Was wird für die Unternehmen teurer? Die Kosten der Einhaltung der Vorschriften oder die Strafen für deren Nichteinhaltung? Compliance-Anforderungen gehören seit Jahren zum festen Bestandteil der IT-Welt. Was die Compliance zu einem aktuell wichtigen Thema macht, ist die bevorstehende Umsetzung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die im Mai dieses Jahres in Kraft treten wird.
Die DSGVO gilt für alle Unternehmen, die in Europa Geschäfte tätigen oder Informationen über europäische Bürger sammeln wollen. Dies gilt auch für die in den USA und Asien ansässige Unternehmen, die ihre Geschäfte in Europa machen wollen. Ein US-Unternehmen unterliegt ab Mai nicht nur den US-Bestimmungen (PCI, HIPAA, Sarbanes-Oxley Act) sondern dann auch DSGVO. Die Compliance-Vorschriften enthalten jedoch keine klaren Anweisungen zum Schutz der Daten. Sie definieren nur, was geschützt werden muss und wie dieser Datenschutz geprüft wird.
Compliance bzw. die Regelkonformität ist die Umschreibung für die Einhaltung von Gesetzen und Richtlinien. Die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen in einem Unternehmen wird als Compliance-Management-System bezeichnet. Compliance bedeutet also, dass eine Organisation bestätigen muss, dass sie die Anforderungen anerkannter Praktiken, Gesetze, Regeln und Vorschriften sowie spezifischer Standards erfüllt. Die Einhaltung dieser Regeln kann auch Teil eines Vertrags sein. Compliance ist die Handlung, Bundes-, Staats- und internationale Gesetze und Vorschriften einzuhalten – und dies zusätzlich zu den Unternehmensrichtlinien und -verfahren. Die Einhaltung der Compliance hat die Ziele:
- Risikominimierung,
- Effizienzsteigerung und
- Effektivitätssteigerung.
Für die Umsetzung der Compliance in einem Unternehmen müssen die entsprechenden Geschäftsprozesse etabliert werden. Hierzu gehören:
- Die Prozesse der Risikoanalyse: Derartige Teilprozesse dienen der Identifikation von Bedrohungen und Gefahren im Rahmen der wertschöpfenden Aktivitäten des Unternehmens.
- Die Prozesse der Abweichungsanalyse: Solche Prozesse werden ausgelöst, sofern der realisierte Ist-Wert einer Aktivität oder einer Aktivitätenfolge außerhalb des definierten Toleranzbereichs um den Soll-Wert liegt.
- Die Prozesse des Umgangs mit Ausnahmesituationen: Im Mittelpunkt steht das (potentielle) Eintreffen gravierender Ereignisse mit erheblicher kritischer Relevanz für das Unternehmen. Es gilt, für solche Fälle mit vorstrukturierten Soll-Prozessen zum Zwecke der Aufklärung und Schadensbegrenzung vorbereitet zu sein.
- Die Prozesse der Eskalation: Gegenstand von Eskalationsprozessen ist die Auflösung bereits entstandener sowie die Verhinderung zu befürchtender Non-Compliance-Situationen. Das Ziel dieser Prozesse besteht darin, kritische Aktivitäten zu eskalieren. Dies bedeutet, dass derartige Aktivitäten transparent gemacht und zeitnah einer verantwortlichen Instanz zum Treffen regulierender Entscheidungen zwingend vorgetragen werden.
Das Risikomanagement besteht somit aus den Aktivitäten, die ein Unternehmen leiten und kontrollieren, so dass negative Ereignisse begrenzt bzw. vermieden werden können. Compliance ist somit auch eine Reporting-Funktion. Diese umfasst, wie ein Sicherheitsprogramm die spezifischen Sicherheitsstandards erfüllt, die von den Regulierungsbehörden vorgegeben wurden.
Compliance vs. Sicherheit
Immer noch sind einige Unternehmen der Meinung, dass die Begriffe „Compliance“ und „Sicherheit“ identisch sind. Viele Unternehmen fokussieren ihre Aktivitäten aufgrund komplizierter Vorschriften auf die IT-Sicherheit. Beide Begriffe übernehmen im Gesamtkontext jedoch verschiedene Rollen. Es spielt erst einmal keine Rolle, ob die Daten in den Räumlichkeiten eines Unternehmens oder in der Cloud abgelegt wird. Die Vorschriften zum Datenschutz bleiben gleich. Die für die Umsetzung der Sicherheit verantwortlichen Personen können sich, zwischen der Cloud und dem Speichern in den Räumlichkeiten des betreffenden Unternehmens, unterscheiden. Trotzdem gilt immer der Grundsatz: Die Verantwortung lässt sich nicht Outsourcen!
Die Cyber-Sicherheit schützt die Daten eines Unternehmens/einer Person vor Bedrohungen, indem diese steuert, wie diese Informationen verwendet, genutzt und bereitgestellt werden. Dagegen handelt es sich bei der Compliance um eine Berichtsfunktion, die beschreibt, wie ein Sicherheitsprogramm bestimmte regulatorische Sicherheitsstandards erfüllt. Nur die Einhaltung von Richtlinien gewährleistet noch keine Sicherheit. Die Compliance-Anforderungen taugen nicht als Vorlage für die Erstellung eines Sicherheitsprogramms. Sicherheit schafft die Voraussetzungen dafür, dass Compliance erfolgreich sein kann.
Das Ponemon Institute veröffentlichte kürzlich einen Report mit dem Titel „The True Cost of Compliance With Data Protection Regulations“ (https://www.globalscape.com/resources/whitepapers/data-protection-regulations-study). Dieser Report vergleicht die Kosten für die Einhaltung und die Nichteinhaltung der Compliance-Vorschriften in den Jahren zwischen 2011 und 2017. Wie aus der nachstehenden Grafik zur erkennen ist, sind die Kosten für die Nichteinhaltung der Compliance erheblich höher als die Kosten für die Einhaltung der Vorschriften. Die Kosten für Non-Compliance und Compliance sind in dem Zeitraum von 2011 auf 2017 erheblich angestiegen. Trotzdem bewegen sich die Compliance-Kosten auf einem deutlich geringeren Niveau.
Die Compliance-Kosten werden mehr durch unterschiedliche Gesetze und Vorschriften bestimmt und nicht notwendigerweise durch das Bedürfnis eines Unternehmens, die Sicherheit zu verbessern. Die landes- und europaweit gültigen Vorschriften legen die Regeln zur Einhaltung fest. Die Krux bei diesen Vorschriften und Gesetzen besteht darin, dass diese eine ständige Überwachung und Überprüfung der Einhaltung der Vorschriften durch die Unternehmen erfordern. Die Kosten für die Einhaltung der Vorschriften belasten selbstverständlich die jeweiligen Unternehmensbudgets. Zu den Kosten gehören nicht nur Die Löhne für dedizierte Fachkräfte und die Beschaffung entsprechender Technologien zur Risikominderung, sondern auch die Unterstützung von speziellen Rechtsberatern sowie die Strafen für die Nichteinhaltung der Richtlinien und Gesetze.
Viele der typischen Compliance-Kosten werden der Sicherheit zugeordnet:
- Schutz der Informationen und alle Aktivitäten, die sich mit der Durchsetzung dieser Schutzregelungen befassen.
- Planung der Gegenmaßnahmen bzw. Reaktion auf Vorfälle und Bereitstellung eines Teams, das die Gegenmaßnahmen unterstützt.
- Prüfung und Bewertung (Auditierung) der Compliance-Aktivitäten.
- Die Erarbeitung von Richtlinien zur Einhaltung der Compliance.
- Die Einhaltung der Compliance-Anforderungen und -Regelungen für die internen Abläufe des Unternehmens sowie die Schulung der dafür verantwortlichen Personen.
- Zertifizierung von Mitarbeitern.
- Alle Aktivitäten und Prozesse, die sich mit der Beseitigung von Compliance-Konflikten oder -Lücken befassen.
- Alle Investitionen in Technologien, die dazu beitragen, die Vermögenswerte eines Unternehmens zu schützen.
Im Ponemon-Papier wird explizit darauf hingewiesen, dass die Kosten für die Einhaltung der Vorschriften mit der Anzahl der Mitarbeiter und der Anzahl der genutzten externen Berater ansteigen.
Compliance-Kosten der Industriesegmente
Im Ponemon-Report wird festgestellt, dass die Compliance-Kosten für die Finanzdienstleister und die klassischen Industrieunternehmen am höchsten sind. Obwohl die Umfrage an einer zu kleinen Stichprobengröße krankt, zeigen die ermittelten Zahlen jedoch, dass die Compliance-Kosten in vielen Geschäftsbereichen sehr unterschiedlich ausfallen. Die nachfolgende Grafik zeigt den Anstieg der Compliance-Kosten (In den Jahren von 2011 bis 2017) den jeweiligen Industriesegmenten auf.
Kosten der Nichteinhaltung der Compliance
Die Strafen für die Nichteinhaltung der Compliance-Vorschriften sind laut dem Ponemon-Report 2,71 Mal höher als die Kosten, die für deren Einhaltung aufzuwenden sind. Die erhöhten Kosten setzen sich aus den folgenden Elementen zusammen:
- Unterbrechung der Geschäftstätigkeit.
- Produktivitätsrückgang.
- Einnahmeverluste.
- Geldbußen und Kosten zur Wiederherstellung der Compliance.
- Zusätzliche Marketingkosten in Richtung der Kunden/Nutzer.
- Imageverlust.
- Kosten für die Rechts- und Compliance-Beratung.
- Durchführung weiterer Audits.
Audits
Die meisten Unternehmen führen einmal jährlich ein Audit durch. Das Ponemon-Papier weist jedoch darauf hin, dass die Durchführung mehrerer Audits pro Geschäftsjahr zwar die Auditierungskosten erhöhen, aber tatsächlich die Gesamtkosten der Compliance reduzieren. Daher wird empfohlen, zwei Audits pro Jahr durchzuführen. Die erhöhte Auditierung hat den Vorteil, dass diese die Compliance-Ziele des Unternehmens unterstreichen und alle an den Compliance-Prozessen beteiligten Personen daran erinnern, dass die Compliance und die Sicherheit keine Selbstläufer ist und die Prozesse immer wieder überprüft werden müsssen.
Von Mathias Hein, Consultant, Buchautor, Redakteur
#Netzpalaver