Unternehmen müssen bei der Verarbeitung personen­bezogener Kundendaten eine Vielzahl relevanter Gesetze und Verordnungen beachten, um keine hohen Straf­zahlungen zu riskieren. Umsetzung, Einhaltung und Kontrolle der ent­sprechenden Maßnahmen zur IT-Informations­sicherheit werden dabei unter dem Begriff „IT-Compliance“ zusammen­gefasst.

Verzeichnis-Icon
IT-Compliance

Unternehmen müssen bei der Verarbeitung personen­bezogener Kundendaten eine Vielzahl relevanter Gesetze und Verordnungen beachten, um keine hohen Straf­zahlungen zu riskieren. Umsetzung, Einhaltung und Kontrolle der entspre­chenden Maßnahmen zur IT-Informations­sicherheit werden dabei unter dem Begriff „IT-Compliance“ zusammen­gefasst.

Was ist IT-Compliance der Definition nach?

Das englische Wort „Compliance” bedeutet auf Deutsch übersetzt so viel wie „Konformität“ oder „Überein­stimmung“. IT-Compliance bezeichnet also die Gesamtheit aller, zur Kontrolle und Einhaltung des geltenden Rechts sowie der branchen­üblichen IT-Standards, eingesetzten betrieb­lichen Steuerungs­elemente. Das bedeutet in der Praxis, dass alle relevanten und rechtlichen Vorgaben eines Unternehmens zur IT-Informations­sicherheit nachweisbar eingehalten werden.

Deshalb ist unter dem Begriff Compliance in der IT der Definition nach ein verbind­licher Leitfaden zu verstehen. Dieser erläutert nachvoll­ziehbar allen Mitarbeitern eines Unternehmens die relevanten IT-Regeln und gesetzlichen Vorgaben und verpflichtet alle zur Einhaltung selbiger Vorgaben.

Warum ist IT-Compliance wichtig für Unternehmen?

Heute verarbeitet und speichert die große Mehrheit aller Unternehmen sensible Kundendaten. Ob Handwerks­betrieb, Online-Shop oder der Bringdienst von nebenan: In fast allen Geschäfts­bereichen sind IT-gestützte Anwendungen zu finden, die personen­bezogene Daten verarbeiten. Dabei unterliegen alle Unternehmen, die persönliche Daten erheben und speichern, strengen gesetzlichen Vorgaben, deren Nicht­einhaltung Strafen von mehreren hundert­tausend Euro nach sich ziehen kann.

Geraten beispiels­weise durch unzu­reichende IT-Informations­sicherheit oder fahrlässiges Handeln persönliche Daten von Kunden in die Hände Dritter und werden danach ohne Einwilligung für andere Zwecke verwendet, können laut Bundes­datenschutz­gesetz Strafen bis zu 300.000 Euro verhängt werden. Zudem ist im Falle eines Missbrauchs von Kundendaten mit Schaden­ersatz­forderung der Betroffenen zu rechnen, die weitere schwer­wiegende wirtschaft­liche Schäden für Unternehmen nach sich ziehen können.

Die Einhaltung geltender IT-Regeln und Gesetze aus dem Bereich der IT-Informations­sicherheit ist deshalb ein wesentlicher Aspekt erfolg­reichen, unternehme­rischen Handelns und bedarf einer ständigen Kontrolle mithilfe systematisch angewendeter IT-Compliance Maßnahmen.

Wie kann die Einhaltung der IT-Compliance gesichert werden?

Damit alle rechtlichen Vorgaben aus dem Bereich der IT-Informations­sicherheit sowie die IT-Regeln eines Unternehmens von allen Mitarbeitern eingehalten werden, bietet sich die Einführung der folgenden IT-Compliance-Maßnahmen an:

  • Erstellung eines Leitfadens mit allen IT-Regeln für Mitarbeiter
  • Geräte­kontrolle durch effektives Policy Management
  • Verbot von privaten Speicher­medien am Arbeitsplatz
  • Kontrolle der Instal­lations­rechte einzelner Mitarbeiter­gruppen
  • Sensibi­lisierung aller Mitarbeiter zum Thema Datenschutz
  • Ernennung eines IT-Compliance-Beauftragten

Welche wichtigen Gesetze gelten im Bereich der IT-Informations­sicherheit?

Nachfolgend zeigen wir die wichtigsten Gesetze und Verordnungen im Bereich der IT-Compliance auf, die relevante Handlungs­vorgaben für deutsche Unternehmen enthalten. Neben den genannten gesetzlichen Regelungen und Standards können je nach Betätigungs­feld und Branchen­zugehörig­keit allerdings weitere Vorgaben relevant sein.

Logo des Bundesamts für Sicherheit in der Informationstechnik.
Das IT-Sicherheits­gesetz Wird auch „Gesetz zur Erhöhung der Sicherheit informations­technischer Systeme“ genannt und definiert, welchen Regeln Betreiber sogenannter kritischer Infra­strukturen unterworfen sind. Dazu zählen zum Beispiel Unternehmen aus dem Bereich der Energie- und Wasser­versorgung, Telekom­munikations­anbieter und Kranken­häuser. Werden IT-Systeme angegriffen, unterliegen diese Unternehmen beispiels­weise einer Meldepflicht ans Bundesamt für Sicherheit in der Informations­technik, kurz BSI.
Logo der europäischen Flagge
Verordnung (EU) 2016/679
Die Datenschutz-Grund­verordnung der EU Die EU-DSGVO gilt seit dem 25. Mai 2018 in allen Ländern der Europäischen Union und setzt strenge Vorgaben im Bereich der IT-Informations­sicherheit. Im Kern regeln die enthaltenen Vorgaben einen europaweit einheit­lichen Umgang mit sensiblen Kunden- und Personen­daten durch private Unternehmen.
Logo des Bundesministeriums des Innern und für Heimat.
Das Bundes­datenschutz­gesetz Das BDSG gilt als eines der strengsten Gesetze zum Umgang mit Personen­daten auf der ganzen Welt. Es verbietet grund­sätzlich die Erhebung, Nutzung oder Weiter­verarbeitung personen­bezogener Daten, sofern keine Einwilligung der betreffenden Person vorliegt.
Logo der ISO-Norm 19600
ISO 19600
ISO 19600 Hierbei handelt es sich um eine inter­national gültige Normvorgabe und Zertifi­zierung. Mit ihrer Hilfe können Schwach­stellen in der IT-Compliance eines Unternehmens aufgedeckt und geltende IT-Regeln auf ihre Einhaltung hin überprüft werden.

Zur Planung und Umsetzung von IT-Regeln kann die Arbeit mit einem  IT-Sicherheits­beauftragten sinnvoll sein. So haben Sie einen spezifischen Ansprech­partner für Fragen rund um die Sicherheit Ihrer Systeme im Betrieb.