IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle

Unternehmen müssen immer mehr gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen. Bei Rechtsverletzungen stehen CIOs oder IT-Compliance-Beauftragte mit einem Bein im Gefängnis. Doch zu viel Kontrolle gefährdet die Effizienz von Geschäftsprozessen.

IT-Compliance wird immer wichtiger, da kein Unternehmen heutzutage ohne IT und digitale Abläufe funktioniert. Die meisten Informationen fließen elektronisch, auch im Austausch mit internationalen Standorten, Partnern und Kunden. “IT bildet mittlerweile die Basis vieler Geschäftsprozesse, zudem fordert der Gesetzgeber verstärkt IT-Sicherheit und Datenschutz. Es darf keine Rechtsverstöße geben. Daher ist IT-Compliance oft geschäftskritisch für Unternehmen”, sagt Markus Gaulke, Senior Manager im Bereich Advisory Information Risk Management bei der Wirtschaftsprüfungsgesellschaft KPMG.

Er berät Unternehmen dabei, wie sie gesetzliche Vorgaben – etwa das erneuerte Bundesdatenschutzgesetz, Basel II oder das Bilanzmodernisieriungsgesetz) – in interne Richtlinien umsetzen und wie sie die (IT)-Prozesse gestalten können, um diese Anforderungen einzuhalten sowie deren Einhaltung auch zu dokumentieren.

Als Vorstandsmitglied im German Chapter des internationalen IT-Prüfungsverbands Isaca und Autor des Buches “Praxiswissen Cobit, Risk IT und Val IT” engagiert er sich zudem intensiv für IT-Compliance auf Basis eines Referenzmodells wie Cobit. Ziele des Verbandes sind es, das Thema in die Öffentlichkeit zu bringen sowie die Ausbildung zum IT Compliance Manager zu standardisieren und zu fördern.

Denn Großunternehmen wie Siemens, die Deutsche Telekom oder die Deutsche Bank haben heute eigene Abteilungen und (IT-)Compliance-Manager, welche die Einhaltung aller Vorgaben überwachen. Die Manager und Mitarbeiter haften teilweise persönlich für Rechtsverstöße, sei es zivilrechtlich (Schadensersatz), arbeitsrechtlich (Abmahnung, Kündigung) oder strafrechtlich (Geld- oder Freiheitsstrafe).

“Der IT Compliance Manager muss bei den Mitarbeitern ein Bewusstsein für Compliance schaffen und ihnen erklären, warum diese so wichtig ist. Zudem ist es seine Aufgabe, Prozesse einzurichten die verhindern, dass Unternehmensdaten ungeschützt nach außen gelangen”, so Gaulke. Dazu gehören auch Stichproben und Kontrollsysteme. Doch IT-Compliance ist für Gaulke mehr als IT-Sicherheit und Datenschutz nach gesetzlichen und unternehmensinternen Vorgaben. Weitere Aspekte sind für ihn Archivierung und Datensicherung, die Regelung der Informationssicherheit und der Mitarbeiterrechte bei Telefon, E-Mail und Internet, dem Urheberrecht sowie beim Lizenzmanagement.