Die Normen im Überblick
Was ist zu tun? Der IT-Manager sollte damit beginnen, nach verbindlich vorgegebenen externen Regeln zu suchen. Er braucht dafür den Überblick, welche externen Regeln für sein Unternehmen und speziell für dessen IT gelten. Diese Analyse kann der IT-Bereich üblicherweise nicht allein vornehmen.
Dringend anzuraten ist die Zusammenarbeit mit dem Unternehmensjuristen und mit Vertretern der Business-Units. Wenn es eine unternehmensweite Compliance-Stelle oder einen Beauftragen für das interne Kontrollsystem (IKS) gibt, wird von dort sicher auch Unterstützung zu erwarten sein. Die externen Normen lassen sich unterscheiden nach generellen, für alle Unternehmen verbindlichen Vorschriften auf der einen Seite und Regeln, die von der Rechtsform, der Art des Business oder dem Land der Unternehmung abhängen. Der Kasten "Externe Normen" gibt einen Überblick, auf der anderen Seite erhebt er aber keinen Anspruch auf Vollständigkeit.
Externe Normen im Überblick
1. Für alle juristischen Personen des privaten Rechts in Deutschland, also Kapitalgesellschaften wie Aktiengesellschaften (AG) und Gesellschaften mit beschränkter Haftung (GmbH), gelten folgende Anforderungen:
a. zur externen Kontrolle (durch Steuerbehörden und Buchführungssysteme)
HGB (Handelsgesetzbuch);
Abgabenordnung;
gegebenenfalls IFRS/IAS (internationale Rechnungslegung), BilMoG (Bilanzrechtsmodernisierungs-Gesetz);
GoB und GoBS (Grundsätze ordnungsgemäßer Buchführung/Buchführungssysteme);
Rundschreiben und Standards des Instituts der deutschen Wirtschaftsprüfer, zum Beispiel IDW FAIT I, II und III;
GdPDU (digitale Betriebsprüfung);
b. zur internen Kontrolle (IKS, eingeführt durch das KonTraG im Jahr 1998)
Paragraf 91 Absatz 2 des Aktiengesetzes (gilt auch für große GmbHs);
c. hinsichtlich des Datenschutzes
BDSchG (Datenschutzgesetz) und
Landes-DSch-Gesetze;
d. gemäß Umsatzsteuerrecht
Paragraf 14 UStG (Aufbewahrung von Rechnungen);
e. nach dem Urheber- und Lizenzrecht
UrhG;
f. zum Vertrauen im Handelsrecht
SigG (Signaturgesetz);
Ehug (elektronisches Handels- und Genossenschaftsregister).
2. Branchenspezifische Regelungen ergänzen die oben aufgeführten Normen. Dazu zählen beispielsweise:
a. für Banken und Kapitalanlagegesellschaft (KAG)
KWG (Kreditwesengesetz), KAG (Kapitalanlagegesetz), WpHG (Wertpapierhandelsgesetz);
Basel II: Gesetz dazu ab 2007 durch das KWG sowie die Solvabilitätsverordnung (SolvVO) umgesetzt;
BaFin-Regeln (Mindestanforderungen der Bankenaufsicht, zum Beispiel MA Risk);
b. für Versicherungen
Solvency II (Risiko-Management);
c. für die Pharma- und Lebensmittelbranche
FDA-Regeln (Good Practices) wie GMP, GLP und GCP;
entsprechendes EU-Recht;
d. für Hersteller von Produkten (Dokumentations- und Beweispflichten, Aufbewahrung)
Produkthaftungsgesetz.
3. Hinzu kommen landesspezifische Regelungen, zum Beispiel für Unternehmen unter SEC-Aufsicht (an den US-Börsen notiert), etwa
Sarbanes Oxley Act (Wirtschaftsprüfung).
4. Für die öffentliche Verwaltung gelten besondere Regeln:
IuK-Mindestanforderungen (Rechnungshöfe);
Das BSI-Grundschutzhandbuch.