Compliance Wie IT hilft, den Anforderungen des Gesetzgebers gerecht zu werden

Was hat Compliance mit IT zu tun?

Der Begriff Compliance umschreibt generell die Auswirkungen gesetzlicher Bestimmungen auf das unternehmerische Handeln; entsprechend steht die „IT-Compliance“ für die Zusammenfassung der gesetzlichen Regelungen im Bereich der IT-Landschaft im Unternehmen. Hier sind die Anforderungen an die Unternehmer infolge immer neuer Gesetze in den letzten Jahren enorm angestiegen – Anforderungen, deren Erfüllung den Entscheidern häufig Kopfschmerzen bereitet. „Teuer“ und „kompliziert“, so vielfach die Kommentare zu den diversen IT-Compliance-Anforderungen. Mittlerweile setzt sich aber auch die Erkenntnis durch, dass Compliance-Investitionen durchaus sehr positiv für das Unternehmen sein können.

Eine Frage stellt sich vorab: Was bedeutet das konkret für das einzelne Unternehmen? Es bedeutet zunächst einmal, dass der Begriff Compliance auf das ganze Unternehmen zu übertragen und als Anforderung daher nichts Neues ist. Was in den letzten Jahren hinzugekommen ist, sind zum Teil umfangreiche Gesetze, Regeln und Vorschriften, die mit dem IT-Einsatz in den Unternehmen zu tun haben.

Der Einsatz von IT ist also längst nicht mehr alleine Sache der Unternehmen und der Unternehmer beziehungsweise Entscheider. Der Gesetzgeber hat ein engmaschiges Regelwerk zum Umgang mit den eigenen, aber auch mit fremden Daten entwickelt. Dazu gehören beispielsweise Aufbewahrungspflichten, Auskunftsrechte, Schutz vor unbefugtem Zugriff und Schutz vor Weitergabe an Dritte, Fristen und Verfahren zur Archivierung und zum Zugriff elektronischer Dokumente. Verantwortlich für die Einhaltung der Regeln und Verpflichtungen so wie für die Konsequenzen bei Nichteinhaltung sind die Verantwortlichen eines Unternehmens, also die Unternehmer selbst oder die Entscheider wie zum Beispiel Geschäftsführer, Prokuristen und IT-Leiter. Das ist nicht anders als im operativen oder kaufmännischen Teil des Unternehmens.

IT-Compliance als Chance

In vielen mittelständischen Unternehmen werden die externen Compliance-Anforderungen, die sich auf die Datenhaltung, Datenkommunikation und Datensicherheit beziehen, noch immer als lästige und nur mit gewaltigem Aufwand zu bewältigende Aufgabe betrachtet. In vielen Unternehmen sind die Anforderungen auch gar nicht bekannt, was fatale Folgen für den Unternehmer und das Unternehmen haben kann. Beide Haltungen zum Thema IT-Compliance sind aus unternehmerischer Sicht mehr als fahrlässig. Unternehmen dagegen, die sich ernsthaft der Herausforderung stellen, können bei bewusster Wahl von Standards gezielt und pragmatisch Risiken minimieren. Schließlich beinhalten die gesetzlichen IT-Compliance-Anforderungen strenge Kontrollmechanismen, die das Management eines Unternehmens genau so nutzen kann, um das Unternehmen transparent zu machen. Ganz nebenbei entsteht so auch eine Basis für die schnelle Anpassung an kommende, von außen geforderte Standards.

Lohnende Investitionen

Viele Unternehmen haben erkannt, dass die Erfüllung der Compliance-Anforderungen nur durch zusätzliche IT-Investitionen möglich ist. Unter den generellen Gründen für Entscheidungen hinsichtlich IT-Investitionen sind die gesetzlichen Anforderungen der wichtigste Impuls, so eine Untersuchung der InformationWeek und Steria Mummert Consulting.

Zwar bereiten die Compliance-Anforderungen vielen Mittelständlern Kopfschmerzen, weil natürlich erst einmal Investitionen anfallen, aber beispielsweise auch nicht im Detail geregelt ist, welche digitalen Informationen aufzubewahren sind und welche nicht. Hinsichtlich einer angedachten Fremdfinanzierung machen sich die Investitionen aber durchaus bezahlt.

[Bild: G+F Verlags- und Beratungs-GmbH]