Vorschriften sagen nichts über Auswirkungen auf Unternehmens-IT

Keine Hilfe bei Compliance-Fragen

30. Dezember 2008
Andrea König lebt als freie Journalistin in Hamburg. Arbeiten von ihr wurden unter anderem in der Süddeutschen Zeitung und im Focus veröffentlicht, seit 2008 schreibt sie auch für CIO.de. Die Schwerpunkte Ihrer Arbeit für die CIO-Redaktion sind Themen rund um Karriere, soziale Netzwerke, die Zukunft der Arbeit und Buchtipps für Manager.
Ob Corporate Governance, Data Retention, Datenschutz oder Segregation of Duties: IT-Abteilungen müssen selbst herausfinden, welche Aufgaben bei Richtlinien zu beachten sind. Keine leichte Aufgabe, findet Gartner-Analyst Carsten Casper.
Carsten Casper sprach mit CIO.de über Compliance und die Aufgabe der IT.
Carsten Casper sprach mit CIO.de über Compliance und die Aufgabe der IT.

Der Datenskandal um die Deutsche Telekom ist nur ein Beispiel dafür, dass in vielen Unternehmen Aufklärungs- und Handlungsbedarf in Sachen ComplianceCompliance besteht. CIO.de sprach mit dem Gartner-Analysten Carsten Casper über unterschiedliche Vorschriften und Regelungen in Deutschland und Europa und deren Auswirkungen auf die Unternehmens-IT. Alles zu Compliance auf CIO.de

CIO.de: In welchen Bereichen stellen EU und deutsche Behörden Regelungen für Unternehmen auf?

Casper: Drei wesentliche Themenbereiche sind Corporate Governance, Data Retention und DatenschutzDatenschutz. Transparenz und Nachvollziehbarkeit bestimmen Corporate Governance. Schlagworte wie Vorratsdatenspeicherung und Aufbewahrung von Geschäftsunterlagen fallen in den Bereich Data Retention. Datenschutz erfordert häufig eine Verschlüsselung personenbezogener Daten. Alles zu Datenschutz auf CIO.de

CIO.de: Welcher Bereich ist am wichtigsten?

Casper: Man muss das eine tun und darf das andere nicht lassen. Corporate Governance hat die meiste öffentliche Diskussion mit sich gebracht. Es hängt aber vom jeweiligen Unternehmen ab, welcher Bereich dominiert.

CIO.de: Welche Auswirkungen haben Regularien auf die IT?

Casper: Ein Grundproblem ist es, genau das herauszufinden. In den Vorschriften werden die Auswirkungen auf die IT nicht benannt. Man muss die Compliance-Anforderungen an die IT selbst herausfinden.