Vom Datenschutz bis zur digitalen Rechnungslegung: Das Thema IT ist in fast allen Unternehmen von großer Bedeutung, da die meisten Informationen elektronisch fließen, auch im Austausch mit internationalen Standorten, Partnern und Kunden. Gesetzgeber und Branchenorganisationen haben auf die zunehmende Digitalisierung der Geschäftswelt mit zahlreichen Rechtsnormen und Standards reagiert. Beispiele hierfür sind das Bundesdatenschutzgesetz, Basel II oder die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen).
IT-Compliance wird daher immer wichtiger. "Unternehmen müssen die gesetzlichen Vorgaben in interne Richtlinien umsetzen und die IT-Prozesse so gestalten, dass sie diese Anforderungen einhalten und deren Einhaltung dokumentieren. Denn es darf keine Rechtsverstöße geben", erklärt Markus Gaulke, Senior Manager im Bereich Advisory - Information Risk Management bei der Wirtschaftsprüfungsgesellschaft KPMG und zugleich Vorstandsmitglied im German Chapter des internationalen IT-Prüfungsverbands ISACA. Er will das Thema IT-Compliance in das Bewusstsein der Öffentlichkeit rücken.
Für Markus Gaulke ist IT-Compliance mehr als IT-Sicherheit und Datenschutz nach gesetzlichen und unternehmensinternen Vorgaben. Weitere Aspekte sind für ihn Archivierung und Datensicherung, die Regelung der Informationssicherheit und der Mitarbeiter-Rechte bei Telefon, E-Mail und Internet, Urheberrecht sowie Lizenzmanagement. Ein weites Feld also mit steigenden Haftungsrisiken für Unternehmen. Viele Firmen haben daher einen IT Compliance Manager als Regelwächter eingesetzt, der dafür sorgt, dass die IT alle Gesetze und Regularien konsequent befolgt. Er ist - vor allem in größeren Unternehmen - meist dem Chief Compliance Officer zugeordnet.
Aufgaben und Anforderungen
Das Aufgabengebiet eines IT Compliance Manager ist jedoch nicht klar umrissen und abhängig vom jeweiligen Unternehmen. "Manchmal ist er nur die Person, die Compliance-Prozesse mit Hilfe der IT umsetzt und beispielsweise Zugriffsrechte definiert und zuweist", so Professor Michael Klotz vom Information Management Team (SIMAT) an der FH Stralsund, Autor eines Leitfadens rund um IT-Compliance und Leiter des Zertifikatskurs "IT Compliance Manager" der Frankfurt School of Finance&Management.
Doch laut Klotz sollte der IT Compliance Manager mehr sein als ein Erfüllungsgehilfe des Chief Compliance Officer: "In vielen Unternehmen ist der IT Compliance Manager höher angesiedelt - etwa in der IT-Leitung oder -Revision - und koordiniert die IT im gesamten Unternehmen. Er kennt die Geschäftsprozesse, Rahmenwerke wie COBIT oder ITIL sowie die Rechtsvorschriften."
