IT Compliance und IT Governance

IT-Compliance bedeutet: Einhaltung und Umsetzung von regulatorischen Anforderungen im weitesten Sinne mit dem Ziel eines verantwortungsvollen Umgangs mit allen Aspekten der Informationstechnik. Mit der Umsetzung dieser Vorgaben einher geht der Begriff „IT Governance“. Darunter versteht man alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme eines Unternehmens.

IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. Die IT-Compliance ist im Zusammenhang mit der IT-Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert. IT-Compliance als Teilbereich fokussiert diejenigen Aspekte von Compliance-Anforderungen, welche die IT-Systeme eines Unternehmens betreffen. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. Unternehmen unterliegen zahlreichen rechtlichen Verpflichtungen, deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen führen kann. EU-Richtlinien, internationale Konventionen, unternehmensinterne Konventionen und Handelsbräuche fügen weitere Regeln hinzu.

Im Wesentlichen sind Aktiengesellschaften und GmbHs betroffen, da hier die Geschäftsführer und Vorstände persönlich für die Einhaltung der gesetzlichen Regelungen haftbar gemacht werden können. Bei deren Missachtung können zivilrechtliche und auch strafrechtliche Sanktionen drohen. So sieht das Bundesdatenschutzgesetz (BDSG) eine Freiheitsstrafe von bis zu 2 Jahren oder Geldstrafe bei Zuwiderhandlung vor. Spätestens seit Basel II den Finanzinstitutionen weitgehende Prüfungen vorschreibt, besteht Handlungsbedarf zur Umsetzung der IT-Compliance.