IT-Compliance

Allgemein

IT-Compliance

So erschreckend es sich anhören mag, aber als Geschäftsführer einer GmbH oder Vorstand einer AG steht man stets mit einem Bein im Knast!

Grund dafür ist § 14 StGB. Demnach werden „Unternehmensstraftaten“ den Verantwortlichen zugerechnet. Ein Unternehmen als juristische Person kann selbst keine Straftat begehen, weder durch positives Tun, noch durch Unterlassen. Aus diesem Grunde trifft es die willensbildende Person, die die Verantwortung für das Unternehmen trägt. Dies gilt wie gesehen in strafrechtlicher, aber auch zivilrechtlicher Hinsicht. Aus diesem Grunde ist es für den Vorstand oder Geschäftsführer von elementarer Bedeutung, sich rechtlich abzusichern. Je größer das Unternehmen, desto wahrscheinlicher, dass der Unternehmer keine lückenlose Überwachung gewährleisten kann.

Aus diesem Grunde gibt es sogenannte Compliance-Manager. Diese stellen sicher, dass die gesetzlich zwingenden Vorgaben, aber auch Empfehlungen und Richtlinien ebenso eingehalten werden, wie unternehmensinterne Verpflichtungen. Dadurch sollen Risiken minimiert und Effizienz und Effektivität gesteigert werden.

Kurzum: es geht darum die Verantwortlichen eines Unternehmens hinsichtlich der Einhaltung von allgemeingültigen oder unternehmensinternen Vorgaben zu unterstützen. Dabei ist ebenfalls zu beachten, ob es sich um einen weltweit oder zumindest europaweit agierendes Unternehmen handelt oder die Geschäftsprozesse auf Deutschland beschränkt sind.

In Deutschland gibt es gesetzliche Vorgaben, die von allen Unternehmen beachtet werden müssen, die in Deutschland ihren Niederlassungssitz haben.

Zunächst einmal ist da das Bundesdatenschutzgesetz (BDSG) zu nennen. Es dient dem Zweck der Verhinderung unrechtmäßiger Eingriffe in das Persönlichkeitsrecht durch Datenverarbeitung und –verwendung durch öffentliche Stellen, in dieser Hinsicht Beauftragte oder Unternehmen.

Über das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz hatten wir bereits an anderer Stelle berichtet.

Aktiengesellschaften, Gesellschaften mit beschränkter Haftung, Aufsichtsgremien und Wirtschaftsprüfer sind seit in Kraft treten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) dazu angehalten dadurch geschaffene Änderungen in eigenständigen Gesetzesbüchern wie z.B. dem GmbHG, HGB und AktG zu beachten. Dadurch wurde eine Art Frühwarnsystem geschaffen und die erstmalige Verpflichtung eines Risikomanagements. Geschäftsrisiken sollen transparent, kontrollierbar und steuerbar sein. Insbesondere im IT-Bereich ist dies mittelständischen Unternehmen nicht aus eigener Kraft möglich, sofern dies nicht auch den Unternehmensgegenstand darstellt.

Des weiteren besteht die Verpflichtung zur Einhaltung der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD). Die GoBD haben wesentliche Teile und Prinzipien der allgemein anerkannten Grundsätze der ordnungsgemäßen Buchführung verinnerlicht. So müssen auch digitale Bücher und Aufzeichnungen die Grundsätze der Nachvollziehbarkeit und Nachprüfbarkeit, Wahrheit, Klarheit, Vollständigkeit, lückenlosen und fortlaufenden Aufzeichnung, Ordnung und Unveränderbarkeit beachten und das für die Dauer der Aufbewahrungspflicht.

Nicht weniger bedeutsam, aber sehr viel einfacher in der Umsetzung sind das Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG) und die Verordnung zur elektronischen Signatur (SigV). Sie dienen der Authentifizierung von Personen im digitalen Rechtsverkehr. Es gibt unterschiedliche Formen der elektronischen Signatur, deren Verwendung (noch) nicht allumfänglich im Rechtsverkehr zulässig ist. Die Schriftform ist noch nicht vollständig abgelöst worden.

Weitere Gesetze sind das Telekommunikationsgesetz (TKG) zur Regelung des Wettbewerbs im Bereich der Telekommunikation und das Telemediengesetz (TMG), das für alle elektronischen Informations- und Kommunikationsdienste gilt, die nicht Telekommunikationsdienste sind.

Es sind aber auch allgemeingültige Normen wie diejenigen des HGB, AktG, GmbHG, SGB, oder das StGB und OWiG zu beachten. Es handelt sich um Normen, die steuerrechtliche, datenschutzrechtliche, anlegerschützende und ganz allgemeingültige und grundlegende Dinge regeln.

Aus Gründen der Selbstregulierung sind allgemeingültige Empfehlungen von der Industrie und spezialisierten Stellen entwickelt worden, deren Umsetzung einen gewissen Grundschutz vermitteln. Ebendiese Bezeichnung hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) für seine Grundschutzkataloge gewählt.

Eine weitere Stelle ist der IDW, ein freiwilliger Zusammenschluss von Wirtschaftsprüfern, der seinen Vereinsmitgliedern durch seine Verlautbarungen einige Empfehlungen, Hinweise und Standards zur Verfügung stellt.

Auch die Industrie hat sich selbst Standards auferlegt, die zwar nicht verpflichtend einzuhalten sind, deren Einhaltung potentiellen Vertragspartnern schon auf den ersten Blick Sicherheit, Seriosität, Transparenz und Qualität vermitteln.

Die bekannteste und anerkannteste nationale Stelle ist das Deutsche Institut für Normung (DIN). Auf Grund des grenzübergreifenden Charakters der IT finden hier sogenannte ISO-Normen Anwendung. Das ist die „International Organization for Standardization“. Beginnend mit der ISO 27000 wird ein Überblick über die Managementsysteme für Informationssicherheit (ISMS) bestimmt. Daran anschließend werden durch die ISO 2700X eine Reihe von Standards geschaffen.

Eine weitere Leitlinie ist die IT Infrastructure Library (ITIL), die IT-gestützte Prozesse vordefiniert und qualitativ absichert. Neben diesen grundsätzlich branchenübergreifenden Leitlinien, gibt es insbesondere im Finanzsektor zu beachtende Vorschriften, wie Basel II, das Gesetz über Wertpapierhandel (WpHG) und das Gesetz über das Kreditwesen (KWG).

All diese Gesetze und Regelungen sind jedoch nur die Spitze des Eisbergs! Es gilt noch weit mehr zu beachten. Um hier den Überblick zu behalten, sollte sich die Unternehmensführung durch einen Compliance Manager entlasten!

error: Alert: Content is protected !!