IT Compliance: Definition, Anforderungen und Umsetzung

Das Wichtigste in Kürze:

• IT Compliance ist Chefsache, nicht IT-Sache. Die Verantwortung liegt nach §43 GmbHG bei der Geschäftsführung – mit persönlicher Haftung bis hin zu Freiheitsstrafen, auch wenn die operative Umsetzung an einen IT Compliance Manager delegiert wird.
• Drei Compliance-Felder gleichzeitig: gesetzlich (DSGVO, NIS-2, KRITIS), vertraglich (SLAs, AVVs) und intern (Richtlinien). Jedes Feld hat eigene Audit-Logiken – und alle setzen einen aktuellen IT-Bestand voraus.
• Häufigster Stolperpunkt vor jedem Audit: keine belastbare IT-Dokumentation. Ohne Inventar kein Compliance-Nachweis, ohne Nachweis kein bestandenes Audit.

Was ist IT Compliance?

IT Compliance bezeichnet die Einhaltung aller gesetzlichen, vertraglichen und unternehmensinternen Vorgaben, die sich auf IT-Prozesse und IT-Infrastruktur beziehen. Sie ist ein Teilbereich der IT-Governance und damit operativ deren konkrete Umsetzung.

Während IT-Governance die strategische Steuerung der IT festlegt, sorgt IT Compliance dafür, dass diese Steuerung mit geltendem Recht und vereinbarten Standards übereinstimmt. Schwerpunkte sind Informationssicherheit, Datenschutz und Lizenzmanagement. Konkret regelt IT Compliance unter anderem, welche Sicherheitsstandards einzuhalten sind, in welchem Umfang dokumentiert werden muss und wann ein Datenschutzbeauftragter zwingend einzubinden ist.

Wo liegt der Unterschied zwischen IT Compliance und IT-Sicherheit?

IT-Sicherheit schützt Systeme, Daten und Netzwerke vor unbefugtem Zugriff, Manipulation und Ausfällen. IT Compliance prüft, ob dieser Schutz auch den geltenden Vorgaben entspricht und nachweisbar ist.

Ein praktisches Beispiel: Eine Firewall kann technisch hervorragend konfiguriert sein – wenn aber kein Audit-Log vorhanden ist, das die Konfiguration dokumentiert, fällt das Unternehmen beim ISO-27001-Audit trotzdem durch. IT-Sicherheit ist also notwendige Voraussetzung der IT Compliance, aber nicht hinreichend. Compliance fordert zusätzlich organisatorische Strukturen, lückenlose Dokumentation und regelmäßige Nachweise.

Wer ist für IT Compliance verantwortlich?

Die Verantwortung für IT Compliance liegt bei der Geschäftsführung – nicht bei der IT-Abteilung. Das ist die größte Fehleinschätzung in mittelständischen Unternehmen.

Rechtsgrundlage ist die allgemeine Sorgfaltspflicht nach §43 GmbHG bzw. §93 AktG. Geschäftsführer haften persönlich, wenn sie ihre Sorgfaltspflichten verletzen – und IT-Risiken gehören seit der Digitalisierung des Geschäftsbetriebs ausdrücklich dazu. Das Strafmaß reicht von Bußgeldern über Schadensersatzforderungen bis hin zu Freiheitsstrafen bei Vorsatz.

Üblich ist die operative Delegation an einen IT Compliance Manager oder den IT-Leiter. Diese Delegation entlastet die Geschäftsführung aber nicht von der Letztverantwortung. Sie muss Strukturen schaffen, Prozesse überprüfen und sich regelmäßig berichten lassen. Ein IT Compliance Manager arbeitet typischerweise an folgenden Aufgaben:

• Bewertung gesetzlicher und vertraglicher Anforderungen für die IT
• Aufbau und Pflege eines Compliance-Management-Systems (CMS)
• Vorbereitung interner und externer Audits
• Schulung der Mitarbeitenden zu IT-Compliance-Themen
• Reporting an Geschäftsführung und Datenschutzbeauftragten

Welche drei Arten von IT Compliance gibt es?

IT Compliance teilt sich in drei Bereiche, die alle gleichzeitig erfüllt werden müssen. Das ist keine theoretische Unterscheidung – jeder Bereich hat eigene Audit-Logiken und eigene Bußgeld-Tatbestände.

1. Gesetzliche Compliance. Hier geht es um die Einhaltung von Gesetzen und behördlichen Vorgaben. Relevant sind unter anderem die DSGVO, das BDSG, die NIS-2-Richtlinie (umgesetzt im NIS-2-Umsetzungsgesetz), das IT-Sicherheitsgesetz, branchenspezifische Regelwerke wie KRITIS und internationale Standards wie SOX für börsennotierte Unternehmen.

2. Vertragliche Compliance. Hier sind alle Verpflichtungen gegenüber Kunden, Lieferanten und Dienstleistern gemeint. Klassische Beispiele sind Service-Level-Agreements (SLAs), Auftragsverarbeitungsverträge nach Art. 28 DSGVO und Lizenzbedingungen von Software-Herstellern. Verstöße gegen Lizenzbedingungen sind dabei häufiger als gedacht – Microsoft, Oracle und SAP führen regelmäßig Lizenz-Audits durch.

3. Interne Compliance. Das sind alle selbst gegebenen Regelwerke: IT-Sicherheitsrichtlinien, Passwort-Policies, Berechtigungskonzepte, Prozessbeschreibungen. Diese Regelwerke gehen oft über gesetzliche Anforderungen hinaus, weil sie unternehmensspezifische Risiken adressieren.

Ein funktionierendes IT-Compliance-Management deckt alle drei Bereiche systematisch ab. Wer nur auf gesetzliche Anforderungen schaut und vertragliche oder interne Compliance ignoriert, wird beim nächsten Lizenz-Audit oder bei einer Vertragsverletzung trotzdem zahlen müssen.

Welche neuen Regulierungen wirken seit 2024 auf die IT Compliance ein?

Drei regulatorische Entwicklungen haben den Rahmen seit Ende 2024 spürbar verändert. NIS-2 ist dabei klassische IT Compliance, DORA und der AI Act sind streng genommen eigene Compliance-Disziplinen – aber alle drei greifen direkt in IT-Dokumentations- und Nachweispflichten ein:

• NIS-2-Richtlinie (klassische IT Compliance): Seit Oktober 2024 in Kraft, in Deutschland durch das NIS-2-Umsetzungsgesetz umgesetzt. Betroffen sind rund 30.000 Unternehmen mehr als unter NIS-1, darunter viele Mittelständler ab 50 Mitarbeitern in 18 Sektoren. Geschäftsführer haften persönlich für die Umsetzung der Mindeststandards.
• DORA (Finanzmarkt-Compliance mit IT-Bezug): Seit Januar 2025 verbindlich für Finanzunternehmen und ihre kritischen IT-Dienstleister. Fordert detaillierte Dokumentation aller IKT-Drittparteien-Verträge und ein durchgängiges ICT-Risikomanagement – das wirkt direkt auf die IT-Compliance-Prozesse betroffener Häuser.
• KI-Verordnung der EU / AI Act (eigene KI-Compliance mit IT-Bezug): Schrittweise Inkraftsetzung seit August 2024. Wer KI-Systeme einsetzt, muss diese dokumentieren, klassifizieren und im Betrieb überwachen – Aufgaben, die ohne saubere IT-Inventarisierung nicht erfüllbar sind.

Was alle drei Regelwerke trotz unterschiedlicher Stoßrichtung gemeinsam haben: Sie verlangen belastbare Dokumentation. Wer nicht weiß, welche Systeme im Einsatz sind, welche Daten sie verarbeiten und welche Drittanbieter involviert sind, kann keinen der drei Standards erfüllen.

Was passiert bei Verstößen gegen IT Compliance?

Die Sanktionen wirken auf drei Ebenen gleichzeitig – und das macht IT-Compliance-Verstöße so teuer.

Bußgelder durch Behörden. DSGVO-Verstöße können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes kosten. NIS-2 sieht je nach Schwere des Verstoßes Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor.

Persönliche Haftung der Geschäftsführung. Bei nachgewiesenen Sorgfaltspflichtverletzungen drohen Geld-, Bewährungs- und in schweren Fällen Freiheitsstrafen. Hinzu kommen Schadensersatzforderungen aus dem Innenverhältnis, die nicht durch die übliche D&O-Versicherung gedeckt sind, wenn grobe Fahrlässigkeit nachgewiesen wird.

Reputations- und Vertrauensverlust. Wird ein Datenschutzverstoß publik, reagieren Kunden und Geschäftspartner regelmäßig mit Auftragsentzug. Der Wiederaufbau von Vertrauen dauert Jahre und ist teurer als jedes Bußgeld. Besonders B2B-Kunden prüfen vor Vertragsabschluss zunehmend die Compliance-Historie ihrer Lieferanten.

Hinzu kommt ein indirekter Effekt: Auch lasche Auslegungen oder Umgehungs-Taktiken werden vom Markt sanktioniert, sobald sie öffentlich werden. In Ausschreibungen werden inzwischen Nachweise zu IT-Compliance-Standards verlangt – wer hier nicht liefert, fliegt aus dem Auswahlprozess.

Welche Voraussetzungen müssen für IT Compliance erfüllt sein?

Der Themenbereich ist umfassend, die Grundvoraussetzung lässt sich aber in einem Satz zusammenfassen: Bestandsaufnahme und Analyse der gesamten IT-Infrastruktur.

Ohne vollständigen Überblick über Hardware, Software, Datenflüsse, Berechtigungen und Verträge fehlt jeder Compliance-Maßnahme die Grundlage. Das klingt selbstverständlich, ist aber in der Praxis der häufigste Scheiterungsgrund. Typische Lücken in der Bestandsaufnahme:

• Unbekannte oder vergessene Systeme (Schatten-IT, Test-Server, alte Applikationsserver)
• Nicht dokumentierte Berechtigungen, vor allem Admin-Rechte und Service-Accounts
• Fehlende Übersicht über SaaS-Anwendungen außerhalb der zentralen IT
• Ungenaue Lizenz-Inventare, die bei Audits zu Nachzahlungen führen
• Unklare Datenflüsse zwischen On-Premises-Systemen und Cloud-Diensten

Wer hier eine belastbare Datenbasis schafft, hat die Hälfte der Compliance-Arbeit bereits hinter sich. Wer es nicht tut, scheitert beim ersten externen Audit.

Wo scheitern Unternehmen bei der Umsetzung?

Sobald die Bestandsaufnahme steht, beginnt die eigentliche Arbeit. IT-Compliance-Maßnahmen sind je nach Bereich unterschiedlich, folgen aber einem Grundprinzip: Jede Compliance-Maßnahme greift in bestehende Geschäftsprozesse ein – und die wiederum verlangen Anpassungen in der IT-Infrastruktur.

Diese Verflechtung macht klar, dass die Bestandsaufnahme keine einmalige Aufgabe ist, sondern ein Dauerprozess. Die fünf häufigsten Hürden in der Praxis:

• Permanente Veränderung: Geschäftsprozesse und IT-Systeme entwickeln sich täglich weiter. Eine Inventarliste vom letzten Quartal ist heute schon veraltet.
• Rechtliche Dynamik: Allein 2024/2025 kamen NIS-2, DORA und der AI Act dazu. Wer nicht laufend bewertet, läuft Anforderungen hinterher.
• Dokumentationspflicht: DSGVO, ISO 27001 und NIS-2 verlangen detaillierte Nachweise. Manuelle Dokumentation in Word oder Excel ist nach wenigen Wochen unvollständig.
• Aktualität als Pflicht: Ohne tagesaktuellen Überblick lassen sich DSGVO-Auskunftspflichten oder NIS-2-Meldepflichten innerhalb der vorgeschriebenen Fristen nicht erfüllen.
• Audit-Realität: Externe Auditoren prüfen stichprobenartig. Wer keine durchgängige Datenbasis hat, fällt selbst dann durch, wenn die Sicherheit technisch in Ordnung ist.

Der wohl größte Stolperpunkt ist die systematische Erfassung des stetigen Wandels. Genau hier scheitern die meisten Compliance-Projekte – nicht an der Sicherheit, sondern an der Dokumentation der Sicherheit.

Genau für diese Aufgabe wurde Docusnap entwickelt: Die Software inventarisiert IT-Umgebungen automatisch und wiederkehrend, hält die Datenbasis aktuell und liefert die Berichte, die Auditoren sehen wollen. Wie das in der Praxis aussieht, zeigt das Beispiel AccorHotels Deutschland: Das Unternehmen nutzt Docusnap seit Jahren für die PCI-DSS-Compliance zur Absicherung von Kreditkartendaten – einem Umfeld, in dem 100 Prozent korrekte Daten zur Haftungsfrage werden. Die vollständige Kundenfallstudie zur PCI-DSS-Umsetzung bei AccorHotels gibt einen detaillierten Einblick.

Wie sieht ein realistischer erster Schritt aus?

Wer noch keinen IT-Compliance-Prozess hat, beginnt nicht mit der Auswahl eines Frameworks. Sondern mit drei pragmatischen Schritten:

1. Verantwortung klären. Wer in der Geschäftsführung trägt die Compliance-Letztverantwortung? Wer ist operativer Compliance Manager? Diese Rollen müssen schriftlich fixiert sein – mündliche Absprachen reichen vor Gericht nicht.
2. Bestand erfassen. Eine vollständige Inventarisierung von Hardware, Software, Berechtigungen und Datenflüssen ist die Datengrundlage für jede weitere Maßnahme. Manuell ist das ab etwa 50 Endgeräten nicht mehr realistisch.
3. Anforderungen priorisieren. Welche Regelwerke gelten konkret für das Unternehmen? Nicht jeder Mittelständler ist KRITIS-Betreiber, aber praktisch jedes Unternehmen ist DSGVO-pflichtig. Eine Anforderungsmatrix sortiert das nach Dringlichkeit.

Erst danach geht es an die Auswahl von Standards (ISO 27001, BSI IT-Grundschutz), Tools und Audit-Vorbereitung. Wer diese Reihenfolge umdreht und mit dem Tool beginnt, baut auf Sand.

Fazit: IT Compliance ist gesteuerte Pflicht, kein Projekt

IT Compliance lässt sich nicht abarbeiten und dann abhaken. Die Regulierung verändert sich, die IT verändert sich, die Geschäftsprozesse verändern sich – und mit ihnen die Anforderungen. Wer IT Compliance als einmaliges Projekt versteht, hat sie schon verloren.

Was bleibt, ist eine klare Aufgabenteilung: Die Geschäftsführung trägt die Letztverantwortung und schafft die Strukturen. Der IT Compliance Manager oder die IT-Leitung setzt operativ um. Die IT-Dokumentation liefert die Datenbasis, auf der beide Rollen arbeiten können. Ohne diese drei Ebenen – Verantwortung, Umsetzung, Datenbasis – wird jedes Audit zum Risiko.

Was IT-Verantwortliche aus diesem Bild mitnehmen können: Mit jeder regulatorischen Verschärfung steigt nicht nur die Pflicht, sondern auch der Hebel der eigenen Vorarbeit. Wer die Datenbasis im Griff hat, ist auf NIS-2 und auf alle angrenzenden Regelwerke vorbereitet, die auf die IT einwirken – von DORA im Finanzsektor bis zum AI Act. Wer sie nicht hat, läuft jeder neuen Anforderung hinterher.