Dieses amendos Spezial Outsourcing und Compliance setzt den Fokus auf das Thema Compliance bei IT-Outsourcing Projekten: Cyberkriminalität und Datenskandale häufen sich mittlerweile und führen dazu, dass die Compliance-Anforderungen an Unternehmen stetig wachsen. Gleichzeitig steigt auf Unternehmensseite der Druck diese umzusetzen. Gerade damit tun sich aber viele Unternehmen schwer – wie es jüngst die schleppende Umsetzung der EU-DSGVO zeigte. Angetrieben durch die digitale Transformation lagern Unternehmen zunehmend IT-Services an externe Provider aus, um die technologischen Herausforderungen zu meistern und schnell innovative Lösungen zu schaffen. Die Verantwortung für IT-Sicherheitsrisiken und Compliance-Konformität lässt sich jedoch nicht auslagern. Strafen und Imageschäden treffen weiterhin den Auftraggeber. Der Zwang, IT-Compliance auf Providerverträge und -beziehungen abbilden zu müssen, verstärkt die Notwendigkeit, das Thema „IT-Compliance“ noch strukturierter und effizienter anzugehen. Vor diesem Hintergrund widmen wir uns in dem vorliegenden amendos Spezial mit einer Zusammenstellung neuer und bereits veröffentlichter Artikel verschiedenen Aspekten des Themas „Compliance“.
Inhalt
Effiziente IT-Compliance: In 6 Schritten zum Compliance-Management-System S. 1
So stellen Sie sicher, dass die IT gesetzliche, externe und interne Vorgaben
und Regularien einhält.
Von der Corporate Governance zur IT-Compliance S. 4
So greifen Corporate Governance und IT-Compliance ineinander.
Compliance-Risiken beim IT-Outsourcing minimieren S. 6
Wir stellen Maßnahmen vor, um ein Outsourcing Compliance-konform zu gestalten.
DSGVO-Umsetzung – mit Fokus auf IT-Outsourcing S. 10
Wir betrachten, in welchen Schritten die DSGVO im Rahmen eines Outsourcings
umzusetzen ist.
DSGVO bei der Nutzung von Cloud-Services S. 12
Wir zeigen auf: Welche datenschutzrechtlichen Neuerungen bringt die DSGVO
in Bezug auf Cloud-Services?
Spezial Outsourcing und Compliance Auszug –
Effiziente IT–Compliance: In sechs Schritten zum Compliance–Management–System
Die IT dient zum einen dazu, den Geschäftsbetrieb sicher, fehlerfrei, effizient und kostengünstig zu unterstützen. Zum anderen verbessert sie im Zuge der digitalen
Transformation die Position des Unternehmens im Wettbewerb und wird zu einem wesentlichen Teil des Kerngeschäftsmodells. Allerdings steigen mit immer schnelle-
ren Innovationszyklen der Technologien und immer komplexeren IT–Landschaften auch die Gefährdungspotenziale. Die mediale Aufmerksamkeit erringen zwar meist
nur die großen Skandale wie der um die NSA, Datenskandale um Millionen gestohlener Datensätze im Darknet und Vorfälle, bei denen namhafte Unternehmen (u.a.
Facebook und YouTube) betroffen sind. Es ist jedoch anzunehmen, dass all dies nur die Spitze des Eisbergs ist und IT–Risiken fast unterschiedslos alle Unternehmen
treffen.
Die Politik reagiert mit immer neuen und schärferen Gesetzen, die bei der zunehmenden Dynamik und Komplexität nicht immer ausreichend ausformuliert und trans-
parent sind. Das zeigte z. B. das Safe Harbour–Urteil des Europäischen Gerichtshofes in 2015, als sich noch nicht einmal die Datenschutzbeauftragten der einzelnen
Bundesländer einig waren, ob Verträge mit amerikanischen Firmen, die auf Safe Harbour basieren, sofort – oder erst nach einer Übergangszeit – ihre Gültigkeit ver-
lieren. Sicher war und ist: Die Strafen können drastisch sein und sind in den letzten Jahren zwecks abschreckender Wirkung deutlich verschärft worden.
Wie können nun Gesetzeskonformität und die Einhaltung externer und interner Vorgaben hergestellt und gleichzeitig der Wertbeitrag und die Performance der IT ge-
steigert werden? Und dies insbesondere bei Outsourcing: wie kann man Ziele von Outsourcing und Compliance gleichzeitig erreichen, d.h. Outsourcing auch compliancekonform handhaben ? …