computerwoche.de

Compliance & Recht

Compliance

Welche Regeln und Gesetze sind für die IT wichtig?

24.06.2010
Von Jürgen  Dierlamm

Interne IT-Compliance

Von IT-Compliance spricht man, wenn alle für die IT einer juristischen Person verbindlich vorgegebenen Regeln und als verbindlich akzeptierten Vorgaben nachweislich eingehalten werden. Hierbei gibt es eine externe und eine interne Perspektive der IT-Compliance.

Die interne Compliance betrifft den Regelungskontext, den sich das Unternehmen selbst setzt - für seine Geschäftsprozesse oder deren IT. Dabei geht es um interne Vorgaben, mit denen Nachhaltigkeit, Prüfbarkeit und Dokumentation der Informationstechnik gewährleistet werden sollen. Diese Vorgaben sind weitestgehend unter den Begriff IT-Governance einzuordnen. Wenn beispielsweise die IT-Governance voraussetzt, dass der IT-Betrieb nach Itil und ISO 20000 oder Cobit zu organisieren ist, dann hat sich die IT auf diese Vorgaben einzustellen. Sie muss dafür sorgen, dass sich die Erbringung der IT-Services konform zu diesen Regeln verhält.

Aber das ist sozusagen die Kür, denn niemand ist rechtlich gezwungen, einen solchen internen Standard zu setzen. Es mag allerdings Grenzfälle geben, wo zum Beispiel die Einführung und Einhaltung einer ISO-9000-Norm für ein Management-System nicht ganz freiwillig geschieht, sondern vom Business unter Marktgesichtspunkten als notwendig erachtet wird. Häufig soll auch der Nachweis einer erfolgreich testierten BSI-Grundschutzzertifizierung dazu dienen, dem Wirtschaftsprüfer schnellere und kostengünstigere Prüfungsmöglichkeiten zu bieten.

Externe Compliance

Viel wichtiger als die Kür ist aber die Pflicht, also die IT-Compliance aus externer Perspektive. Gemeint sind hier die Kenntnis und das Einhalten von Vorschriften (Gesetzen, Verordnungen, Rechtssprechung, Verträgen) für die Geschäftsprozesse und IT-Services des jeweiligen Unternehmens. Werden sie nicht befolgt, hat das Folgen. Es führt zu überwiegend zivilrechtlichen und zuweilen auch strafrechtlichen Sanktionen für das Unternehmen, dessen Leitung oder die handelnden Personen.

Sowohl aus der externen IT-Compliance-Sicht als auch aus der Perspektive der IT-Governance ist das Risiko-Management zu betrachten. Dessen erfolgreiche Umsetzung für die Geschäftsprozesse wird beispielsweise im Bankenumfeld von Basel II oder MA Risk (Mindestanforderungen für das Risiko-Management) vorausgesetzt. Bisweilen ist es auch für den IT-Provider selbst gefordert, wenn er eine juristische Person im Unternehmen ist oder im Outsourcing-Kontext handelt.