IT-Compliance Nie mehr gegen Regeln verstoßen

Es ist nicht verwunderlich, dass das Thema Com­­pliance längst nicht mehr nur Gegenstand von Fachpub­likationen ist, sondern sogar den Weg in die Tagespresse findet. Als Ursache dieser Entwicklung beklagen viele Unternehmen eine ständig zunehmende Zahl an Vorgaben aus Gesetzen, Verordnungen, Normen und Standards. Unternehmen aller Größenordnungen laufen dadurch Gefahr, aus Unkenntnis gegen Regeln zu verstoßen. Das zu vermeiden ist Zielsetzung der Corporate Com­pliance, im IT-Bereich speziell der IT-Compliance.

In einem allgemeinen, grundlegenden Verständnis ist ein Unternehmen „compliant“, wenn es in seiner Geschäftstätigkeit bestimmte relevante Vorgaben befolgt. Neben dem Begriff der Befolgung wer­den auch die Begriffe Über­ein­stim­mung, Ein­hal­tung, Konformität, Erfüllung oder Entsprechung ver­wen­det. Wel­che Vorgaben relevant sind, ist einerseits unter­neh­mensextern vorgegeben, andererseits selbst ge­wählt.

Als Spezialisierung des allgemeinen Compliance-Begriffs bezeichnet IT-Com­pliance einen Zustand, in dem alle für die IT des Unternehmens rele­van­ten Vorgaben nachweislich ein­ge­halten werden. Hierbei ist es unerheblich, ob die IT-Leistungen ausschließlich unter­neh­mensintern oder (teilweise) durch externe IT-Dienstleister – zum Beispiel im Rahmen von Entwicklungs-, Hosting-, Out­sourcing­-Verträgen – erbracht werden. Eine weitere Sichtweise ver­steht IT-Compliance als Einsatz von Soft- und Hardwareprodukten, mit deren Hilfe die Einhaltung von Regelwerken sichergestellt werden kann. In diesem Sinne handelt es sich um „IT-ge­stützte Compliance“. 

IT-Com­pliance betrachtet die IT als Träger von Compliance-Anfor­de­run­gen. Bei dieser Sichtweise stellen sich beispielsweise folgende Fragen:

• Welche Rechtsnormen und sonstigen Regelwerke sind für die IT des Unternehmens relevant?
• Welche IT-gestützten Prozesse und Anwendungen sind betroffen und welche Anfor­de­run­gen sind von ihnen zu erfüllen?
• Welche Risiken resultieren in welcher Höhe aus fehlender oder mangel­hafter Compliance der IT?
• Welche Compliance-Anforderungen haben die einzelnen Bereiche der IT (Infrastruktur, Datenhaltung, Betrieb, Prozesse) zu erfüllen?
• Welche technischen, organisatorischen und personellen Maßnahmen sind für die Gewährleistung von IT-Compliance zu ergreifen?

IT-gestützte Compliance bedeutet, dass IT als Mittel zum Erreichen von Com­pliance genutzt wird. Bei dieser Sichtweise stellen sich etwa folgende Fragen:

• Welche Compliance-Anforderungen haben die Geschäftsprozesse zu er­füllen?
• Welche Compliance-Anforderungen kann eine spezifische Hard- oder Software adressieren?
• Welche Hard- oder Softwarelösung ist für die Erfüllung der Compliance-Anfor­de­run­gen am besten geeignet?
• Wie sind die verfügbaren Compliance-Tools aufeinander abzustimmen?

Es ist offensichtlich, dass beide Sichtweisen ineinandergreifen und inso­fern beide notwendig sind, um Compliance im Allgemeinen und IT-Compliance im Speziellen zu erreichen. Im Ergebnis liegt eine (auch) IT-gestützte Com­pliance vor.

Neben der selbstverständlichen Pflicht zur Erfüllung gesetzlicher Vor­schrif­ten soll IT-Com­pliance ein Unternehmen vor allem vor wirtschaftlichen Nach­teilen als Folge von Rechts­ver­letzungen bewahren. Es sollen insbeson­dere Schadens­er­satz­pflichten, Stra­fen, Buß- und Zwangs­gelder, aber auch erhöhte Steu­er­zahlungen nach Schätzungen des Finanzamts ver­mie­den werden. So kann ein Schaden entstehen, wenn ein Unter­nehmen im Rahmen einer ge­richt­lichen Auseinandersetzung wichtige Daten und Dokumente nicht vorlegen und damit seiner Beweispflicht nicht nach­kommen kann.

Zusätzlich zu mone­tären Schäden ist ein poten­ziel­ler Image­schaden von Bedeutung. Dieser kann sich leicht ein­stellen, wenn etwa gegen Daten­schutz­normen verstoßen wird oder Kunden­daten miss­braucht werden. Die Folgen können nega­tive Publicity, Nach­teile bei der Vergabe öffentlicher Auf­träge oder gar Kun­den­ab­wan­derungen sein. Neben dieser Schutzfunktion, die auf die Ver­mei­dung von Nachteilen zielt, ist IT-Compliance mit folgenden Vorteilen verbunden:

Wertbeitrag

Wenn die IT-Abteilung eines Unternehmens ihre Compliance nach­wei­sen kann, führt dies auf vielfältigen Wegen zu einer Erhöhung des Unter­nehmens­wertes. Erweisen sich be­stimmte Standards (zum Beispiel Sicherheits­zerti­fika­te) als Markteintrittsbarrieren, ist der Wert­bei­trag offensichtlich. Ohne die Konformität zu derartigen externen Vorgaben könnten Um­satz­chan­­cen nicht genutzt werden. Andererseits kann mangelnde IT-Com­pliance zu Ab­­schlägen bei der Bestimmung des Unternehmenswertes im Falle von Unternehmens­trans­aktionen führen, wenn sich während einer Due-Dilli­gence-Prüfung IT-Compliance-Risiken offenbaren.

IT-Qualität

Viele Maßnahmen zur Herstellung von IT-Compliance tragen zu einer höhe­ren Qualität von IT-Prozessen bei, insbesondere durch eine höhere Transparenz. Diese führt zu einer verbesserten Steue­rungsfähigkeit, aber auch Auditierbarkeit der IT.

IT-Sicherheit und IT-Risiken

Maßnahmen der IT-Compliance, die die Ordnungsmäßigkeit des IT-Be­triebs sicherstellen, adressieren zu einem hohen Anteil die IT-Sicher­heitsziele der Vertraulichkeit, Verfüg­barkeit und Integrität. Hieraus resul­tieren Nutzenpotenziale für die IT-Sicher­heit. Glei­ches gilt für das IT-Risiko­manage­ment.

IT-Kosten

Kosteneinsparungen resultieren unter anderem aus der Automatisierung manueller Ar­beits­abläufe (beispielsweise bei der Über­wachung oder im Reporting), geringeren Kosten in der IT-Ad­ministration und -War­tung oder bei der Durchführung von Prüfungs­handlungen.

Durch die Fülle von Rechtsnormen und sonstigen Regelwerken sowie die heu­te fast durch­gängige IT-Unter­stützung aller Unternehmensprozesse sind Compliance-Anfor­derun­gen nicht mehr lediglich auf steuerliche oder daten­schutzrechtliche Belange be­grenzt. Vielmehr geht es darum, dass die gesamte geschäftliche Tätigkeit eines Unternehmens „compliant“ mit ver­schie­densten Rege­lungen sein muss. Hierzu ist es notwendig, einen Überblick über die rele­vanten Compliance-Anforderungen zu gewinnen:

1. Die Identifizie­rung von Compliance-relevanten Regelwerken sowie die Ab­leitung und Doku­men­ta­tion der Compliance-Anforderungen, die vom Unter­nehmen mit gegebenenfalls unter­schied­licher Priorität einzu­halten sind. Sie bilden den ersten und wich­tigsten Auf­gaben­bereich eines IT-Com­pliance-Prozesses.
2. Die Schaffung einer betrieblichen Organisation von Prozessen, Verfah­rens­rege­lungen, Delegationen und möglichst weitgehend automa­ti­sier­ten Kontrollen zur Über­wachung der Einhaltung aller Anforderungen der IT-Compliance
3. Die Information aller in irgendeiner Form im Hinblick auf die be­ste­hen­den Ver­pflichtungen handelnden Betriebsangehörigen und gegebenfalls ent­spre­chend ein­gesetzter Dritter über die einzuhaltenden Regelungen
4. Die Dokumentation der Information und der Organisation und insbe­son­dere deren Überwachung
5. Die Einrichtung eines Change Managements zur Reaktion auf neue Ent­wicklungen der Anforderungen, zum Beispiel innerhalb der aktuellen Recht­spre­chung oder erkannter Compliance-Schwach­stellen und -Risiken.

Beispiel: Elektronische Personalakte

Wer die Dokumente einer Personalakte in einem elektronischen Archiv beziehungsweise Dokumentenmanagementsystem verwalten möchte, muss sich sowohl um die Aspekte des Bundesdatenschutzgesetztes (BDSG) als auch um die Regeln der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme kümmern. Persönliche Daten sind besonders schützenswert, daher muss pro Information genau definiert werden, wer auf welche Daten welchen Zugriff erhält. In der Regel verfügt nur der direkt verantwortliche Personalmitarbeiter über den vollen Lesezugriff, zeitlich begrenzt erhält der Vorgesetzte nur auf einen Teil der Daten Zugriff.

Jeder Zugriff und jede Änderung muss vom System zum Nachweis protokolliert werden, auch wenn ein Dokument exportiert wird. Die Dokumente müssen je nach Typ unterschiedlich lange aufbewahrt und auch unbedingt vernichtet werden, wie zum Beispiel die Abmahnung nach spätestens vier Jahren, meist jedoch schon nach zwei Jahren.

Bezüglich der Aufbewahrung fordern die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) – um einige Anforderungen zur Vermeidung von Verlusten und Manipulationsmöglich­keiten zu nennen – dass Dokumente zeitnah in das Archivsystem  überführt werden müssen. Wird ein archiviertes Dokument geändert, muss es als neue Revision abgelegt, das heißt das Original muss unverändert aufbewahrt werden. Damit die Dokumente zu Prüfzwecken wiedergefunden werden können, müssen sie nach entsprechenden Ordnungskriterien indiziert werden.

Die GoBS fordern das Erstellen einer Verfahrensdokumentation zur Beschreibung aller Prozesse, sowohl der organisatorischen als auch der technischen. Ohne diese Dokumentation darf ein Steuerprüfer und auch der Finanzbeamte nicht mit seiner Arbeit beginnen.