IT-Compliance bildet einen der Schwerpunkte der Compliance-Organisation eines Unternehmens. Sie bezieht sich auf den Bereich der IT-Risiken und IT-bezogenen Gesetze. Auch die Datenschutzkonformität kann zur IT-Compliance gerechnet werden. Ziel ist neben der Sicherstellung der Einhaltung aller rechtlichen Anforderungen auch die IT-Sicherheit.

Teil der IT-Compliance ist die IT-Sicherheit, für deren Umfang ergibt sich, wenn man die Definition des § 2 Abs. 2 des Gesetzes über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG) zu Grunde legt, folgender Umfang mit vier Schutzrichtungen:

• Ständige Verfügbarkeit: Schutz vor Informationsverlust, -entzug und –blockade. Die technische Verfügbarkeit darf von außen nicht zu beeinflussen sein, Schutz vor Hacker-Angriffen durch Firewalls, Virenscanner usw. Auch interne Verfügbarkeit: Wann Wartungsintervalle, welche Geschäftszeiten. Die wichtigste Grundlage der IT-Sicherheit.

• Unversehrheit: Schutz vor ungewollter Informationsveränderung. Änderungen müssen offensichtlich sichtbar sein. Dies ermöglicht ggf. eine schnellere Wiederherstellung.

• Vertraulichkeit: Schutz vor Informationsausspähung. Angesichts der NSA-Ausspähaffäre ein sehr aktuelles Thema: Die Daten bleiben unverändert, jedoch können Dritte Zugriff auf das Know-How des Unternehmens haben und so wichtige Assets bedrohen.

• Verbindlichkeit, Zurechenbarkeit, Verantwortung: Über die gesetzliche Definition hinaus zählen viele Autoren (z.B. Heckmann) auch zur IT-Sicherheit/IT-Compliance, dass mittels technischer Vorkehrungen Kommunikationspartner authentifiziert bleiben.

Einzelne Bereiche der IT-Compliance:

• ŸSicherheit von Informationen und Ressourcen
• ŸVerfügbarkeit der Ressourcen
• ŸE-Mail Archiv und Dokumentmanagementsysteme
• ŸKonzepte zur Betreuung von Hardware, Software, IT-Infrastruktur (Gebäude, Netzwerke), Services (z.B. Webservices) und die Rollen und Rechte der Anwender
• ŸRisikoschutz
• ŸSchutz geistigen Eigentums (auch Lizenzmanagement)
• ŸDatenaufbewahrung und Datenschutz (auch Beschäftigtendatenschutz)
• ŸInternetpräsenz und elektronische Kommunikation
• ŸIT-Beschaffung
• ŸGeheimnisschutz/Know-How-Schutz
• ŸUnternehmenskommunikation (PR, Marketing, Individualkommunikation insb. per E-Mail)

Relevante Gesetze und Normen:

• ŸBundesdatenschutzgesetz (BDSG)
• ŸTelekommunikationsgesetz (TKG)
• ŸTelemediengesetz (TMG)
• ŸSignaturgesetz (SigG)
• ŸIT-Einsatz regeln auch das Betriebsverfassungsgesetz (BetrVG), Strafgesetzbuch (StGB) und BGB
• ŸGesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
• ŸArt. 25 der 8. EG-Richtlinie (“Euro-SOX”) zur Datenübermittlung in Drittländer
• ŸGrundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (Digitale Steuerprüfung) (GDPdU)
• ŸGrundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)
• ŸRegelwerke (z.B. des DIN und BSI) die einbezogen werden, wie z.B. BSI-Standards und BSI-Grundschutz-Kataloge (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html)

Rechtsnormen und Rechtsprechung bilden jedoch nur einen Teil der IT-Compliance. Ebenso zu berücksichtigen sind:

• ŸVerträge mit Kunden, Lieferanten und sonstigen Marktpartnern die IT-relevante Regelungen enthalten oder Leistungsgegenstand sich darauf bezieht;
• ŸUnternehmensexterne, auf IT bezogene Normen, Standards, Zertifikate oder Richtlinien vielfältiger Institutionen, sog. “Best-Practice-Modelle” (z.B. ITIL, CMMI oder COBIT (Control Objectives for Information and related Technology); und Prüfstandards der Wirtschaftsprüfer (z.B. IDW PS 330 und IDW RS FAIT 1 – 3);
• Unternehmensinterne Regelwerke (Unternehmensrichtlinien (“Policies”, Organisations- und Verfahrensanweisungen, Service Level Agreements (SLAs) und Hausstandards mit IT-relevanten Vorgaben.

Bei fehlender oder mangelhafter IT-Compliance können sich folgende potentielle Schäden ergeben:

• ŸUmsatzausfälle
• ŸImageschäden
• ŸWettbewerbsnachteile
• ŸVertragsstrafen
• ŸSchadensersatz
• ŸFreiheitsstrafen
• ŸBußgelder
• ŸZwangsgelder