IT-Compliance im Unternehmen – Maßnahmen zur Risikominimierung

Der Einsatz von „Staatstrojanern“ zeigt, dass im Bereich IT-Sicherheit und Datenschutz offensichtlich unterschiedliche Maßstäbe zur Anwendung kommen. In einem Unternehmen kann man es sich jedenfalls nicht leisten, die relevanten Gesetze und Vorgaben zu missachten. Für die Unternehmenspraxis muss es unverändert oberstes Ziel bleiben, die bestehenden Vorschriften sowie die unternehmenseigenen Grundsätze und Leitlinien einzuhalten. Dies wird auch als Compliance-Management umschrieben.

Im Folgenden wollen wir darstellen, auf welchen Grundlagen die IT-Compliance im Unternehmen ruhen sollte.

Die konkrete Ausgestaltung des Kontrollsystems hängt wesentlich von der Unternehmensgröße ab. Allgemein sind im Bereich der IT folgende Fragen von Bedeutung:

1. Allgemeine Fragen zur IT-Compliance

• Welcher Art sind die verarbeiteten Daten?
• Welchen Umfang haben die verarbeiteten Daten?
• Welchen Sensibilitätsgrad weisen personenbezogene Daten auf?
• Welche Finanzdaten werden verarbeitet?
• Wie hoch ist der Grad der Geheimhaltungsbedürftigkeit?
• Wie hoch ist die Abhängigkeit des Unternehmens von dem jeweiligen IT-System?

2. Konkrete rechtliche Vorgaben für die IT-Compliance

Von den konkreten rechtlichen Vorgaben sollten vor allem folgende Punkte Beachtung finden:

• Vorschriften des Datenschutzes allgemein
• Beachtung des Beschäftigtendatenschutzes
• Maßnahmen zur Datensicherheit
• Schutz des geistigen Eigentums
• Sicherstellung von Geheimnis- und Know-how-Schutz, sowohl intern als auch extern
• Beachtung der wettbewerbsrechtlichen Vorschriften
• gesetzeskonformer Internetauftritt
• Vorschriften zur internen und externen Kommunikation im Unternehmen
• Beachtung steuerrechtlicher Vorschriften (Grundsätze ordnungsgemäßer Buchführung etc.)
• Aufbewahrungspflichten von Unterlage
• Vorliegen unternehmensspezifischer Sondervorschriften