unternehmens finden (Governance, Risk & Compliance (GRC)-Organisation des Unternehmens). Dafür liegt die Verantwortung allein bei der Geschäftsführung. Die Zeiten, in denen die Verantwortung für IT-Sicherheit nur bei der IT-Abteilung lag oder gar an einen externen IT-Dienstleister „outgesourct“ wurde, sind definitiv vorbei.

Das Management der IT-Compliance, d.h. die Identifikation der relevanten Gesetzes- und Regelwerke und die Ableitung der daraus resultierenden Anforderungen, die Implementierung und Überwachung geeigneter Maßnahmen zu deren Erfüllung sowie die Berichterstattung, stellt eine enorme Herausforderung für jedes Unternehmen dar. Gleichzeitig müssen Investitionen in die IT-Compliance auch als eine Chance zur Verbesserung von Qualität, Leistungsfähigkeit und strategischer Ausrichtung der IT des Unternehmens gesehen werden.

Auf diese Weise werden die Wettbewerbsvorteile gewahrt, der Erfolg des Unternehmens gesteigert und das Ansehen des Unternehmens in der Öffentlichkeit verbessert.

  • BostonConsultingGroup
    Boston Consulting Group Pressemittelung

    Studie der Boston Consulting Group zeigt: Kleine und mittelständische Unternehmen, die neueste Technologien einsetzen, steigern ihre Umsätze und die Anzahl neuer Arbeitsplätze schneller als Wettbewerber.

Nutzung neuer IT begünstigt Geschäftsentwicklung bei KMU

16% höheres Umsatzwachstum
20% mehr Arbeitsplätze

110 Mrd. € Umsatzwachstum
670 Tausend neue Arbeitsplätze

wenn nur jedes 10. deutsche KMU in aktuelle IT investiert

Profitieren Sie von unserer Erfahrung

Wir beraten und unterstützen Sie bei der Ableitung der Compliance-Anforderungen und entwickeln für Sie maßgeschneiderte Lösungen, die sowohl die gesetzlichen Anforderungen als auch die individuellen Belange Ihres Unternehmens berücksichtigen.

Kontakt-E-Mail : kontakt@jonas-wendler.de