Was macht ein IT Compliance Manager?

Grundsätze stehen nicht zur Diskussion

Bylle Bauer
Unterschiedliche Bereiche und Anforderungen in der IT Compliance

If you think compliance is expensive – try non-compliance.

Die Wahrheit in dem obigen Spruch mussten zahlreiche Unternehmen wie Wells Fargo oder KME bereits schmerzhaft am eigenen Leib erfahren. Verstöße gegen die Compliance kosten ein durchschnittliches Unternehmen jährlich Beträge im sechsstelligen Bereich. Die Veruntreuung von personenbezogenen Daten, Geschäftsgeheimnissen und Knowhow trifft nicht nur große, sondern auch kleine und mittlere Unternehmen hart und hat die Themen Datenschutz und Informationssicherheit in den vergangenen Jahren stark in den Vordergrund gerückt.

Weil die meisten Geschäftsprozesse heute digital ablaufen und Rechner, die an externe Netzwerke angeschlossen sind, generell risikoanfällig sind, reagieren Gesetzgeber und Branchenorganisationen mit zahlreichen Sicherheitsstandards, an die Unternehmen gebunden sind. Als IT Compliance Officer sorgst Du dafür, dass die gesetzlichen, unternehmensinternen und vertraglichen Anforderungen an die IT-Infrastruktur dauerhaft eingehalten werden. Dadurch bewahrst Du das Unternehmen nicht nur vor Compliance-Vorfällen wie einer unzureichenden Integration von Tools oder die Veruntreuung von Daten, sondern sorgst für eine höhere IT-Sicherheit, den Anstieg von Effizienz und Qualität, Kosteneinsparungen und eine insgesamte Wertsteigerung. Was Du dafür können musst, liest Du hier!

Was sind Deine Aufgaben als IT Compliance Manager:in?

Manche IT-Compliance-Anforderungen gehen vom Gesetzgeber aus, wie zum Beispiel die Datenschutzgrundverordnung (DSGVO), die in den letzten Jahren die gesamte Gesellschaft für das Thema sensibilisiert hat. Auch das Bundesdatenschutzgesetz (BDSG) oder das Telekommunikationsgesetz (TKG) liefern allgemeingültige Standards, die die IT-Infrastruktur jedes Unternehmens erfüllen muss. Sie muss zum Beispiel über datenschutzkonforme Kommunikations- und Speicherprozesse, gültige Lizenzen und digitale Sicherheitsstandards für Angestellte verfügen.

Darüber hinaus gibt es branchen- und bereichsspezifische Anforderungen wie Berufsgeheimnispflichten oder Mindestanforderungen an das Risikomanagement im Banken-Sektor (MaRisk) und der Telekommunikation (VaRisk). Auch aus Zertifizierungen, Verträgen, unternehmensinternen Konventionen, Handelsbräuchen oder einem Code of Conduct, also einer unternehmerischen Selbstverpflichtung, ergeben sich IT-Compliance-Anforderungen.

Du findest also erstmal heraus, worin genau die IT-Compliance-Anforderungen des Unternehmens, in dem Du tätig bist, bestehen. Mit den Themen Datenschutz und Informationssicherheit in Deinem Sucher nimmst Du eine ganzheitliche Betrachtung der Unternehmensabläufe vor, schaust Dir die Organisation ebenso an wie die Angestellten, die operativen Prozesse und natürlich die dafür eingesetzten Techs. Du arbeitest eng mit den IT-Security, Risk und Governance Manager:innen zusammen und begleitest auch Audits, also systematische Risiko- und Schwachstellenanalysen. Bei alledem fallen Dir womöglich kritische Aspekte auf, die die IT Compliance gefährden. Das können zum Beispiel abgelaufene Softwarelizenzen sein, aber auch Wartungsmängel an der Hardware, der Infrastruktur oder den Services. Die Rollen und Berechtigungen hast Du ebenso auf dem Schirm, denn der Faktor Mensch ist als IT-Sicherheitsrisiko nie zu unterschätzen.

Du erfasst all diese Anforderungen lückenlos und begibst Dich dann an die Optimierung. Dabei gehst Du alle hierfür relevanten Aspekte an und leitest Prozesse ein, die verhindern, dass Unternehmensdaten ungeschützt nach außen gelangen. Für einen umfassenden Datenschutz und eine hohe Informationssicherheit implementierst Du einen integrierten Managementansatz nach dem für Dich wichtigen Standard ISO/IEC 27001. Dessen Kern beschreibt Deine Vorgehensweise eigentlich perfekt: Plan, Do, Check, Act! Denn IT Compliance ist ein Prozess, der nie zum Stillstand kommt, sondern von der kontinuierlichen Verbesserung lebt. Du kümmerst Dich um Felder wie die Archivierung und Datensicherung, das Lizenzmanagement und Urheberrecht, die Rechte der Angestellten bzgl. der technischen Infrastruktur: Telefon, E-Mails, mobile Endgeräte und vieles mehr.

PDCA Zyklus (Plan, Do, Check, Act) und die Aufgaben im IT-Compliance Management.

Der PDCA-Zyklus für eine stabile IT Compliance.

Du pflegst ein Dokumentenmanagement-System, hinterlegst ein Qualitätsmanagement und etablierst Kontrollmaßnahmen, deren Einhaltung Du überwachst. Die sorgfältige Dokumentation des Ganzen ist nicht nur für Deine Arbeit und die unternehmensinterne Information wichtig, sondern auch Sachverständige wie Betriebs- oder Wirtschaftsprüfende wollen da immer mal wieder ein Blick drauf werfen.

Denn bei Nichteinhaltung der IT-Compliance-Vorschriften drohen Unternehmen hohe Geldstrafen und Schadensersatzforderungen – vom Vertrauens- und Imageverlust mal ganz zu schweigen, wenn es zu einem Vorfall wie Datendiebstahl kommt.

Aber dafür gibt es ja Dich! Du übersetzt die gesetzlichen Vorgaben in interne Richtlinien und richtest die IT-Prozesse so aus, dass sie den Anforderungen entsprechen können. Dabei ist es wichtig, dass Du das Thema IT-Compliance in der Unternehmenskultur verankerst und die Angestellten dafür sensibilisierst.

Wo kannst Du arbeiten?

Für die Rechtsformen AG und GmbH ist IT Compliance grundsätzlich ein wichtiges Thema, denn in diesen Strukturen kann die Geschäftsführung persönlich für Regelverstöße verantwortlich gemacht werden. Da verwundert es nicht, dass nicht bloß Großkonzerne, Banken und Versicherungen, sondern auch vermehrt KMU ein Compliance-Management-System umsetzen, dessen Schlüsselfigur Du bist.

Zusammen mit dem Fraunhofer-Institut für System- und Innovationsforschung und der Polizei hat das Max-Planck-Institut ermittelt, dass fast jedes zweite mittelständische Unternehmen aufgrund von Compliance-Verstößen schon einen Angriff auf seine Daten erlebt hat. Die Unternehmen kamen vor allem, aber nicht nur, aus dem Handel, der Baubranche und dem Dienstleistungssektor. Auch wenn es nur die größten Skandale in die Medien schaffen – das Thema ist für viele Betriebe allgegenwärtig und für IT-Talente wie Dich ein spannendes Einsatzfeld mit großer Verantwortung.

Wenn Du in einem international tätigen Unternehmen arbeitest, wird Dein Aufgabengebiet um einiges komplexer, weil dann nicht nur inländische Standards zu beachten sind. Selbst wenn das Unternehmen seine Produkte und Dienstleistungen einfach nur ins Ausland verkauft, kommen zu den deutschen IT-Compliance-Anforderungen noch EU-Richtlinien wie die EU-DSGVO oder die Finanzmarktrichtlinie 2014/65/EU hinzu.

Wenn Du auf moderne Techs wie Künstliche Intelligenz und IoT stehst, solltest Du Dich mal in der Industrie-4.0-Branche umsehen. Auch hier sind Regelwächter für die Einhaltung der IT-Compliance unerlässlich, und Du hast mit hoher Wahrscheinlichkeit ein spannendes Arbeitsumfeld!

Worauf kannst Du Dich im IT Compliance Management spezialisieren?

Wir haben es ja schon erwähnt: IT-Compliance kann von Unternehmen zu Unternehmen sehr unterschiedlich ausfallen, und genauso verhält es sich mit den Spezialisierungen, die es in diesem Beruf gibt. Die Basics sind überall dieselben:

  • ISO 27000 ist eine internationale Sammlung von über 20 Normen für die Informationssicherheit, von denen der für Dich wahrscheinlich relevanteste der oben schon erwähnte ...
  • ... ISO/IEC 27001 ist, eine ebenfalls international gültige Richtlinie, bestehend aus Anforderungen an die Informationssicherheit und deren Management im Rahmen der IT Compliance
  • Der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik), der systematische Vorgaben zur Identifikation und Umsetzung von Sicherheitsmaßnahmen formuliert
  • Die DSGVO und das Bundesdatenschutzgesetz (BDSG)
  • KontraG, ein Gesetz zur Kontrolle und Transparenz im Unternehmensbereich zur Verbesserung der Corporate Governance
  • Das Telekommunikationsgesetz TKG
  • IT-Management-Standardwerke wie ITIL und COBIT, die als Frameworks mit vordefinierten Prozessen, Funktionen und Rollen einen sicheren Orientierungsrahmen bieten

Hinzu kommen rechtliche Anforderungen des Handels- und Steuerrechts, wie zum Beispiel:

  • GdPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)
  • GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme), Regelungen zur digitalen Buchführung inklusive eines internen Kontrollsystems und eines Pflichtenkatalogs zur ordnungsgemäßen Datenaufbewahrung
  • GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) für die digitale Steuerprüfung

Dann gibt es neben unternehmensinternen auch branchenspezifische Standards. In einer Bank sind dies zum Beispiel IT-Compliance-Anforderungen durch die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) oder Basel II, eine Vorschrift von Prüfungen für Finanzinstitutionen. Wo auch immer Du beschäftigt bist: Du wirst Dich sicher reinfrickeln! Denn Du hast das Mindset dazu, wie der nächste Abschnitt zeigt.

Bist Du eine IT Compliance Manager:in?

IT Compliance ist kein Einstiegsjob, so viel ist Dir sicher schon klar geworden. Aber ein erstrebenswerter und gut bezahlter durchaus – wenn Du aus dem richtigen Holz dafür geschnitzt bist. Denn als IT Compliance Manager:in kennst Du Dich nicht nur mit Informatik und Technologien aus, sondern bist auch juristisch und betriebswirtschaftlich absolut auf Zack. Du durchschaust, wie die Prozesse in einem Unternehmen ablaufen und verfügst über die Erfahrung, um zu sehen, was einer Verschlankung bedarf. Gesetzliche Regelwerke bereiten Dir kein Kopfzerbrechen, sondern bilden die Grundlage Deines Handelns.

Oft entwickelst Du Dich aus Rollen wie dem IT-Security Consultant, IT Risk Managerin oder IT-Auditor in die Position der IT Compliance Manager:in hinein. Eine geregelte Ausbildung ist zumindest momentan noch nicht möglich, aber Du kannst während Deiner beruflichen Laufbahn Zusatzzertifizierungen zum IT Compliance Management abschließen.

Neben Deinen Hard Skills verfügst Du auch über ein Händchen für Kommunikation. Schließlich musst Du die Regularien in die Fachabteilungen tragen und darauf achten, dass sie in funktionierende Prozesse umgesetzt und auch wirklich eingehalten werden. Du schaffst es, durch Transparenz und Information dazu beizutragen, dass alle Angestellten eine Awareness für das Thema entwickeln und so ihrerseits zum Schutz und Gedeihen des Unternehmens beitragen.

Was kannst Du als IT Compliance Manager:in verdienen?

Wie bereits erwähnt, ist der IT Compliance Officer kein typischer Job für Newbies. Deshalb gestaltet sich schon das Anfangsgehalt mit 45.900 bis 56.800 € relativ üppig. Das Durchschnittsgehalt zum Einstieg ins IT Compliance Management beträgt etwa 51.400 €, wobei diese Summe je nach Region und Branche massiv abweichen kann – in diesem Fall eher nach oben. In München zum Beispiel kannst Du als IT Compliance Officer zum Einstieg durchschnittlich schon über 60.000 € verdienen. Wenn Du Dich genauer über die Gehälter im Risk & Compliance Management informieren möchtest schau gerne in unserem Artikel dazu vorbei. Falls Dich das Gehalt andere IT-Berufe mehr interessiert dann klick Dich durch unsere Gehaltsrechner und erfahre was IT-Talente in Deiner Region verdienen.

TL;DR:
  • Als IT Compliance Manager:in oder Officer sorgst Du dafür, dass die gesetzlichen, vertraglichen, unternehmensinternen und steuerlichen Anforderungen an die IT-Infrastruktur eingehalten werden.
  • Dafür nimmst Du Prozesse und andere Assets wie Technologien und Angestellte im Hinblick auf die Themen Datenschutz und Informationssicherheit unter die Lupe.
  • Du dokumentierst die IT-Compliance-Anforderungen und überwachst deren Einhaltung. Dafür stellst Du ein ausgeklügeltes Management- und Controlling-System auf die Beine.