Compliance

Compliance beschreibt die systematische und nachweisbare Einhaltung aller relevanten Gesetze, Verordnungen, Normen, Standards, Verträge sowie interner Richtlinien.

Produkt:
Allgemein
RessourcenGlossar
Compliance

Besonders im digitalen Zeitalter ist Compliance ein zentrales Thema, da Unternehmen vielfältigen regulatorischen Anforderungen und einer zunehmenden Datenkomplexität begegnen. Diese Anforderungen betreffen sämtliche Phasen des Informationslebenszyklus – von der Erfassung über die Verarbeitung und Speicherung bis zur Löschung. Jeder Schritt sollte rechtssicher, nachvollziehbar und idealerweise automatisiert erfolgen.

Definition und Bedeutung

Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Managementprozess, der in die Unternehmenskultur und sämtliche betrieblichen Abläufe integriert werden muss. Sie steht für die konsequente Umsetzung externer Vorgaben wie Gesetze (etwa die DSGVO), behördliche Anforderungen, branchenspezifische und branchenübergreifende Standards (beispielsweise ISO/IEC 27001 als internationaler Standard für Informationssicherheitsmanagement), aber auch organisationsinterner Regelwerke wie den Code of Conduct oder spezifische IT-Policies. Ziel ist es, Risiken zu minimieren, Vertrauen bei Kunden, Geschäftspartnern und Behörden zu stärken sowie langfristige Unternehmensreputation und Rechtssicherheit zu gewährleisten.

Ziele und Nutzen

Ein wirksames Compliance-Management schützt Sie vor Bußgeldern, Haftungsrisiken, Reputationsverlusten und anderen geschäftlichen Nachteilen. Einheitliche, klare und sichere Prozesse bieten Ihnen Transparenz, vollständige Auditfähigkeit und belastbare Nachweise. Automatisierte Vorgaben, klar zugewiesene Verantwortlichkeiten und strukturierte Workflows erleichtern die Nachweisführung und Umsetzung von Anforderungen. Ein durchgängiges Compliance-Management fördert das Vertrauen bei allen Stakeholdern und unterstützt die unternehmensweite Steuerung und kontinuierliche Verbesserung.

Zentrale Rechtsrahmen, Standards und Normen (EU/DE)

Die rechtlichen und normativen Anforderungen im Informationsmanagement ändern sich kontinuierlich. Nachfolgend finden Sie eine Auswahl maßgeblicher Gesetze, Standards und Frameworks:

  • Datenschutz-Gesetze und -Standards
    • DSGVO (Datenschutz-Grundverordnung)
    • BDSG (Bundesdatenschutzgesetz)
    • TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz)
    • Grundsätze wie Zweckbindung, Datenminimierung, Speicherbegrenzung, Transparenz, Integrität und Vertraulichkeit (DSGVO)
    • Rollen: Verantwortliche/Auftragsverarbeiter, Technisch-organisatorische Maßnahmen (TOMs), Standardvertragsklauseln, BCRs, EU‑U.S. Data Privacy Framework
  • Informationssicherheit
    • ISO/IEC 27001 (branchenübergreifender ISMS-Standard), ISO/IEC 27002/27005 (Controls/Risikomanagement), ISO/IEC 27701 (PIMS-Erweiterung zu 27001/27002)
    • ISO/IEC 27017 (Cloud Security), ISO/IEC 27018 (Cloud Privacy), ISO/IEC 22301 (Business Continuity), ISO/IEC 27036 (Lieferkettensicherheit), ISO/IEC 27035 (Incident Response), ISO/IEC 27034 (Secure Development)
    • BSI IT-Grundschutz-Kompendium, BSI C5 (Cloud), BSI TR-03125 (Beweiswerterhaltung), BSI TR-03138 (ersetzendes Scannen)
    • NIST Cybersecurity Framework (CSF) Version 2.0, NIST AI RMF
    • Cloud Controls Matrix (CSA CCM), CIS Controls, OWASP SAMM/ASVS
    • NIS2-Richtlinie und nationales NIS2UmsuCG (Risikomanagement, Meldepflichten, Lieferkettenmanagement)
    • IT-Sicherheitsgesetz 2.0 (KRITIS, Unternehmen im besonderen öffentlichen Interesse)
  • Wirtschafts- und Steuerrecht
    • GoBD (steuerrelevante Prozesse, Verfahrensdokumentation, Nachvollziehbarkeit und Unveränderbarkeit; auch mit änderbaren Systemen bei ordnungsgemäßer Protokollierung zulässig)
    • HGB/AO (Handelsgesetzbuch/Abgabenordnung) – Aufbewahrungspflichten (in der Regel 6 bzw. 10 Jahre)
  • Branchenspezifische Vorgaben und Standards
    • MaRisk/BAIT, VAIT, KAIT, ZAIT (Finanz- und Versicherungssektor)
    • DORA (Digital Operational Resilience Act, Resilienz im Finanzsektor, Schnittstelle zu NIS2)
    • PCI DSS (vertraglicher Standard für Zahlungskarten), EBA/EIOPA-Leitlinien, TISAX (Automobilindustrie), KRITIS-Regelungen (BSI-KritisV, BSIG)
  • Compliance-, Governance- und Prüfungsstandards
    • ISO 37301 (Compliance-Management-Systeme), ISO 37001 (Anti-Korruption), ISO 37002 (Whistleblowing), COSO (Internal Control, ERM), IDW PS 980/AsS 980 (CMS-Prüfung), COBIT (IT-Governance), SOC 2, ISAE 3000/3402
  • KI-Governance und -Regulierung
    • EU AI Act (Rollen, Hochrisikosysteme, QMS, Daten-/Modell-Governance, Logging, Konformitätsbewertung, Post-Market-Monitoring)
    • ISO/IEC 42001 (AI Management System), ISO/IEC 23894 (AI-Risikomanagement)
  • Weitere Regelwerke mit Informationsbezug
    • Data Act, Data Governance Act, Cyber Resilience Act, Digital Services Act, Digital Markets Act
  • Lieferkettensorgfalt und Nachhaltigkeit
    • Lieferkettensorgfaltspflichtengesetz (LkSG): Risikomanagement, Abhilfemaßnahmen, Beschwerdeverfahren, Berichtspflichten; TPRM-Standards/Fragebögen (CAIQ, SIG), kontinuierliches Monitoring
    • EU CSRD/ESRS (Nachhaltigkeitsberichtspflichten)
  • Elektronische Signaturen und digitale Identitäten
    • eIDAS-Verordnung (einfache, fortgeschrittene, qualifizierte elektronische Signatur; qualifizierte Zeitstempel, elektronische Siegel, Vertrauensdienste; künftige EU Digital Identity Wallet)
  • Weitere Themen
    • Hinweisgeberschutzgesetz, Geldwäschegesetz, Exportkontrolle/Sanktionen, Kartellrecht, Antikorruptionsrecht, Software-Asset-Management (ISO 19770), Open-Source-Compliance (OSPO, SBOM)

Wesentlich ist ein laufendes Rechtsmonitoring und die Anpassung der eigenen Compliance-Strukturen angesichts neuer Anforderungen.

Compliance im Informationsmanagement

Informationsmanagementsysteme unterstützen Sie, die für Compliance erforderlichen Strukturen und Prozesse technisch, organisatorisch und rechtlich zu gewährleisten. Grundlage bleibt jedoch ein Zusammenspiel aus Prozessdesign, Unternehmenskultur, Governance und technischen Kontrollen.

Zu den wichtigsten Aufgaben im Informationsmanagement zählen:

  • Aufbau und laufende Pflege eines vollständigen, klassifizierten Dateninventars (nach Schutzbedarf, Aufbewahrungsfristen)
  • Präzises Berechtigungsmanagement nach dem „Least Privilege“-Prinzip, Trennung kritischer Aufgaben (Segregation of Duties)
  • Nachvollziehbare Protokollierung und revisionssichere Dokumentation (Audit Trails, GoBD-konforme Protokollierung)
  • Entwicklung und Umsetzung von Retention- und Löschkonzepten unter Berücksichtigung gesetzlicher und vertraglicher Anforderungen sowie Standards (z. B. DIN 66398, ISO 15489, OAIS, BSI TR-03125)
  • Moderne Verschlüsselung (at rest und in transit), Data Loss Prevention, Key Management, Integritätsschutz
  • Unterstützung sämtlicher Betroffenenrechte der DSGVO (z. B. Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch, Übertragbarkeit), inkl. Fristen- und Identitätsprüfung
  • Etablierte Incident- und Data-Breach-Abläufe inkl. Erkennung, Meldeworkflows, Fristentracking (wie 72-Stunden-Meldung an Behörden)
  • Standardisierte Lieferanten-, Vertrags- und Drittparteienmanagementprozesse inkl. Due Diligence, Risikoanalysen und Exit-Strategien
  • Umsetzung von Legal Hold/Litigation Hold, eDiscovery-Funktionen für mögliche Rechtskonflikte
  • Unterstützung bei rollenbasiertem Zugriff, Mandantenfähigkeit und Forensik bei Cloud-Anwendungen

Diese Bausteine bilden die Grundlage einer durchgängigen und nachweisbaren Compliance in der Informationsverarbeitung.

Bausteine eines Compliance-Management-Systems (CMS)

Ein robustes Compliance-Management-System umfasst:

  • Klare Führungsverantwortung („Tone from the Top“) und gelebte, überprüfbare Compliance-Kultur
  • Zentrale Steuerung, regelmäßige Aktualisierung und verständliche Kommunikation von Richtlinien und Prozessen (Policies/SOPs)
  • Risikobasierte Identifikation, Bewertung und Priorisierung von Compliance-Risiken; kontinuierliche Aktualisierung
  • Gezielte Kontrollen, Maßnahmen und technisch-organisatorische Prüfungen
  • Strukturierte Organisation mit definierten Rollen (z. B. CISO, DPO) und Berichtslinien, Gremien/Komitees, Unabhängigkeit sensibler Funktionen
  • Anwendung des modernen „Three Lines Model“ für Aufgabenverteilung, Überwachung und Eskalation
  • Kontinuierliche Kommunikation, Awareness und angepasste Schulungen je Zielgruppe; Förderung von Speak-up und Hinweisgeberschutz
  • Regelmäßige Überwachung und Bewertung der Wirksamkeit (intern/extern), KPIs, kontinuierliche Verbesserung (PDCA-Zyklus)

Ergänzend von Bedeutung sind Third Party Risk Management (TPRM), Kontrollmechanismen für Outsourcing/Cloud und Notfallvorsorge mit Business-Continuity-Ansätzen (z. B. ISO/IEC 22301).

Wichtige Funktionen eines Informationsmanagementsystems

Ein Informationsmanagementsystem sollte für Compliance unter anderem folgende Funktionen bieten:

  • Steuerung, Versionierung und Freigabe von Policies und Verfahrensdokumentationen
  • Technische Umsetzung von Aufbewahrungs- und Löschregeln (Retention Schedules) auf Dokumenten- und Objektebene
  • Flexible, rollenbasierte Rechteverwaltung mit SoD-Prüfung, Joiner-Mover-Leaver-Prozessen (JML), Multifaktor-Authentifizierung, Zero-Trust-Modellen und regelmäßigen Reviews
  • Protokollierung und unveränderbare Dokumentation aller geschäftskritischen Aktivitäten (Audit Logs, Änderungen nachvollziehbar)
  • Unterstützung für qualifizierte elektronische Signaturen, Siegel und Zeitstempel nach eIDAS sowie Einbindung von Vertrauensdiensten
  • Nachweis/Verfolgung absolvierte Schulungen und Awarenessmaßnahmen inklusive Testergebnisse; Wirksamkeitskontrolle
  • Gemanagte Meldesysteme/Workflows für Incidents und Hinweise, rechtssicheres Reporting, Nachverfolgung und Eskalation
  • Transparentes Lieferanten- und Drittparteienmanagement einschl. Standardfragebögen (wie CSA CAIQ, SIG)
  • Echtzeit-Reporting und Dashboards für Compliance-Status, KPIs, Risiken und Auditvorbereitung
  • Integration mit relevanten Systemen (ERP, CRM, HR, IAM, Collaboration), Unterstützung von Cloud-Forensik, Mandantenfähigkeit, Datenlokalität und Shared-Responsibility

Dadurch machen Sie Compliance systematisch und gesamtheitlich im Unternehmen nutzbar.

Best Practices für die Umsetzung

Für nachhaltige Compliance sind folgende Maßnahmen bewährt:

  • Aufbau einer vollständigen, aktuellen Datenlandkarte (Systeme, Datenarten/-flüsse, Schutzbedarf, Risiken)
  • Risikobasierte Priorisierung kritischer Prozesse und besonders schützenswerter Daten
  • Datenschutz und Informationssicherheit vom Start an verankern („Privacy und Security by Design/Default“)
  • Einheitliche, verständliche Policies vermeiden Insellösungen und schaffen Klarheit
  • Nutzung technischer Automatisierung, insbesondere für Löschungen, Zugriffsmanagement, Reporting, Vorfallmanagement
  • Regelmäßige, zielgruppenorientierte und überprüfte Schulungen (nicht nur Teilnahme, sondern Verständnis dokumentieren)
  • Durchführung interner Audits, Penetrationstests, Tabletop- und Notfallübungen
  • Vollständige, nachvollziehbare Dokumentation sämtlicher Compliance-Maßnahmen, Entscheidungen und Abweichungen
  • Kontinuierliches Monitoring der Lieferkette und Drittparteien, inklusive Risikoanalysen und Follow-up Audits
  • Pragmatisches Vorgehen: Schrittweise Einführung priorisierter Maßnahmen und Steuerung via KPIs

Typische Fehler und Missverständnisse

Vermeiden Sie diese häufigen Stolpersteine:

  • Compliance auf rein juristische Belange zu begrenzen; Organisation, Technik und Kultur sind ebenso relevant
  • Das Thema Compliance als Projekt zu sehen, nicht als laufenden Prozess
  • Unklare Verantwortlichkeiten, fehlende Eskalationswege oder mangelhafte Ressourcenzuteilung
  • Nicht dokumentierte Maßnahmen oder fehlende Nachweise; Policy-Überflutung und Unübersichtlichkeit
  • Schatten-IT, unkontrollierte Datenhaltung sowie das Vernachlässigen von Lösch- und Bereinigungskonzepten
  • Falsches Verständnis von „revisionssicherer Archivierung“: Entscheidend sind Nachvollziehbarkeit, Unveränderbarkeit (auch in änderbaren Systemen möglich), vollständige Prozess- und Verfahrensdokumentation
  • GoBD-Konformität betrifft sämtliche steuerlich relevanten Prozesse und das interne Kontrollsystem, nicht allein die Dokumentenablage
  • Ungeübte oder veraltete Notfallpläne verringern die Resilienz erheblich

Kennzahlen und Reporting

Zielgerichtete Steuerung und Verbesserung erhalten Sie durch relevante Kennzahlen:

  • Anteil aktueller, bestätigter Richtlinien (Policy-Abdeckung)
  • Erfolgsquote und Wirksamkeit von Schulungen (Verständnistests, Re-Zertifizierungen)
  • Anzahl, Schwere und Behebungsdauer von Auditfindings oder Schwachstellen (z. B. SLA-Quote, Zeit bis Nachbesserung)
  • Regelmäßigkeit von Zugriffsreviews, dokumentierte Konflikte bei Segregation of Duties
  • Bearbeitungszeiten für Betroffenenrechte (max. 1 Monat, verlängerbar um bis zu zwei weitere Monate; Information über Verlängerung innerhalb der ersten Frist)
  • Durchschnittliche Bearbeitungszeit für Incidents und Datenpannen (inkl. 72-Stunden-Pflicht bei meldepflichtigen Vorfällen)
  • Fristgerecht umgesetzte Löschungen und Aufbewahrungen (Retention-Compliance)
  • Erfolg von Backup-/Restore-Tests, Zahl kritischer Findings, Phishing-Simulationsergebnisse
  • Fortschritt bei der Umsetzung von Abhilfemaßnahmen nach internen/externen Audits

Kennzahlen können als KPIs (Key Performance Indicators), KRIs (Key Risk Indicators) oder KCIs (Key Control Indicators) klassifiziert sein. Durch kontinuierliches Reporting werden Optimierungspotenziale sichtbar.

Praxisbeispiele

Typische Compliance-Anforderungen und konkrete Umsetzungsoptionen:

  • DSGVO-Löschkonzept: Protokollierte, automatisierte Löschungen mit Dokumentation von Ausnahmen, Reporting für den Datenschutzbeauftragten und die Aufsicht
  • GoBD-Konformität: Steuerrelevante Unterlagen unveränderbar aufbewahren, Prozesse und Systeme mit Prüfdokumentation und nachweislich geprüftem Kontrolldesign, regelmäßige Reviews und interne Audits
  • Lieferanten- und Cloud-Compliance: Standardisierte Onboarding-Prozesse, Risikoassessments, Vertragsprüfungen (inkl. Sicherheit), kontinuierliche Überwachung und Wiederholungs-Audits
  • eIDAS-konforme Prozesse: Einsatz von qualifizierten Signaturen, Zeitstempeln und Siegeln, Vertrauensdienste in Vertrags- und Workflowprozessen
  • Internationaler Datentransfer: DSGVO-konforme Umsetzung per Standardvertragsklauseln, Transfer Impact Assessments, technische Zusatzmaßnahmen, Prüfung von Drittstaaten-Niveau

Kompakte Checkliste

Schlüsselthemen für Ihre Compliance auf einen Blick:

  • Liegt ein vollständiges, aktuelles Dateninventar mit Klassifizierungen vor?
  • Sind Aufbewahrungs- und Löschkonzepte technisch wie organisatorisch umgesetzt und dokumentiert?
  • Haben Sie ein geprüftes Rollen- und Rechtekonzept mit regelmäßigen SoD-/JML-Checks?
  • Sind Nachvollziehbarkeit, Unveränderbarkeit und Verfahrensdokumentation lückenlos gewährleistet?
  • Werden alle Policies zentral gemanagt, verständlich formuliert, verteilt und bestätigt?
  • Gibt es Nachweise über erfolgreiche, zielgruppenorientierte Mitarbeiterschulungen?
  • Funktionieren die Incident- und Hinweisgeberprozesse und wurden sie bereits geprüft?
  • Wird das Lieferantenmanagement dokumentiert, einschließlich Sicherheits- und Vertragsprüfungen?
  • Werden regelmäßige interne und externe Audits mit Management-Reviews durchgeführt?
  • Verfügen Sie über Dashboards und Kennzahlen für die laufende Überwachung und Steuerung?

Häufige Fragen zu Compliance

Was versteht man unter Compliance?

Compliance bedeutet die systematische, nachweisbare Einhaltung aller relevanten Gesetze, Normen, Standards und internen Richtlinien. Ziel ist es, Risiken zu minimieren, Prozesse regelkonform zu gestalten und transparent nachzuweisen.

Worin liegt der Unterschied zwischen Compliance, Governance und Risikomanagement?

Governance bestimmt Leitlinien, Ziele und Verantwortlichkeiten. Risikomanagement identifiziert, bewertet und steuert Risiken. Compliance gewährleistet die Einhaltung der Vorgaben und erfordert systematische Kontrollen, Nachweise und Dokumentation. Gemeinsam bilden sie das GRC-Modell (Governance, Risk, Compliance).

Wer trägt die Verantwortung für Compliance?

Die Gesamtverantwortung liegt bei der Geschäftsleitung. Weitere zentrale Rollen sind der Compliance Officer, Datenschutzbeauftragte (DPO), CISO, Fachbereiche und interne/externe Revision. Eine wirksame Compliance braucht klare Zuständigkeiten, Berichtslinien und ein unabhängiges Kontrollumfeld.

Welche Vorgaben und Standards sind im Informationsmanagement besonders relevant?

Wesentliche Vorgaben sind: DSGVO, BDSG, TTDSG, GoBD, HGB/AO, NIS2UmsuCG, ISO/IEC 27001/27002/27701, BSI IT-Grundschutz, branchenspezifische Standards wie MaRisk/BAIT, DORA, sowie Frameworks und Nachweisformate wie TISAX, ISO 37301 und SOC 2.

Reicht eine sogenannte „revisionssichere“ Archivierung für Compliance aus?

Nein. Die Aufbewahrung allein genügt nicht. Sie benötigen eine vollständige Verfahrensdokumentation, verständliche Policies, ein passendes Berechtigungskonzept, geprüfte Löschregeln, kontinuierliche Nachweise und regelmäßige Audits (z. B. nach GoBD).

Wie oft sollten wir Audits durchführen?

Mindestens ein internes Audit im Jahr ist sinnvoll, Umfang und Frequenz können je nach Risiko, Zertifizierungsanforderungen oder Veränderungen im Unternehmen variieren. Zusätzlich sind anlassbezogene und externe Audits – etwa bei Vorfällen oder Systemwechsel – erforderlich.

Was sind die Risiken und Kosten von Non-Compliance?

Non-Compliance kann Bußgelder (z. B. DSGVO), Schadensersatz, Imageschäden, Projektverzögerungen, Lizenzverlust, zusätzliche Kosten und rechtliche Risiken zur Folge haben. Es besteht Gefahr für Märkte, Geschäftsfähigkeit und unternehmensweite Reputation.

Wie lange müssen wir Dokumente aufbewahren?

Handels- und steuerrechtlich sind in Deutschland Dokumente meist 6 bzw. 10 Jahre aufzubewahren (HGB/AO). Branchenspezifische oder internationale Anforderungen können längere Fristen vorsehen. Entscheidend ist ein dokumentiertes, technisch umgesetztes Retention-Konzept.

Was ist der Unterschied zwischen Datenschutz und Informationssicherheit?

Datenschutz schützt personenbezogene Daten und die Rechte von Individuen. Informationssicherheit zielt auf die Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen – unabhängig vom Personenbezug. Beide Bereiche überschneiden sich, sind jedoch eigenständig zu betrachten.

Wie beginnen wir pragmatisch mit Compliance?

Starten Sie mit einer systematischen Datenlandkarte, analysieren Sie Risiken, definieren Sie die wichtigsten Richtlinien und setzen Sie Lösch- und Berechtigungskonzepte um. Etablieren Sie Incident- und Hinweisgeberprozesse, führen Sie gezielte Schulungen durch und steuern Sie Ihre Fortschritte über aussagekräftige Kennzahlen.

Inhaltsverzeichnis
GLOMAS Logo
Wir gestalten das Informations­management der Zukunft.
Lösungen
BibliotheksmanagementNormenmanagementParlamentsdokumentation
Ressourcen
ArtikelGlossar
GLOMAS
NewsroomÜber unsKarriere
Copyright © 2025 GLOMAS Deutschland GmbH
Privatsphäre-EinstellungenImpressumDatenschutz