IT-Compliance im Unternehmen - Heymann & Partner, Rechtsanwälte
IT-Compliance im Unternehmen - Heymann & Partner, Rechtsanwälte
IT-Compliance im Unternehmen - Heymann & Partner, Rechtsanwälte
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Compliance</strong><br />
<strong>im</strong><br />
<strong>Unternehmen</strong><br />
RA Dr. Lars Lensdorf<br />
<strong>Heymann</strong> & <strong>Partner</strong> Rechtsanwälte<br />
First Tuesday <strong>IT</strong><br />
02. November 2006
Übersicht<br />
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
2. Warum <strong>IT</strong>-<strong>Compliance</strong><br />
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
▪ Datenschutz und Datensicherheit<br />
▪ Arbeitsrecht<br />
▪ <strong>Unternehmen</strong>sorganisation<br />
▪ Buchhaltung, Rechnungslegung, Prüfung<br />
▪ Branchenspezifisch: Banken und Finanzdienstleister<br />
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
7. Fazit und Ausblick<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 2
Übersicht<br />
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
2. Warum <strong>IT</strong>-<strong>Compliance</strong><br />
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
▪ Datenschutz und Datensicherheit<br />
▪ Arbeitsrecht<br />
▪ <strong>Unternehmen</strong>sorganisation<br />
▪ Buchhaltung, Rechnungslegung, Prüfung<br />
▪ Branchenspezifisch: Banken und Finanzdienstleister<br />
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
7. Fazit und Ausblick<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 3
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
<strong>Compliance</strong> = „Befolgung“<br />
▪ Einhaltung von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln <strong>im</strong> <strong>Unternehmen</strong>salltag<br />
▪ Einrichtung von Kontroll- und Steuerungsprozessen<br />
▪ Dokumentation solcher Prozesse<br />
<strong>IT</strong>-<strong>Compliance</strong> = Regelkonforme <strong>IT</strong>-Systeme<br />
▪ <strong>im</strong> <strong>Unternehmen</strong> eingesetzte <strong>IT</strong>-Systeme müssen den für Einrichtung und Betrieb solcher Systeme<br />
geltenden Gesetzen, Richtlinien und anderen Verhaltensmaßregeln genügen (z. B. Anforderungen<br />
<strong>IT</strong>-Grundschutzhandbuch bzw. <strong>IT</strong>-Grundschutzkataloge des Bundesamts für Sicherheit in der<br />
Informationstechnik, § 9 BDSG)<br />
<strong>IT</strong>-<strong>Compliance</strong> = <strong>Compliance</strong> mit Hilfe von <strong>IT</strong>-Systemen<br />
▪ Viele <strong>Unternehmen</strong>sfunktionen, für die <strong>Compliance</strong>-Anforderungen gelten, werden mit <strong>IT</strong>-Systemen<br />
abgebildet (z.B. Buchhaltung, Rechnungslegung, Aufbewahrungspflichten von best<strong>im</strong>mten<br />
Unterlagen – z. B. Handels-, Geschäftsbriefe –nach §257 HGB, §147 AO)<br />
▪ <strong>Compliance</strong> betrifft deshalb auch mittelbar die Einrichtung und den Betrieb von <strong>IT</strong>-Systemen, die<br />
jeweils „regelkonform“ sein müssen<br />
▪ Zunahme von mittelbaren <strong>Compliance</strong>-Anforderungen wie Unverfälschbarkeit und<br />
Revisionssicherheit von elektronischen Dokumenten, geordnete Archivierung. Anforderungen an<br />
Archivierung digitaler Unterlagen, die sich aus AO ergeben, werden durch die GoBS und die GDPdU<br />
konkretisiert.<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 4
Übersicht<br />
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
2. Warum <strong>IT</strong>-<strong>Compliance</strong>?<br />
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
▪ Datenschutz und Datensicherheit<br />
▪ Arbeitsrecht<br />
▪ <strong>Unternehmen</strong>sorganisation<br />
▪ Buchhaltung, Rechnungslegung, Prüfung<br />
▪ Branchenspezifisch: Banken und Finanzdienstleister<br />
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
7. Fazit und Ausblick<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 5
2. Warum <strong>IT</strong>-<strong>Compliance</strong>?<br />
Persönliche Verantwortung der Geschäftführungsorgane für gesetzeskonformes<br />
Verhalten des <strong>Unternehmen</strong>s<br />
▪ Verantwortlichkeit und Haftungsrisiko von Geschäftsführungsorganen (§ 93 Abs. 1 AktG: „Sorgfalt<br />
eines ordentlichen und gewissenhaften Geschäftsleiters“; § 43 I GmbHG: „Sorgfalt eines<br />
ordentlichen Geschäftsmannes“) hat zugenommen:<br />
• KonTraG, 1998 (§ 91 Abs. 2 AktG: Einrichtung eines Risikomanagementsystems)<br />
• TransPuG, 2002<br />
• UMAG<br />
• Corporate Governance Kodex, Abgabe einer Entsprechenserklärung gem. § 161 AktG<br />
• Strengere Rechtsprechung (BGH, „ARAG/Garmenbeck“, NJW 1997, 1926); Pflicht zur Durchsetzung von<br />
Ansprüchen der Gesellschaft gegenüber der Geschäftsführung, falls erfolgsversprechend<br />
▪ Schadensersatzpflicht nach § 93 Abs. 2 S. AktG, § 43 GmbHG<br />
▪ Erleichterte zur Durchsetzung von Schadensersatzansprüchen der Gesellschaft gegen Vorstände<br />
und Aufsichtsräte aufgrund Beweislastverteilung<br />
• § 93 Abs. 1 S. 2 AktG:<br />
“Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen<br />
Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum<br />
Wohle der Gesellschaft zu handeln. “<br />
• § 93 Abs. 2 S. 2 AktG:<br />
“Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt<br />
haben, so trifft sie die Beweislast.”<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 6
2. Warum <strong>IT</strong>-<strong>Compliance</strong>? (ff.)<br />
Persönliche Verantwortung der Geschäftführungsorgane für gesetzeskonformes<br />
Verhalten des <strong>Unternehmen</strong>s (forts.)<br />
▪ § 91 Abs. 2 AktG: Pflicht der <strong>Unternehmen</strong>sleitung, „geeignete Maßnahmen zu<br />
treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand<br />
der Gesellschaft gefährdende Entwicklungen früh erkannt werden“<br />
• Querschnittsnorm, die allgemein die Pflichten einer Geschäftsleitung spezifiziert<br />
• <strong>Unternehmen</strong>sleitung muss prüfen, ob ein mangelhaftes <strong>IT</strong>-System dem <strong>Unternehmen</strong><br />
erhebliche wirtschaftliche Schäden zufügen kann; Identifizierung „unternehmenskritischer<br />
Systeme“ (F&A-Systeme, ERP, Logistik)<br />
• § 317 Abs. 4 HGB: Abschlussprüfer hat sich bei börsennotierten <strong>Unternehmen</strong> von Existenz<br />
eines Überwachungssystems zu überzeugen und bei Lageberichterstattung zu beurteilen.<br />
Imageschäden des <strong>Unternehmen</strong>s<br />
Erhöhte Kosten, z. B. höhere Refinanzierungskosten (Basel II)<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 7
2. Warum <strong>IT</strong>-<strong>Compliance</strong>? (ff.)<br />
Strafrechtliche Folgen:<br />
▪ „<strong>IT</strong>-bezogene“ Straftatbestände <strong>im</strong> STGB:<br />
• Ausspähen/Unterdrücken von Daten (§ 202a StGB), Besondere Gehe<strong>im</strong>haltungspflichten (§ 203<br />
StGB), Datenveränderung (§ 303a StGB)<br />
▪ weitere Straftatbestände z.B. <strong>im</strong> BDSG, KWG, AktG, HGB<br />
• praktisch aber trotz einiger Aufsehen erregender Fälle eher selten relevant<br />
Vorliegen einer Ordnungswidrigkeit ( z. B. § 16 AÜG)<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 8
2. Warum <strong>IT</strong>-<strong>Compliance</strong>? (ff.)<br />
Gewerberechtliche Unzuverlässigkeit<br />
Aufsichtsrechtliche Maßnahmen<br />
▪ z.B. § 6 Abs. 3 KWG: Anordnungsbefugnis der BaFin; § 35: Aufhebung der Erlaubnis;<br />
§ 36: Abberufung des Geschäftsleiters<br />
Ausschluss von der Vergabe öffentlicher Aufträge<br />
▪ <strong>IT</strong>-Standards und entsprechende Zertifizierungen werden <strong>im</strong>mer öfter als<br />
Wertungskriterien und Vertragsbestandteile verwendet<br />
▪ Sie haben dadurch (zumindest für die Bieter) faktisch Bindungswirkung (z.B. „<strong>IT</strong>-<br />
Grundschutzhandbuch“ (GSHB), „<strong>IT</strong> Infrastructure Library“ (<strong>IT</strong>IL))<br />
Wirtschaftsprüfertestat wird versagt<br />
Gesetzliche und vertragliche Obliegenheiten<br />
▪ nicht selbständig einklagbar, sondern bloße Verhaltensnormen, die bei<br />
Nichtbeachtung zum Rechtsverlust führen können. (§ 254 BGB)<br />
▪ insbesondere <strong>im</strong> Versicherungsvertragrecht/ VVG<br />
• z.B. Pflicht, bedeutende Umstände anzuzeigen, § 16 VVG<br />
• z.B. Pflicht, keine Gefahrerhöhung nach Vertragsschluss vorzunehmen oder dies zuzulassen,<br />
Anzeigepflicht § 23 VVG<br />
• Verletzung von Obliegenheit kann zu Verlust von Versicherungsschutz führen<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 9
Übersicht<br />
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
2. Warum iT-<strong>Compliance</strong><br />
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
▪ Datenschutz und Datensicherheit<br />
▪ Arbeitsrecht<br />
▪ <strong>Unternehmen</strong>sorganisation<br />
▪ Buchhaltung, Rechnungslegung, Prüfung<br />
▪ Branchenspezifisch: Banken und Finanzdienstleister<br />
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
7. Fazit und Ausblick<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 10
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Gesetzliche Anforderungen<br />
▪ Gesetze, Verordnungen = unmittelbare Außenwirkung für jedermann, abstraktgenerell<br />
auf Herbeiführung einer Rechtsfolge gerichtet<br />
• z.B. BDSG (§ 9 BDSG mit Anlage); Verbot kartellrechtliche Absprachen; produzierendes Gewerbe:<br />
allgemeine Produktbeobachtungs-/Rückrufpflichten; § 91 Abs. 2 AktG<br />
▪ i.d.R. nicht dispositiv<br />
▪ enthalten nur selten konkrete Vorschriften zum „Wie“ der Umsetzung<br />
Verwaltungsvorschriften, Verwaltungshandeln<br />
▪ Ministerialerlasse, Verfügungen, Richtlinien oder Anordnungen<br />
▪ ergehen innerhalb der Verwaltung zur internen Organisation bzw.<br />
Interpretation/Handhabung von gesetzlichen Anforderungen, keine unmittelbare<br />
Außenwirkung<br />
▪ legen Gesetze aus bzw. konkretisieren diese und/oder geben Rechtsauffassung der<br />
Verwaltung zu best<strong>im</strong>mten Fragen wieder<br />
• z.B. <strong>IT</strong>-Richtlinie des BMI = Regelung des internen Einsatzes von <strong>IT</strong> durch die Bundesverwaltung;<br />
Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS); Grundsätze zum<br />
Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 11
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Sonderfall: Aufsicht <strong>im</strong> Banken- und Finanzdienstleistungssektor durch die BaFin<br />
▪ KWG (ähnlich: WpHG) enthält gesetzliche Generalklauseln, die mittelbar auch <strong>IT</strong>spezifische<br />
Organisationspflichten für die erfassten Institute begründen<br />
▪ BaFin konkretisiert diese in Form behördlicher Rundschreiben, Verlautbarungen bzw.<br />
Richtlinien<br />
• z.B. Rs. 11/2001 („Outsourcing-Rundschreiben“)<br />
• z.B. Rs. 18/2005 („Mindestanforderungen an das Risikomangement“, MaRisk)<br />
▪ formell haben diese keine Außenwirkung, da i.d.R. nicht in Form eines VA,<br />
Allgemeinverfügung etc. ergehend<br />
▪ Aber: BaFin misst Institute an diesen Anforderungen und KWG räumt BaFin<br />
weitgehende Anordnungs-, Kontroll- und Prüfungsbefugnisse ein (z.B. §§ 6, 34, 36<br />
KWG)<br />
▪ Folge: Faktischer Zwang zur Umsetzung<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 12
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Richtlinien und Standards<br />
▪ DIN oder ISO-Normen<br />
▪ haben keinen Rechtscharakter, sind nicht unmittelbar durchsetzbar<br />
▪ <strong>im</strong> <strong>IT</strong>-Bereich i.d.R. keine „technische Gesetzgebung“ in dem Sinne, dass best<strong>im</strong>mte<br />
Verfahren und Einrichtungen konkret beschrieben und vorgeschrieben sind (anders<br />
z.B. <strong>im</strong> Bereich der Normung oder Bauordnungsrecht/Baurecht)<br />
▪ Beachtung von Standards kann in Streitfällen als Interpretationshilfe herangezogen<br />
werden (z.B. „marktübliches Format“, Sorgfaltsmaßstab)<br />
▪ liefern wichtige Hinweise für die praktische Umsetzung von <strong>IT</strong>-<strong>Compliance</strong><br />
Anforderungen<br />
▪ Zertifizierungen können den Nachweis eigener (Sorgfalts-) Pflichterfüllung erleichtern<br />
Referenzmodelle, Z. B. CoB<strong>IT</strong>, <strong>IT</strong>IL<br />
▪ Versuch der Definition allgemeiner Modelle, die einen Brückenschlag zwischen den<br />
unterschiedlichsten <strong>IT</strong>-<strong>Compliance</strong> Anforderungen versuchen.<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 13
Übersicht<br />
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
2. Warum <strong>IT</strong>-<strong>Compliance</strong><br />
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
▪ Datenschutz und Datensicherheit<br />
▪ Arbeitsrecht<br />
▪ <strong>Unternehmen</strong>sorganisation<br />
▪ Buchhaltung, Rechnungslegung, Prüfung<br />
▪ Branchenspezifisch: Banken und Finanzdienstleister<br />
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
7. Fazit und Ausblick<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 14
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Datenschutz und Datensicherheit<br />
BDSG<br />
▪ Querschnittsnorm, daneben sektorspezifische Datenschutznormen:<br />
• z.B. Telekommunikation, §§ 91 ff. TKG, Sozialdatenschutz, § 67 ff. SGB X<br />
▪ Zentrale Bedeutung kommt personenbezogenen Daten zu<br />
• § 4 Abs. 1 BDSG: Erhebung, Verarbeitung, Nutzung von Daten nur, soweit gesetzlich erlaubt oder<br />
Einwilligung des Betroffenen vorliegt<br />
• weite Definition in § 3 Abs. 1 BDSG zu personenbezogenen Daten („Einzelangaben über persönliche<br />
oder sachliche Verhältnisse einer best<strong>im</strong>mten oder best<strong>im</strong>mbaren natürlichen Person“)<br />
Umsetzung der Anforderungen des BDSG erfordert Dokumentationsprozesse,<br />
Berücksichtigung bei Gestaltung von Vertragsunterlagen, AGB, Webseiten, etc.<br />
§ 9 BDSG i.V.m. der zugehörigen Anlage enthält allgemeine, technischorganisatorische<br />
Anforderungen zum Schutz von personenbezogenen Daten<br />
(Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und<br />
Verfügbarkeitskontrolle)<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 15
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen (ff.)<br />
Datenschutz und Datensicherheit<br />
Outsourcing: § 11 BDSG (Auftragsdatenverarbeitung) vs. Funktionsübertragung<br />
▪ Einwilligung zur „echten“ Übermittlung selten praktikabel einholbar<br />
▪ daher i.d.R. Vereinbarung einer Auftragsdatenverarbeitung<br />
= Vereinbarung zwischen auslagerndem <strong>Unternehmen</strong> („Herr der Daten“) und<br />
Dienstleister („Auftragsdatenverarbeiter“)<br />
▪ Auftragsdatenverarbeiter ist nicht „Dritter“, auslagerndes <strong>Unternehmen</strong> und<br />
Dienstleister sind Einheit<br />
▪ Technisch-organisatorischen Maßnahmen müssen festgelegt werden (§ 11 Abs. 2<br />
BDSG)<br />
▪ Aber: liegt wirklich Auftragsdatenverarbeitung vor?<br />
• Rechenzentrumsbetrieb / Datenträgervernichtung / Archivierungsservice<br />
= Auftragsdatenverarbeitung<br />
• Personalverwaltung / Kundenbetreuung<br />
= wohl eher Funktionsübertragung<br />
Sonderproblem: Auftragsdatenverarbeitung <strong>im</strong> Nicht EU-Ausland;<br />
Erfordernis des angemessenen Datenschutzniveaus, § 4 b Abs. 2 S. 2 BDSG<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 16
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Arbeitsrecht<br />
Kollektives Arbeitsrecht<br />
▪ Tarifverträge und Betriebsvereinbarungen<br />
▪ Betriebsverfassungsgesetz (BetrVG) enthält eine Vielzahl von Rechten des BR, die an<br />
technische Einrichtungen, Arbeitsabläufe, etc. anknüpfen und so auch <strong>IT</strong>-Systeme<br />
erfassen.<br />
▪ Beispiele:<br />
• § 80 Abs. 1 Nr. 1 BetrVG: Recht des BR, die Einhaltung von zugunsten des Arbeitnehmers geltenden<br />
Rechtsvorschriften zu überwachen (z.B. BDSG)<br />
• §§ 80 Abs. 2, 111 BetrVG: Auskunfts- und Informationsanspruch bzgl. aller betrieblichen Vorgänge,<br />
erfasst z.B. Einrichtung und Betrieb von <strong>IT</strong>-Systemen<br />
• §87 I Nr. 6 BetrVG: Mitbest<strong>im</strong>mungsrecht des BR bei der Einführung und Anwendung von<br />
technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Mitarbeiter zu<br />
überwachen<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 17
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen (ff.)<br />
Arbeitsrecht<br />
Arbeitnehmerüberlassung<br />
▪ Begriff: Arbeitgeber überlässt bei ihm angestellte Arbeitnehmer einem Dritten zur Arbeitsleistung<br />
▪ Gewerbsmäßige Arbeitnehmerüberlassung ist <strong>im</strong> Arbeitnehmerüberlassungsgesetz (AÜG) geregelt; bedarf grds.<br />
der behördlichen Erlaubnis<br />
▪ Arbeitsverhältnis zwischen Entleiher und AN wird fingiert, wenn Arbeitnehmerüberlassungsvertrag unwirksam ist<br />
(z. B. wegen fehlender Erlaubnis), § 10 I AÜG<br />
▪ Abgrenzungskriterium: liegt eine Eingliederung in den Betrieb des Entleihers vor? Zu beachten: Weisungsrechte,<br />
Zuweisung von Urlaub, Türschilder, e-mail Adresse, Kantinennutzung, Einordnung in Firmenhirachie<br />
Arbeitnehmererfindungsrecht / Urheberrecht<br />
▪ Bei urheberrechtsrelevanten Sachverhalten, z. B. SW-Programmierung: Schutz des Arbeitgebers nach § 69 b UrhG<br />
(AG zur Ausübung aller vermögensrechtlichen Befugnisse berechtigt)<br />
▪ Im Bereich des Arbeitnehmererfindungsrechts kein automatischer Erwerb der Erfinderstellung und der damit<br />
verbundenen Rechte durch den Arbeitgeber<br />
▪ Aber: Zugriffsrecht des Arbeitgebers, formalisiertes Verfahren:<br />
• schriftl. Meldung des AN (§ 5 I ArbEG); spezielle inhaltl. Anforderungen an die Meldung nach § 5 II ArbEG<br />
• Schriftl. Bestätigung des AG nach Eingang der Meldung<br />
• Inanspruchnahme durch schriftl. Erklärung innerhalb von 4 Monaten (§ 6 AerEG)<br />
Arbeitsschutzvorschriften<br />
▪ insbesondere: „Verordnung über Sicherheit und Gesundheitsschutz bei der Arbeit an<br />
Bildschirmgeräten“ (Bildschirmarbeitsschutzverordnung, BildscharbV)<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 18
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
<strong>Unternehmen</strong>sorganisation<br />
§ 91 Abs. 2 AktG: Einrichtung eines Überwachungssystems<br />
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein<br />
Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft<br />
gefährdende Entwicklungen früh erkannt werden.“<br />
▪ Aufstellung von Regelungen/Geschäftsprozessen z.B. für<br />
• externe/interne Zugriffe auf Daten, Umgang mit Insiderinformationen<br />
• Datensicherung, Datenaufbewahrung (data retention)<br />
• Kontinuitätsmanagement/Notfallplanung (business continuity)<br />
▪ <strong>IT</strong>-Systeme müssen „angemessene“ Informationen liefern, sollten ggfs.<br />
Entlastungsnachweis führen können<br />
▪ 317 Abs. 4 HGB: Abschlussprüfer hat das Vorhandensein eines geeigneten<br />
Überwachungssystems zu prüfen, sowie den Inhalt dieses Systems und seine<br />
Aussagekraft zu beurteilen<br />
▪ Nicht (genügende) Beachtung des § 91 Abs. 2 AktG indiziert Pflichtverletzung der<br />
<strong>Unternehmen</strong>sleitung<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 19
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen (ff.)<br />
<strong>Unternehmen</strong>sorganisation<br />
Basel II<br />
▪ „Rating“: zentrales Entscheidungskriterium, ob ein <strong>Unternehmen</strong> und, wenn ja, zu<br />
welchen Konditionen Kredite bekommt, ist das Risiko der Gesellschaft<br />
▪ Folge:<br />
1.) Erhöhtes Informationsbedürfnis der Bank ist zu bedienen, <strong>Unternehmen</strong> muss <strong>IT</strong>-<br />
Systeme so einrichten, dass diese die geforderten Informationen bereitstellen<br />
können; Darstellung der Risiken<br />
2.) Ermittlung der <strong>im</strong> <strong>Unternehmen</strong> vorhandenen Risiken unter dem Gesichtspunkt des<br />
sich daraus ergebenden Schuldnerausfallrisikos<br />
• Erforderlich: geeignetes Berichtswesens/Management Information System (MIS), das frühzeitig<br />
Handlungsbedarf erkennen lässt, Eingriffsgrenzen vorsieht<br />
• Sicherheit der unternehmensbezogenen Daten ist zu gewährleisten. Wurde ausreichende<br />
Notfallvorsorge getroffen?<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 20
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Buchhaltung etc.<br />
Grundsätze ordnungsgemäßer Buchführung (GoB) nach HGB<br />
▪ Die wesentlichen Anforderungen an die Buchführung sind in den §§ 238, 239 und<br />
257 HGB („Grundsätze ordnungsgemäßer Buchführung“) festgelegt.<br />
▪ Die Anforderungen der §§ 238, 239, 257 HGB sind bei der Gestaltung einer <strong>IT</strong>gestützten<br />
Rechnungslegung zu beachten<br />
• Beachtung der Grundsätze ordnungsgemäßer Buchführung (§ 239 IV HGB)<br />
• Berücksichtigung der damit verbundenen Anforderungen an die Sicherheit <strong>IT</strong>-gestützter<br />
Rechnungslegung<br />
• Die Nachvollziehbarkeit der Buchführungs- bzw. Rechnungslegungsverfahren (§ 238 I 2 HGB)<br />
• Die Nachvollziehbarkeit der Abbildung der einzelnen Geschäftsvorfälle in ihrer Entstehung und<br />
Abwicklung (§ 238 I 3 HGB)<br />
• Die Einhaltung der Aufbewahrungsvorschriften (§ 239 IV, 257 HGB)<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 21
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen (ff.)<br />
Buchhaltung etc.<br />
Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS):<br />
▪ von der Finanzverwaltung aufgestellte Regeln zur Buchführung mittels<br />
Datenverarbeitungssystemen, z.B. Behandlung aufbewahrungspflichtiger Daten und<br />
Belege in elektronischen Buchführungssystemen; Präzisierung der GoB<br />
▪ Ordnungsmäßigkeitskriterien, die bei der Erfassung, Verarbeitung, Ausgabe und<br />
Aufbewahrung rechnungsrelevanter Daten über die Geschäftsvorfälle sicherzustellen<br />
sind: Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung (alles § 239 II HGB);<br />
Nachvollziehbarkeit (§ 238 I HGB); Unveränderlichkeit § 239 III HGB)<br />
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)<br />
▪ ergeben sich insbesondere aus § 147 Abs. 6 und § 146 Abs. 5 AO<br />
▪ Finanzamt muss auf elektronischem Weg Einsicht in die EDV-Buchführung nehmen<br />
können<br />
▪ definieren u.a. wie die Außenprüfung des Finanzamts bei einem Betrieb mit EDV-<br />
Buchhaltung durchzuführen ist, Anforderungen an <strong>Unternehmen</strong>ssoftware,<br />
Schnittstelle zur Prüfungssoftware<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 22
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen (ff.)<br />
Buchhaltung etc.<br />
International Financial Reporting Standards (IFRS)<br />
▪ internationale Rechnungslegungsvorschriften, umfassen u.a.<br />
• Standards des International Accounting Standards Board (IASB)<br />
• International Accounting Standards (IAS) des International Accounting Standards Committee<br />
• Interpretationen des International Financial Reporting Standards Interpretations Committee (IFRIC)<br />
bzw. des ehem.Standing Interpretation Committee (SIC)<br />
▪ gelten als nationales Recht in allen EU-Mitgliedsstaaten. Ziel ist die Transparenz und<br />
Vergleichbarkeit von Konzernabschlüssen auch über Ländergrenzen hinweg<br />
▪ Anpassung von HGB F&A-Systemen; Problem: Anpassung Altsysteme vs.<br />
Aufbewahrungspflichten<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 23
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen (ff.)<br />
Buchhaltung etc.<br />
Sarbanes Oxley Act (SOX)<br />
▪ Reaktion des US-amerikanischen Gesetzgebers auf spektakuläre<br />
<strong>Unternehmen</strong>szusammenbrüche (Enron, Worldcom). SOX gilt seit Ende 2004 für alle<br />
<strong>Unternehmen</strong>, die an US-Börsen notiert sind<br />
▪ betrifft damit auch deren deutsche Tochtergesellschaften und deren Dienstleister,<br />
die zukünftig verstärkt auf Einhaltung der SOX Anforderungen geprüft werden<br />
▪ SOX regelt vor allem Prüfung der <strong>Unternehmen</strong>sfinanzen, sowie die Pflicht, ein<br />
Kontrollsystem für Finanzdaten zu unterhalten<br />
▪ begründet indirekt Anforderungen an <strong>IT</strong>-Systeme, da praktisch alle Finanzdaten<br />
heutzutage elektronisch verarbeitet werden<br />
• insbes. Section 404: Installation, Überprüfung, Dokumentation und Bewertung von<br />
Kontrollmechanismen für das Finanzberichtswesen, die üblicherweise mit Hilfe von <strong>IT</strong>-Systemen<br />
<strong>im</strong>plementiert werden<br />
▪ Die Einführung SOX-ähnlicher Anforderungen über die EU oder über nationale<br />
Gesetzgebungsorgane werden derzeit diskutiert.<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 24
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Branchenspezifisch: § 25 a II KWG<br />
§ 25a KWG (ähnlich: § 33 Abs. 2 WpHG)<br />
▪ Regelungen zur Steuerung und Überwachung von Risiken, um die<br />
Ordnungsmäßigkeit der Bankgeschäfte und Geschäftsorganisation zu<br />
gewährleisten.<br />
• Abs. 1 Nr. 2: Institute müssen über “angemessene Sicherheitsvorkehrungen für den<br />
Einsatz der elektronischen Datenverarbeitung“ verfügen<br />
• Abs. 2: Regelungen zur Auslagerung von Bereichen auf ein anderes <strong>Unternehmen</strong>; § 25a<br />
Abs. 2 KWG in BaFin-Rundschreiben 11/2001 konkretisiert<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 25
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Branchenspezifisch: MaRisk<br />
„Mindestanforderungen an das Risikomanagement“ („MaRisk“), Rundschreiben<br />
18/2005 v. 20.12.2005<br />
▪ enthält Anforderungen an eine „ordnungsgemäße Geschäfts-organisation“ und an<br />
„angemessene interne Kontrollverfahren“<br />
▪ Enthält auch Vorgaben für Ausgestaltung von <strong>IT</strong>-Systemen; AT 7 enthält Regelungen<br />
zur Ausgestaltung von <strong>IT</strong>-Systemen, zum Outsourcing und zur Notfallvorsorge:<br />
• <strong>IT</strong>-Systeme und die zugehörigen <strong>IT</strong>-Prozesse müssen die Integrität, die Verfügbarkeit, die<br />
Authentizität sowie die Vertraulichkeit der Daten sicherstellen<br />
• Trennung von Produktions- und Testumgebung<br />
• Notfallkonzept zur Fortführung von kritischen Aktivitäten und Prozessen ist zu erstellen, zeitnahe<br />
Bereitstellung von Ersatzlösungen, Wiederanlaufpläne<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 26
Übersicht<br />
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
2. Warum <strong>IT</strong>-<strong>Compliance</strong><br />
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
▪ Datenschutz und Datensicherheit<br />
▪ Arbeitsrecht<br />
▪ <strong>Unternehmen</strong>sorganisation<br />
▪ Buchhaltung, Rechnungslegung, Prüfung<br />
▪ Branchenpezifisch: Banken und Finanzdienstleister<br />
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
7. Fazit und Ausblick<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 27
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
<strong>Unternehmen</strong>sleitung<br />
▪ <strong>Compliance</strong> ist wesentliche Aufgabe der <strong>Unternehmen</strong>sleitung<br />
▪ Delegation in beschränktem Umfang möglich; Überwachungspflicht bleibt<br />
<strong>Unternehmen</strong>saufsicht<br />
▪ insbesondere: Aufsichtsrat, der die dem Vorstand obliegende Geschäftsführung zu<br />
überwachen hat, § 111 Abs. 1 AktG<br />
▪ Tendenz des Gesetzgebers, Rechte und Pflichten zu erweitern<br />
<strong>Unternehmen</strong>smitarbeiter<br />
▪ <strong>IT</strong>-<strong>Compliance</strong> als Teil arbeitsvertraglicher Pflichten insbesondere: von leitenden<br />
Mitarbeitern<br />
• z.B. CIO, soweit nicht ohnehin <strong>im</strong> Vorstand, Administratoren, Revisoren, DSB<br />
• Zunehmend: Whistleblowing-Problematik, z.B. durch SOX<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 28
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
Aufsichtsbehörden<br />
▪ kontrollieren die Einhaltung des öffentlichen Ordnungsrahmens, z.B. BaFin, DSB<br />
samt Behördenunterbau, DS-Aufsicht (§ 38 BDSG)<br />
▪ Beobachtung (und Beachtung!) der von den Aufsichtsbehörden allgemein ergriffenen<br />
Aufsichtsmaßnahmen<br />
Externe (<strong>IT</strong>-)Dienstleister<br />
▪ Teilweise adressieren <strong>IT</strong>-<strong>Compliance</strong> Anforderungen explizit den Fall, dass ein Dritter<br />
eingesetzt wird (§ 25 a II KWG). Erhöhte Komplexität<br />
▪ Dienstleister ist (<strong>im</strong> Innenverhältnis) vertraglich zur Wahrung der einschlägigen <strong>IT</strong>-<br />
<strong>Compliance</strong> Anforderungen zu verpflichten; in diesem Zusammenhang:<br />
• wer beobachtet Änderungen der <strong>Compliance</strong> Anforderungen?<br />
• wer sorgt für erforderliche Anpassungen der Leistungen?<br />
• wer trägt Kosten? Anpassungen „in scope“ oder „out of scope“ (Änderungsverfahren)?<br />
▪ Aber: <strong>Unternehmen</strong> behält <strong>im</strong> Außenverhältnis Letztverantwortung<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 29
Übersicht<br />
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
2. Warum <strong>IT</strong>-<strong>Compliance</strong><br />
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
▪ Datenschutz und Datensicherheit<br />
▪ Arbeitsrecht<br />
▪ <strong>Unternehmen</strong>sorganisation<br />
▪ Buchhaltung, Rechnungslegung, Prüfung<br />
▪ Branchenspezifisch: Banken und Finanzdienstleister<br />
5. Adressaten von <strong>IT</strong>-Comliance<br />
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
7. Fazit und Ausblick<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 30
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
Ausgangsfrage: wie kann die Geschäftsführung der Überlast an rechtlichen Pflichten<br />
Herr werden („Corporate <strong>Compliance</strong>“)?<br />
Organisation<br />
▪ Ausweisung eines Verantwortungsbereichs „<strong>Compliance</strong>“ auf<br />
Geschäftsführungsebene, „Delegation zur Seite“ (Geschäftsverteilungsplan,<br />
Geschäftsordnung, Satzung)<br />
▪ „Delegation zur Seite“ grds. möglich / Einschränkung der Möglichkeit der Delegation,<br />
nichtdelegierbare Pflichten<br />
▪ „Delegation zur Seite“ führt <strong>im</strong> grds. zur Entlastung; aber: Kontrollpflichten,<br />
stichprobenartige Aufsicht besteht fort<br />
▪ „Delegation nach unten“: Ernennung eines <strong>Compliance</strong>-Managers für einen oder<br />
mehrere Bereiche; muss<br />
• überschneidungsfrei<br />
• an sachgerecht ausgewählte, kompetente, belehrte, eingearbeitete Mitarbeiter<br />
• unter Gewährung der erforderlichen Mittel<br />
erfolgen; Aufsichtspflicht bleibt bestehen.<br />
▪ Ggfls. Einrichtung selbständiger <strong>Compliance</strong>-Organisationen <strong>im</strong> <strong>Unternehmen</strong><br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 31
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
Information („Wissensmanagement“)<br />
▪ Informationsbeschaffung (ständige Veränderung der <strong>Compliance</strong> Anforderungen);<br />
wer beschafft; interne/externe Informationsbeschaffung (Organisation s.o.),<br />
Problem-/Risikobewusstsein schaffen<br />
▪ Informationsfluss, Einrichtung eines Kommunikationssystems bzw. von festen<br />
Prozessen, Mitarbeiter-Handbücher, Schulungen<br />
▪ Informationsverwertung<br />
Dokumentation („Wer schreibt, der bleibt“)<br />
Sicherstellung der Organisation, Information, Dokumentation durch <strong>Compliance</strong>-<br />
Programm<br />
<strong>IT</strong>-<strong>Compliance</strong> ist nur <strong>im</strong> Wege eines kontinuierlichen Prozesses zu erreichen:<br />
▪ Teil des Arbeitsalltags der Adressaten, Teil der Abläufe <strong>im</strong> <strong>Unternehmen</strong><br />
▪ Ausgestaltung nach Art und Umfang angemessen (Prinzip „viel hilft viel“ ist nicht<br />
hilfreich) <strong>im</strong> Hinblick auf den <strong>Unternehmen</strong>sgegenstand sowie die Kritikalität und<br />
typisches Betriebsrisiko der <strong>IT</strong>-Systeme sowie besondere Problembereiche<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 32
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
Bedeutung von Standards<br />
▪ können bei Umsetzung einzelner Anforderungen hilfreich sein<br />
▪ sind häufig unter Beteiligung von Praktikern bzw. der jeweiligen Interessengruppen<br />
geschrieben, oft mit Handlungsempfehlungen<br />
• z.B. <strong>IT</strong>-Organisation = COB<strong>IT</strong>, <strong>IT</strong>IL<br />
• <strong>IT</strong>-Sicherheit = BS 7799/DIN 17799<br />
• Business Continuity: PAS 56/BS 25999-1 (2006), 25999-2 (2007)<br />
▪ Beachtung von Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW)<br />
z.B. IDW PS-330<br />
Zertifizierungen<br />
▪ kein „Beweis“ für <strong>IT</strong>-<strong>Compliance</strong>, aber <strong>im</strong> konkreten Fall Indikator für das Maß der<br />
Pflichterfüllung => Erschwerung des Beweises<br />
▪ sind oft nur stichtagsbezogen, unterschiedliche Schwerpunkte<br />
▪ erlauben oft keine historische Betrachtung<br />
Verträge mit Dritten (Outsourcing)<br />
▪ Wer ist wofür verantwortlich? Definition von Verantwortlichkeiten?<br />
▪ Änderungen von <strong>IT</strong> <strong>Compliance</strong> Anforderungen „in scope“ oder „out of scope“<br />
(Änderungsverfahren)<br />
▪ Kosten<br />
▪ Vertragsmanagement<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 33
Übersicht<br />
1. Zum Begriff „<strong>IT</strong>-<strong>Compliance</strong>“<br />
2. Warum <strong>IT</strong>-<strong>Compliance</strong><br />
3. Rechtliche Grundlagen für <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
4. Ausgewählte <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
▪ Datenschutz und Datensicherheit<br />
▪ Arbeitsrecht<br />
▪ <strong>Unternehmen</strong>sorganisation<br />
▪ Buchhaltung, Rechnungslegung, Prüfung<br />
▪ Branchenspezifisch: Banken und Finanzdienstleister<br />
5. Adressaten von <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
6. Gewährleistung von <strong>IT</strong>-<strong>Compliance</strong><br />
7. Fazit und Ausblick<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 34
7. Fazit<br />
Zunehmende Regelungs- und Regulierungsdichte, Komplexität:<br />
• <strong>IT</strong>-<strong>Compliance</strong> ist aufgrund der zunehmenden Regelungs- und Regulierungsdichte sowie dem stetigen<br />
Wandel der Anforderungen ein äußerst komplexes Thema<br />
• Komplexität erfordert eine kontinuierliche, enge Zusammenarbeit aller (insbes. technischen und<br />
rechtlichen) Einheiten des <strong>Unternehmen</strong>s, um eine möglichst umfassende Abdeckung des (rechtlich)<br />
Erforderlichen durch das (technisch) Machbare zu gewährleisten<br />
Verstärkte Inanspruchnahme der <strong>Unternehmen</strong>sleitung:<br />
• Jede <strong>Unternehmen</strong>sleitung muss sich aufgrund der drohenden juristischen und ökonomischen<br />
Nachteile mit Fragen der <strong>IT</strong>-<strong>Compliance</strong> befassen<br />
• Es gehört zu den ständigen Aufgaben der <strong>Unternehmen</strong>sleitung, die aus den <strong>IT</strong>-<strong>Compliance</strong><br />
Anforderungen erwachsenden Risiken für das <strong>Unternehmen</strong> realistisch einschätzen und die<br />
notwendigen Prozesse sowie Kontroll- bzw. Überwachungssysteme einzuführen<br />
Zunehmende Bedeutung von (<strong>IT</strong>-)Standards, Richtlinien, Refrenzmodellen<br />
▪ (<strong>IT</strong>-)Standards, Richtlinien, Refrenzmodelle erlauben eine systematische<br />
Vorgehensweise und können helfen, mehrere <strong>IT</strong>-<strong>Compliance</strong> Anforderungen<br />
gleichzeitig abzudecken<br />
▪ Aber: Hilfsmittel, kein Allheilmittel!<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 35
Literaturhinweise<br />
• Thümmel, Persönliche Haftung von Managern und Aufsichtsräten, 3. Aufl. 2003<br />
• Rodewald/Unger, Corporate <strong>Compliance</strong> – Organisatorische Vorkehrungen zur<br />
Vermeidung von Haftungsfällen der Geschäftsleitung, BB 2006, 113 ff.<br />
• Hauschka, <strong>Compliance</strong>: Geeignete Reaktion auf gestiegene Haftungsrisiken für<br />
Manager?, NJW 2004, 257 ff.<br />
• Hauschka, Corporate <strong>Compliance</strong> – <strong>Unternehmen</strong>sorganisatorische Ansätze zur<br />
Erfüllung der Pflichten von Vorständen und Geschäftsführern, AG 2004, 461 ff.<br />
• B<strong>IT</strong>KOM: Leitfaden „<strong>Compliance</strong> in <strong>IT</strong>-Outsourcing-Projekten, download unter:<br />
http://www.bitkom.de/de/publikationen/38337_40787.aspx<br />
• Lensdorf/Steger, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong>, <strong>IT</strong>RB 2006, 206 ff.<br />
Dr. Lars Lensdorf, <strong>IT</strong>-<strong>Compliance</strong> <strong>im</strong> <strong>Unternehmen</strong> Vortrag am 02.11.2006 Seite 36
Fragen<br />
Kontakt:<br />
RA Dr. Lars Lensdorf<br />
<strong>Heymann</strong> & <strong>Partner</strong> Rechtsanwälte<br />
Taunusanlage 1<br />
60329 Frankfurt am Main<br />
Tel. 069-768063-0<br />
www.heylaw.de