Herausforderung für Unternehmen: gesetzliche Anforderungen an die ITCompliance

Gesetze rund um die Informationssicherheit im Unternehmen

Herausforderung für Unternehmen: gesetzliche Anforderungen an die ITCompliance

Ob beruflich oder privat, im 21. Jahrhundert können wir uns das Leben ohne die Informationstechnik nicht mehr vorstellen. Was in Zeiten von Globalisierung und Mobilität großen Nutzen bringt, birgt durch die hohe Abhängigkeit von ITSystemen für Unternehmen viele Gefahren. Auf diesen Sachverhalt hat der Gesetzgeber reagiert und verschärfte Anforderungen an eine unternehmensweite Informationssicherheit definiert. Heute sind deutsche Unternehmen gesetzlich dazu verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern und in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren.

© Web Buttons Inc - Fotolia.com

In Unternehmen werden Geschäftsprozesse zunehmend digital abgebildet. Die damit verbundenen Prozessketten müssen u. a. für staatliche Kontrollen nachweisbar sein. Praxisnahe Beispiele für die Umsetzung dieser Beweispflicht sind die digitale Steuerprüfung nach den Grundsätzen zum Datenzugriff, Datenschutzgesetze oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich. Einen großen Beitrag zur IT-Compliance leistet die IT-Sicherheit. Es gibt zwar keine absolute IT-Sicherheit, aber mithilfe adäquater Maßnahmen lassen sich die mit dem Einsatz von Informationstechnologie verbundenen Risiken auf ein vertretbares Niveau bringen. Neben freiwilligen Richtlinien und einschlägigen Sicherheitsstandards wie ISO 27001, Cobit oder ITIL sorgen Gesetze, Normen und Grundsätze dafür, dass sich Unternehmen ihrer Handlungsweisen und Haftungsverpflichtungen im Bereich Informationssicherheit bewusst sind. ADACOR-Geschäftsführer Andreas Bachmann erklärt, dass sein Unternehmen bei der Zusammenarbeit mit Kunden größten Wert auf die Compliance legt: „Jeder Kunde hat bei uns einen direkten Ansprechpartner, der mit ihm gemeinsam passende Lösungen entwickelt, damit die projektspezifischen IT-Systeme die Compliance-Vorgaben erfüllen.“

Deutsche Gesetze zu Datenschutz und Informationssicherheit verfolgen den Zweck, einen verlässlichen Schutz der Unternehmensinformationen in Bezug auf Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu schaffen. Gesetze und Vorschriften, deren Einhaltung Voraussetzung dafür ist, dass Unternehmen regelkonform bleiben, stellen wir in diesem Artikel vor:

Gesetze und Vorschriften zur Informationssicherheit

1. BDSG: Bundesdatenschutzgesetz
2. KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
3. GDPdU: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen / GoBS: Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
4. S-Ox: Sarbanes-Oxley Act
5. COSO: Committee of Sponsoring Organizations of the Treadway Commission
6. Basel II, Solvency II
7. KWG: Kreditwesengesetz

© Kautz15 - Fotolia.com

1. Unter den Augen des Gesetzes: Unternehmen handeln nach BDSG

Das Bundesdatenschutzgesetz regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischen Regelungen den Umgang mit personenbezogenen Daten1, die in IT-Systemen oder manuell verarbeitet werden. Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG).

Das BDSG ist anwendbar, wenn Daten in Deutschland erhoben, gespeichert oder verarbeitet werden. Es bleibt unter Umständen anwendbar, wenn Daten ins Ausland übermittelt werden. Auch ausländische Konzerne mit einem deutschen Tochterunternehmen mit eigenständiger Rechtspersönlichkeit können dem deutschen Datenschutzrecht unterliegen. Wer jedoch personenbezogene Daten in Drittstaaten übermittelt, muss jeden einzelnen Dateninhaber darüber aufklären und informieren, wer auf die Daten zugreifen kann. Übermittlungen aus Deutschland an andere EU-Länder sind unter denselben Voraussetzungen zulässig wie Übermittlungen im Inland. Sonstige Drittstaaten bieten dem Betroffenen oftmals weniger Garantien zum Schutz seiner personenbezogenen Daten. Das BDSG definiert in § 11 die Auftragsdatenverarbeitung (ADV), die bei der Leistungserbringung der ADACOR regelmäßig anfällt. Damit ein Unternehmen Daten im Auftrag Dritter erheben, speichern und nutzen kann, muss es im Inland, in einem anderen EU-Land oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum ansässig sein.

Forderung des BDSG nach IT-Compliance am Beispiel der ADACOR

a. Die ADV-Beauftragung

Eine Internetagentur beauftragt die ADACOR mit dem Betrieb einer Online-Marketing-Plattform für einen Kunden. Das Kundenunternehmen ist verpflichtet mit ADACOR eine Auftragsdatenverarbeitung abzuschließen.

b. Auftragsverarbeitung in der Cloud

Durch den Einsatz gesharter Hardware in der Cloud verschwimmt die konkrete Hardware-Zuordnung zum Kunden und zu seinen Daten. Für den Kunden stellt sich die Frage, wie er die datenrechtlichen Vorgaben bei seinem Hoster kontrollieren kann? Die ADACOR beantwortet die Frage damit, dass im Unternehmen ein effizientes IKS sowie ein ITRisikomanagement mit entsprechenden Dokumentationen etabliert sind. Diese Maßnahmen garantieren dem Kunden bestmögliche Informationssicherheit in der Cloud. Zusätzlich können die Kunden vor Ort ein Audit anberaumen, Zertifizierungen einsehen und Dokumentationen anfordern.

 2. KonTraG: wirtschaftliche Kontrolle und Transparenz bei AG, GmbH & Co.

Das KonTraG zielt auf die Verbesserung der Grundsätze der Unternehmensführung (Corporate Governance) ab. Zusätzlich sollen Unternehmer motiviert werden, sich stärker mit dem Thema (IT)-Risikomanagement auseinanderzusetzen und sinnvollerweise in ein unternehmensweites Risikofrüherkennungssystem zu investieren. Um diese Forderungen zu erreichen, wurden mittels KonTraG, das ein Artikelgesetz ohne eigenen Gesetzestext ist, Gesetze wie das GmbHG2 , das AktG3 oder das HGB4 inhaltlich geändert. Teilweise werden einzelne Paragraphen (z. B. § 43 GmbHG) entsprechend angewendet. Aus § 43 GmbHG lassen sich auch konkrete Pflichten für die Gewährleistung eines angemessenen internen Informationssicherheitsniveaus ableiten. Die Sachlage ist klar: Der Geschäftsführer verantwortet die ITSicherheit – mit allen Konsequenzen. Nur wenn er nachweislich alle geforderten sicherheitsrelevanten Maßnahmen umgesetzt hat, kann er sich aus der Haftung exkulpieren.

 3. GDPdU, GoBS: die Pflicht zur Sorgfalt bei der Informationsverarbeitung

Zwei Grundsatznormen verpflichten Unternehmen dazu, Buchhaltungsdaten mit allerhöchster Sorgfalt zu verarbeiten: Das sind zum einen die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), zum anderen die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS). Die GDPdU regeln die Rechte der Finanzverwaltung beim Zugriff auf unternehmensinterne, elektronisch gespeicherte Informationen, die Aufbewahrungspflicht digitaler Unterlagen sowie die Mitwirkungspflicht bei Betriebsprüfungen (digitale Steuererklärung). Im Rahmen der GoBS legt die Finanzverwaltung dem Unternehmen diverse Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung der Informationen auf. Gleichwohl müssen sämtliche Vorgaben über ein internes Kontrollsystem (IKS) umgesetzt werden. Zusätzlich ist eine Verfahrensdokumentation als Nachweis eines ordnungsgemäßen Systembetriebs vorgeschrieben. Das hat zur Folge, dass es zur Erfüllung der GoBS eines Datensicherheitskonzepts mit weitreichenden Maßnahmen zur Sicherung der Informationen vor Verlust bedarf.

 4. S-Ox: Vorschriften für interne Kontrollsysteme in den USA

Entscheidend beeinflusst wurde die Compliance in jüngster Zeit durch Bilanzskandale und Sicherheitspannen in den USA. Die Vorkommnisse hatten Gesetze wie das S-Ox zur Folge, mit dem die US-Regierung das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit von publizierten Unternehmensfinanzdaten wieder aufpolieren wollte. Inhaltlich legt das Gesetz vorwiegend formale Anforderungen fest, die den US-amerikanischen Managern ihre Haftung verdeutlichen. Außerdem lässt sich aus Section 404 analog zu den GDPdU und GoBS die Forderung nach einem IKS ableiten, für dessen Umsetzung jedoch ein IT-Risikomanagement Voraussetzung ist. Zwar wird im S-Ox IT-Sicherheit nicht explizit thematisiert, gesetzestreue Unternehmen können aber nur mit Hilfe einer konsequenten Absicherung ihrer IT und durch den verantwortungsvollen Umgang mit DV-gestützten Informationen den Anforderungen gerecht werden.

 5. COSO: ein Modell für interne Kontrollsysteme

Das Committee of Sponsoring Organizations of the Treadway Commission, eine freiwillige privatwirtschaftliche USOrganisation, hat 1985 ein Modell entwickelt, mit dem sich Finanzberichterstattungen verbessern lassen. Im Fokus stehen ethisches Handeln, wirksame interne Kontrollen und eine faire Unternehmensführung. COSO ist kein Gesetz, sondern dahinter steht ein Modell, das 1992 einen heute von der SEC5 anerkannten Standard für interne Kontrollen schuf. Das COSO-Modell gliedert sich in drei Bereiche (operationelle Risiken, Finanzberichterstattung, Compliance) und dient der Dokumentation, Analyse und Gestaltung eines IKS. Außerdem legt es die Anforderungen an die Finanzberichterstattung und Buchführung sowie die Voraussetzungen für die Datensicherheit fest. Die Vorgaben beschreiben zusammengenommen im Prinzip die US-amerikanischen Grundsätze ordnungsgemäßer Rechnungslegung einschließlich der Einbeziehung von IT-Maßnahmen.

6. Kapitaladäquanzrichtlinien für Banken und Versicherungen: Basel II, Solvency II

Auch Banken und Versicherungen sind mittlerweile gezwungen, bei der Kreditvergabe und bei Versicherungsgeschäften die ITRisiken ihrer Kunden zu berücksichtigen, da sich diese direkt auf die Angebotskonditionen auswirken. Die Baseler Eigenkapitalvereinbarung (Basel II) verfolgt zwei Ziele: Zum einen soll eine angemessene Eigenkapitalausstattung der Banken erreicht werden, zum anderen sollen einheitliche Wettbewerbsbedingungen für Kreditvergabe und -handel geschaffen werden. Die Umsetzung der Vorschriften erfolgt in Deutschland durch das Kreditwesengesetz, die Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). Risikomindernde unternehmensinterne Kontrollen und (IT-) Sicherheitsmaßnahmen wirken sich durch Basel II positiv auf Kreditkonditionen aus. Anders als bei Basel II stehen bei Solvency II nicht die Einzelrisiken, sondern ein ganzheitliches System zur Gesamtsolvabilität im Mittelpunkt.

7. KWG: aktive Kontrolle über die Kredit- und Finanzbranche

Das Gesetz über das Kreditwesen regelt die Aufsichtsgestaltung über die Kredit- und Finanzdienstleistungsinstitute in Deutschland. Zwei Ziele stehen im Mittelpunkt: erstens die Sicherung und Erhaltung einer funktionierenden Kreditwirtschaft, zweitens der Gläubigerschutz vor Verlust der Einlagen. Neben Instituts- und Missstandsaufsicht kontrolliert die BaFin6 regelmäßig, ob die Institute Risiken mit genügend Eigenmitteln hinterlegen, und verfolgt unerlaubte Bank- und Finanzdienstleistungsgeschäfte. Die Regelungen des KWG zwingen Banken und Versicherungen dazu, eine filigranere interne Risikoermittlung durchzuführen. Der verlangte Eigenkapitalanteil muss anhand des ermittelten Risikos festgemacht werden. In die Betrachtung fallen auch operative Risiken, die z. B. beim Einsatz von Informationssystemen entstehen können. Da die Banken die Kreditausfallrisiken ihrer Schuldner berücksichtigen müssen, wirken die Anforderungen mittelbar auf alle Unternehmen, die am Kapitalmarkt Kredite aufnehmen möchten. Ein Unternehmen mit einer schlechten Risikoeinstufung wird einen hohen Kreditzins zu entrichten haben.

Dem eigenen Qualitätsanspruch geschuldet, betreibt ADACOR sowohl seine physikalischen Server als auch sämtliche virtuelle Maschinen ausschließlich in Deutschland. Es werden keine Daten in EU-Länder oder in Drittländer geleitet und/oder dort gespeichert. „Unternehmen mit Sitz in Deutschland, die Daten von deutschen Bürgern erheben und verarbeiten, sind an das deutsche Datenschutzgesetz gebunden. Das Prozedere ist mit einem deutschen Hoster, der Daten nur im Inland vorhält, vergleichsweise einfach. Deshalb sagen wir: Anbieter Deutschland, Serverstandort Deutschland, keine Verbindung in das Ausland, noch nicht einmal in die EU. Unsere Kunden schätzen diesen Bonus, denn für sie stellt sich nicht die Frage, ob die Daten im Ausland geschützt sind oder nicht“, so Andreas Bachmann.

 Weitere Spezialvorschriften für die Informationssicherheit

Neben den vorgestellten Vorschriften gibt es für den Bereich der Informationssicherheit weiterer Spezialvorschriften, wie

• Produkthaftungsgesetz bzw. § 823 BGB (z. B. bei Software-Kauf)
• Teledienstgesetz (TDG)
• Teledienstdatenschutzgesetz (TDDSG)
• Wassenar-Abkommen (europäische Kryptoregulierung) und zu berücksichtigende länderspezifische Gesetze,die Einschränkungen hinsichtlich der einsetzbaren Verschlüsselungstechnik vorschreiben
• Grundgesetz Art. 10 und G10-Gesetz
• Urheberrechtsgesetz (UrhG)
• Sicherheitsüberprüfungsgesetz (SüG)

 Informationssicherheit und Compliance sind dynamische Prozesse, keine statischen Zustände

Ein gut durchdachtes IT-Sicherheitskonzept lebt von Neuerungen und Weiterentwicklungen. Daher stellt man sich bei der ADACOR regelmäßig die Fragen: „Wie können wir die Sicherheit von Unternehmens- und Kundendaten optimieren?“ „Welche neuen Compliance-Anforderungen gibt es?“ „Welche Innovationen bietet uns die Technik?“ „Wie können wir unsere Kunden bei der Erfüllung der eigenen Compliance-Anforderungen bestmöglich unterstützen?“ „Im Großen und Ganzen dreht sich alles um das Risikomanagement. Heute laufen die meisten Geschäftsprozesse IT-unterstützt ab, deshalb ist die Sicherheit der verarbeiteten Informationen eine wichtige unternehmerische Aufgabe. Wir haben in unserer gesamten Wertschöpfungskette standardisierte Prozesse verankert. Dank derer können wir im Rahmen unserer IT-Sicherheitsvorgaben schnell und einfach auf Änderungen oder Neuerungen reagieren. Wir ruhen uns natürlich darauf nicht aus, aber der erzielte Sicherheitsgewinn beruhigt uns und unsere Kunden“, resümiert Andreas Bachmann.

ANDREAS BACHMANN / Geschäftsführer | CIO / ADACOR Hosting GmbH