IT-Compliance – gesetzliche Anforderungen für deutsche Unternehmen

Deutsche Unternehmen sind gesetzlich dazu verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern und in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren. Was in Zeiten von Globalisierung und Mobilität großen Nutzen bringt, birgt durch die hohe Abhängigkeit von IT-Systemen für Unternehmen aber auch Gefahren. Auf diesen Sachverhalt hat der Gesetzgeber reagiert und verschärfte Anforderungen an eine unternehmensweite Informationssicherheit definiert. Dieser Artikel gibt Ihnen einen Überblick über die wichtigsten Gesetze und Vorschriften.

IT-Compliance und IT-Sicherheit

Unternehmen bilden ihre Geschäftsprozesse heutzutage überwiegend digital ab. Die damit verbundenen Prozessketten müssen unter anderem für staatliche Kontrollen nachweisbar sein. Praxisnahe Beispiele für die Umsetzung dieser Beweispflicht sind die digitale Steuerprüfung nach den Grundsätzen zum Datenzugriff, Datenschutzgesetze, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich oder das IT-Sicherheitsgesetz.

Einen großen Beitrag zur IT-Compliance leistet die IT-Sicherheit. Absolute IT-Sicherheit gibt es zwar nicht, aber mithilfe adäquater Maßnahmen lassen sich die mit dem Einsatz von Informationstechnologie verbundenen Risiken auf ein vertretbares Niveau bringen. Neben freiwilligen Richtlinien und einschlägigen Sicherheitsstandards wie ISO 27001, Cobit oder ITIL sorgen Gesetze, Normen und Grundsätze dafür, dass sich Unternehmen ihrer Handlungsweisen und Haftungsverpflichtungen im Bereich Informationssicherheit bewusst sind.

Der (Managed) Cloud Solution Provider Adacor legt bei der Zusammenarbeit mit Kunden größten Wert auf die Compliance: So hat jeder Kunde einen direkten Ansprechpartner, der mit ihm gemeinsam passende Lösungen entwickelt. Dadurch wird gewährleistet, dass die projektspezifischen IT-Systeme die Compliance-Vorgaben erfüllen.

Im Überblick: Gesetze und Vorschriften zur Informationssicherheit

Gesetze zu Datenschutz und Informationssicherheit verfolgen das Ziel, einen verlässlichen Schutz der Unternehmensinformationen in Bezug auf Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu schaffen. Die Einhaltung dieser ist zwingende Voraussetzung dafür, dass Unternehmen regelkonform bleiben. Die wichtigsten Gesetze und Vorschriften für deutsche Unternehmen sind:

EU-DSGVO – EU-Datenschutzgrundverordnung

Durch die EU Datenschutz-Grundverordnung (EU-DSGVO) steht der Datenschutz in allen EU-Mitgliedsstaaten unter den gleichen Regeln, sodass es keine nationalen Unterschiede mehr gibt. Damit steigen die Anforderungen an die Datenschutz-Compliance und an ein gut funktionierendes Datenschutz-Management-System. Weitere hilfreiche Details über die EU-DSGVO finden Sie in den folgenden Fachartikeln:

IT-Sicherheitsgesetz: rechtliche Grundlagen für die IT-Sicherheit

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist ein Artikelgesetz. Das heißt, darin werden bereits bestehende Regelungen geändert und ergänzt. Damit wird das Ziel verfolgt, den Schutz von Daten und IT-Systemen zu sichern und zu gewährleisten. (Wir haben bereits an anderer Stelle darüber berichtet.)

Speziell der Schutz von Betreibern kritischer Infrastrukturen aus Bereichen wie Strom- und Wasserversorgung, Finanzen oder Ernährung steht dabei im Vordergrund. Die Betreiber sind dazu verpflichtet die zur Erbringung ihrer Dienste erforderliche IT angemessen abzusichern und diese mindestens alle zwei Jahre überprüfen zu lassen. Zudem soll die Zusammenarbeit in Sicherheitsvorfällen nach außen verstärkt werden. So gibt es bei Ausfällen oder IT-Sicherheitsvorfällen Meldepflichten gegenüber dem BSI sowie Informationspflichten gegenüber betroffenen Nutzern. Neben den Betreibern kritischer Infrastrukturen betreffen die Änderungen weitere Unternehmen. So sind Telemedien-Diensteanbieter durch Veränderungen in § 13 TMG: Pflichten des Diensteanbieters (Telemediengesetz) dazu verpflichtet, präventive technische und organisatorische Maßnahmen nach Stand der Technik zum Schutz der Systeme und den darauf aufbewahrten Daten zu treffen. Es gilt dabei vor allem diese nachzuweisen.

KonTraG: wirtschaftliche Kontrolle und Transparenz bei AG, GmbH, Co.

Das KonTraG zielt auf die Verbesserung der Grundsätze der Unternehmensführung (Corporate Governance) ab. Zusätzlich sollen Unternehmer motiviert werden, sich stärker mit dem Thema (IT)-Risikomanagement auseinanderzusetzen und sinnvollerweise in ein unternehmensweites Risikofrüherkennungssystem zu investieren. Um diese Forderungen zu erreichen, wurden mittels KonTraG, das ein Artikelgesetz ohne eigenen Gesetzestext ist, Gesetze wie das GmbHG, das AktG oder das HGB inhaltlich geändert. Teilweise werden einzelne Paragraphen (z. B. § 43 GmbHG) entsprechend angewendet. Aus § 43 GmbHG lassen sich auch konkrete Pflichten für die Gewährleistung eines angemessenen internen Informationssicherheitsniveaus ableiten. Die Sachlage ist klar: Der Geschäftsführer verantwortet die IT-Sicherheit – mit allen Konsequenzen. Nur wenn er nachweislich alle geforderten sicherheitsrelevanten Maßnahmen umgesetzt hat, kann er sich aus der Haftung exkulpieren. Weitere interessante Details zum Thema Risikomanagement haben wir Ihnen in zwei Artikeln zusammengefasst:

GoBD: die Pflicht zur Sorgfalt bei der elektronischen Dokumentation

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen sind Vorgaben für die Dokumentationsprozesse in Unternehmen. Von den GoBD sind alle Unternehmensbereiche betroffen, in denen betriebliche Abläufe und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen. Entsprechend erhält ein Unternehmen die Auflage diverse Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung der Informationen zu beachten. Dazu gehören Nachvollziehbarkeit und -prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit. Diese Anforderungen sind ebenfalls auf die Verfahren anzuwenden, die durch die IT abgebildet werden. Gleichwohl müssen sämtliche Vorgaben über ein Internes Kontrollsystem (IKS) umgesetzt werden. Zusätzlich ist eine Verfahrensdokumentation als Nachweis eines ordnungsgemäßen Systembetriebs vorgeschrieben. Infolgedessen bedarf es zur Erfüllung der GoBD eines Datensicherheitskonzepts mit weitreichenden Maßnahmen zur Sicherung der Informationen vor Verlust.

S-Ox: Vorschriften für interne Kontrollsysteme in den USA

Bilanzskandale und Sicherheitspannen in den USA haben die Compliance entscheidend beeinflusst. Die Vorkommnisse hatten Gesetze wie das S-Ox zur Folge, mit dem die US-Regierung das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit von publizierten Unternehmensfinanzdaten wiederaufpolieren wollte. Inhaltlich legt das Gesetz vorwiegend formale Anforderungen fest, die den US-amerikanischen Managern ihre Haftung verdeutlichen. Außerdem lässt sich aus Section 404 analog zu den GoBD die Forderung nach einem IKS ableiten. Für dessen Umsetzung ist jedoch ein IT-Risikomanagement Voraussetzung. Zwar thematisiert das S-Ox IT-Sicherheit nicht explizit, aber gesetzestreue Unternehmen können nur mit Hilfe einer konsequenten Absicherung ihrer IT und durch den verantwortungsvollen Umgang mit DV-gestützten Informationen den Anforderungen gerecht werden.

COSO: ein Modell für interne Kontrollsysteme

Das Committee of Sponsoring Organizations of the Treadway Commission ist eine freiwillige privatwirtschaftliche US-Organisation. Sie entwickelte 1985 ein Modell zur Verbesserung von Finanzberichterstattungen. Im Fokus stehen ethisches Handeln, wirksame interne Kontrollen sowie eine faire Unternehmensführung. COSO ist kein Gesetz, sondern ein Modell, das 1992 einen heute von der SEC anerkannten Standard für interne Kontrollen geschaffen hat. Es gliedert sich in drei Bereiche (operationelle Risiken, Finanzberichterstattung, Compliance) und dient der Dokumentation, Analyse und Gestaltung eines IKS. Außerdem legt es die Anforderungen an die Finanzberichterstattung und Buchführung sowie die Voraussetzungen für die Datensicherheit fest. Die Vorgaben beschreiben zusammengenommen im Prinzip die US-amerikanischen Grundsätze ordnungsgemäßer Rechnungslegung einschließlich der Einbeziehung von IT-Maßnahmen.

Kapitaladäquanzrichtlinien für Banken und Versicherungen: Basel III, Solvency II

Auch Banken und Versicherungen müssen bei der Kreditvergabe und bei Versicherungsgeschäften die IT-Risiken ihrer Kunden berücksichtigen, da sich diese direkt auf die Angebotskonditionen auswirken. Die Baseler Eigenkapitalvereinbarung (Basel III) verfolgt das Ziel, die Widerstandskraft von Kreditinstitute gegenüber Schocks aus Stresssituationen im Finanzsektor und der Wirtschaft zu stärken. Zum einen soll eine angemessene Eigenkapitalausstattung der Banken erreicht werden, zum anderen sollen einheitliche Wettbewerbsbedingungen für Kreditvergabe und -handel geschaffen werden. Die Umsetzung der Vorschriften erfolgt in Deutschland durch die Änderung des Kreditwesengesetzes sowie durch das CRD IV-Umsetzungsgesetz. Zusätzlich wurden die Solvabilitäts-, die Großkredit- und Millionenkredit- sowie die Liquiditäts- und Institutionsverordnung entsprechend angepasst. Anders als bei Basel III stehen bei Solvency II nicht die Einzelrisiken, sondern ein ganzheitliches System zur Gesamtsolvabilität im Fokus. Damit soll die Schaffung eines einheitlichen Rechtsrahmens zum Schutz von Versicherungsnehmern durch adäquate Eigenkapitalanforderungen und stringente Risikomanagementstandards erreicht werden.

KWG: aktive Kontrolle über die Kredit- und Finanzbranche

Das Gesetz über das Kreditwesen regelt die Aufsichtsgestaltung über die Kredit- und Finanzdienstleistungsinstitute in Deutschland. Zwei Ziele stehen im Mittelpunkt: Erstens die Sicherung und Erhaltung einer funktionierenden Kreditwirtschaft, zweitens der Gläubigerschutz vor Einlagenverlust.

Neben Instituts- und Missstandsaufsicht kontrolliert die BaFin regelmäßig, ob die Institute Risiken mit genügend Eigenmitteln hinterlegen, und verfolgt unerlaubte Bank- und Finanzdienstleistungsgeschäfte. Die Regelungen des KWG zwingen Banken und Versicherungen dazu, eine filigranere interne Risikoermittlung durchzuführen. Der verlangte Eigenkapitalanteil muss anhand des ermittelten Risikos festgemacht werden. Da die Banken die Kreditausfallrisiken ihrer Schuldner berücksichtigen müssen, wirken die Anforderungen mittelbar auf alle Unternehmen, die am Kapitalmarkt Kredite aufnehmen möchten. Ein Unternehmen mit einer schlechten Risikoeinstufung wird, wenn es kreditwürdig ist, einen relativ hohen Kreditzins zu entrichten haben.

MaRisk, MaComp und BAIT

Auf Grund der zunehmenden Digitalisierung des Bankenumfeldes, wurden von der BaFin ergänzend zum KWG verschiedene Leitlinien entwickelt, um die Einhaltung von IT-Sicherheit, Datensicherheit und Datenschutz zu gewährleisten. Interpretiert und konkretisiert werden die Anforderungen des KWG durch bestimmte Mindestanforderungen wie das MaRisk und das MaComp. Mit den Mindestanforderungen an das Risikomanagement (MaRisk) werden Anforderungen an die Umsetzung von IT-Sicherheit – vor allem in Bezug auf das Risikomanagement bei Banken – definiert. Durch die Mindestanforderungen an die Compliance-Funktion (MaComp) erhalten Finanzinstitute Orientierung bei der praktischen Umsetzung der Verhaltens-, Organisations- und Transparenzpflichten. Weitere Konkretisierung erhält das KWG durch die bankaufsichtlichen Anforderungen an die IT (BAIT). Sie definiert die Themenschwerpunkte zur Ausgestaltung der IT-Strategie, des IT-Risikomanagements, dem Informationssicherheitsmanagement und dem Benutzerberechtigungsmanagement. Ziel der Leitlinien ist eine angemessene technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts.

Weitere Spezialvorschriften für die Informationssicherheit

Neben den vorgestellten Vorschriften gibt es für den Bereich der Informationssicherheit weiterer Spezialvorschriften, wie:

• Produkthaftungsgesetz beziehungsweise § 823 BGB (z. B. bei Softwarekauf)
• Teledienstgesetz (TDG)
• Telekommunikationsgesetz (TKG)
• Wassenar-Abkommen (europäische Kryptoregulierung) und zu berücksichtigende länderspezifische Gesetze, die Einschränkungen hinsichtlich der einsetzbaren Verschlüsselungstechnik vorschreiben
• Grundgesetz Artikel 10 und G10-Gesetz
• Urheberrechtsgesetz (UrhG)
• IT-bezogene Straftaten des StGB: § 202a (Ausspähen von Daten), §202b (Abfangen von Daten), §263a (Computerbetrug), §303a (Datenveränderung), und §303b (Computersabotage)

Unser Video zu Datensicherheit und IT-Security

Fazit: Informationssicherheit und Compliance sind dynamische Prozesse

Ein gut durchdachtes IT-Sicherheitskonzept lebt von Neuerungen und Weiterentwicklungen. Daher stellen wir uns bei Adacor  regelmäßig die Fragen: „Wie können wir die Sicherheit von Unternehmens- und Kundendaten optimieren? Welche neuen Compliance-Anforderungen gibt es? Welche Innovationen bietet uns die Technik beim Cloud Hosting? Wie können wir unsere Kunden bei der Erfüllung der eigenen Compliance-Anforderungen bestmöglich unterstützen?“

Im Großen und Ganzen dreht sich dabei alles um das Risikomanagement. Denn heute laufen die meisten Geschäftsprozesse IT-unterstützt ab, deshalb ist die Sicherheit der verarbeiteten Informationen eine wichtige unternehmerische Aufgabe. Adacor hat in seiner gesamten Wertschöpfungskette standardisierte Prozesse verankert. Dank derer können im Rahmen der IT-Sicherheitsvorgaben schnell und einfach auf Änderungen oder Neuerungen reagiert werden. (Darauf ruhen wir uns natürlich nicht aus, aber der erzielte Sicherheitsgewinn beruhigt uns und unsere Kunden.)