Compliance, also die Konformität des Unternehmensgeschehens mit Vorgaben aus Gesetzen, Verträgen, Richtlinien, Normen und Standards, treibt derzeit viele Verantwortliche an den Unternehmensspitzen um. Zur Sicherstellung von Compliance wurden in vielen Betrieben jüngst ganze Compliance-Abteilungen oder doch zumindest ein Compliance-Beauftragter installiert. Zu groß ist die Angst des Topmanagements vor hohen Bußgeldern und Schadenersatzzahlungen oder gar Gefängnisstrafen. Die Compliance-Thematik richtet sich mittlerweile aber nicht mehr nur auf betrügerische Manipulationen des Jahresabschlusses oder Verstöße gegen das Kartellrecht, sondern erreicht zunehmend auch die Unternehmens-IT, wie zahlreiche jüngere Datenschutzverstöße zeigen. Dies ist auch nicht verwunderlich, ist doch die Informationstechnik (IT) der wesentliche Treiber effektiver und effizienter Unternehmensprozesse. Wenn Compliance aber vor allem in der Prozessdurchführung erreicht werden muss, so müssen Compliance-Anforderungen schon bei der Entwicklung der die Prozessdurchführung unterstützenden IT-Systeme berücksichtigt werden. Diese Überlegung spielt in IT-Projekten bisher jedoch nur eine untergeordnete Rolle.

Beispiele für Compliance in IT-Projekten

Compliance in IT-Projekten mag auf den ersten Blick etwas exotisch anmuten. Ein Blick auf die folgenden Beispiele zeigt aber, dass das Thema durchaus äußerst praxisrelevant ist.

  1. Im Rahmen der Projektdurchführung zur Einführung eines Systems für das Customer Relationship Management (CRM) werden personenbezogene Daten verwendet. Dementsprechend sind die Vorgaben des Bundesdatenschutzgesetzes (BDSG) zu beachten.
  2. Bei der Durchführung eines IT-Projektes werden externe Auftragnehmer für Entwicklungsarbeiten hinzugezogen. Diesen gegenüber sind verschiedene, vertraglich festgelegte Leistungen in den Bereichen der Prüfung und Dokumentation zu erbringen. Auf der anderen Seite müssen die externen Dienstleister auf interne Bestimmungen zur IT-Sicherheit verpflichtet werden.
  3. Zur Klärung des Projektstandes beschließt ein IT-Projektlenkungsausschuss, für das Projekt eine projektbegleitende Prüfung durch einen externen Wirtschaftsprüfer vornehmen zu lassen. Dieser legt seiner Prüfung den Prüfungsstandard PS 850 des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) zugrunde.
  4. Im Rahmen eines Systementwicklungsprojektes werden verschiedene Software-Entwicklungstools eingesetzt. Für die Nutzung dieser Softwarewerkzeuge muss das Unternehmen über eine entsprechende Anzahl von Lizenzen verfügen, deren rechtmäßige Nutzung auf einem Lizenzvertrag basiert.
  5. Das interne Qualitätsmanagement sieht verschiedene Vorgaben für die Dokumentenlenkung vor. Die entsprechenden Anforderungen gelten auch für die Erstellung, Prüfung, Freigabe und Verteilung der im Rahmen der Projektarbeit erstellten Projektdokumente.
  6. Eine Auftragsentwicklung hatte eine ISO 27001-Zertifizierung des Auftragnehmers zur Voraussetzung. Im Projektvertrag ist die Verpflichtung enthalten, dass im Rahmen der Berichterstattung die Einhaltung der in der Norm enthaltenen Sicherheitsstandards im Rahmen der Projektarbeit zu dokumentieren ist.
  7. Um die professionelle Durchführung aller Unternehmensprojekte sicherzustellen, sind die Vorgaben der Projektnorm DIN 69901 bei der Projektdurchführung einzuhalten. Dies gilt auch für die IT-Projekte des Unternehmens.

Um welche Art von einzuhaltenden Regelungen handelt es sich in diesen Beispielen? Beim ersten Beispiel sind gesetzliche Vorgaben, in diesem Fall des BDSG, zu erfüllen. In den Beispielen 2, 4 und 6 sind vertragliche Verpflichtungen einzuhalten. Im dritten Beispiel ergeben sich die Anforderungen aus einem Branchenstandard, hier einem Prüfungsstandard, der von Wirtschaftsprüfern angewendet wird. Im fünften Beispiel stellt eine unternehmensinterne Richtlinie das maßgebliche Regelwerk dar, während in den Beispielen 6 und 7 die Vorgaben nationalen und internationalen Normen entstammen. Damit sind also alle eingangs angesprochenen Quellen für Compliance-Vorgaben auch in IT-Projekten anzutreffen. Die für IT-Projektcompliance relevanten Vorgaben lassen sich somit grob in die drei Gruppen der rechtlichen Regelwerke (Gesetze, untergesetzliche Regelwerke, z. B. Verordnungen, und Verträge) sowie der unternehmensinternen und ‑externen Regelwerke gliedern. Die Vielzahl der somit in Frage kommenden Regelwerke als Quellen von Compliance-Vorgaben macht deutlich, dass Compliance in Projekten nicht nur en passant erledigt werden kann, sondern Bestandteil des Projektmanagements sein muss.

Bisherige Praxis nicht ausreichend

Nun ist es durchaus nicht so, als wären Aspekte der Compliance in IT-Projekten bisher völlig vernachlässigt worden. Im Rahmen des Requirements Engineering zählen Compliance-Vorgaben beispielsweise zu den so genannten geforderten Randbedingungen. Hierbei stellen vor allem gesetzliche Neuerungen einen Auslöser von Anforderungen dar, die im Rahmen der IT-Systemgestaltung und -entwicklung zu berücksichtigen sind. Damit gehören diese produktbezogenen Compliance-Vorgaben traditionell zu den nicht-funktionalen Anforderungen. Trotz der Berücksichtigung von Compliance-Vorgaben im Rahmen des Anforderungsmanagements kann Non-Compliance in einem IT-Projekt schnell zu Problemen führen. Dieses Risiko wird insbesondere dann relevant, wenn Compliance in Form von Gesetzeskonformität nicht im Vordergrund steht – was bei allen IT-Projekten der Fall sein dürfte, die nicht durch neue Gesetze oder Gesetzesänderungen veranlasst sind. Hier spielen Anforderungen aus gesetzlichen Vorgaben häufig nur eine untergeordnete Rolle.

Außen vor bleiben zudem regelmäßig Anforderungen an das Projektmanagement und die Projektdurchführung selbst. Hierbei handelt es sich vor allem um Vorgaben, die spezifische Projektprozesse und -verfahren erfordern. Dies betrifft insbesondere Normen und Standards für das Projektmanagement (z. B. der DIN 69901). Weiterhin zählen auch vertragliche Verpflichtungen aus einem Projektvertrag ebenso wie die Erfüllung gesetzlicher Vorgaben zur dieser prozessbezogenen IT-Projekt-Compliance. Beispiele für gesetzliche Vorgaben sind die Vorgaben des Arbeitszeitgesetzes (AZG), des Bundesdatenschutzgesetzes (BDSG) oder zu beachtende Beteiligungsrechte der betrieblichen Arbeitnehmervertretung gemäß dem Betriebsverfassungsgesetz (BetrVG).

Nutzen von IT-Projekt-Compliance

Welcher Nutzen ist nun mit IT-Projekt-Compliance verbinden? Vor allem dient IT-Projekt-Compliance im Falle der Erfüllung externer Vorgaben der Vermeidung von Nachteilen. Hierbei handelt es sich bei IT-Projekten im Wesentlichen um

  • Freiheitsstrafen, Buß- und Zwangsgelder, wenn gesetzliche Vorgaben verletzt werden;
  • Vertragsstrafen bei vertraglicher Non-Compliance;
  • Umsatzausfälle (z. B. wenn es in Folge von gesetzlicher Non-Compliance zu Kundenverlusten kommt),
  • Imageschäden bei Belegschaft, Kunden und Öffentlichkeit (v. a. durch negative Berichterstattung in den Medien)
  • ein Überschreiten von Projektbudgets und -terminen, wenn professionelle Standards der Projektarbeit nicht eingehalten wurden.

Aber Compliance führt auch zu vielfältigen Vorteilen. So fördert Konformität mit Best-Practices, Projektmanagement-Normen und -Standards die Prozessqualität, häufig verbunden mit mehr Transparenz und Sicherheit in der Projektdurchführung. Compliance-Maßnahmen in IT-Projekten adressieren zudem nicht zuletzt den Schutz von IT-Ressourcen (Daten, informationstechnische Infrastruktur etc.). Hieraus resultieren auch Synergiepotenziale mit dem IT-Risikomanagement. Gute Gründe somit, sich mit Fragen der Compliance gerade auch in IT-Projekten auseinanderzusetzen. Dies sollte in Abstimmung und in Zusammenarbeit mit zentralen Funktionen der IT-Compliance bzw. der Corporate Compliance erfolgen.

Weitere Informationen zum Thema finden Sie im Handbuch IT-Projektmanagement. Vorgehensmodelle, Managementinstrumente, Good Practices, in dem Micheal Klotz ein ganzes Kapitel zu Compliance in und von IT-Projekten geschrieben hat.

Tiemeyer, IT-Projektmanagement, 2.A.

Lesen Sie auch passend zum Thema IT-Projektmanagement die Blogserie IT-Projekte erfolgreich planen und steuern von Ernst Tiemeyer.