Im betriebswirtschaftlichen Jargon werden gerne Anglizismen verwendet. Ein Begriff, der mittlerweile nicht mehr wegzudenken ist, lautet Compliance. Gemeint ist damit die Rechtskonformität, also die Umsetzung und das Befolgen aller gesetzlichen und vertraglichen Regelungen und Verpflichtungen. Betroffen vom Compliance-Gebot sind alle Kapitalgesellschaften – also auch kleine GmbHs –, da hier ja Geschäftsführer und Vorstände persönlich für die Einhaltung gesetzlicher Regelungen haftbar gemacht und strafrechtlich verfolgt werden können.
Einer der wichtigsten Compliance-Bereiche ist die IT-Compliance, deren zentrales Element die IT-Sicherheit ist. Rechtskonformität kann nur dann gegeben sein, wenn beim Einsatz der IT-Systeme alle notwendigen Sicherheitsvorkehrungen getroffen und Datensicherheitsmaßnahmen durchgeführt wurden. Das ist aber längst noch nicht alles, was bei der IT-Compliance berücksichtigt werden muss.
Eine Vielzahl von gesetzlichen Regelungen und Forderungen hat direkte Auswirkungen auf die Struktur und Organisation des IT-Systems. Dabei müssen insbesondere die Regelungen der Datenschutz-Grundverordnung (DSGVO), des Telekommunikationsgesetzes (TKG), des Bundesdatenschutzgesetzes (BDSG), die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) und das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG) berücksichtigt werden.
Die Grenzen zwischen IT-Compliance und IT-Sicherheit sind fließend. So schreiben z. B. KontraG und GoBD vor, "dass digitale Unterlagen" verfügbar gemacht werden müssen. Zu diesen digitalen Unterlagen gehören nicht nur digitale Dokumente im eigentlichen Sinn, sondern auch E-Mails. Die IT-Compliance verlangt also, dass ein Archivsystem eingeführt wird, das auch sämtliche E-Mails rechtssicher archiviert. Selbstverständlich muss das Archivsystem wirksam gegen Verlust, Manipulation und unbefugte interne und externe Zugriffe geschützt werden – was wiederum die Aufgabe der IT-Sicherheit ist.
Noch komplexer wird das Thema IT-Compliance dadurch, dass einige Rechtsziele in grundsätzlich andere Richtungen gehen. Dies gilt insbesondere für den Bereich der personenbezogenen Daten, der ja durch die DSGVO und das BDSG besonders geschützt ist. Die Herausforderung an die IT-Compliance ist, allen unterschiedlichen Anforderungen gerecht zu werden und z. B. ein Archivsystem zu schaffen, das nicht nur umfassend und sicher ist, sondern das auch noch die Vorgaben und Aufbewahrungsfristen des BDSG berücksichtigt.
Gerade in kleineren Unternehmen sind Geschäftsführer häufig überfordert und nicht in der Lage, für die notwendige IT-Compliance zu sorgen. In Großunternehmen sind dafür komplette Abteilungen zuständig, in denen entsprechend qualifizierte Wirtschaftsfachleute, Juristen und IT-Spezialisten beschäftigt sind. In Kleinunternehmen wird die IT-Compliance normalerweise nicht mutwillig außer Acht gelassen. Die Geschäftsleitung unterschätzt einfach die Komplexität der Bereiche IT-Compliance/IT-Sicherheit und ist sich u. U. überhaupt nicht bewusst, dass gesetzliche Vorgaben missachtet werden.