Regulatorische Compliance: Was Sie wissen müssen
Die Einhaltung gesetzlicher Vorschriften (engl. Regulatory Compliance) ist für jedes Unternehmen unerlässlich und kann sich sogar finanziell lohnen, da Sie Geldstrafen vermeiden und Sicherheitslücken in Ihrem Unternehmen aufdecken können.
Was bedeutet der Begriff “Regulatorische Compliance”? Bei der regulatorischen Compliance geht es um Gesetze und Vorschriften, die ein Unternehmen befolgen muss, um bei bestimmten Behörden, Regierungen und Kunden den Status eines ordentlichen Unternehmens zu wahren. Die Standards für die Einhaltung gesetzlicher Vorgaben sind branchen- und standortspezifisch und können hohe Strafen nach sich ziehen, wenn sie nicht korrekt befolgt werden.
Wie gestaltet sich die Einhaltung gesetzlicher Vorgaben?
In jeder Branche gibt es Vorschriften, und Unternehmen, die in diesen Branchen tätig sind, müssen diese Bestimmungen einhalten. Die Einhaltung von Vorschriften kann sich auf eine Vielzahl verschiedener Verfahren, Prozesse und Abläufe innerhalb eines Unternehmens beziehen. Ein Unternehmen wird wahrscheinlich mehr als einen Bereich der Compliance haben.
Zu den verschiedenen Arten der Compliance gehören unter anderem die folgenden:
- Finanzwirtschaftliche Compliance: Unternehmen müssen faire, transparente Finanzunterlagen führen und unethische oder illegale finanzwirtschaftliche Aktivitäten, die Stakeholdern oder Verbrauchern schaden, unterlassen. Beispiele für derartige Vorschriften sind die Regeln der Federal Deposit Insurance Corporation (FDIC) zum Schutz der Verbraucher und der Sarbanes-Oxley Act (SOX), der Finanzberichte und Transparenz für Unternehmen vorschreibt, um Betrug einzudämmen.
Darüber hinaus ist die Compliance mit Service Organization Control 2 (SOC 2) eine Bescheinigung für Investoren und Versicherer über die Sicherheit von Systemen mit Kundendaten. Es wird vom American Institute of Certified Public Accountants verwaltet.
-
Cyber-Security Compliance: Die Vorschriften zur Cybersicherheit konzentrieren sich auf die Sicherheit und den Datenschutz von Daten in IT-Systemen. Dazu gehören Vorschriften zur Implementierung von Verschlüsselung, Firewall-Sicherheit, Netzwerkkontrollen, Verhinderung von Sicherheitsverletzungen und Abhilfemaßnahmen.
Viele moderne Vorschriften enthalten Anforderungen in Bezug auf die Cyber-Sicherheit, wie z. B. der Health Insurance Portability and Accountability Act (HIPAA) , das Federal Risk and Authorization Management Program (FedRAMP), und der Payment Card Industry Data Security Standard (PCI DSS).
- Regulatorische Compliance: Diese besondere Form der Compliance betont die rechtlichen Verpflichtungen, denen ein Unternehmen im Rahmen seiner Tätigkeit unterliegt. Rechtliche Vorgaben sind eine rechtliche Form der Governance, die auf der Gesetzgebung und der Regulierung durch eine Regierungsbehörde oder eine angrenzende Aufsichtsbehörde beruht.
Diese Form der Regulierung kann sich oft mit anderen überschneiden. Die Compliance umfasst in vielen Fällen Vorgaben zu Finanzen, IT, Berichtswesen und Audit-Protokollierung.
Da es erhebliche Überschneidungen zwischen verschiedenen Arten von Vorschriften gibt, ist es wichtig zu verstehen, woher diese Gesetze stammen. Der HIPAA beispielsweise ist eine Vorschrift für alle Gesundheitsdienstleister, Versicherungsgesellschaften und zugehörigen Anbieter, die von Bundes- und Kommunalbehörden eingeführt und verwaltet wird. Der HIPAA enthält jedoch auch mehrere Bestimmungen zur Cybersicherheit und zum Finanzdatenschutz.
Im Gegensatz dazu enthält SOC 2 zwar mehrere Bestimmungen zu Daten-Management, Sicherheit und Datenschutz, ist aber keine gesetzliche Vorschrift. Es ist nicht gesetzlich geregelt und wird nicht als Teil von Industriestandards verlangt.
Was bedeuten die verschiedenen Compliance-Vorschriften?
Für verschiedene Branchen gelten in der Regel eigene gesetzliche Regelungen. Manche Vorschriften sind branchenübergreifend und gelten für eine Vielzahl von Unternehmenstypen.
Einige der gängigen Regelwerke sind:
|
| Betrifft | Verwaltet durch | Abgedeckte Bereiche | Anforderungen |
| Health Insurance Portability and Accountability Act (HIPAA) | Betroffene Einrichtungen (Krankenhäuser, Ärzte, Versicherungs-gesellschaften) und ihre Geschäftspartner | U.S. Department of Health and Human Services (HHS) | Schutz privater Gesundheits-informationen vor unbefugter Offenlegung | Cyber-Security-Kontrollen; physische und administrative Datenschutz-kontrollen |
| Sarbanes-Oxley Act (SOX) | Börsennotierte Unternehmen | U.S. Securities and Exchange Commission (SEC) | Schaffung von Transparenz in der Finanzbericht-erstattung von Unternehmen | Unternehmen müssen Sicherheit, Transparenz und Nachvollzieh-barkeit in die Finanzbericht-erstattung gegenüber Stakeholdern und der Regierung integrieren. |
| General Data Protection Regulation (GDPR) / Datenschutz-Grundverordnung (DSGVO) | Alle Unternehmen, die Verbraucher-daten in der Europäischen Union erfassen | Das Büro des EU-Informations-kommissars (ICO) | Schutz von Verbraucher-informationen in EU-Ländern | Unternehmen müssen Datenschutz-, Sicherheits- und Einwilligungs-kontrollen einführen, um Verbraucherdaten vor Offenlegung oder Missbrauch zu schützen. |
| California Consumer Privacy Act (CCPA)* | Mittelständische und große Unternehmen in Kalifornien | California Privacy Protection Agency (CPPA) | Schutz von Verbraucherdaten in der kalifornischen Rechtsprechung | Unternehmen müssen Datenschutz-, Sicherheits- und Einwilligungs-kontrollen einführen, um Verbraucherdaten vor Offenlegung oder Missbrauch zu schützen. |
| Federal Risk and Authorization Management Program (FedRAMP) | Cloud Service Provider, die mit U.S.-Bundes-behörden zusammen-arbeiten | U.S. Joint Authorization Board (JAB) und Program Management Office (PMO) | Absicherung von Cloud-Systemen, die von Bundes-behörden über externe Anbieter genutzt werden | CSPs (Cloud Storage Provider) müssen NIST 800-53 und andere Kontrollen implementieren, um die Mindest-standards zu erfüllen. |
| Cybersecurity Maturity Model Certification (CMMC) | Digitale Auftragnehmer, die mit Behörden des U.S.-Verteidigungs-ministeriums zusammen-arbeiten | U.S.-Verteidigungs-ministerium (Department of Defense, DoD) | Sicherung von verteidigungs-bezogenen IT-Systemen in der DoD-Lieferkette | Auftragnehmer müssen NIST 900-171 und NIST 800-172 Kontrollen implementieren, um in der Lieferkette arbeiten zu können |
* Ab dem 1. Januar 2022 wird der CCPA in den California Privacy Rights Act (CPRA) mit erweiterten Vorschriften und Kontrollen umgewandelt.
Darüber hinaus gibt es einige Standards, die nicht gesetzlich vorgeschrieben oder geregelt sind, sondern sich entweder auf branchenübliche Verfahren oder auf die freiwillige Anwendung durch ein Unternehmen beziehen:
|
| Betrifft | Verwaltet durch | Abgedeckte Bereiche | Anforderungen |
| Service Organization Control (SOC) 2 | Alle, die den Standard übernehmen | Amerikanisches Institut der Wirtschaftsprüfer (AICPA) | Datensicherheit, Datenschutz, Geheimhaltung und Integrität | Unternehmen müssen Mindeststandards für Sicherheit und Datenschutz erfüllen und sich regelmäßigen Audits unterziehen |
| Internationale Organisation für Normung (ISO) 27000 Series | Alle, die den Standard übernehmen | Internationale Organisation für Normung (ISO) | Sicherheit von Daten und IT-Infrastruktur | Die Gestaltung, Entwicklung, Implementierung und Pflege von Informations-sicherheits-Management-systemen (ISMS) in Unternehmen |
| Payment Card Industry Data Security Standard (PCI DSS) | Einzelhändler und Gewerbe-treibende, die Kreditkarten-zahlungen akzeptieren | Kreditkarten-unternehmen (Visa, Mastercard, American Express, usw.) | Kreditkarten- und Zahlungs-informationen | Zahlungsabwickler und Händler müssen Sicherheits-maßnahmen ergreifen, um Zahlungs-informationen vor Diebstahl zu schützen |
Was versteht man unter “Governance, Risk & Compliance” (GRC)?
Gesetzliche Regelungen fallen oft unter einen größeren Rahmen von Strategien und Verfahren, die Unternehmen befolgen und die allgemein als “Governance, Risk & Compliance” (GRC) bekannt sind.
GRC umfasst die folgenden Verfahren:
- Governance: Integrierte Strategien und Funktionen zur Steuerung von Geschäftsabläufen, Datenmanagement und Sicherheit. Governance umfasst die Planung und Ausführung von Geschäftsprozessen und -zielen auf höchster Ebene.
- Risk: Unter Risikobewertung und -management versteht man die Ermittlung finanzieller Risiken, Sicherheitslücken oder anderer potenzieller Gefahren und die Verwendung dieser Informationen, um Entscheidungen in Bezug auf Cybersicherheit, IT-Infrastruktur, Verwaltung und andere geschäftsrelevante Entscheidungen zu treffen.
- Compliance: Governance- und Risikomanagementverfahren müssen genutzt werden, um die Compliance jetzt und in Zukunft zu verbessern.
Wie sehen die Strafen für die Nichtbeachtung der Vorschriften aus?
Die Nichteinhaltung von Vorschriften, die oft gesetzlich geregelt sind, kann erhebliche Strafen nach sich ziehen. Selbst im privatwirtschaftlichen Bereich festgelegte Rahmenbedingungen können sich auf die Geschäftstätigkeit eines Unternehmens auswirken.
Zu den möglichen Strafen gehören die folgenden:
- Finanzielle Sanktionen: Finanzielle Strafen reichen von kleineren Gebühren bis hin zu empfindlichen Geldstrafen. Die HIPAA-Vorschriften beispielsweise sehen je nach Schwere des Verstoßes unterschiedliche finanzielle Sanktionen vor. Die GDPR hingegen sieht nur zwei verschiedene Stufen von Strafen vor, die jeweils erhebliche finanzielle Verpflichtungen für das nicht richtlinienkonforme Unternehmen beinhalten.
- Verlust der Zulassung oder Autorisierung: Einige Frameworks, wie FedRAMP oder CMMC, sehen bei schwerwiegenden Verstößen den grundsätzlichen Verlust der Zertifizierung vor. In diesem Fall können Unternehmen nicht mehr in ihrer Branche tätig sein.
- Gesetzliche Haftung: Wenn die Nichteinhaltung von Vorschriften zu schweren Schäden für ein Unternehmen oder für Einzelpersonen führt, können Unternehmen rechtlich haftbar gemacht werden. Der HIPAA sieht mehrere Stufen gesetzlicher Strafen vor, darunter auch Gefängnisstrafen bei schweren Verstößen oder in Fällen von Betrug.
-
Auswirkungen auf den Geschäftsbetrieb: Einige nicht-staatliche Auflagen, wie z. B. PCI DSS, funktionieren, weil die Aufsichtsbehörde Einfluss darauf nehmen kann, wie Unternehmen innerhalb eines Marktes arbeiten.
Wenn ein Händler zum Beispiel den PCI DSS nicht einhält, gibt es keine standardmäßigen rechtlichen Konsequenzen. Stattdessen kann die PCI (die sich aus allen großen Kreditkartenanbietern wie Visa, Discover, American Express, Mastercard usw. zusammensetzt) Geldstrafen für die weitere Nutzung der Kreditkartenzahlungsnetzwerke erheben.
Die fortgesetzte Nichteinhaltung kann dazu führen, dass die PCI Händler mit einer negativen Bewertung versieht, die höhere Gebühren und eingeschränkte Möglichkeiten der Zahlungsabwicklung beinhaltet.
Schließlich kann die PCI das Konto eines Händlers einfach schließen und die Abwicklung von Kreditkartenzahlungen unmöglich machen.
Operative Umsetzung der Einhaltung gesetzlicher Vorschriften
Die Einhaltung gesetzlicher Vorschriften ist ein wichtiger Bestandteil jedes Unternehmens und muss in der Geschäftsstrategie und der IT-Infrastruktur eine Rolle spielen. Jedes Unternehmen, das in regulierten Branchen mit Standards tätig ist, muss Technologien einsetzen, die die Einhaltung von Vorschriften unterstützen.
Die Kommunikation sensibler Inhalte ist in praktisch jeder Compliance-Vorschrift enthalten, und Unternehmen müssen sicherstellen, dass sie über die richtigen Richtlinien und Sicherheitsprozesse verfügen. Erfahren Sie, wie Kiteworks sensible Daten vereinheitlicht, nachverfolgt, kontrolliert und schützt, und zwar sowohl innerhalb als auch außerhalb eines Unternehmens, um die Einhaltung unzähliger Vorschriften wie HIPAA, PCI DSS, FedRAMP und anderer zu gewährleisten. Vereinbaren Sie einen Termin für eine individuelle Demo.
Glossary:
What Is PIPEDA and How Can PIPEDA Compliance Requirements Apply to a Business Operating in Canada?
–>