"Compliance" - Restriktion oder Chance für die Informatik?

Beschreibung

Börsencrashs durch automatisierten Handel, Datenschutzskandale in bekannten deutschen Unternehmen, Mitarbeiterüberwachung am PC, persönliche Daten in der Cloud und im Web 2.0 – die Allgegenwärtigkeit von Computern und Netzwerken hat einen so großen und potentiell auch negativen Einfluss auf unser Leben bekommen, dass die Anwendungen der Informationstechnik mehr und mehr in das Visier staatlicher Regulierung und Kontrolle geraten. Daher müssen Informatiker bei der Gestaltung von Informationssystemen zunehmend komplexe Richtlinien berücksichtigen.

Auf der anderen Seite spielt Informationstechnik bei der Einhaltung von Gesetzen und Vorschriften in vielen Bereichen eine wichtige Rolle. Prominente Beispiele sind die überall sichtbaren Kontrollbrücken des Maut-Systems oder Gefahrstoffdatenbanken. Die Erstellung von solchen Systemen stellt für die Informatik eine interessante Aufgabe dar, die in den nächsten Jahren gerade im Hinblick auf die vermutlich stärker werdende Regulierung im Finanzsektor immer wichtiger werden wird.

Dieser Themenabend hat das Ziel, das weite Feld der „Compliance“ für die Teilnehmer verständlich zu strukturieren und aus der Sicht verschiedener Akteure mit Inhalt zu füllen: Ein Rechtsanwalt wird die grundlegenden juristischen Aspekte beleuchten, zwei Unternehmensvertreter aus einer Bank werden ihre spezifischen Compliance-Herausforderungen darstellen und ein Systemhaus wird erläutern, wie man als Anbieter mit dem Thema Compliance umgeht.

Vortrag 1:

Juristische Aspekte

Herr Sascha Kremer, LLR LegerlotzLaschet Rechtsanwälte

Compliance heißt wörtlich übersetzt "Befolgung und Übereinstimmung". Juristisch betrachtet ist Compliance deshalb zunächst einmal die - ohnehin für jedermann geltende - Verpflichtung, sich rechtskonform zu verhalten, was als IT-Compliance insbesondere die Beachtung von datenschutz- und datensicherheitsrechtlichen Vorgaben erfasst. Für Unternehmen bedeutet Compliance über den Wortsinn hinaus insbesondere aber auch, Risikopotentiale im Unternehmen zu ermitteln, hiergegen geeignete technische und organisatorische Vorkehrungen zu treffen und diese zu dokumentieren. Anderenfalls drohen dem Unternehmen im Ernstfall - etwa bei einer schwerwiegenden Datenpanne - Schadensersatzansprüche und Ordnungswidrigkeitenverfahren mit empfindlichen Bußgeldern. Zudem kann die Geschäftsführung und ggf. auch der Aufsichtsrat strafrechtlich belangt werden.

Im Vortrag sollen deshalb die grundsätzlichen Anforderungen der Compliance und deren Auswirkungen auf die IT im Unternehmen geschildert werden, ebenso aber auch die Folgen, die sich bei einer fehlenden oder mangelhaften Compliance im Unternehmen ergeben können.

Der Referent: Rechtsanwalt Sascha Kremer gehört zur IT/IP-Gruppe der Kölner Sozietät LLR Legerlotz Laschet Rechtsanwälte und ist langjähriger Lehrbeauftragter für das IT- und Informationsrecht an der Heinrich-Heine-Universität Düsseldorf. Er ist spezialisiert auf das IT-, Datenschutz- und Datensicherheitsrecht und berät diverse Unternehmen in Compliance-Fragen

Vortrag 2:

Compliance bei einer Bank

Frau Dr. Silke Warius und HerrGeorges Peltier, SIZ (Informatikzentrum der Sparkassenorganisation GmbH)

Seit seiner Neuausrichtung in 2003 agiert das SIZ eigenständig am IT-Markt. Natürlich stellt die Sparkassen-Finanzgruppe weiterhin den Hauptmarkt. Das Unternehmen gewinnt aber zunehmend Reputation und Aufträge bei Finanzinstituten und großen, IT-nahen Unternehmen außerhalb der Gruppe.

Mit dem Angebot an Compliance-Services unterstützt das SIZ die Institute mit kalkulierbaren und hochqualitativen Leistungen zur Umsetzung der gesetzlichen und aufsichtsrechtlichen Vorgaben. So konnten bereits in der Vergangenheit beispielsweise das komplette Outsourcing des Datenschutzbeauftragten, des Informationssicherheitsbeauftragten oder der IT-Revision angeboten werden.

Mit der Angebotserweiterung um die Themen Geldwäsche-/Betrugsprävention und Wertpapier-Compliance hat das SIZ ein Modell, das bereits seit 2001 für Sparkassen im norddeutschen Raum angeboten wurde, übernommen und bietet diese Dienstleistungen seit dem 1. Januar 2010 bundesweit an. Die hochqualifizierten und routinierten Mitarbeiter arbeiten nach einheitlichen Standardprozessen auf der Grundlage von ebenfalls standardisierten Verträgen. Mit dieser Standardisierung können diese Dienstleistungen für eine Vielzahl von Instituten zu angemessenen Preisen erbracht werden.

Die Referenten erläutern im diesem Vortrag wie das SIZ aufgestellt ist und gehen auf die Inhalte dieser Dienstleistungen ein.

Die Referenten: Frau Dr. Silke Warius betreut als Rechtsanwältin und Senior Compliance Officer seit Jahren Sparkassen und Anbieter von Finanzdienstleistungen im Bereich Compliance. Dieser umfasst neben dem Wertpapier-Compliance und der Geldwäscheverhinderung auch die Betrugsund Korruptionsprävention. Als Mehrmandanten-Geldwäschebeauftragte hat sie maßgeblich an einem Projekt zur Implementierung der gesetzlichen Neuregelungen durch das Geldwäschebekämpfungsergänzungsgesetz in der Praxis mitgewirkt. Frau Dr. Warius ist (Mit-) Autorin verschiedener fachwissenschaftlicher Beiträge in den Bereichen Bankrecht und Compliance, u. a. einer beim Verlag C.H. Beck erschienenen Kommentierung des Geldwäschegesetzes.

Herr Georges Peltier ist Sparkassenbetriebswirt und verfügt über 30 Jahre Berufserfahrung in Sparkassen, Rechenzentren und als Referatsleiter DVRevision bei der Prüfungsstelle des Sparkassen- und Giroverbandes Hessen-Thüringen (SGVHT). Seit August 2009 ist er Leiter IT-Revision/Zertifizierung bei der SIZ Informatikzentrum der Sparkassenorganisation GmbH am Standort Frankfurt am Main und seit Januar 2010 auch für die Fachgruppe Mandanten-Compliance mitverantwortlich. Herr Peltier ist (Mit-) Autor verschiedener Fachbeiträge in den Bereichen IT-Revision und Datenschutz.

Vortrag 3:

Perspektive Systemhaus

Herr Stefan Fritz, Geschäftsführer der synaix Gesellschaft für angewandte Informations-Technologien mbH

Wohin man auch sieht, überall gibt es Vorschriften, die eingehalten werden wollen. Ignorieren, Strohfeuer entfachen oder Freikaufen - all das nützt nichts. An einem Selbstversuch möchte ich zeigen wie wir es in mehreren Stufen geschafft haben einen eigenen Mikrokosmos aufzubauen, und wie wir damit einige Antworten für uns selbst und für unsere Kunden gefunden haben.

Der Referent: Stefan Fritz (Dipl.-Phys.) ist als als geschäftsführender Gesellschafter der synaix für den Betrieb mehrerer Rechenzentren in Deutschland verantwortlich. Dort werden geschäftskritische IT- Systeme für Kunden aus den Bereichen Finanzen, Handel, Industrie und Dienstleistung bereitgestellt. Die synaix Rechenzentren sind SAS70 Typ IIb zertifiziert. Bereits seit vielen Jahren beschäftigt Herr Fritz sich mit dem Thema Risikomanagement und der ganzheitliche Gestaltung von IT- Prozessen.

Moderation: Dr. Oliver Stiemerling, ecambria systems GmbH

Kooperation

Die Veranstaltung fand statt in Kooperation mit dem 
Arbeitskreis EDV und Recht.