Was ist eigentlich Compliance?

G DATA Ratgeber

Auch wenn das Wort hochtechnisch und kompliziert klingt: "Compliant" zu handeln heißt zunächst nichts anderes, als sich an geltendes Recht, branchenübliche Standards oder freiwillige Selbstverpflichtungen zu halten – also "regelkonform" zu handeln. Der Begriff Compliance (zu Deutsch: Konformität, Einhaltung, Übereinstimmung) wird dabei quer durch alle Wirtschaftsbereiche verwendet, weshalb man in der Welt der IT auch von "IT-Compliance" spricht, um das Thema einzugrenzen. In der betrieblichen Praxis wird Compliance oft stiefmütterlich behandelt, entsprechende Regeln sind meist nur in größeren Unternehmen vorhanden – dabei drohen Unternehmern z. B. bei einem Datenleck empfindliche Strafen, falls der Vorfall auf nicht regelkonformes Verhalten zurückzuführen ist.

Warum ist Compliance wichtig?

Unternehmen, die Kundendaten speichern und verarbeiten, sind strengen Regelungen unterworfen, wie diese Daten geschützt werden müssen und in welchem Rahmen sie verwendet und weitergegeben werden dürfen. Wie in allen Bereichen der Rechtsprechung gilt: Unwissenheit schützt nicht vor Strafe. Das Problem: Die Einhaltung von Recht und Gesetz muss im gesamten Unternehmen und von allen Mitarbeitern gelebt werden – das Sprichwort mit der Kette und ihrem schwächsten Glied trifft auch hier zu. Um gerichtlichen Ärger und Abmahnungen zu verhindern, sollten Unternehmen daher Compliance-Richtlinien aufstellen, die für alle Mitarbeiter verbindlich sind. Anschließend muss deren Einhaltung im Unternehmen überwacht und durchgesetzt werden.

Die gesetzlichen Bestimmungen sind sehr umfangreich und unterscheiden sich nach Branche und Art der Unternehmens. Telekommunikationsanbieter müssen zum Beispiel nicht nur geeignete Maßnahmen ergreifen, um die Verbreitung von Schadsoftware einzudämmen, sie haben auch eine Meldepflicht bei Angriffen auf ihre Infrastruktur. Kommen sie dieser Meldepflicht nicht nach, da beispielsweise keine Frühwarnsysteme vorhanden sind, droht nach § 43 Abs. 1 Bundesdatenschutzgesetz ein Bußgeld in Höhe von 50.000 Euro. Alle Unternehmen, die persönliche Daten Ihrer Kunden erheben, speichern und verarbeiten, müssen technische Maßnahmen ergreifen, um einen unerlaubten Zugriff auf ihre Telekommunikations- und Datenverarbeitungssysteme zu verhindern. Gelangen Kundendaten durch fehlende oder ungenügende Compliance-Maßnahmen in falsche Hände oder werden ohne die Einwilligung der Personen für nicht vorgesehene Zwecke missbraucht, sieht das Bundesdatenschutzgesetz bei Fahrlässigkeit Strafen bis zu 300.000 Euro vor. Hinzu kommen in allen Fällen unter Umständen Schadenersatzforderungen der betroffenen Kunden.

Wer muss auf die Einhaltung von Compliance-Richtlinien achten?

Grundsätzlich ist die Unternehmensleitung in der Pflicht, die Einhaltung der Gesetze in ihrem Unternehmen zu überwachen. Natürlich kann sie diese Verantwortung aber auch an jemanden delegieren, der die Vorschriften der Branche kennt und weiß, welche technischen Maßnahmen erforderlich und angemessen sind. Falls vorhanden, wird daher oft die IT-Abteilung bzw. der Administrator mit diesen Aufgaben betreut, der dann in Abstimmung mit der Unternehmensleitung die IT-Compliance-Richtlinien entwickelt und deren Einhaltung überwacht. Welche Gesetze die eigene Branche bzw. das eigene Unternehmen konkret betreffen, ist oft nur schwer festzustellen. Professionelle Dienstleister – wie zum Beispiel G DATA im Bereich der IT-Sicherheit – können helfen, die eigenen Compliance-Richtlinien auf die relevanten Bestimmungen und Gesetze abzustimmen.

Diese Branchen gehören zu den "Kritischen Infrastrukturen"
Vor allem sogenannte "Kritische Infrastrukturen" unterliegen strengen Regelungen. Welche Branchen dazugehören, ist in der "KRITIS-Verordnung" (BSI-KritisV) festgehalten.

Die wichtigsten Gesetze, Verordnungen und Standards für die IT-Branche

Bundesdatenschutzgesetz (BDSG) 

Um die Privatsphäre der Bürger zu schützen, ist im BDSG der Umgang mit personenbezogenen Daten geregelt. Es gilt als eines der strengsten Datenschutzgesetze der Welt und verbietet es beispielsweise grundsätzlich, personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Ausnahmen sind natürlich möglich und vorgesehen – z. B. durch die Einwilligung des Nutzers – aber streng geregelt. Es gilt ein "Verbotsprinzip mit Erlaubnisvorbehalt".

IT-Sicherheitsgesetz

Im IT-Sicherheitsgesetz – oder "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" – ist festgehalten, welchen Regelungen die Betreiber "kritischer Infrastrukturen" (KRITIS) unterworfen sind. Zu diesem Kreis zählen beispielsweise Strom- und Wassernetzbetreiber, Telekommunikationsanbieter oder Krankenhäuser. Diese Unternehmen unterliegen besonders strengen Compliance-Anforderungen und müssen beispielsweise Angriffe auf ihre Systeme frühzeitig an das BSI melden und ein "Information Security Management System" (ISMS) betreiben. In der zugehörigen "KRITIS-Verordnung" (BSI-KritisV) ist festgelegt, welche Branchen unter das IT-Sicherheitsgesetz fallen.

EU-Datenschutz-Grundverordnung (EU-DSGV)

Die EU-DSVG tritt in  allen Ländern der EU am 25. Mai 2018 in Kraft. Ziel der Verordnung ist es, die Verarbeitung von personenbezogenen Daten durch private Unternehmen innerhalb der EU zu vereinheitlichen.

ISO 19600

DIe internationale Norm beschreibt Richtlinien für den Einsatz von Compliance-Management-Systemen, die Fehlverhalten von Mitarbeitern aufdecken sollen. Eine Zertifizierung nach ISO 19600 dient einem Unternehmen als Nachweis dafür, dass ausreichende Maßnahmen zur Compliance-Sicherung ergriffen wurden.

Wie überwache ich die Einhaltung der Compliance-Richtlinien?

Eine große Hilfe bei der Durchsetzung der IT-Compliance-Richtlinien ist das Policy Management, das unter anderem regelt, welche Rechte die Mitarbeiter im Netzwerk oder auf ihren PCs und Mobilgeräten haben. Der Administrator kann damit beispielsweise festlegen, dass an Notebooks keine USB-Speichermedien genutzt werden dürfen – oder dass die Datenbank mit den Kundendaten nur von bestimmten Nutzergruppen und nur im internen Netzwerk der Firma eingesehen werden darf. Auch private Geräte, die Mitarbeiter in der Firma nutzen ("Bring Your Own Device" oder "BYOD"), müssen in die Umsetzung der Compliance-Richtlinien mit einbezogen werden. Hierfür ist ein geeignetes Mobile Device Management nötig. Geht ein Smartphone mit firmeninternen Daten verloren, können damit zum Beispiel aus der Ferne alle Daten gelöscht werden.

So funktioniert G DATA Network Montoring
Eine zentrale Monitoring-Lösung (Im Bild: G DATA Network Monitoring) überwacht Geräte und Prozesse im Netzwerk und warnt rechtzeitig, sobald Probleme entstehen.

Das sogenannte "Network Monitoring" wiederum ist ein wichtiges Frühwarnsystem für den Administrator. Steigt die Serverlast plötzlich oder sind bestimmte Dienste nicht mehr erreichbar, könnte dies ein Anzeichen für einen Angriff auf das Netzwerk sein. Unregelmäßigkeiten fallen dadurch sofort auf und können gemeldet werden, bevor ernste Schäden entstehen.

Eine Zertifizierung nach ISO 19600 in Verbindung mit der Einführung eines Compliance Management Systems kann ebenfalls sinnvoll sein – tritt ein Ernstfall ein, hat ein Unternehmen so den Nachweis, dass ausreichende Maßnahmen ergriffen wurden, um Schaden abzuwenden.

Welche Herausforderungen können sich bei der Umsetzung der Compliance-Richtlinien ergeben?

Bei der Durchsetzung der Compliance-Richtlinien muss darauf geachtet werden, die Rechte der Mitarbeiter nicht zu verletzen. Es dürfen beispielsweise nicht wahllos die Geräte der Angestellten nach Firmendaten durchsucht werden, wenn dabei die Gefahr besteht, dass auch private Daten eingesehen werden. Außerdem sollten auch die Mitarbeiter zur Einhaltung der Compliance-Richtlinien beitragen, indem sie für Datenschutz sensibilisiert werden. Zusätzlich sollte auch bei der Auswahl externer Dienstleister und IT-Ressourcen darauf geachtet werden, dass die Compliance gewährleistet bleibt. Werden Kundendaten auf Servern im Ausland gespeichert, sind sie möglicherweise nicht sicher vor dem Zugriff der jeweiligen Regierung oder anderer unbefugter Parteien. Es empfiehlt sich also, einen Dienstleister auszuwählen, der dem strengen deutschen Datenschutz unterliegt. Microsoft hat beispielsweise eigens die "Microsoft Cloud Deutschland" ins Leben gerufen – eine Cloud-Plattform, die Daten ausschließlich in deutschen Datenzentren speichert und den Zugriff auf die Daten über einen Treuhänder realisiert. Auch G DATA nutzt die deutsche Plattform für die Managed-Security-Lösung G DATA Managed Endpoint Security powered by Microsoft Azure.

Starten Sie jetzt mit uns in die Cloud

Der Chef kann sehen, was der Mitarbeiter am Rechner macht
Die Rechte der Mitarbeiter müssen bei der Durchsetzung der Compliance-Richtlinien berücksichtigt werden.

Simon Weiss
Online editor