Verloren im Labyrinth der IT-Begriffe? Hier finden Sie Definitionen und Basiswissen zu Rechenzentrums-IT und -Infrastruktur.

Alle Regeln einhalten Was ist Compliance?

Autor / Redakteur: lic.rer.publ. Ariane Rüdiger / Ulrike Ostler

Compliance ist heute eine universelle Anforderung an Unternehmen. Der Begriff bezieht sich auf das regelkonforme Gesamtverhalten eines Unternehmens, nicht nur auf die IT. Doch die wird bei der Realisierung von Compliance immer wichtiger.

Firma zum Thema

Compliance bedeutet Konformität mit allen Regeln, Gesetzen und Normen.
Compliance bedeutet Konformität mit allen Regeln, Gesetzen und Normen.
(Bild: © djama - stock.adob.com)

Compliance beschreibt den Umstand, dass sich ein Unternehmen an alle für es geltenden Regeln hält. Seien dies nun Gesetze, selbstverordnete Regularien oder Verpflichtungen, Branchenstandards, technische Normen oder sonstige Regelwerke, denen sich ein Unternehmen aus irgendwelchen Gründen angeschlossen hat.

Der Begriff Compliance bezieht sich auf alle Verhaltensweisen eines Unternehmens, nicht nur auf die Datenverarbeitung. Allerdings gibt es gerade für die Datenverarbeitung inzwischen eine Fülle von Spezialregeln, die für Compliance berücksichtigt werden müssen.

Compliance-sensible Branchen

Besonders wichtig ist digitale Compliance für Branchen, in denen das Geschäft mehr oder weniger vollständig digital abgewickelt wird. Beispiele dafür sind die Finanzbranche oder digitale Services. Besonderen Compliance-Anforderungen sehen sich auch Rechenzentrumsbetreiber gegenüber, sobald ihre Einrichtungen der kritischen Infrastruktur (KRITIS) zugerechnet werden.

Die digitalen Pflichten fangen an mit den Regeln der ordnungsgemäßen digitalen Buchführung. Sie reichen über die Datenschutz-Grundverordnung, das IT-Sicherheitsgesetz, diverse Zertifizierungen nach DIN ISO bis hin zu Branchenstandards wie denen der Payment Card Industry (PCI) oder firmeninternen Regeln etwa für den ethischen Umgang mit Daten, um nur einiges zu nennen.

Umfangreiche Dokumentationspflichten

Um Compliance zu erreichen, sollten Unternehmen spezifische Prozesse und Verantwortlichkeiten etablieren, die den vorhandenen Compliance-Standard überwachen, dokumentieren und stetig verbessern. Dies ist nötig, weil Unternehmen unter Umständen die Rechtspflicht haben, die Einhaltung von Regeln in regelmäßigen Abständen durch Berichte oder Rezertifizierungen nachzuweisen.

In der Unternehmenshierarchie kann man die Aufgabe „digitale Compliance“ an verschiedenen Stellen verankern, zum Beispiel im Geschäftsbereich des CIO oder angebunden an die Rechtsabteilung. In Compliance-sensiblen Branchen sind auch größere, selbständig agierende Compliance-Abteilungen unter Leitung eines Chief Compliance Officer üblich, beispielsweise bei Banken.

Software hilft, compliant zu sein

Bei der Einhaltung der vielfältigen Compliance-Regeln unterstützen heute Softwareprodukte. Sie dokumentieren digitale Prozesse, möglichst lückenlos, und wachen über eine fristgerechte, rechtskonforme Speicherung der Daten sowie die entsprechende Ausgestaltung der Zugriffsrechte. Hier lassen sich auch Regeln, etwa für Dokumentation oder Aufbewahrung von Daten, und ihr Anwendungsbereich definieren sowie ihre Einhaltung digital überwachen.

Außerdem können solche Programme Reports regelmäßig oder auf Anfrage automatisiert erstellen. Derartige Anwendungen lohnen sich aber vor allem für größere Unternehmen.

Verletzungen der Compliance können recht teuer werden und großen Ärger verursachen. So können Verstöße gegen die Datenschutzgrundverordnung (DSGVO) Unternehmen bis zu vier Prozent vom jährlichen Umsatz kosten. In manchen Fällen sind auch direkte strafrechtliche oder finanzielle Konsequenzen für die Verantwortungsträger möglich.

(ID:47156990)

Über den Autor

lic.rer.publ. Ariane Rüdiger

lic.rer.publ. Ariane Rüdiger

Freie Journalistin, Redaktionsbüro Rüdiger