Mit IT-Compliance konzentriert sich die Unternehmensführung auf die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im IT-Bereich.
IT ist ein Kürzel und umschreibt die Technologie für die Datenverarbeitung. Man kann die Abkürzung auch mit Informationstechnik (information technology) oder Informationstechnologie beschreiben.
Schwerpunkte der IT-Compliance
Informationssicherheit, Verfügbarkeit, Datenaufbewahrung sowie Datenschutz sind die Schwerpunkte der IT-Compliance. Die Schwerpunkte der IT-Compliance betreffen daher zuerst Anforderungen, die die IT-Systeme des Unternehmens angehen.
Zweck IT-Compliance
Mit der Einhaltung von Regeln wollen Unternehmer schließlich die IT-Sicherheit steigern und von einer besseren Unternehmensbewertung profitieren.
Die Umsetzung von Compliance ist keine kurzfristige Maßnahme, sondern eine immer fortwährende Realisierung.
Rechtsanwalt Dipl.-Ing. Michael Horak, LL.M.
Strafen bei IT-Compliance-Verstößen
Von den EU-Richtlinien über internationale Konventionen bis hin zu unternehmensinternen Konventionen und Handelsbräuchen umfasst IT-Compliance zahlreiche Regelungen. Hält ein Unternehmen diese rechtlichen Verpflichtungen nicht ein, so drohen hohen Geldstrafen und Haftungsverpflichtungen.
Wir beraten Sie zu IT-Compliance.
Geschäftsführer und Vorstände sind verantwortlich
Geschäftsführer und Vorstände von Aktiengesellschaften (AG) und Gesellschaften mit beschränkter Haftung (GmbH) haften persönlich für die Einhaltung der gesetzlichen Regelungen. Zivilrechtliche und sogar strafrechtliche Sanktionen drohen bei Verstößen. Von der Geldstrafe bis zur zweijährigen Freiheitsstrafe sieht das Bundesdatenschutzgesetz Strafen vor bei Zuwiderhandlung (§ 44 BDSG).
Finanzinstitutionen sind zu Prüfungen verpflichtet, was sie somit praktisch zur Umsetzung der IT-Compliance zwingt.
In den Grundschutz-Katalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) finden Unternehmen umfassende Handlungsanweisung.
Nationalen und internationalen IT-Compliance-Regeln
Im Folgenden finden Sie die bedeutendsten Regeln zum nationalen und internationalen IT-Compliance:
Deutschland
- Bundesdatenschutzgesetz (BDSG)
- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
- Digitale Steuerprüfung (GoBD): Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
- Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für den Bankensektor: Mindestanforderungen an das Risikomanagement (BA) (kurz MaRisk (BA))
- Telekommunikationsgesetz für Deutschland
Österreich
- Telekommunikationsgesetz für Österreich
Europäische Union
- Datenschutz-Grundverordnung (EU-DSGVO)
- Anforderungen aus dem Rahmenwerk Basel III für den Bankensektor: Eigenkapitalrichtlinie und Kapitaladäquanzverordnung
- Finanzmarktrichtlinie: Richtlinie 2014/65/EU über Märkte für Finanzinstrumente
Vereinigte Staaten
Europäische Unternehmen, die in den USA an der Börse notiert sind, sind verpflichtet sich an den Sarbanes-Oxley Act (SOX) zu halten.
International
Internationale Regelwerke sind desweiteren folgende:
- HIPAA
- International Financial Reporting Standards (IFRS)
- Payment Card Industry Data Security Standard (PCI-DSS)
Vom Seminar für Einsteiger bis zur Schulung auf dem Weg zur Compliance-Fachkraft bieten wir verschiedene Level an.
-
Die IT-Compliance ist juristisch
Rufen Sie uns einfach an. Wir beraten Sie gerne. Im Bereich der IT-Landschaft herrschen gesetzliche, unternehmensinterne und vertragliche Regelungen. Mit dem Begriff IT-Compliance können wir in der Unternehmensführung die Einhaltung der Regelungen beschreiben. Compliance bedeutet dabei an sich lediglich, dass die jeweils geltenden rechtlichen Regeln und anerkannten gesellschaftlichen Werten und Normen im Rahmen allen unternehmerischen…
-
Angriffe durch Trojaner, Viren oder Cyber-Attacken vermeiden
Vom Seminar für Einsteiger bis zur Schulung auf dem Weg zur Compliance-Fachkraft bieten wir verschiedene Level an. Jeder, der schon einmal einen Systemausfall erlebt oder einen Datenverlust erlitten hat, weiß, wie verletzlich wir bei der täglichen Arbeit im Büro, in der Produktion und vermehrt auch unterwegs geworden sind. Steigende Angriffe auf Firmennetzwerke zeigen die Ausmaße…
-
Kaizen trifft Compliance
Besteht eine große Bereitschaft zum Wandel, so kann eine Unternehmensführung das Kaizen-Prinzip anwenden. Kaizen bedeutet eine kontinuierliche Verbesserung aller Unternehmensfunktionen, einschließlich der Prozesse, Produkte und Dienstleistungen unter Einbeziehung aller Mitarbeiter und Führungskräfte. Kaizen ist ein bedeutendes japanisches Management-Konzept. Compliance im stetigen Wandel Stetiger Wandel liegt in der Natur des Compliance. Rechtsprechungen im Bereich Datenschutz oder…
-
Todsünde 7: Schlüssel-Technologien ablehnen
Der Markt bietet eine Fülle von Technologien für Compliance-Erfordernisse. Rechts- sowie Compliance-Abteilungen sind für die Beschaffung dieser Technologien verantwortlich. IT-Verantwortliche können jedoch bei der Auswahl und dem Einsatz der optimalen Lösungen mitarbeiten. Nutze Sie eine erste IT-Compliance-Beratung. Essenzielle Technologie-Bereiche Die essenziellen drei Technologie-Bereiche, in die Compliance-Verantwortliche investieren sollten sind folgende: 1. Grundlegende Systems of Record…
-
Todsünde 6: Compliance diktiert IT-Sicherheit
Führungskräfte aus dem Bereich IT-Sicherheit sind darauf angewiesen, dass sie zu Compliance immer auf dem neusten Stand der gesetzlichen Vorgaben sind. Dabei dürfen Sie jedoch ein stabiles Sicherheitsprogramm nicht aus den Augen verlieren. Ein guter Datenfluss, ein florierendes Unternehmen, das wettbewerbsfähig bleibt – das gelingt mit der richtigen Einstellung. Rechtsanwalt Dipl.-Ing. Michael Horak, LL.M. Sicherheitsprogramm…
-
Todsünde 5: Regulierungsverständnis fehlt
In IT-bezogenen Themen wie Datenschutz kann es zu Verwirrung kommen bei mangelndem Regulierungsverständnis innerhalb des Unternehmens. Grund dafür ist aus unserer Erfahrung, dass sich das Verständnis eines Unternehmens für einen rechtlichen Gesichtspunkt oftmals nicht mit der Absicht einer Vorschrift deckt. Verstehen Die Folge ist, dass Unternehmen nicht wissen was Aufsichtsbehörden von ihnen wollen. Unternehmen sollten…
-
Todsünde 4: Governance-Struktur verpasst
Obwohl Unternehmen grundlegende Prozesse und Kontrollen beherrschen, mangelt es aus unserer Erfahrung häufig an Governance–Struktur. Eine gute Governance–Struktur soll die Risikoabdeckung sowie die Anpassung ihrer Prozesse und Kontrollen an die regulatorischen Anforderungen sichern. Wir beraten Sie gerne in IT-Compliance. Auswirkungen mangelnder Governance-Struktur Auswirkungen einer strukturlosen Compliance-Governance können folgende sein: Die Unternehmensarchitektur wird schlapp. Reaktionen auf…
-
Todsünde 3: Arbeitsgruppe schlecht vorbereiten
Kenntnisse, Fähigkeiten, Erfahrungen – zu wenig davon in einer Arbeitsgruppe bringt Probleme. Ein Chief Information Officer (CIO) sollte unbedingt eine hochqualifizierte Arbeitsgruppe für den Bereich Compliance zusammenstellen. Unzureichend vorbereitete Teams können sogar riskant sein. Der CIO trägt die Verantwortung für die Strategien in den Bereichen Informationstechnologie (IT) und Computersysteme mit der Absicht die Ziele des…
-
Todsünde 2: Ausnahmen ausschließen
Die Compliance Regeln zu umgehen kann riskant sein. Manchmal ist es jedoch erforderlich Ausnahmen zu machen und die Regeln zu missachten. Damit dabei kein Risiko entstehen kann, sollten Sie daher unbedingt Vorkehrungen treffen. Wir beraten Sie auch zu Compliance-Risiken. Ausnahmen berücksichtigen Ausnahmen im Compliance-Prozess zu berücksichtigen, kann eine sehr kluge Strategie sein. Dabei ist das…
-
7 Todsünden der IT-Compliance
Obwohl Rechtsabteilungen und Risikomanagement meist zuständig für Compliance sind, ist die IT-Abteilung ebenso in die Compliance-Materie eingebunden, um rund um Sicherheit zu gewährleisten. Somit ist IT-Compliance ein bedeutender Bestandteil der Compliance-Materie. Die Fülle von Vorschriften zur Regulierung der IT-Systeme und Daten wächst. Rechtsanwalt Dipl.-Ing. Michael Horak, LL.M. Zuständigkeit des Chief Information Officer Vorschriften, die Daten,…