Software-Tipps

IT-Compliance


Einhaltung gesetzlicher, unternehmensinterner und vertraglicher Regelungen

Was ist IT-Compliance?

IT-Compliance1 bezeichnet die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen in der IT. Vor allem die Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und der Datenschutz sollten dabei gewährleistet sein. Eine IT von Wirtschaftsunternehmen muss rechtliche Verpflichtungen,2 EU-Richtlinien, internationale Konventionen sowie unternehmensinterne Standards und Handelsbräuche einhalten.3 Die “Software-Compliance” sollte immer im Rahmen der IT-Compliance betrachtet werden. Für diese “Software-Compliance” gelten vor allem folgende Anforderungen :

Dokumentation aller Änderungen der Software bzw. der Konfiguration

Angelehnt an Anforderungen aus der Softwareentwicklung sollten sämtliche Customizing-Aktivitäten dokumentiert werden. Das Gleiche gilt für den Fall, dass Softwarekonfiguration und Einstellungen geändert wurden.

Dokumentation aller Dateneingaben und Datenänderungen

Es sollte jederzeit lückenlos nachvollziehbar sein, wer, wann welche Änderungen an den Daten vorgenommen hat. Bei Datenbanken sind dies standardmäßig z.B. sogenannte Auditfunktionen, mit denen Datenänderungen lückenlos dokumentiert werden können.

Dokumentation aller Funktionsaufrufe und -ausführungen


Mittels interner Logging- oder Tracking-Funktionen kann es je nach Sicherheitstandards angebracht sein, alle Funktionsaufrufe zu protokollieren.

Funktionen zur Überprüfung der Compliance


Die Einhaltung der Compliance kann auch durch Software unterstützt werden. Bestimmte Programme sind in der Lage, die Datenintegrität (Referenzielle Integrität) zu überprüfen, Zugriffs-Log-Files auszuwerten, Wartungsanweisungen, Wiedervorlagen und Erinnerungsfunktionen sowie Datensicherungen automatisiert durchzuführen.

Kenntnis und Einhaltung gesetzlicher Bestimmungen und Standards


Für den Anwender und auch für den Hersteller der Software wird es immer schwieriger, die stetig wachsende Zahl von Gesetzen, Richtlinien, Verordnungen, Regelungen und Standards zu überblicken. Um die Software hinsichtlich der Einhaltung dieser Compliance zu beurteilen, empfiehlt es sich, zunächst die relevanten Regeln, Gesetze und Bestimmungen zu kennen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Abriss über Standards und Rahmenwerke in der Informationstechnologie herausgegeben.

Die wichtigsten Vorschriften, welche derzeit branchenübergreifend aus dem Bereich der Buchführung, des Datenschutzes und des Steuerwesens gelten und beachtet werden sollten, sind:

  • die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)
  • das Bundesdatenschutzgesetz (BDSG)
  • die Vorschriften des Handelsgesetzbuches (HGB)
  • die Regelungen der Abgabenordnung (AO)
  • als universelle Anforderung der Standard Basel II4

Daneben gilt es, branchenspezifischen Compliance- Anforderungen an eine IT zu erfüllen, wie etwa diejenigen der Pharmazeutischen Industrie, der Chemischen Industrie, des Gesundheitswesens, der IT- und der Finanzdienstleistungen. So sind für IT- Dienstleister vor allem die GoBS und die Stellungnahme zur Rechnungslegung des IDW zu den Grundsätzenordnungsmäßiger Buchführung bei dem Einsatz von IT-Software (IDW RS FAIT 1) wichtig. Finanzdienstleister müssen etwa hauptsächlich die Einführung von Basel II und die gesetzgeberischen Mindestanforderungen an das Risikomanagement (MaRisk)5 beachten.

Unser Tipp:

Insbesondere für größere Unternehmen, die eine Software für ein Umfeld mit einem komplexen Regelwerk ( vielen unternehmensinternen Vorschriften, Gesetzen) suchen, empfiehlt es sich, die IT-Compliance an Fachleute out zu sourcen. Dies ist auch sinnvoll für Betriebe, die ihre Software international einsetzen möchten.

In unseren Rubriken können Sie nach Unternehmen recherchieren, welche Dienstleistungen im Bereich IT-Compliance anbieten. Dort finden Sie auch unterstützende Software für die IT- Compliance.


1 Compliance kann wörtlich mit Regelverfolgung, Einhaltung, Befolgung oder Erfüllung übersetzt werden.
2 deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen führen kann
3 vgl. Wikipedia, IT-Compliance, aufgerufen am 28.09.2022
4 vgl. auch Wikipedia, Basel II, aufgerufen am 28.09.2022
5 vgl. auch Bundesanstalt für Finanzdienstleistungsaufsicht, Rundschreiben 09/2017 (BA) - Mindestanforderungen an das Risikomanagement - MaRisk, aufgerufen am 28.09.2022
Abkürzungen:
IT: Informationstechnologie
BSI: Bundesamt fuer Sicherheit in der Informationstechnik
BDSG: Bundesdatenschutzgesetz
HGB: Handelsgesetzbuch
AO: Abgabenordnung
IDW: Institut der Wirtschaftsprüfer
RS: Raikosoft GmbH
MaRisk: Mindestanforderungen an das Risikomanagement
vgl.: vergleiche
BA: Busankoppler
Software zum Thema Compliance:
Quentic (Software für Arbeitssicherheit, Umwelt- und Energiemanagement)
CellShield