Compliance verwalten
Nutzen Sie Compliance, um Anforderungen, Vertragspflichten, Kontrollen, Prüfungen und Nachweise in einem nachvollziehbaren Kontrollsystem zu führen. Workspace hilft dabei, Pflichten aus Richtlinien, Gesetzen, Kundenanforderungen oder Verträgen zu strukturieren. Die fachliche Bewertung, ob Ihr Unternehmen eine Pflicht erfüllt, bleibt Aufgabe der verantwortlichen Rollen.
Begriffe einordnen
Compliance-Anforderung: Eine Anforderung beschreibt eine normative Pflicht oder interne Vorgabe. Beispiele sind Datenschutzanforderungen, Informationssicherheitsregeln, Kundenvorgaben, Audit-Kriterien oder Vertragsklauseln.
Vertragspflicht: Eine Vertragspflicht verbindet eine Compliance-Anforderung mit einem konkreten Vertrag. So bleibt sichtbar, welche Verpflichtung aus welchem Vertragskontext stammt oder für welchen Vertrag sie besonders relevant ist.
Kontrolle: Eine Kontrolle beschreibt, wie Sie eine Anforderung prüfen oder absichern. Eine Anforderung kann mehrere Kontrollen haben, zum Beispiel eine technische Prüfung, eine Management-Freigabe und einen Nachweis-Review.
Prüfung: Eine Prüfung ist die konkrete Ausführung einer Kontrolle für einen Zeitraum. Prüfungen haben Status, Zuständigkeit, Frist und optional einen Workflow.
Nachweis: Ein Nachweis dokumentiert, womit eine Prüfung belegt wird. Das kann ein Dateiobjekt, ein Hash, ein Prüfprotokoll, ein Export oder eine andere nachvollziehbare Evidenz sein.
Arbeitsbereiche
Compliance > Anforderungen enthält die normativen Pflichten und internen Vorgaben.
Compliance > Vertragspflichten verbindet Anforderungen mit Verträgen.
Compliance > Kontrollen beschreibt die operativen Kontrollhandlungen zu Anforderungen.
Compliance > Prüfungen zeigt konkrete Ausführungen, Fristen, Zuständigkeiten und Status.
Compliance > Nachweise führt Nachweise zu Prüfungen.
Compliance > Berichte bündelt Status, offene Pflichten, Vertragsfristen, Nachweisabdeckung, Audit-Artefakte und Readiness-Hinweise, wenn diese Sichten im Arbeitsbereich verfügbar sind.
Grundmodell
Workspace trennt Compliance in Ebenen:
| Ebene | Zweck | Typische Fragen |
|---|---|---|
| Anforderung | Was muss erfüllt oder geprüft werden? | Welche Pflicht gilt? Welcher Bereich ist betroffen? Welches Risiko hat sie? |
| Vertragspflicht | Aus welchem Vertrag entsteht oder verstärkt sich die Pflicht? | Welcher Vertrag ist betroffen? Ist die Verknüpfung primär oder unterstützend? |
| Kontrolle | Wie prüfen oder sichern wir die Pflicht ab? | Wer ist zuständig? Wie oft prüfen wir? Welche Frist gilt? |
| Prüfung | Wann wurde die Kontrolle konkret ausgeführt? | Ist sie offen, in Bearbeitung, im Review, geschlossen oder fehlgeschlagen? |
| Nachweis | Womit belegen wir die Prüfung? | Welche Datei, welcher Hash, welcher Export oder welches Protokoll gehört dazu? |
Halten Sie diese Ebenen getrennt. Schreiben Sie Vertragsklauseln nicht nur als Notiz in eine Prüfung. Legen Sie Anforderungen nicht als Nachweis ab. Nutzen Sie Vertragspflichten, wenn ein Vertrag die Compliance-Sicht steuert.
Anforderungen erfassen
Öffnen Sie Compliance > Anforderungen.
Legen Sie eine Anforderung an, wenn Sie eine Pflicht wiederholt prüfen oder in Berichten sehen möchten. Verwenden Sie sprechende Schlüssel, Versionen und Titel, damit spätere Kontrollen eindeutig bleiben.
Pflegen Sie mindestens:
- Schlüssel und Titel,
- fachliche Domäne,
- Beschreibung,
- Scope, wenn die Pflicht nur für bestimmte Standorte, Produkte, Prozesse oder Vertragsarten gilt,
- Risiko, sobald die Anforderung im Workflow bewertet wurde,
- Status über den vorgesehenen Workflow.
Anforderungsstatus sind workflow-gebunden. Typische Zustände sind draft, active, retired und deprecated. Ändern Sie den Status nicht als freies Feld. Nutzen Sie die Workflow-Aktionen, damit Freigabe, Ablösung und Historie nachvollziehbar bleiben.
Vertragspflichten verbinden
Öffnen Sie Compliance > Vertragspflichten, um Anforderungen mit Verträgen zu verknüpfen.
Nutzen Sie diese Verbindung, wenn eine Pflicht aus einem Vertrag kommt oder ein Vertrag eine bestehende Anforderung konkretisiert. Beispiele:
- Ein Kundenvertrag verlangt jährliche Sicherheitsnachweise.
- Ein Lieferantenvertrag enthält Datenschutz- oder Geheimhaltungspflichten.
- Ein Servicevertrag hat Kündigungs-, Verlängerungs- oder Berichtspflichten.
- Ein Arbeitsvertrag oder eine interne Vereinbarung enthält nachweispflichtige HR-Regeln.
Pflegen Sie pro Verbindung:
- Anforderung,
- Vertrag,
- Rolle der Verbindung, zum Beispiel
primary_contractodersupporting, - Löschregel,
- Nachweisstärke,
- gültigen Zeitraum, wenn die Pflicht nur zeitweise gilt.
Die Löschregel beschreibt, wie stark der Vertrag als Quelle geschützt wird:
| Wert | Verwenden Sie ihn, wenn ... |
|---|---|
protect_source | die verknüpfte Vertragsquelle nicht still entfernt werden darf. |
allow_unlink_only | die Pflicht bestehen bleibt, aber die konkrete Verknüpfung gelöst werden darf. |
informational | die Verbindung nur erklärenden Charakter hat. |
Die Nachweisstärke beschreibt, wie wichtig die Verbindung für die Erfüllung ist:
| Wert | Bedeutung |
|---|---|
supporting | Der Vertrag unterstützt die Anforderung. |
primary | Der Vertrag ist eine Hauptquelle der Pflicht. |
critical | Die Pflicht ist ohne diesen Vertragsbezug besonders kritisch. |
Workspace prüft beim Verknüpfen, ob der Vertrag im aktuellen Arbeitsbereich existiert und für den Benutzer sichtbar ist. Wenn ein Vertrag wegen Gruppen- oder Personenbezug nicht sichtbar ist, erscheint er auch nicht als frei nutzbare Compliance-Quelle.
Zusammenspiel mit Contracts
Contracts ist die Quelle für workflow-gebundene Verträge. Compliance verweist auf Contracts, dupliziert sie aber nicht.
Ein Vertrag liefert:
- Vertragsnummer,
- Vertragstyp,
- Status,
- Workflow-Zustand,
- Personen- oder Firmenbezug,
- zuständige Gruppe,
- Laufzeiten und Fristen aus Vertragsattributen,
- sensible Vertragsattribute, wenn die Rolle sie sehen darf.
Compliance nutzt diese Informationen auf drei Arten:
- Vertragspflichten verbinden Anforderungen mit Verträgen.
- Sichtbarkeit von Anforderungen, Kontrollen, Prüfungen und Nachweisen folgt dem sichtbaren Vertragskontext, wenn sie über Vertragspflichten verbunden sind.
- Compliance-Berichte zeigen Vertragsfristen wie auslaufende Verträge, Kündigungsfristen oder auslaufende Vertraulichkeit, wenn die Vertragsattribute diese Fristen liefern.
Bearbeiten Sie Vertragsinhalt weiterhin im Vertragsbereich. Bearbeiten Sie Compliance-Bewertung, Kontrollen, Prüfungen und Nachweise im Compliance-Bereich. Wenn eine Frist im Compliance-Dashboard falsch wirkt, prüfen Sie zuerst den Vertrag und seine strukturierten Attribute, nicht den Compliance-Bericht.
Kontrollen pflegen
Öffnen Sie Compliance > Kontrollen.
Legen Sie Kontrollen an, um Anforderungen regelmäßig oder anlassbezogen zu prüfen. Eine Kontrolle gehört zu genau einer Anforderung und kann eigene Risiko- und Fristwerte tragen.
Pflegen Sie:
- Anforderung,
- Schlüssel und Version,
- Titel und Beschreibung,
- Risiko,
- verantwortliche Person,
- Prüfintervall,
- Fälligkeit nach Prüfzeitraum,
- Review-Fenster,
- Erinnerungs- und Eskalationsregeln,
- Aktiv-Status.
Das Prüfintervall ist ein technischer Zeitvertrag. Verwenden Sie positive Dauerwerte wie 24h, 168h oder 720h, wenn der Arbeitsbereich intervallbasierte Prüfungen nutzt. Ungültige Intervalle erzeugen keine belastbaren Prüfungen.
Wenn Sie eine Kontrolle aktivieren oder ihr Intervall ändern, gleicht Workspace den Prüfplan ab. Eine inaktive Kontrolle erzeugt keine neuen Prüfungen.
Prüfungen verfolgen
Öffnen Sie Compliance > Prüfungen.
Prüfungen entstehen aus aktiven Kontrollplänen oder werden über den vorgesehenen Prozess angelegt. Eine Prüfung hält Zeitraum, Fälligkeit, Zuständigkeit, Zielobjekt und Status.
Typische Status sind:
| Status | Bedeutung |
|---|---|
open | Die Prüfung ist offen und wartet auf Bearbeitung. |
in_progress | Die Prüfung wird bearbeitet. |
in_review | Die Prüfung wurde eingereicht und wartet auf Review. |
closed | Die Prüfung ist abgeschlossen. |
failed | Die Prüfung ist fehlgeschlagen oder nicht bestanden. |
Nutzen Sie Workflow-Aktionen für Statuswechsel. Workspace schützt Status, Workflow-Felder, Perioden und Abschlusszeitpunkte vor direktem Umschreiben. So bleiben Prüfverlauf und Audit-Sicht nachvollziehbar.
Prüfen Sie offene Arbeit regelmäßig:
- Welche Prüfungen sind überfällig?
- Welche Prüfungen sind in Review?
- Welche kritischen oder hohen Risiken sind offen?
- Welche Prüfungen haben noch keinen Nachweis?
- Welche Prüfungen hängen an einem Vertrag, dessen Frist bald erreicht ist?
Nachweise erfassen
Öffnen Sie Compliance > Nachweise.
Erfassen Sie Nachweise an der konkreten Prüfung. Workspace speichert Nachweis-Metadaten wie Datei-Hash, Dateiname, Medientyp, Größe, Uploader und Upload-Zeitpunkt. Wenn ein Storage-Kontext verwendet wird, liegt die Datei als Storage-Objekt mit Bezug zur Prüfung vor.
Beachten Sie:
- Ein Nachweis gehört zu einer Prüfung, nicht nur zu einer Anforderung.
- Nachweise können nur an bearbeitbaren Prüfungen ergänzt oder entfernt werden.
- Abgeschlossene oder fehlgeschlagene Prüfungen sind für Nachweisänderungen eingefroren.
- Der Datei-Hash hilft, spätere Änderungen am Artefakt zu erkennen.
- Große oder vertrauliche Inhalte gehören in den vorgesehenen Storage-Kontext, nicht in Freitextfelder.
Nutzen Sie Nachweise nicht als Ablage für beliebige Dokumente. Verwenden Sie den Dokumenten- und Storage-Bereich für allgemeine Dateiablage und Compliance-Nachweise nur für prüfungsbezogene Evidenz. Weitere Storage-Grundlagen finden Sie in Dokumente und Storage.
Review und Abschluss
Schließen Sie Prüfungen über den Workflow ab. Beim Abschluss kann Workspace einen Assessment-Snapshot erzeugen. Dieser Snapshot friert den Prüfzustand, die zugehörigen Nachweise und eine Prüfsumme ein.
Bevor Sie eine Prüfung schließen:
- Prüfen Sie Anforderung und Kontrolle.
- Prüfen Sie Zeitraum und Fälligkeit.
- Prüfen Sie Zuständigkeit und Zielobjekt.
- Prüfen Sie alle Nachweise.
- Prüfen Sie, ob der Vertragspflichtbezug korrekt ist.
- Führen Sie die vorgesehene Workflow-Aktion aus.
Schließen Sie eine Prüfung nicht, wenn der Nachweis noch fehlt oder nur als Freitext beschrieben ist. Laden Sie den Nachweis hoch oder verknüpfen Sie das passende Storage-Objekt.
Berichte und Dashboard
Nutzen Sie Compliance-Berichte für operative Steuerung:
- Statusübersicht zählt offene, laufende, im Review befindliche, geschlossene, fehlgeschlagene und überfällige Prüfungen.
- Vertragsübersicht zeigt relevante Vertragsfristen, wenn Contracts strukturierte Fristattribute liefern.
- Pflichtenübersicht zeigt offene, bald fällige, überfällige und risikoreiche Prüfungen.
- Nachweisabdeckung zeigt, welche Prüfungen Nachweise haben und welche noch ohne Nachweis sind.
- Audit-Trail zeigt Exportartefakte und Assessment-Snapshots.
- Readiness zeigt, ob Storage, Mail oder andere Voraussetzungen für Compliance-Prozesse bereit sind.
Nutzen Sie Drilldowns aus Berichten, um direkt zu Vertrag, Prüfung oder Nachweis zu wechseln. Behandeln Sie Kennzahlen als operative Hinweise. Eine grüne Kennzahl ersetzt keine fachliche oder rechtliche Bewertung.
Nachweise exportieren
Der Evidence-Export erzeugt einen unveränderlichen Nachweis-Snapshot im Storage. Der Export enthält zusammengefasste Prüfungen, Nachweise, Zeiträume, Risiko-Filter und eine Prüfsumme.
Vor dem Export:
- Wählen Sie den richtigen Storage-Ort.
- Begrenzen Sie Zeitraum und Risiko, wenn der Export für ein Audit gedacht ist.
- Prüfen Sie, ob alle relevanten Prüfungen abgeschlossen oder fachlich bereit sind.
- Prüfen Sie, ob vertrauliche Nachweise nur für berechtigte Rollen zugänglich sind.
Nach dem Export:
- Prüfen Sie Erstellzeitpunkt und Prüfsumme.
- Speichern Sie den Export nicht außerhalb freigegebener Speicherorte.
- Verwenden Sie den Export als Audit-Artefakt, nicht als Ersatz für die laufende Nachweispflege.
Berechtigungen und Sichtbarkeit
Compliance ist rechte- und vertragsgebunden. Rollen sollten Aufgaben trennen:
- Anforderungen lesen und pflegen,
- Vertragspflichten lesen und pflegen,
- Kontrollen lesen und pflegen,
- Prüfungen lesen und bearbeiten,
- Nachweise lesen, hochladen oder löschen,
- Berichte lesen,
- Nachweise exportieren,
- Workflow-Übergänge lesen und ausführen,
- Contracts lesen,
- sensible Vertragsattribute lesen, wenn nötig.
Verknüpfte Compliance-Daten folgen dem sichtbaren Contract-Kontext. Benutzer mit breitem Vertragsleserecht sehen mehr verknüpfte Anforderungen, Kontrollen, Prüfungen und Nachweise als Benutzer, die nur eigene oder gruppenbezogene Verträge sehen. Geben Sie deshalb Compliance- und Contract-Rechte gemeinsam frei, nicht unabhängig voneinander.
Sensible Vertragsattribute bleiben durch Contract-Berechtigungen geschützt. Eine Compliance-Verknüpfung macht sensible Vertragsattribute nicht automatisch sichtbar.
Typische Fehler
- Eine Pflicht wird nur als Vertragstext gepflegt, aber nicht als Compliance-Anforderung.
- Eine Anforderung wird aktiv genutzt, ist aber noch im Entwurf.
- Ein Vertrag wird nicht verknüpft, obwohl die Pflicht vertraglich entsteht.
- Die falsche Löschregel erlaubt, dass wichtige Vertragsquellen aus dem Kontext verschwinden.
- Eine Kontrolle hat kein gültiges Prüfintervall.
- Eine Kontrolle ist inaktiv, obwohl regelmäßige Prüfungen erwartet werden.
- Prüfungen werden per Feldänderung statt Workflow-Aktion abgeschlossen.
- Nachweise liegen als Freitext oder lose Datei vor, aber nicht an der Prüfung.
- Ein Export wird erstellt, bevor Nachweise vollständig sind.
- Benutzer sehen Compliance-Daten nicht, weil der verknüpfte Vertrag für sie nicht sichtbar ist.
Grenzen
Workspace ersetzt keine Rechtsberatung und keine automatische Zertifizierung. Compliance-Seiten helfen beim Strukturieren, Nachhalten, Prüfen und Exportieren von Nachweisen.
Workspace entscheidet nicht automatisch, ob eine externe Norm erfüllt ist. Workspace kann auch keine fehlenden Vertragsattribute, fehlenden Nachweise oder fehlende Storage-Konfiguration fachlich erraten. Beheben Sie solche Lücken in den jeweiligen Stammdaten, Verträgen, Kontrollen oder Storage-Einstellungen.
Checkliste
Vor dem produktiven Compliance-Einsatz sollte diese Checkliste grün sein:
- Compliance-Rollen und Contract-Rechte sind gemeinsam geprüft.
- Storage für Nachweise und Exporte ist eingerichtet.
- Mail- oder Benachrichtigungswege sind bereit, wenn Erinnerungen genutzt werden.
- Anforderungen sind mit Schlüssel, Version, Domäne, Beschreibung und Scope gepflegt.
- Vertragsbezogene Pflichten sind mit Contracts verknüpft.
- Löschregel und Nachweisstärke je Vertragspflicht sind bewusst gewählt.
- Kontrollen haben verantwortliche Personen, Risiko und gültige Prüfintervalle.
- Aktive Kontrollen erzeugen erwartete Prüfungen.
- Offene Prüfungen haben klare Zuständigkeit und Fälligkeit.
- Nachweise werden an Prüfungen hochgeladen oder strukturiert verknüpft.
- Review und Abschluss laufen über Workflow-Aktionen.
- Berichte zeigen Status, Vertragsfristen, Pflichten, Nachweisabdeckung und Readiness plausibel an.
Weitere Zusammenhänge finden Sie in Dokumente und Storage, IAM und Authentifizierung, Mitarbeiter, Arbeitszeit, Urlaub und Verträge und Backend-Integration für eigene Clients.