IT-Compliance im Unternehmen - Heymann & Partner, RechtsanwÃ¤lte

IT-Compliance 

im 

Unternehmen 

RA Dr. Lars Lensdorf 

Heymann & Partner Rechtsanwälte 

First Tuesday IT 

02. November 2006

Übersicht 

1. Zum Begriff „IT-Compliance“ 

2. Warum IT-Compliance 

3. Rechtliche Grundlagen für IT-Compliance Anforderungen 

4. Ausgewählte IT-Compliance Anforderungen 

▪ Datenschutz und Datensicherheit 

▪ Arbeitsrecht 

▪ Unternehmensorganisation 

▪ Buchhaltung, Rechnungslegung, Prüfung 

▪ Branchenspezifisch: Banken und Finanzdienstleister 

5. Adressaten von IT-Compliance Anforderungen 

6. Gewährleistung von IT-Compliance 

7. Fazit und Ausblick 

Dr. Lars Lensdorf, IT-Compliance im Unternehmen Vortrag am 02.11.2006 Seite 2

Übersicht 















Compliance = „Befolgung“ 

▪ Einhaltung von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln im Unternehmensalltag 

▪ Einrichtung von Kontroll- und Steuerungsprozessen 

▪ Dokumentation solcher Prozesse 

IT-Compliance = Regelkonforme IT-Systeme 

▪ im Unternehmen eingesetzte IT-Systeme müssen den für Einrichtung und Betrieb solcher Systeme 

geltenden Gesetzen, Richtlinien und anderen Verhaltensmaßregeln genügen (z. B. Anforderungen 

IT-Grundschutzhandbuch bzw. IT-Grundschutzkataloge des Bundesamts für Sicherheit in der 

Informationstechnik, § 9 BDSG) 

IT-Compliance = Compliance mit Hilfe von IT-Systemen 

▪ Viele Unternehmensfunktionen, für die Compliance-Anforderungen gelten, werden mit IT-Systemen 

abgebildet (z.B. Buchhaltung, Rechnungslegung, Aufbewahrungspflichten von bestimmten 

Unterlagen – z. B. Handels-, Geschäftsbriefe –nach §257 HGB, §147 AO) 

▪ Compliance betrifft deshalb auch mittelbar die Einrichtung und den Betrieb von IT-Systemen, die 

jeweils „regelkonform“ sein müssen 

▪ Zunahme von mittelbaren Compliance-Anforderungen wie Unverfälschbarkeit und 

Revisionssicherheit von elektronischen Dokumenten, geordnete Archivierung. Anforderungen an 

Archivierung digitaler Unterlagen, die sich aus AO ergeben, werden durch die GoBS und die GDPdU 

konkretisiert. 


Übersicht 


2. Warum IT-Compliance? 












2. Warum IT-Compliance? 

Persönliche Verantwortung der Geschäftführungsorgane für gesetzeskonformes 

Verhalten des Unternehmens 

▪ Verantwortlichkeit und Haftungsrisiko von Geschäftsführungsorganen (§ 93 Abs. 1 AktG: „Sorgfalt 

eines ordentlichen und gewissenhaften Geschäftsleiters“; § 43 I GmbHG: „Sorgfalt eines 

ordentlichen Geschäftsmannes“) hat zugenommen: 

• KonTraG, 1998 (§ 91 Abs. 2 AktG: Einrichtung eines Risikomanagementsystems) 

• TransPuG, 2002 

• UMAG 

• Corporate Governance Kodex, Abgabe einer Entsprechenserklärung gem. § 161 AktG 

• Strengere Rechtsprechung (BGH, „ARAG/Garmenbeck“, NJW 1997, 1926); Pflicht zur Durchsetzung von 

Ansprüchen der Gesellschaft gegenüber der Geschäftsführung, falls erfolgsversprechend 

▪ Schadensersatzpflicht nach § 93 Abs. 2 S. AktG, § 43 GmbHG 

▪ Erleichterte zur Durchsetzung von Schadensersatzansprüchen der Gesellschaft gegen Vorstände 

und Aufsichtsräte aufgrund Beweislastverteilung 

• § 93 Abs. 1 S. 2 AktG: 

“Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen 

Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum 

Wohle der Gesellschaft zu handeln. “ 

• § 93 Abs. 2 S. 2 AktG: 

“Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt 

haben, so trifft sie die Beweislast.” 


2. Warum IT-Compliance? (ff.) 

Persönliche Verantwortung der Geschäftführungsorgane für gesetzeskonformes 

Verhalten des Unternehmens (forts.) 

▪ § 91 Abs. 2 AktG: Pflicht der Unternehmensleitung, „geeignete Maßnahmen zu 

treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand 

der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ 

• Querschnittsnorm, die allgemein die Pflichten einer Geschäftsleitung spezifiziert 

• Unternehmensleitung muss prüfen, ob ein mangelhaftes IT-System dem Unternehmen 

erhebliche wirtschaftliche Schäden zufügen kann; Identifizierung „unternehmenskritischer 

Systeme“ (F&A-Systeme, ERP, Logistik) 

• § 317 Abs. 4 HGB: Abschlussprüfer hat sich bei börsennotierten Unternehmen von Existenz 

eines Überwachungssystems zu überzeugen und bei Lageberichterstattung zu beurteilen. 

Imageschäden des Unternehmens 

Erhöhte Kosten, z. B. höhere Refinanzierungskosten (Basel II) 



Strafrechtliche Folgen: 

▪ „IT-bezogene“ Straftatbestände im STGB: 

• Ausspähen/Unterdrücken von Daten (§ 202a StGB), Besondere Geheimhaltungspflichten (§ 203 

StGB), Datenveränderung (§ 303a StGB) 

▪ weitere Straftatbestände z.B. im BDSG, KWG, AktG, HGB 

• praktisch aber trotz einiger Aufsehen erregender Fälle eher selten relevant 

Vorliegen einer Ordnungswidrigkeit ( z. B. § 16 AÜG) 



Gewerberechtliche Unzuverlässigkeit 

Aufsichtsrechtliche Maßnahmen 

▪ z.B. § 6 Abs. 3 KWG: Anordnungsbefugnis der BaFin; § 35: Aufhebung der Erlaubnis; 

§ 36: Abberufung des Geschäftsleiters 

Ausschluss von der Vergabe öffentlicher Aufträge 

▪ IT-Standards und entsprechende Zertifizierungen werden immer öfter als 

Wertungskriterien und Vertragsbestandteile verwendet 

▪ Sie haben dadurch (zumindest für die Bieter) faktisch Bindungswirkung (z.B. „IT- 

Grundschutzhandbuch“ (GSHB), „IT Infrastructure Library“ (ITIL)) 

Wirtschaftsprüfertestat wird versagt 

Gesetzliche und vertragliche Obliegenheiten 

▪ nicht selbständig einklagbar, sondern bloße Verhaltensnormen, die bei 

Nichtbeachtung zum Rechtsverlust führen können. (§ 254 BGB) 

▪ insbesondere im Versicherungsvertragrecht/ VVG 

• z.B. Pflicht, bedeutende Umstände anzuzeigen, § 16 VVG 

• z.B. Pflicht, keine Gefahrerhöhung nach Vertragsschluss vorzunehmen oder dies zuzulassen, 

Anzeigepflicht § 23 VVG 

• Verletzung von Obliegenheit kann zu Verlust von Versicherungsschutz führen 


Übersicht 


2. Warum iT-Compliance 













Gesetzliche Anforderungen 

▪ Gesetze, Verordnungen = unmittelbare Außenwirkung für jedermann, abstraktgenerell 

auf Herbeiführung einer Rechtsfolge gerichtet 

• z.B. BDSG (§ 9 BDSG mit Anlage); Verbot kartellrechtliche Absprachen; produzierendes Gewerbe: 

allgemeine Produktbeobachtungs-/Rückrufpflichten; § 91 Abs. 2 AktG 

▪ i.d.R. nicht dispositiv 

▪ enthalten nur selten konkrete Vorschriften zum „Wie“ der Umsetzung 

Verwaltungsvorschriften, Verwaltungshandeln 

▪ Ministerialerlasse, Verfügungen, Richtlinien oder Anordnungen 

▪ ergehen innerhalb der Verwaltung zur internen Organisation bzw. 

Interpretation/Handhabung von gesetzlichen Anforderungen, keine unmittelbare 

Außenwirkung 

▪ legen Gesetze aus bzw. konkretisieren diese und/oder geben Rechtsauffassung der 

Verwaltung zu bestimmten Fragen wieder 

• z.B. IT-Richtlinie des BMI = Regelung des internen Einsatzes von IT durch die Bundesverwaltung; 

Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS); Grundsätze zum 

Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) 



Sonderfall: Aufsicht im Banken- und Finanzdienstleistungssektor durch die BaFin 

▪ KWG (ähnlich: WpHG) enthält gesetzliche Generalklauseln, die mittelbar auch ITspezifische 

Organisationspflichten für die erfassten Institute begründen 

▪ BaFin konkretisiert diese in Form behördlicher Rundschreiben, Verlautbarungen bzw. 

Richtlinien 

• z.B. Rs. 11/2001 („Outsourcing-Rundschreiben“) 

• z.B. Rs. 18/2005 („Mindestanforderungen an das Risikomangement“, MaRisk) 

▪ formell haben diese keine Außenwirkung, da i.d.R. nicht in Form eines VA, 

Allgemeinverfügung etc. ergehend 

▪ Aber: BaFin misst Institute an diesen Anforderungen und KWG räumt BaFin 

weitgehende Anordnungs-, Kontroll- und Prüfungsbefugnisse ein (z.B. §§ 6, 34, 36 

KWG) 

▪ Folge: Faktischer Zwang zur Umsetzung 



Richtlinien und Standards 

▪ DIN oder ISO-Normen 

▪ haben keinen Rechtscharakter, sind nicht unmittelbar durchsetzbar 

▪ im IT-Bereich i.d.R. keine „technische Gesetzgebung“ in dem Sinne, dass bestimmte 

Verfahren und Einrichtungen konkret beschrieben und vorgeschrieben sind (anders 

z.B. im Bereich der Normung oder Bauordnungsrecht/Baurecht) 

▪ Beachtung von Standards kann in Streitfällen als Interpretationshilfe herangezogen 

werden (z.B. „marktübliches Format“, Sorgfaltsmaßstab) 

▪ liefern wichtige Hinweise für die praktische Umsetzung von IT-Compliance 

Anforderungen 

▪ Zertifizierungen können den Nachweis eigener (Sorgfalts-) Pflichterfüllung erleichtern 

Referenzmodelle, Z. B. CoBIT, ITIL 

▪ Versuch der Definition allgemeiner Modelle, die einen Brückenschlag zwischen den 

unterschiedlichsten IT-Compliance Anforderungen versuchen. 


Übersicht 















Datenschutz und Datensicherheit 

BDSG 

▪ Querschnittsnorm, daneben sektorspezifische Datenschutznormen: 

• z.B. Telekommunikation, §§ 91 ff. TKG, Sozialdatenschutz, § 67 ff. SGB X 

▪ Zentrale Bedeutung kommt personenbezogenen Daten zu 

• § 4 Abs. 1 BDSG: Erhebung, Verarbeitung, Nutzung von Daten nur, soweit gesetzlich erlaubt oder 

Einwilligung des Betroffenen vorliegt 

• weite Definition in § 3 Abs. 1 BDSG zu personenbezogenen Daten („Einzelangaben über persönliche 

oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“) 

Umsetzung der Anforderungen des BDSG erfordert Dokumentationsprozesse, 

Berücksichtigung bei Gestaltung von Vertragsunterlagen, AGB, Webseiten, etc. 

§ 9 BDSG i.V.m. der zugehörigen Anlage enthält allgemeine, technischorganisatorische 

Anforderungen zum Schutz von personenbezogenen Daten 

(Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und 

Verfügbarkeitskontrolle) 


4. Ausgewählte IT-Compliance Anforderungen (ff.) 

Datenschutz und Datensicherheit 

Outsourcing: § 11 BDSG (Auftragsdatenverarbeitung) vs. Funktionsübertragung 

▪ Einwilligung zur „echten“ Übermittlung selten praktikabel einholbar 

▪ daher i.d.R. Vereinbarung einer Auftragsdatenverarbeitung 

= Vereinbarung zwischen auslagerndem Unternehmen („Herr der Daten“) und 

Dienstleister („Auftragsdatenverarbeiter“) 

▪ Auftragsdatenverarbeiter ist nicht „Dritter“, auslagerndes Unternehmen und 

Dienstleister sind Einheit 

▪ Technisch-organisatorischen Maßnahmen müssen festgelegt werden (§ 11 Abs. 2 

BDSG) 

▪ Aber: liegt wirklich Auftragsdatenverarbeitung vor? 

• Rechenzentrumsbetrieb / Datenträgervernichtung / Archivierungsservice 

= Auftragsdatenverarbeitung 

• Personalverwaltung / Kundenbetreuung 

= wohl eher Funktionsübertragung 

Sonderproblem: Auftragsdatenverarbeitung im Nicht EU-Ausland; 

Erfordernis des angemessenen Datenschutzniveaus, § 4 b Abs. 2 S. 2 BDSG 



Arbeitsrecht 

Kollektives Arbeitsrecht 

▪ Tarifverträge und Betriebsvereinbarungen 

▪ Betriebsverfassungsgesetz (BetrVG) enthält eine Vielzahl von Rechten des BR, die an 

technische Einrichtungen, Arbeitsabläufe, etc. anknüpfen und so auch IT-Systeme 

erfassen. 

▪ Beispiele: 

• § 80 Abs. 1 Nr. 1 BetrVG: Recht des BR, die Einhaltung von zugunsten des Arbeitnehmers geltenden 

Rechtsvorschriften zu überwachen (z.B. BDSG) 

• §§ 80 Abs. 2, 111 BetrVG: Auskunfts- und Informationsanspruch bzgl. aller betrieblichen Vorgänge, 

erfasst z.B. Einrichtung und Betrieb von IT-Systemen 

• §87 I Nr. 6 BetrVG: Mitbestimmungsrecht des BR bei der Einführung und Anwendung von 

technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Mitarbeiter zu 

überwachen 



Arbeitsrecht 

Arbeitnehmerüberlassung 

▪ Begriff: Arbeitgeber überlässt bei ihm angestellte Arbeitnehmer einem Dritten zur Arbeitsleistung 

▪ Gewerbsmäßige Arbeitnehmerüberlassung ist im Arbeitnehmerüberlassungsgesetz (AÜG) geregelt; bedarf grds. 

der behördlichen Erlaubnis 

▪ Arbeitsverhältnis zwischen Entleiher und AN wird fingiert, wenn Arbeitnehmerüberlassungsvertrag unwirksam ist 

(z. B. wegen fehlender Erlaubnis), § 10 I AÜG 

▪ Abgrenzungskriterium: liegt eine Eingliederung in den Betrieb des Entleihers vor? Zu beachten: Weisungsrechte, 

Zuweisung von Urlaub, Türschilder, e-mail Adresse, Kantinennutzung, Einordnung in Firmenhirachie 

Arbeitnehmererfindungsrecht / Urheberrecht 

▪ Bei urheberrechtsrelevanten Sachverhalten, z. B. SW-Programmierung: Schutz des Arbeitgebers nach § 69 b UrhG 

(AG zur Ausübung aller vermögensrechtlichen Befugnisse berechtigt) 

▪ Im Bereich des Arbeitnehmererfindungsrechts kein automatischer Erwerb der Erfinderstellung und der damit 

verbundenen Rechte durch den Arbeitgeber 

▪ Aber: Zugriffsrecht des Arbeitgebers, formalisiertes Verfahren: 

• schriftl. Meldung des AN (§ 5 I ArbEG); spezielle inhaltl. Anforderungen an die Meldung nach § 5 II ArbEG 

• Schriftl. Bestätigung des AG nach Eingang der Meldung 

• Inanspruchnahme durch schriftl. Erklärung innerhalb von 4 Monaten (§ 6 AerEG) 

Arbeitsschutzvorschriften 

▪ insbesondere: „Verordnung über Sicherheit und Gesundheitsschutz bei der Arbeit an 

Bildschirmgeräten“ (Bildschirmarbeitsschutzverordnung, BildscharbV) 



Unternehmensorganisation 

§ 91 Abs. 2 AktG: Einrichtung eines Überwachungssystems 

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein 

Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft 

gefährdende Entwicklungen früh erkannt werden.“ 

▪ Aufstellung von Regelungen/Geschäftsprozessen z.B. für 

• externe/interne Zugriffe auf Daten, Umgang mit Insiderinformationen 

• Datensicherung, Datenaufbewahrung (data retention) 

• Kontinuitätsmanagement/Notfallplanung (business continuity) 

▪ IT-Systeme müssen „angemessene“ Informationen liefern, sollten ggfs. 

Entlastungsnachweis führen können 

▪ 317 Abs. 4 HGB: Abschlussprüfer hat das Vorhandensein eines geeigneten 

Überwachungssystems zu prüfen, sowie den Inhalt dieses Systems und seine 

Aussagekraft zu beurteilen 

▪ Nicht (genügende) Beachtung des § 91 Abs. 2 AktG indiziert Pflichtverletzung der 

Unternehmensleitung 



Unternehmensorganisation 

Basel II 

▪ „Rating“: zentrales Entscheidungskriterium, ob ein Unternehmen und, wenn ja, zu 

welchen Konditionen Kredite bekommt, ist das Risiko der Gesellschaft 

▪ Folge: 

1.) Erhöhtes Informationsbedürfnis der Bank ist zu bedienen, Unternehmen muss IT- 

Systeme so einrichten, dass diese die geforderten Informationen bereitstellen 

können; Darstellung der Risiken 

2.) Ermittlung der im Unternehmen vorhandenen Risiken unter dem Gesichtspunkt des 

sich daraus ergebenden Schuldnerausfallrisikos 

• Erforderlich: geeignetes Berichtswesens/Management Information System (MIS), das frühzeitig 

Handlungsbedarf erkennen lässt, Eingriffsgrenzen vorsieht 

• Sicherheit der unternehmensbezogenen Daten ist zu gewährleisten. Wurde ausreichende 

Notfallvorsorge getroffen? 



Buchhaltung etc. 

Grundsätze ordnungsgemäßer Buchführung (GoB) nach HGB 

▪ Die wesentlichen Anforderungen an die Buchführung sind in den §§ 238, 239 und 

257 HGB („Grundsätze ordnungsgemäßer Buchführung“) festgelegt. 

▪ Die Anforderungen der §§ 238, 239, 257 HGB sind bei der Gestaltung einer ITgestützten 

Rechnungslegung zu beachten 

• Beachtung der Grundsätze ordnungsgemäßer Buchführung (§ 239 IV HGB) 

• Berücksichtigung der damit verbundenen Anforderungen an die Sicherheit IT-gestützter 

Rechnungslegung 

• Die Nachvollziehbarkeit der Buchführungs- bzw. Rechnungslegungsverfahren (§ 238 I 2 HGB) 

• Die Nachvollziehbarkeit der Abbildung der einzelnen Geschäftsvorfälle in ihrer Entstehung und 

Abwicklung (§ 238 I 3 HGB) 

• Die Einhaltung der Aufbewahrungsvorschriften (§ 239 IV, 257 HGB) 




Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS): 

▪ von der Finanzverwaltung aufgestellte Regeln zur Buchführung mittels 

Datenverarbeitungssystemen, z.B. Behandlung aufbewahrungspflichtiger Daten und 

Belege in elektronischen Buchführungssystemen; Präzisierung der GoB 

▪ Ordnungsmäßigkeitskriterien, die bei der Erfassung, Verarbeitung, Ausgabe und 

Aufbewahrung rechnungsrelevanter Daten über die Geschäftsvorfälle sicherzustellen 

sind: Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung (alles § 239 II HGB); 

Nachvollziehbarkeit (§ 238 I HGB); Unveränderlichkeit § 239 III HGB) 

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) 

▪ ergeben sich insbesondere aus § 147 Abs. 6 und § 146 Abs. 5 AO 

▪ Finanzamt muss auf elektronischem Weg Einsicht in die EDV-Buchführung nehmen 

können 

▪ definieren u.a. wie die Außenprüfung des Finanzamts bei einem Betrieb mit EDV- 

Buchhaltung durchzuführen ist, Anforderungen an Unternehmenssoftware, 

Schnittstelle zur Prüfungssoftware 




International Financial Reporting Standards (IFRS) 

▪ internationale Rechnungslegungsvorschriften, umfassen u.a. 

• Standards des International Accounting Standards Board (IASB) 

• International Accounting Standards (IAS) des International Accounting Standards Committee 

• Interpretationen des International Financial Reporting Standards Interpretations Committee (IFRIC) 

bzw. des ehem.Standing Interpretation Committee (SIC) 

▪ gelten als nationales Recht in allen EU-Mitgliedsstaaten. Ziel ist die Transparenz und 

Vergleichbarkeit von Konzernabschlüssen auch über Ländergrenzen hinweg 

▪ Anpassung von HGB F&A-Systemen; Problem: Anpassung Altsysteme vs. 

Aufbewahrungspflichten 




Sarbanes Oxley Act (SOX) 

▪ Reaktion des US-amerikanischen Gesetzgebers auf spektakuläre 

Unternehmenszusammenbrüche (Enron, Worldcom). SOX gilt seit Ende 2004 für alle 

Unternehmen, die an US-Börsen notiert sind 

▪ betrifft damit auch deren deutsche Tochtergesellschaften und deren Dienstleister, 

die zukünftig verstärkt auf Einhaltung der SOX Anforderungen geprüft werden 

▪ SOX regelt vor allem Prüfung der Unternehmensfinanzen, sowie die Pflicht, ein 

Kontrollsystem für Finanzdaten zu unterhalten 

▪ begründet indirekt Anforderungen an IT-Systeme, da praktisch alle Finanzdaten 

heutzutage elektronisch verarbeitet werden 

• insbes. Section 404: Installation, Überprüfung, Dokumentation und Bewertung von 

Kontrollmechanismen für das Finanzberichtswesen, die üblicherweise mit Hilfe von IT-Systemen 

implementiert werden 

▪ Die Einführung SOX-ähnlicher Anforderungen über die EU oder über nationale 

Gesetzgebungsorgane werden derzeit diskutiert. 



Branchenspezifisch: § 25 a II KWG 

§ 25a KWG (ähnlich: § 33 Abs. 2 WpHG) 

▪ Regelungen zur Steuerung und Überwachung von Risiken, um die 

Ordnungsmäßigkeit der Bankgeschäfte und Geschäftsorganisation zu 

gewährleisten. 

• Abs. 1 Nr. 2: Institute müssen über “angemessene Sicherheitsvorkehrungen für den 

Einsatz der elektronischen Datenverarbeitung“ verfügen 

• Abs. 2: Regelungen zur Auslagerung von Bereichen auf ein anderes Unternehmen; § 25a 

Abs. 2 KWG in BaFin-Rundschreiben 11/2001 konkretisiert 



Branchenspezifisch: MaRisk 

„Mindestanforderungen an das Risikomanagement“ („MaRisk“), Rundschreiben 

18/2005 v. 20.12.2005 

▪ enthält Anforderungen an eine „ordnungsgemäße Geschäfts-organisation“ und an 

„angemessene interne Kontrollverfahren“ 

▪ Enthält auch Vorgaben für Ausgestaltung von IT-Systemen; AT 7 enthält Regelungen 

zur Ausgestaltung von IT-Systemen, zum Outsourcing und zur Notfallvorsorge: 

• IT-Systeme und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die 

Authentizität sowie die Vertraulichkeit der Daten sicherstellen 

• Trennung von Produktions- und Testumgebung 

• Notfallkonzept zur Fortführung von kritischen Aktivitäten und Prozessen ist zu erstellen, zeitnahe 

Bereitstellung von Ersatzlösungen, Wiederanlaufpläne 


Übersicht 









▪ Branchenpezifisch: Banken und Finanzdienstleister 






Unternehmensleitung 

▪ Compliance ist wesentliche Aufgabe der Unternehmensleitung 

▪ Delegation in beschränktem Umfang möglich; Überwachungspflicht bleibt 

Unternehmensaufsicht 

▪ insbesondere: Aufsichtsrat, der die dem Vorstand obliegende Geschäftsführung zu 

überwachen hat, § 111 Abs. 1 AktG 

▪ Tendenz des Gesetzgebers, Rechte und Pflichten zu erweitern 

Unternehmensmitarbeiter 

▪ IT-Compliance als Teil arbeitsvertraglicher Pflichten insbesondere: von leitenden 

Mitarbeitern 

• z.B. CIO, soweit nicht ohnehin im Vorstand, Administratoren, Revisoren, DSB 

• Zunehmend: Whistleblowing-Problematik, z.B. durch SOX 



Aufsichtsbehörden 

▪ kontrollieren die Einhaltung des öffentlichen Ordnungsrahmens, z.B. BaFin, DSB 

samt Behördenunterbau, DS-Aufsicht (§ 38 BDSG) 

▪ Beobachtung (und Beachtung!) der von den Aufsichtsbehörden allgemein ergriffenen 

Aufsichtsmaßnahmen 

Externe (IT-)Dienstleister 

▪ Teilweise adressieren IT-Compliance Anforderungen explizit den Fall, dass ein Dritter 

eingesetzt wird (§ 25 a II KWG). Erhöhte Komplexität 

▪ Dienstleister ist (im Innenverhältnis) vertraglich zur Wahrung der einschlägigen IT- 

Compliance Anforderungen zu verpflichten; in diesem Zusammenhang: 

• wer beobachtet Änderungen der Compliance Anforderungen? 

• wer sorgt für erforderliche Anpassungen der Leistungen? 

• wer trägt Kosten? Anpassungen „in scope“ oder „out of scope“ (Änderungsverfahren)? 

▪ Aber: Unternehmen behält im Außenverhältnis Letztverantwortung 


Übersicht 










5. Adressaten von IT-Comliance 





Ausgangsfrage: wie kann die Geschäftsführung der Überlast an rechtlichen Pflichten 

Herr werden („Corporate Compliance“)? 

Organisation 

▪ Ausweisung eines Verantwortungsbereichs „Compliance“ auf 

Geschäftsführungsebene, „Delegation zur Seite“ (Geschäftsverteilungsplan, 

Geschäftsordnung, Satzung) 

▪ „Delegation zur Seite“ grds. möglich / Einschränkung der Möglichkeit der Delegation, 

nichtdelegierbare Pflichten 

▪ „Delegation zur Seite“ führt im grds. zur Entlastung; aber: Kontrollpflichten, 

stichprobenartige Aufsicht besteht fort 

▪ „Delegation nach unten“: Ernennung eines Compliance-Managers für einen oder 

mehrere Bereiche; muss 

• überschneidungsfrei 

• an sachgerecht ausgewählte, kompetente, belehrte, eingearbeitete Mitarbeiter 

• unter Gewährung der erforderlichen Mittel 

erfolgen; Aufsichtspflicht bleibt bestehen. 

▪ Ggfls. Einrichtung selbständiger Compliance-Organisationen im Unternehmen 



Information („Wissensmanagement“) 

▪ Informationsbeschaffung (ständige Veränderung der Compliance Anforderungen); 

wer beschafft; interne/externe Informationsbeschaffung (Organisation s.o.), 

Problem-/Risikobewusstsein schaffen 

▪ Informationsfluss, Einrichtung eines Kommunikationssystems bzw. von festen 

Prozessen, Mitarbeiter-Handbücher, Schulungen 

▪ Informationsverwertung 

Dokumentation („Wer schreibt, der bleibt“) 

Sicherstellung der Organisation, Information, Dokumentation durch Compliance- 

Programm 

IT-Compliance ist nur im Wege eines kontinuierlichen Prozesses zu erreichen: 

▪ Teil des Arbeitsalltags der Adressaten, Teil der Abläufe im Unternehmen 

▪ Ausgestaltung nach Art und Umfang angemessen (Prinzip „viel hilft viel“ ist nicht 

hilfreich) im Hinblick auf den Unternehmensgegenstand sowie die Kritikalität und 

typisches Betriebsrisiko der IT-Systeme sowie besondere Problembereiche 



Bedeutung von Standards 

▪ können bei Umsetzung einzelner Anforderungen hilfreich sein 

▪ sind häufig unter Beteiligung von Praktikern bzw. der jeweiligen Interessengruppen 

geschrieben, oft mit Handlungsempfehlungen 

• z.B. IT-Organisation = COBIT, ITIL 

• IT-Sicherheit = BS 7799/DIN 17799 

• Business Continuity: PAS 56/BS 25999-1 (2006), 25999-2 (2007) 

▪ Beachtung von Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW) 

z.B. IDW PS-330 

Zertifizierungen 

▪ kein „Beweis“ für IT-Compliance, aber im konkreten Fall Indikator für das Maß der 

Pflichterfüllung => Erschwerung des Beweises 

▪ sind oft nur stichtagsbezogen, unterschiedliche Schwerpunkte 

▪ erlauben oft keine historische Betrachtung 

Verträge mit Dritten (Outsourcing) 

▪ Wer ist wofür verantwortlich? Definition von Verantwortlichkeiten? 

▪ Änderungen von IT Compliance Anforderungen „in scope“ oder „out of scope“ 

(Änderungsverfahren) 

▪ Kosten 

▪ Vertragsmanagement 


Übersicht 














7. Fazit 

Zunehmende Regelungs- und Regulierungsdichte, Komplexität: 

• IT-Compliance ist aufgrund der zunehmenden Regelungs- und Regulierungsdichte sowie dem stetigen 

Wandel der Anforderungen ein äußerst komplexes Thema 

• Komplexität erfordert eine kontinuierliche, enge Zusammenarbeit aller (insbes. technischen und 

rechtlichen) Einheiten des Unternehmens, um eine möglichst umfassende Abdeckung des (rechtlich) 

Erforderlichen durch das (technisch) Machbare zu gewährleisten 

Verstärkte Inanspruchnahme der Unternehmensleitung: 

• Jede Unternehmensleitung muss sich aufgrund der drohenden juristischen und ökonomischen 

Nachteile mit Fragen der IT-Compliance befassen 

• Es gehört zu den ständigen Aufgaben der Unternehmensleitung, die aus den IT-Compliance 

Anforderungen erwachsenden Risiken für das Unternehmen realistisch einschätzen und die 

notwendigen Prozesse sowie Kontroll- bzw. Überwachungssysteme einzuführen 

Zunehmende Bedeutung von (IT-)Standards, Richtlinien, Refrenzmodellen 

▪ (IT-)Standards, Richtlinien, Refrenzmodelle erlauben eine systematische 

Vorgehensweise und können helfen, mehrere IT-Compliance Anforderungen 

gleichzeitig abzudecken 

▪ Aber: Hilfsmittel, kein Allheilmittel! 


Literaturhinweise 

• Thümmel, Persönliche Haftung von Managern und Aufsichtsräten, 3. Aufl. 2003 

• Rodewald/Unger, Corporate Compliance – Organisatorische Vorkehrungen zur 

Vermeidung von Haftungsfällen der Geschäftsleitung, BB 2006, 113 ff. 

• Hauschka, Compliance: Geeignete Reaktion auf gestiegene Haftungsrisiken für 

Manager?, NJW 2004, 257 ff. 

• Hauschka, Corporate Compliance – Unternehmensorganisatorische Ansätze zur 

Erfüllung der Pflichten von Vorständen und Geschäftsführern, AG 2004, 461 ff. 

• BITKOM: Leitfaden „Compliance in IT-Outsourcing-Projekten, download unter: 

http://www.bitkom.de/de/publikationen/38337_40787.aspx 

• Lensdorf/Steger, IT-Compliance im Unternehmen, ITRB 2006, 206 ff. 


Fragen 

Kontakt: 

RA Dr. Lars Lensdorf 

Heymann & Partner Rechtsanwälte 

Taunusanlage 1 

60329 Frankfurt am Main 

Tel. 069-768063-0 

www.heylaw.de

IT-Compliance im Unternehmen - Heymann & Partner, RechtsanwÃ¤lte

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?