Sie sind hier: Home » Markt » Hintergrund

Compliance berührt zunehmend den Mittelstand


Mittelstand unter Druck: Nicht nur der Datenschutz stellt die IT-Leiter vor Herausforderungen, auch Aspekte der Handels- und Steuergesetzgebung sind wichtig
EDV muss sich mit Fragestellungen der Compliance auseinandersetzen - Haftungsfragen gegenüber Geschäftspartnern durch eine schlechte IT-Sicherheit werden selten bedacht

(15.05.07) - Im Rahmen der elektronischen Datenverarbeitung (EDV) werden Fragestellungen der Compliance immer bedeutender. Doch nicht nur der Datenschutz stellt die IT-Leiter vor Herausforderungen, sondern auch Aspekte der Handels- und Steuergesetzgebung sind wichtig. Darüber hinaus sind erfahrungsgemäß auch im Mittelstand (KMU = Kleine und Mittlere Unternehmen) die Problemstellungen der Globalisierung wie Sarbannes Oxley (SOX) oder internationaler Datentransfer, aber auch die ISO 27001 angekommen – und dass, obwohl sie im Regelfall keine gesetzliche Verpflichtung darstellen. Dies wurde auf der diesjährigen "IT-Trends Sicherheit" am 8. Mai in Bochum durch die UIMC thematisiert.

Nicht nur in Großunternehmen muss sich die EDV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Hierbei stellen schon die bereits seit Jahren bekannten Themen wie der Datenschutz insbesondere kleinere und mittelgroße Unternehmen (KMU) z. T. vor nicht gerade triviale Probleme: So müssen ein fachkundiger und zugleich interessenskonfliktfreier bzw. zuverlässiger Datenschutzbeauftragter bestellt, Zulässigkeitsfragestellungen geprüft und technisch-organisatorische Schutzmaßnahmen umgesetzt werden.

Neben diesen altbekannten Fragestellungen stehen Themen wie allgemeine Gleichbehandlung, handels- und steuerrechtliche Anforderungen (wie beispielsweise GoDV, GdPSU) und Auskunftsersuchen der Strafverfolgungsbehörden auf der Agenda der IT-Abteilungen zur Diskussion. Haftungsfragen gegenüber Geschäftspartnern durch eine schlechte IT-Sicherheit werden zum Teil gar nicht erst bedacht. Auch der internationale Datentransfer oder Sarbannes Oxley sind mittlerweile Themenbereiche, denen sich nicht nur Großunternehmen, sondern unter Umständen auch der deutsche Mittelstand im Zusammenhang mit ausländischen Mutter-, Tochter- oder Schwesterunternehmen widmen muss.

"Alleine diese exemplarischen Ausführungen zu möglichen Anforderungen an die EDV zeigt das Risikopotential, welches sich insbesondere KMU zunehmend aussetzen", sagte Dr. Jörn Voßbein, Geschäftsführer der UIMC sowie mehrfach bestellter externer Datenschutz- und IT-Sicherheitsbeauftragter. Ferner gehen Wirtschaftsprüfer zunehmend dazu über, die Ordnungsmäßigkeit der Datenverarbeitung zu prüfen; und auch Banken und Investoren interessieren sich hierfür. Um diesen Risiken zu begegnen, müssen die o.g. Fragestellungen strukturiert angegangen, Schwachstellen aufgedeckt und mittels innerbetrieblicher Maßnahmen begegnet werden.

"Doch vielen EDV- und Unternehmensleitern scheint gar nicht bekannt zu sein, welche Vorgaben für sie einschlägig sind und welchen Risiken sie sich aussetzen, geschweige denn, wie sie diesen begegnen können", wie Tim Hoffmann, dessen Erfahrungswerte als Datenschutz- und IT-Sicherheitsberater im Mittelstand auf der diesjährigen "IT-Trends Sicherheit" in vielen Gesprächen diesbezüglich bestätigt wurden. "Dies ist aber auch nicht weiter verwunderlich: Wer denkt bei IT-Vorhaben schon an BGB, HGB und UWG?" Dies hat die UIMC zum Anlass genommen, in ihrem Vortrag "Ist meine EDV ordnungsgemäß?" über die Anforderungen und Risiken zu informieren sowie Lösungsmöglichkeiten zu skizzieren.

Darüber hinaus zeigte sich auf dem Fachkongress, dass für die Vielzahl der anwesenden EDV-Verantwortlichen aus dem Mittelstand die ISO 27001 von steigendem Interesse ist, aber oftmals Bedenken hinsichtlich der Umsetzung bestehen. "Die Erläuterungen, dass diese durch den Einsatz von speziellen Analyse-Tools und von pragmatischen Auditoren, die einerseits erfahren sind und andererseits ‚das Rad nicht neu erfinden’ müssen, unbegründet sind, haben die Gesprächspartner aber nicht nur beruhigt, sondern vielmehr darin bestärkt, das Thema im eigenen Hause voranzutreiben", so Tim Hoffmann weiter.

Die Aktualität dieser Themen zeigte sich auch durch das Interesse der Zuhörer sowie durch intensive Diskussionen am Ausstellungsstand. Schließlich können sowohl die ISO 27001 als auch die rechtlichen Fragestellungen – sofern sie nicht als Selbstzweck verstanden werden – nicht nur eine gute Argumentationshilfe für die Bemühungen für mehr Sicherheit der eigenen EDV sein, sondern auch als Chance und als Richtschnur genutzt werden. (UIMC: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Insider-Risiken bleiben relevant

    Die unermüdliche Weiterentwicklung Künstlicher Intelligenz beschleunigt die Evolution bestehender Betrugsszenarien. In unserem Tagesgeschäft - der Betrugsprävention - beobachten wir besonders im E-Commerce neue Herausforderungen, die differenziert betrachtet werden müssen.

  • Leben ohne Digitalzwang

    Menschen, die auf bestimmte Dienstleistungen im Alltag angewiesen sind, haben einen Anspruch darauf, diese auch analog nutzen zu können. Dies ist das Kernergebnis des Rechtsgutachtens, das am 11.12.2024 auf Initiative des Vereins Digitalcourage vom Netzwerk Datenschutzexpertise vorgelegt wurde.

  • DORA am 17. Januar 2025 in Kraft

    Mit Blick auf das Jahr 2025 sticht ein Element bei der Einführung und Weiterentwicklung generativer künstlicher Intelligenz (KI) hervor: die Datensicherheit. Da generative KI-Modelle riesige Datenmengen benötigen, um zu lernen und Inhalte zu generieren, wird die Gewährleistung des Datenschutzes, der Vertraulichkeit und der Integrität dieser Daten von größter Bedeutung sein.

  • Schutz der privaten Sparer

    Seit über 45 Jahren gibt es den Einlagensicherungsfonds der privaten Banken. Seitdem sichert er zuverlässig die Guthaben der Sparerinnen und Sparer ab, falls es zum Entschädigungsfall kommt. Klar ist jedoch, dass selbst ein funktionierendes System regelmäßig auf den Prüfstand gestellt und zur Verbesserung gegebenenfalls angepasst werden muss.

  • Verschiebung der Einreichfrist

    Die Europäischen Aufsichtsbehörden (ESAs) haben eine Verschiebung der Einreichfrist der Informationsregister auf 30. April 2025 bekanntgegeben (Quelle: The ESAs announce timeline to collect information for the designation of critical ICT third-party service providers under the Digital Operational Resilience Act | European Banking Authority). Grund dafür ist u. a. die Verzögerung bei der Finalisierung der technischen Implementierungsstandards (ITS).

Wolfowitz ein korrupter Weltbank-Präsident? Schluss mit lustig: Kleinfeld verlässt Siemens

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen