Compliance

Die Compliance bezeichnet die systematische Einhaltung von gesetzlichen Bestimmungen, vertraglichen Verpflichtungen und unternehmensinternen Richtlinien. Im Bereich der Informationstechnik stellt die IT-Compliance sicher, dass IT-Systeme und die darauf basierenden Geschäftsprozesse alle regulatorischen Anforderungen erfüllen. Für Fachkräfte in der Daten- und Prozessanalyse ist Compliance ein zentrales Qualitätsmerkmal, da sie den rechtssicheren Umgang mit Informationen gewährleistet und Haftungsrisiken für die Organisation minimiert.

Lernziele

• Definition und Bedeutung von IT-Compliance erläutern
• Rechtliche Rahmenbedingungen wie DSGVO und IT-Sicherheitsgesetz einordnen
• GRC-Modell (Governance, Risk, Compliance) beschreiben
• IT-Sicherheit und IT-Compliance voneinander abgrenzen
• Praktische Umsetzungsschritte identifizieren

Kurzübersicht

Compliance ist ein kontinuierlicher Prozess. Während die allgemeine Corporate Compliance das gesamte Unternehmen umfasst, fokussiert sich die IT-Compliance auf die Integrität, Verfügbarkeit und den Datenschutz innerhalb der IT-Landschaft.

Ein häufiges Missverständnis ist die Gleichsetzung von IT-Sicherheit und IT-Compliance:

• IT-Compliance definiert das „Was“ – die einzuhaltenden Regeln und Ziele (z. B. „Personenbezogene Daten müssen verschlüsselt werden“).
• IT-Sicherheit liefert das „Wie“ – die technischen Maßnahmen zur Umsetzung (z. B. Einsatz von Verschlüsselungsverfahren).

Merke: IT-Sicherheit ist ein Werkzeug zur Erreichung von Compliance-Zielen. Compliance bildet den regulatorischen Rahmen, der diese Ziele vorgibt.

IT-Compliance und rechtliche Rahmenbedingungen

Unternehmen unterliegen einer Vielzahl von Vorschriften. Verstöße können hohe Bußgelder und Reputationsschäden nach sich ziehen.

DSGVO (Datenschutz-Grundverordnung)

Die DSGVO ist die zentrale Verordnung für die Verarbeitung personenbezogener Daten. Für die Analyse gelten strikte Prinzipien wie Zweckbindung, Transparenz und Datensparsamkeit. Jede Datenanalyse, die Profile von Personen nutzt, muss konform zu diesen Regeln gestaltet sein.

IT-Sicherheitsgesetz und NIS2

Das IT-Sicherheitsgesetz (IT-SiG) verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) zur Einhaltung von Mindeststandards und zur Meldung von Vorfällen. Die europäische NIS2-Richtlinie erweitert diesen Anwendungsbereich und verschärft die Anforderungen an das Risikomanagement.

GoBD

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) regeln die Anforderungen an die Archivierung digitaler Daten für die Finanzbehörden.

Governance, Risk und Compliance (GRC)

GRC ist ein integrierter Managementansatz, der drei Disziplinen bündelt:

1. Governance: Strategische Steuerung des Unternehmens.
2. Risk: Identifikation und Bewertung von Risiken.
3. Compliance: Sicherstellung der Regeltreue.

Im Risikomanagement wird häufig folgende Formel verwendet, um die Priorität von Maßnahmen zu bestimmen:

$$Risiko=Schadensausmaß\times Eintrittswahrscheinlichkeit$$

Durch GRC wird Compliance Teil der strategischen Planung. Bei der Einführung neuer Werkzeuge zur Prozessbewertung ermittelt das GRC-Framework vorab rechtliche Risiken und erforderliche Steuerungsmaßnahmen.

Anforderungen und Umsetzung

Die Implementierung von Compliance-Maßnahmen folgt dem PDCA-Zyklus (Plan-Do-Check-Act):

1. Plan (Bestandsaufnahme): Identifikation relevanter Gesetze und Richtlinien.
2. Do (Implementierung): Erstellung von Richtlinien, Durchführung von Schulungen und Installation technischer Schutzsysteme.
3. Check (Überwachung): Regelmäßige Audits und Monitoring zur Feststellung von Abweichungen.
4. Act (Verbesserung): Behebung von Schwachstellen und Anpassung an neue Rechtslagen.

Rollen im Unternehmen

• Compliance Officer: Überwachung der Regeleinhaltung.
• Datenschutzbeauftragter (DSB): Überwachung der DSGVO-Konformität.
• CISO (Chief Information Security Officer): Verantwortlich für die operative IT-Sicherheit.

Praxisbeispiel für die Datenanalyse

Ein Unternehmen analysiert das Kaufverhalten mittels eines Machine-Learning-Modells.

• Compliance-Prüfung: Vor Beginn wird die Rechtsgrundlage nach DSGVO (z. B. Einwilligung) geprüft.
• Anonymisierung: Zur Reduktion von Compliance-Anforderungen werden Daten vor der Analyse anonymisiert.
• Dokumentation: Die Datenvorverarbeitung und die Entscheidung für die Anonymisierung werden lückenlos dokumentiert, um im Audit die Konformität belegen zu können.

Selbsttest

1. Worin liegt der wesentliche Unterschied zwischen IT-Sicherheit und IT-Compliance?
2. Welche drei Komponenten bilden das GRC-Framework?
3. Warum ist die DSGVO für die Daten- und Prozessanalyse von hoher Relevanz?
4. Was beschreibt das Prinzip der Zweckbindung?
5. Wie lautet die Grundformel zur Risikobewertung?

Tipp: Die lückenlose Dokumentation jedes Schrittes einer Prozessänderung oder Datenextraktion stellt eine wesentliche Absicherung bei Compliance-Prüfungen dar.