Ihre Fragen zu Compliance und Compliance Management
In unserem virtuellen Interview finden Sie die Antworten zu Ihren Fragen rund um die Themen Compliance und Compliance-Management-Systeme. Die Fragen wurden beantwortet von Prof. Dr. Matthias Groß, Geschäftsführer der INSIGMA, Dr. Günter Goetz, unserem Leiter Forschung und Entwicklung, sowie von Robert Blumberg, Berater Informationssicherheit und Datenschutzbeauftragter (DSB-TÜV).
Was versteht man unter Compliance? Was sind wichtige Compliance-Themen?
Matthias Groß: Compliance umfasst alle Themen, bei denen es darum geht, dass Regeln, Normen, Anforderungen, Gesetze nicht nur auf dem Papier, sondern in der Praxis umgesetzt und erfüllt werden.
Günter Goetz: Wir tun das mit unseren Dienstleistungen in den Bereichen Informationssicherheit, Datenschutz und Qualitätsmanagement, in anderen Fällen könnte z. B. auch das Umweltmanagement dazugehören.
Gibt es in der IT Besonderheiten im Thema Compliance?
Günter Goetz: Bei Compliance geht es um Regeln, die sich stark mit Informationsverarbeitung beschäftigen. Informationssicherheit ist dabei aber weder ein reines IT-Thema noch ist sie abhängig von vorhandenen Systemen.
Welche Bedeutung hat Compliance Management?
Robert Blumberg: Die Bedeutung des Compliance Managements nimmt immer weiter zu. Das Compliance Management ist dann besonders wichtig, wenn Sie Teile Ihrer Wertschöpfung über Dienstleister erbringen lassen oder auf Dienstleistungen von Dienstleistern zurückgreifen. Dabei wollen Sie die Sicherheit haben, dass die angebotenen Leistungen im gewünschten Umfang zur Verfügung gestellt werden, sei es in Bezug auf Qualität, sei es in Bezug auf Informationssicherheit. Als einkaufende Instanz ist es vor allem auf dem Hintergrund von Vernetzung, Plattformen und (Online-)Services wichtig zu wissen, dass Sie mit einem vertrauenswürdigen Partner zusammenarbeiten. Deshalb sind sowohl das Thema Compliance als auch die Zertifikate, die es in dem Zusammenhang gibt, wichtig als ein Merkmal: Sie können Ihrem Dienstleister vertrauen.
Umgekehrt kann es für Sie als Dienstleister wichtig sein, Ihrem Kunden genau das zu zeigen: Dass Sie der Partner sind, mit dem Ihr Kunde – egal ob im B2B- oder B2C-Bereich – vertrauensvoll zusammenarbeiten kann.
Compliance Management System: Warum ist es wichtig?
Günter Goetz: Wenn Sie sich mit Ihrem Kunden abstimmen, können Sie z. B. compliant zu Verträgen sein, ohne ISO-zertifiziert zu sein. Mit dem Compliance Management System haben Sie den Vorteil: Die Regeln sind allgemein bekannt und vor allem vergleichbar, z. B. die ISO.
Robert Blumberg: Mit einem Compliance Management System sind Sie nicht durch Zufall compliant, sondern durch einen gesteuerten Prozess, der sicherstellt, dass Sie sich an Richtlinien und Regeln halten. Und in einem solchen System haben Sie das Thema des kontinuierlichen Verbesserungsprozesses. Das heißt, Sie setzen zunächst ein System auf. Dann prüfen Sie mit messbaren Zielen, ob es die Wirkung entfaltet hat, die Sie sich vorgestellt haben. Am Schluss stellen Sie fest, an welchen Stellen Verbesserungsbedarf besteht oder wo der Prozess nachgeschärft werden muss. Das heißt, der Prozess ist keine Einbahnstraße, sondern es geht um kontinuierliche Verbesserung. Sie sind damit nie "fertig", sondern Sie erhöhen stetig den Reifegrad Ihrer Compliance und stellen damit sicher, dass Sie sich als Unternehmen immer weiter entwickeln. Das heißt, es geht nicht nur um die Zertifikate und die Dokumentation nach außen, sondern auch um das unternehmensinterne Wachstum.
Haben Sie dafür ein Beispiel?
Robert Blumberg: Bei uns selbst wurde schon vor der ISO-Zertifizierung vieles richtig gemacht, sodass es den ISO-Anforderungen gerecht wurde. Nicht durch Zufall, sondern durch Erfahrung, durch Kundenanforderungen und -projekte, durch den eigenen Reifegrad. Was fehlte, war die verbindliche Systematik als Klammer über den richtigen Prozessen. Diese Systematik stellt sicher, dass die Compliance eingehalten wird, und sorgt dafür, dass sich die Themen kontinuierlich verbessern und etablieren können. Reflexion über das "Was?" und "Wie?" führt zu höherem Reifegrad in der Einhaltung und Umsetzung der Compliance-Themen. Das Ganze ist damit reproduzierbar und strukturiert, wodurch Reflexion und Verbesserungen möglich sind.
Günter Goetz: Auch wenn Sie wissen, wie etwas geht und es richtig machen, sind Sie damit noch nicht dem Standard nach compliant. Die Schwierigkeit ist, dass das Ergebnis von außen nicht reproduzierbar oder nachvollziehbar ist. Die Prüfbarkeit durch das Festhalten der Prozesse, das ist der eigentlich spannende Schritt, den Sie ohne die zugehörige Dokumentation nicht leisten können. Dabei spielt es zunächst keine Rolle, wie Sie Ihre Prozesse dokumentieren, solange diese für z. B. einen Auditor im Rahmen einer Prüfung nachvollziehbar ist. Stellt sich die Frage nach der Sinnhaftigkeit des Wie: Beim Umfang, den diese Normen haben, ist z. B. ein Compliance Management System auf Papier sehr zeitaufwendig.
Matthias Groß: Das hat dazu geführt, dass wir für unsere eigene Zertifizierung MIA® Compliance entwickelt haben. Damit unterstützen wir die Dokumentation und sorgen dafür, dass nichts vergessen oder übersehen wird. Und diesen Mehrwert bieten wir mit MIA® Compliance auch Ihnen als unseren Kunden an.
Wie können diese Prozesse aussehen, die ich im Compliance Management System festhalte?
Günter Goetz: Im Wesentlichen beantworten Sie damit die Fragen: Was will/werde ich tun? Was habe ich getan? Welche Abweichungen gab es zwischen diesen beiden? Was kann ich, was können wir als Unternehmen beim nächsten Durchlauf besser machen?
Was beinhaltet ein solches Compliance Management System? Wie sieht ein Compliance Management System aus?
Günter Goetz: Der größte Trugschluss im Zusammenhang mit Informationssicherheits- und Compliance-Management-Systemen ist: "Dann kaufen wir mal die Software und dann sind wir compliant." Das Programm, also die Softwarelösung wie beispielsweise MIA® Compliance, unterstützt Sie dabei, Ihr Compliance Management System aufzusetzen und zu verwalten. Es nimmt Ihnen nicht das eigentliche Compliance Management ab. Es gibt hier einen wichtigen Unterschied zwischen System – als Software – und Systematik. Auch ohne eine Software könnten Sie sich als Unternehmen kontinuierlich prüfen und verbessern.
Ein typisches Beispiel ist die Zutrittskontrolle: Nehmen wir an, Sie haben eine Security-Mitarbeiterin, die vor einem Raum steht und die Zutrittskontrolle macht. Die Kollegin hat die Arbeitsanweisung, wen sie wie erfassen soll, und pflegt eine Liste, auf die alle eingetragen werden, die Zutritt bekommen. Diese Liste kann eine einfache Tabelle auf Papier sein, die abgeheftet und jeden Abend von Ihnen in den Tresor gelegt wird, damit sie nicht verloren geht. Dann sind Sie im Bereich der Zutrittskontrolle compliant.
Die nächste Frage ist: Wie sinnvoll ist es für Sie als Unternehmen, diesen Prozess so aufzusetzen? Das ist der Punkt, wo die Software ins Spiel kommt: Eine Software wie MIA® Compliance erleichtert Ihnen massiv die Erfassung der Regularien sowie der dahinterliegenden Beweismittel. Dadurch ermöglicht sie Ihnen, leichter auditiert zu werden.
Außerdem wissen Ihre Mitarbeiterinnen und Mitarbeiter selbst, wo sie nachsehen können, um es richtig zu machen, also um den Prozess zu kennen und zu leben. Neben diesen Grundfunktionalitäten können Sie dort auch festhalten: Was passiert in Notfällen, was in besonderen Situationen? Sie können Chancen und Risiken bewerten und im Blick halten, für welche Prozesse Sie diese Bewertungen bereits vorgenommen haben – also das gesamte Risikomanagement. Dabei bleibt das Programm aber immer Hilfsmittel.
Robert Blumberg: Dafür gibt es unsere Dienstleistungen im Bereich Compliance, die Sie unter anderem dabei unterstützen, ein Informationssicherheits-Management-System (ISMS) einzuführen und Ihre Mitarbeiterinnen und Mitarbeiter in den Bereichen zu schulen.
Und was passiert mit den Daten meines Unternehmens, mit den Daten meiner Kunden?
Matthias Groß: Ein ganz wichtiges Thema, nicht erst seit der EU-DSGVO. Da geht es dann um Cloud-Lösungen und um IT-Outsourcing.
Günter Goetz: Ja, das steht im Kontext zu unseren Dienstleistungen: Wir sind ein deutscher IT-Dienstleister, wir hosten in Deutschland. Ihre Daten, die Daten Ihrer Mitarbeiter, Ihrer Mitarbeiterinnen, Ihrer Kunden werden somit nicht in ein unsicheres Drittland übermittelt. Da sind nicht nur wir compliant zur EU-DSGVO, sondern auch Sie als unseren Kunden stellen sich bestimmte datenschutzrechtliche Fragen gar nicht erst, die sich beim Datentransfer zu nicht-europäischen Dienstleistern oder auf nicht in Europa stehende Server stellen würden: Was muss ich beachten, wie belastbar ist die Entscheidung, wie hoch ist das Risiko, welches Risiko gibt es bezogen auf die EU-DSGVO?
Robert Blumberg: Dann ist da noch das Thema dynamische Daten: Bewegungs- und Metadaten laufen häufig bei den großen Cloud-Anbietern in Drittländer, auch wenn die eigentlichen Daten in Europa liegen. Das ist für die Risikobewertung oft nicht im Fokus. Dazu kommt, dass die Frage nicht abschließend geklärt ist, wer potenziell Zugriff auf solche Daten erhalten kann, z. B. was ist mit dem Zugriff auf Daten, die bei ausländischen Unternehmen liegen – durch deren Sicherheitsbehörden? Auch wenn die Datenzentren, die Rechenzentren in der EU liegen.
Matthias Groß: Auch dafür bieten wir Ihnen verschiedene Lösungen an, die Ihnen ermöglichen, compliant zu sein.