Compliance

In einer stark regulierten Wirtschaft (nFADP, GDPR, EU AI Act) ist Compliance kein lästiges Häkchensetzen mehr, sondern eine technologische Kernaufgabe. Wir transformieren statische Richtlinien in Compliance as Code — automatisierte Prüfverfahren, die kontinuierlich sicherstellen, dass alle Systeme den rechtlichen Vorgaben entsprechen.

Ziel ist es, jederzeit Audit-ready zu sein, ohne Wochen mit der manuellen Aufarbeitung von Dokumenten verbringen zu müssen.

Anti-Patterns: Das Compliance-Theater

• Papier-Compliance: Es existieren dicke Handbücher mit Richtlinien, die aber in der technischen Realität nie umgesetzt oder geprüft werden.
• Punktuelle Audits: Einmal im Jahr wird hektisch alles vorbereitet, nur um nach dem Audit wieder in alte Muster zu verfallen.
• Manuelle Reports: IT-Mitarbeiter verbringen hunderte Stunden damit, manuell Listen von Servern und Berechtigungen für Revisoren zu erstellen.

Der automatisierte Nachweis

1. Compliance as Code: Sicherheitsrichtlinien (z. B. "Alle Festplatten müssen verschlüsselt sein") werden als Skripte definiert, die die Infrastruktur automatisch und permanent überwachen.
2. Automated Inventory: Echtzeit-Inventar aller genutzten Cloud-Ressourcen, Lizenzen und Datenstandorte (siehe SBOM).
3. Identity Governance: Automatisierte Prozesse für das On- und Offboarding von Mitarbeitern und regelmässige Prüfung der Zugriffsrechte (Recertification).
4. Data Privacy by Design: Technische Erzwingung von Löschfristen und Datenminimierung direkt in der Datenbank-Architektur.
5. Continuous Auditing: Dashboards, die dem Management und Revisoren jederzeit den aktuellen Compliance-Status in Echtzeit anzeigen.

Der Vorteil: Rechtssicherheit bei hoher Geschwindigkeit

Automatisierte Compliance nimmt die Reibung aus dem Prozess. Teams können schnell agieren, da sie wissen, dass die Guardrails der Plattform sie automatisch vor Regelverstössen schützen.

FAQ

Kann Software wirklich einen menschlichen Revisor ersetzen?

Nein, aber sie liefert ihm die Faktenbasis. Der Revisor prüft den Prozess und den Code, die Software prüft die Millionen Einzelereignisse pro Tag. Das erhöht die Aussagekraft massiv.

Was kostet uns die Umsetzung des neuen Schweizer Datenschutzgesetzes (nFADP)?

Die Kosten hängen von eurer aktuellen technischen Schuld ab. Mit einem automatisierten Ansatz sind die Kosten initial höher, aber die laufenden Kosten und das Haftungsrisiko sinken dramatisch.

Reference Guide

• EDÖB — Eidg. Datenschutz- und Öffentlichkeitsbeauftragter: Leitfäden zum nFADP. edoeb.admin.ch
• Open Policy Agent (OPA): Standard für Policy-as-Code. openpolicyagent.org
• ISO/IEC 27001: Der internationale Standard für Informationssicherheits-Managementsysteme. iso.org

---

Verwandte Themen

• Technologie
• Neuland Index

Offene Punkte

• Vorlage für eine "Data Mapping Matrix" gemäss nFADP ergänzen.
• Checkliste für das "SaaS Vendor Compliance Assessment" verlinken.