imported>Geoguesserplayer am 15. März 2026 um 09:01 Uhr

2026-03-15T09:01:51Z

Neue Seite

'''IT-Compliance''' beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. Die IT-Compliance ist im Zusammenhang mit der [[IT-Governance]] zu sehen, die das Thema um die Bereiche [[Controlling]], [[Geschäftsprozess]]e und [[Management]] erweitert. Der Schwerpunkt der IT-Compliance als Teilbereich liegt auf denjenigen Aspekten von [[Compliance (BWL)|Compliance]]-Anforderungen, welche die IT-Systeme eines Unternehmens betreffen. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich [[Informationssicherheit]], [[Verfügbarkeit]], [[Datenaufbewahrung]] und [[Datenschutz]]. Unternehmen unterliegen zahlreichen rechtlichen Verpflichtungen, deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen führen kann. [[EU-Richtlinie]]n, internationale Konventionen, unternehmensinterne Konventionen und [[Handelsbrauch|Handelsbräuche]] fügen weitere Regeln hinzu.

== Rechtlicher Rahmen ==
Im Folgenden sind wichtige nationale und internationale Regelwerke, die die IT-Compliance betreffen, aufgezählt.

=== Europäische Union ===
* [[Datenschutz-Grundverordnung]] (DSGVO, Verordnung (EU) 2016/679)
* [[Datenschutzrichtlinie für elektronische Kommunikation]] (Richtlinie 2002/58/EG)
* [[Richtlinie 2013/36/EU (Eigenkapitalrichtlinie)|Eigenkapitalrichtlinie]] und [[Verordnung (EU) Nr. 575/2013 (Kapitaladäquanzverordnung)|Kapitaladäquanzverordnung]] – Anforderungen aus dem Rahmenwerk [[Basel III]] für den Bankensektor
* [[Solvabilität II]] (Richtlinie 2009/138/EG) – Anforderungen für den Versicherungssektor
* [[Richtlinie 2014/65/EU über Märkte für Finanzinstrumente]] (Finanzmarktrichtlinie, MiFID II)
* [[Verordnung (EU) 2022/2554 (DORA)]]
* [[NIS-2-Richtlinie]] (Richtlinie (EU) 2022/2555)
* [[Gesetz über künstliche Intelligenz]] (AI Act, Verordnung (EU) 2024/1689)
* [[Rechtsakt zur Cybersicherheit]] (Verordnung (EU) 2019/881)
* [[Cyberresilienz-Verordnung|Cyber Resilience Act]] (CRA, Verordnung (EU) 2024/2847)
* [[Gesetz über digitale Dienste]] (Verordnung (EU) 2022/2065)

==== Deutschland ====
* [[Bundesdatenschutzgesetz]] (BDSG)
* [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich]]
* [[Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff]] (Digitale Steuerprüfung) (GoBD)
* [[Mindestanforderungen an das Risikomanagement (BA)]] (kurz MaRisk (BA)) – Anforderungen der [[Bundesanstalt für Finanzdienstleistungsaufsicht]] (BaFin) für den Bankensektor sowie die abgeleiteten [[Bankaufsichtliche Anforderungen an die IT|Bankaufsichtlichen Anforderungen an die IT (BAIT)]]*
* [[Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen]] (kurz MaGo) – Anforderungen der BaFin für Versicherer sowie die abgeleiteten [[Versicherungsaufsichtliche Anforderungen an die IT|Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)]]*
* weitere Rundschreiben der BaFin wie die [[Kapitalverwaltungsaufsichtliche Anforderungen an die IT]] oder die [[Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten]]*
* [[BSI-Gesetz|BSI-Gesetz (BSIG)]] für [[kritische Infrastrukturen]] (KRITIS)
* [[Telekommunikationsgesetz (Deutschland)|Telekommunikationsgesetz für Deutschland]]

(Anmerkung: *die xAIT gelten infolge des Wirksamwerdens von DORA z. T. nur noch übergangsweise und werden perspektivisch vollständig durch DORA ersetzt)

==== Österreich ====
* [[Datenschutzgesetz (Österreich)|Datenschutzgesetz]]
* [[Telekommunikationsgesetz 2021]] (TKG 2021)<ref>{{§§|TKG 2021|RIS-B|GesetzNr=20011678|text=Konsolidierter Gesamttext des Telekommunikationsgesetzes 2021 (TKG 2021)}} im [[Rechtsinformationssystem der Republik Österreich|RIS]]</ref>
* [[Netz- und Informationssystemsicherheitsgesetz 2026]] (NISG 2026)<ref>{{§§|NISG 2026|RIS-B|GesetzNr=20013065|text=Konsolidierter Gesamttext des Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026)}} im [[Rechtsinformationssystem der Republik Österreich|RIS]]</ref>
* [[Gesundheitstelematikgesetz (Österreich)|Gesundheitstelematikgesetz 2012]]<ref>{{§§|GTelG 2012|RIS-B|GesetzNr=20008120|text=Konsolidierter Gesamttext des Gesundheitstelematikgesetz 2012 (GTelG 2012)}} im [[Rechtsinformationssystem der Republik Österreich|RIS]]</ref>

=== Vereinigte Staaten ===
Der [[Sarbanes-Oxley Act]] (SOX) gilt insbesondere auch für europäische Unternehmen, wenn sie in den USA an der Börse notiert sind.

=== International ===
Weitere internationale Regelwerke sind beispielsweise [[HIPAA]], [[International Financial Reporting Standards]] (IFRS) und [[Payment Card Industry Data Security Standard]] (PCI-DSS).

== Nutzen und Ziele ==
Ziel von IT-Compliance ist die umfassende und dauerhafte Einhaltung von Anforderungen des Gesetzgebers und des Unternehmens. Daraus resultieren u. a. Vorteile bei der Unternehmensbewertung und höhere IT-Sicherheit.

Betroffene Bereiche sind zum Beispiel:
* [[Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen|GDPdU]]-konforme Archivierung von Bankdaten
* E-Mail-Archiv
* [[Dokumentenmanagement|Dokumentmanagementsystem]]
* Process History Management

Im Falle des Ausscheidens von Personen aus dem Unternehmen muss es klare Regelungen beim Umgang mit weiterhin eintreffenden E-Mails geben. Hier besteht ein schmaler Grat zwischen Archivierungspflicht und Schutz der Persönlichkeit.

Viele Regularien sehen eine persönliche Haftung für die Einhaltung der gesetzlichen Regelungen für Geschäftsführer und Vorstände vor. Bei Missachtung können zivilrechtliche und auch strafrechtliche Sanktionen drohen. So sieht beispielsweise Bundesdatenschutzgesetz eine Freiheitsstrafe von bis zu drei Jahren oder Geldstrafe bei Zuwiderhandlung vor ({{§|42|BDSG|buzer}} BDSG).

== Maßnahmen ==
Die Kernaufgabe besteht in der Dokumentation und der entsprechenden Anpassung der IT-Ressourcen und der Analyse und Bewertung der entsprechenden Problem- oder Gefahrenpotentiale (auch: [[Risikoanalyse]]). Zu den Ressourcen gehören [[Hardware]], [[Software]], [[IT-Infrastruktur]] (Gebäude, Netzwerke), Services (z. B. [[Webservice]]s) und die Rollen und Rechte der Software Anwender. Wichtig ist hierbei, dass die Umsetzung von Compliance als ein dauerhafter Prozess und nicht als kurzfristige Maßnahme aufgefasst wird.

Beispiel: Lizenz-Management

* Sind alle kommerziell eingesetzten Softwareprodukte auch erworben?
* Werden bei [[Open Source]] die jeweiligen Lizenzen wie [[GNU General Public License|GPL]] beachtet?
* Gibt es alte Lizenzen, die für Updates genutzt werden können?

Das [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) bietet mit den Grundschutz-Katalogen eine umfangreiche Handlungsanweisung.

== Weblinks ==
=== Informationssicherheit ===
* [https://www.bsi.bund.de/ Bundesamt für Sicherheit in der Informationstechnik]
* [https://www.bsi.bund.de/grundschutz IT-Grundschutz des BSI]
* [http://www.zim-koeln.de/compliance.htm Weiterführende Links zu Behörden und Gremien des Zentrums für interaktive Medien e.V]

=== Weiterführende Links ===
* [http://www.security-insider.de/themenbereiche/sicherheits-management/compliance/articles/111884/ Balanceakt Compliance – IT-Security oder ein zufriedener Prüfer?]
* [http://www.compas-ict.eu/ COMPAS – EU Forschungsprojekt zur Umsetzung von Compliance in einer SOA]
* [http://www.giza-blog.de/DownloadThemaITCompliancePDFDeutschEnglish.aspx Kostenfreier Download des PDF-Dokuments: Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung – IT-Infrastruktur Compliance Reifegradmodell für Geschäftsführung, Compliance- und IT-Verantwortliche] (Deutsch, English)

== Einzelnachweise ==
<references />

{{SORTIERUNG:ITCompliance}}
[[Kategorie:IT-Management]]

IT-Compliance - Versionsgeschichte

imported>Geoguesserplayer am 15. März 2026 um 09:01 Uhr