Software > Software-Tipps > Allgemeine Auswahlkriterien > Unternehmensspezifische Anforderungen der Software > IT-Compliance
2.3.3.

IT-Compliance


Einhaltung gesetzlicher, unternehmensinterner und vertraglicher Regelungen
Hält die Software unsere IT-Compliance/ offizielle Standards wie z.B. Datenschutz- und Sicherheitsbestimmungen, Qualitätsstandards ein?
Datenschutz- und sicherheitsbestimmungen, Qualitätsstandards
IT-Compliance

IT-Compliance1 bezeichnet die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen in der IT. Vor allem die Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und der Datenschutz sollten dabei gewährleistet sein. Eine IT von Wirtschaftsunternehmen muss rechtliche Verpflichtungen,2 EU-Richtlinien, internationale Konventionen sowie unternehmensinterne Standards und Handelsbräuche einhalten.3 Die “Software-Compliance” sollte immer im Rahmen der IT-Compliance betrachtet werden. Für diese “Software-Compliance” gelten vor allem folgende Anforderungen :

Dokumentation aller Änderungen der Software bzw. der Konfiguration
Angelehnt an Anforderungen aus der Softwareentwicklung sollten sämtliche Customizing-Aktivitäten dokumentiert werden. Das Gleiche gilt für den Fall, dass Softwarekonfiguration und Einstellungen geändert wurden.

Dokumentation aller Dateneingaben und Datenänderungen
Es sollte jederzeit lückenlos nachvollziehbar sein, wer, wann welche Änderungen an den Daten vorgenommen hat. Bei Datenbanken sind dies standardmäßig z.B. sogenannte Auditfunktionen, mit denen Datenänderungen lückenlos dokumentiert werden können.

Dokumentation aller Funktionsaufrufe und -ausführungen
Mittels interner Logging- oder Tracking-Funktionen kann es je nach Sicherheitstandards angebracht sein, alle Funktionsaufrufe zu protokollieren.

Funktionen zur Überprüfung der Compliance
Die Einhaltung der Compliance kann auch durch Software unterstützt werden. Bestimmte Programme sind in der Lage, die Datenintegrität (Referenzielle Integrität) zu überprüfen, Zugriffs-Log-Files auszuwerten, Wartungsanweisungen, Wiedervorlagen und Erinnerungsfunktionen sowie Datensicherungen automatisiert durchzuführen.

Kenntnis und Einhaltung gesetzlicher Bestimmungen und Standards
Für den Anwender und auch für den Hersteller der Software wird es immer schwieriger, die stetig wachsende Zahl von Gesetzen, Richtlinien, Verordnungen, Regelungen und Standards zu überblicken. Um die Software hinsichtlich der Einhaltung dieser Compliance zu beurteilen, empfiehlt es sich, zunächst die relevanten Regeln, Gesetze und Bestimmungen zu kennen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Abriss über Standards und Rahmenwerke in der Informationstechnologie herausgegeben.4

Die wichtigsten Vorschriften, welche derzeit branchenübergreifend aus dem Bereich der Buchführung, des Datenschutzes und des Steuerwesens gelten und beachtet werden sollten, sind:

Daneben gilt es, branchenspezifischen Compliance- Anforderungen an eine IT zu erfüllen, wie etwa diejenigen der Pharmazeutischen Industrie, der Chemischen Industrie, des Gesundheitswesens, der IT- und der Finanzdienstleistungen. So sind für IT- Dienstleister vor allem die GoBS und die Stellungnahme zur Rechnungslegung des IDW zu den Grundsätzenordnungsmäßiger Buchführung bei dem Einsatz von IT-Software (IDW RS FAIT 1) wichtig. Finanzdienstleister müssen etwa hauptsächlich die Einführung von Basel II und die gesetzgeberischen Mindestanforderungen an das Risikomanagement (MaRisk)6 beachten.

Unser Tipp:

Insbesondere für größere Unternehmen, die eine Software für ein Umfeld mit einem komplexen Regelwerk ( vielen unternehmensinternen Vorschriften, Gesetzen) suchen, empfiehlt es sich, die IT-Compliance an Fachleute out zu sourcen. Dies ist auch sinnvoll für Betriebe, die ihre Software international einsetzen möchten.

In unseren Rubriken können Sie nach Unternehmen recherchieren, welche Dienstleistungen im Bereich IT-Compliance anbieten. Dort finden Sie auch unterstützende Software für die IT- Compliance.


1 Compliance kann wörtlich mit Regelverfolgung, Einhaltung, Befolgung oder Erfüllung übersetzt werden.
2 deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen führen kann
3 vgl. Wikipedia, IT-Compliance, aufgerufen am 21.09.2017
4 vgl. auch Bundesamt für Sicherheit in der Informationstechnik, Hilfsmittel IT-Grundschutz, aufgerufen am 21.09.2017
5 vgl. auch Wikipedia, Basel II, aufgerufen am 21.09.2017
6 vgl. auch Bundesanstalt für Finanzdienstleistungsaufsicht, Rundschreiben 10/2012 (BA) - Mindestanforderungen an das Risikomanagement - MaRisk, aufgerufen am 21.09.2017
2.3.2. Software-Customizing2.3. Unternehmensspezifische Anforderungen der Software2.3.4. IT-Governance