Top

Published in:

2013 | OriginalPaper | Chapter

Rechtliche Aspekte von IT-Compliance

Author : Michael Rath

Published in: Compliance in der Unternehmerpraxis

Publisher: Springer Fachmedien Wiesbaden

Activate our intelligent search to find suitable subject content or patents.

search-config

AI-assisted search

Off

Zusammenfassung

Sowohl Corporate Governance (die verantwortungsvolle Steuerung des Unternehmens) als auch Corporate Compliance (die Umsetzung der hierzu notwendigen Kontrollmaßnahmen) sind heutzutage angesichts der stetig zunehmenden Komplexität von Geschäftsprozessen in einem Unternehmen ohne den Einsatz von Informationstechnologie (IT) nicht mehr vorstellbar. Corporate Governance und Compliance sind daher untrennbar auch mit IT-Compliance verbunden, also dem verantwortungsvollen Umgang mit allen Aspekten der IT. IT-Compliance reicht dabei von der Einhaltung von Datenschutz und Datensicherheit (Vgl. dazu Kap. 8: Bauer, Datenschutzrechtliche Compliance im Unternehmen) über die Sicherstellung von IT-Security bis hin zur revisionssicheren elektronischen Archivierung. Dieser Beitrag soll einen ersten Überblick über die große Bandbreite der Anforderungen an IT-Compliance bieten.

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

previous chapter Compliance – Auslandsrisiken erkennen und steuern (Schwerpunkt Asien)

next chapter Datenschutzrechtliche Compliance im Unternehmen

Siehe zu IT-Risiko und Chancenmanagement im Unternehmen den gleichnamigen Leitfaden der Bitkom, abrufbar unter http://www.bitkom.org/de/publikationen/38337_39864.aspx.

Vgl. hierzu ausführlich Rath/Sponholz,: IT-Compliance, 2009, Kap. 1.6.

Vgl. allgemein zur Compliance als Aufgabe der Geschäftsleitung auch Kap. 1: Vetter, Compliance in der Unternehmerpraxis, Ziff. 2. und 3. und Kap. 2: Wecker/Galla, Pflichten der Geschäftsleitung & Aufbau einer Compliance Organisation, Ziff. 2.

Vgl. bzgl. der Anforderungen von Solvency II etwa Pfeifer, VW 2005, 1558 ff.; bzgl. der Eigenkapitalvereinbarung Basel II siehe etwa Duisberg/Ohrtmann, ITRB 2005, 160 ff.

IT-Compliance kann vielmehr beispielsweise auch im Arbeitsrecht Bedeutung erlangen, so etwa hinsichtlich der Mitspracherechte des Betriebsrates (§ 80 BetrVG) bei der Einführung von bestimmten IT-Systemen (insbesondere von Programmen mit Überwachungsfunktionen) sowie bei so scheinbar trivialen Aspekten wie der Einhaltung der Bildschirmarbeitsplatzverordnung.

Zu den künftigen Anforderungen von EURO-SOX siehe nachfolgend unter Ziff. 3.2.

Zur Definition eines IKS siehe Lösle/Maudrich, DSWR 2006, 5 mit Hinweis auf IDW PS 260, Tz. 5.

Fehlerrisiken setzen sich (übrigens nicht nur in der IT) zusammen aus „inhärenten Risiken“ und den „Kontrollrisiken“: Inhärente Risiken bezeichnen allgemein die Wahrscheinlichkeit für das Auftreten wesentlicher Fehler (etwa in der Rechnungslegung). Die Wahrscheinlichkeit dafür, dass wesentliche Fehler nicht rechtzeitig durch dieses interne Kontrollsystem aufgedeckt oder verhindert werden, wird allgemein als Kontrollrisiko bezeichnet. Vgl. dazu ausführlich Rath/Sponholz, IT-Compliance, 2009, Kap. 3.

Vgl. hierzu auch die Studie „Der Sarbanes-Oxley Act als Instrument der Corporate Governance“ (Juli 2006) der Detecon International GmbH, abrufbar unter www.detecon.com/de/publikationen/studien.

Siehe hierzu Deutlmoser/Filip, ZD-Beilage 6/2012; Geercken /Holden/Rath/Surguy/Stretton, CRi 2013, S. 44,Rath/Klug, K&R 2008, 596 ff.

Zur Konkretisierung dieser Vorgaben hat das Committee of Sponsoring Organisations of the Treadway Commission (COSO) ein Rahmenkonzept entwickelt, dessen Anwendung von der SEC empfohlen wird. Das Kontrollmodell CobiT (Control Objectives for Information and Related Technology) lehnt sich eng an dieses COSO-Modell an (vgl. dazu noch nachfolgend im Rahmen der IT-Standards).

Zum Risikomanagement siehe Bier, K&R 2005, 59 ff.; Rath/Sponholz, IT-Compliance, 2009, Kap. 6.

Vgl. Skopp/Greipl, DSWR 2006, 2–4.

Siehe zu den rechtlichen Verpflichtungen zur Gewährleistung von IT-Security und zur Einführung einer Notfallplanung im IT-Bereich Steger, CR 2007, 137 ff.; Heckmann, MMR 2006, 280 ff.; Roth/Schneider, ITRB 2005, 19 ff.

Siehe zu den wesentlichen Maßnahmen Rath/Sponholz, IT-Compliance, 2009, Kap. 10.

SIZ ist das Informatikzentrum der Sparkassenorganisation GmbH (www.siz.de).

Vgl. dazu Rieger, in: Rath/Sponholz (Hrsg.), IT-Compliance, 2009, Kap. 10.5.

Siehe zur Aufbewahrungspflicht von E-Mails Böhme, K&R 2006, 176 ff.

Schon länger ist angekündigt, dass die GoBS durch die neuen Vorgaben der „Grundsätze ordnungsgemäßer Buchführung beim IT-Einsatz“ (GoBIT) abgelöst werden.Die aktuelle Fassung der GoBIT lag bei Drucklegung noch nicht vor.

Siehe zu den Anforderungen an sog. „auswertbare Archive“ auch Projekte wie Archisig und das Nachfolgeprojekt Transidoc [www.transidoc.de].

Vgl. auch Hauschka, ZRP 2006, 258, 259.

Allerdings werden E-Mails nicht in den GDPdU, sondern nur in den Q&A der Finanzverwaltung erwähnt. Für den Datenzugriff sind E-Mails wegen der fehlenden Datenstruktur zudem nur eingeschränkt geeignet.

Bspw. AIS TaxAudit 2011 R 1 (Audit Information System der Fa. Audicon GmbH).

Zur digitalen Archivierung steuerrelevanter Daten und Dokumente vgl. Beck-Folten, BC 2009, 157 ff.

Zertifiziert nach ISO 19005-1:2005.

TIFF-G4-Dateien sind monochrome S/W-TIFFS.

Weitere Formate sind der PDF/A-Standard und XPS (die Abkürzung steht für „XML Paper Specification“, entwickelt von Microsoft).

Zu den Risiken eines fehlerhaften Lizenzmanagements vgl. Schrey/Krupna, CCZ 2012, 141 ff.

OLG Karlsruhe v. 23.4.2008 – 6 U 180/06, CR 2009, 217 ff.

Zu den jüngeren Entwicklungen (8/2012) bzgl. des Erwerbs gebrauchter Software vgl. Rath/Maiworm, WRP 2012, 1051

Laut einer Untersuchung von Gartner geben Unternehmen ohne ein effizientes Lizenzmanagementsystem bis zu 60 % zu viel für Software aus. Zu dem Projekt „Liberate“ von IBM vgl. unter www.ibm.de.

Wie schon zuvor gezeigt, geht auch § 2 Abs. 2 BSIG davon aus, dass Sicherheit in der Informationstechnik die Einhaltung bestimmter (Sicherheits-) Standards bedeutet.

In diesen MaRisk hat die BaFin zur Konkretisierung der Vorgaben des § 25 a Abs. 1 KWG die zuvor aufgestellten Mindestanforderungen an das Betreiben von Handelsgeschäften (MAH), die Mindestanforderungen an die Ausgestaltung der internen Revision (MaIR) und die Mindestanforderungen an das Kreditgeschäft (MaK) der Kreditinstitute konsolidiert und ergänzt.

Für Ende 2012 wird eine vierte MaRisk-Novelle erwartet. Derzeit befindet sich ein Entwurf der MaRisk in der Fassung vom 26.04.2012 in der Konsultationsphase.

Siehe AT 4.3.2 MaRisk; Modul BTR 4.

Weiterhin gibt es noch ergänzende Erläuterungen im Dokument „MaRisk – Regelungstext mit Erläuterungen“. Hier wird ebenfalls auf die Auswahl von Standards zum IT-Sicherheitsmanagement eingegangen und auf die zuvor dargestellten BSI-Standards verwiesen.

Vgl. hierzu auch die Bitkom-Studie Compliance in IT-Outsourcing-Projekten (2007), abrufbar unter http://www.bitkom.org/files/documents/BITKOM-Leitfaden_Compliance.pdf.

Title: Rechtliche Aspekte von IT-Compliance
Author: Michael Rath
Publisher: Springer Fachmedien Wiesbaden
Book: Compliance in der Unternehmerpraxis
Print ISBN: 978-3-658-00892-5

Electronic ISBN: 978-3-658-00893-2

Copyright Year: 2013
DOI: https://doi.org/10.1007/978-3-658-00893-2_7