• ADACOR
  • FILOO

Rechtliche Vorgaben zur Informationssicherheit und IT-Compliance

Zuletzt aktualisiert am 15. Juni 2020

Deutsche Unternehmen sind gesetzlich dazu verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern und in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren. Was in Zeiten von Globalisierung und Mobilität großen Nutzen bringt, birgt durch die hohe Abhängigkeit von IT-Systemen auch Gefahren für Unternehmen. Auf diesen Sachverhalt hat der Gesetzgeber reagiert und verschärfte Anforderungen an eine unternehmensweite Informationssicherheit definiert. Dieser Artikel gibt Ihnen einen Überblick über die wichtigsten Gesetze und Vorschriften bezogen auf die IT.

Zusammenspiel von rechtlicher IT-Compliance und IT-Sicherheit

Unternehmen bilden ihre Geschäftsprozesse heutzutage überwiegend digital ab. In dieser digitalen Welt gilt es diverse Vorgaben zu betrachten. Ein wichtiger Baustein und Träger der IT-Compliance ist die IT-Sicherheit. Absolute IT-Sicherheit gibt es zwar nicht, aber mithilfe adäquater Maßnahmen lassen sich die mit dem Einsatz von Informationstechnologie verbundenen Risiken auf ein vertretbares Niveau bringen. Neben freiwilligen Richtlinien und einschlägigen Sicherheitsstandards wie ISO 27001, COBIT (Control Objectives for Information and Related Technology) oder ITIL (Information Technology Infrastructure Library) sorgen Gesetze, Normen und Grundsätze dafür, dass sich Unternehmen ihrer Handlungsweisen und Haftungsverpflichtungen im Bereich Informationssicherheit bewusst sind.

Gesetze zu Datenschutz und Informationssicherheit verfolgen das Ziel, einen verlässlichen Schutz der Unternehmensinformationen in Bezug auf Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu schaffen. Die Einhaltung dieser Vorgaben ist zwingende Voraussetzung dafür, dass Unternehmen regelkonform bleiben.

Erfolgreich in der Cloud

Informieren Sie sich über unsere Cloud Infrastruktur made in Frankfurt.

Adacor bietet Ihnen bedarfsgerechte Lösungen für geschäftskritische Anwendungen und Infrastrukturen.

Grundsätzliche Rechtsnormen mit Relevanz für die IT-Compliance im deutschen Regelungsraum

Die folgenden Gesetzestexte enthalten zentrale Regelungen oder haben diese geschaffen. Sie sollten beim Thema „IT-Compliance“ stets berücksichtigt werden.

EU-DSGVO – EU-Datenschutz-Grundverordnung

Durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) steht der Datenschutz in allen EU-Mitgliedsstaaten unter den gleichen Regeln, sodass es keine nationalen Unterschiede mehr gibt. Damit steigen die Anforderungen an die Datenschutz-Compliance und an ein gut funktionierendes Datenschutz-Management-System. Die EU-DSGVO wird ergänzt durch die Regelungen des deutschen Bundesdatenschutzgesetzes (BDSG), welches einige Dinge konkretisiert und das deshalb ebenfalls berücksichtigt werden sollte.

Hilfreiche Details zur EU-DSGVO finden Sie in den folgenden Fachartikeln:

IT-Sicherheitsgesetz: rechtliche Grundlagen für die IT-Sicherheit

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist ein Artikelgesetz. Das heißt, darin werden bereits bestehende Regelungen geändert und ergänzt. Ziel ist es, den Schutz von Daten und IT-Systemen zu sichern und zu gewährleisten. (Wir haben bereits an anderer Stelle darüber berichtet.)

Speziell der Schutz von Betreibern kritischer Infrastrukturen (KRITIS) aus Bereichen wie Strom- und Wasserversorgung, Finanzen oder Ernährung steht im Vordergrund. Die Betreiber sind dazu verpflichtet, die zur Erbringung ihrer Dienste erforderliche IT angemessen abzusichern und diese mindestens alle zwei Jahre überprüfen zu lassen. Zudem soll die Zusammenarbeit in Sicherheitsvorfällen nach außen verstärkt werden. So gibt es bei Ausfällen oder IT-Sicherheitsvorfällen Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Informationspflichten gegenüber betroffenen Nutzern.

Schon up to date?

Jetzt den ITQ-Newsletter abonnieren und Top-Infos erhalten!

Nein, Danke.

KonTraG: wirtschaftliche Kontrolle und Transparenz bei AG, GmbH & Co.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zielt auf die Verbesserung der Grundsätze der Unternehmensführung (Corporate Governance) ab. Zusätzlich sollen Unternehmer motiviert werden, sich stärker mit dem Thema (IT)-Risikomanagement auseinanderzusetzen und sinnvollerweise in ein unternehmensweites Risikofrüherkennungssystem zu investieren. Um diese Forderungen zu erreichen, wurden mittels des KonTraG, welches ein Artikelgesetz ohne eigenen Gesetzestext ist, Gesetze wie das GmbHG, das AktG oder das HGB inhaltlich geändert. Teilweise werden einzelne Paragraphen (z. B. § 43 GmbHG) entsprechend angewendet. Aus § 91 AktG was durch § 43 GmbH für GmbHs Anwendungen findet, geht die Installierung eines angemessenen internen Risikomanagements für Gesellschaften hervor. Die Sachlage ist klar: Der Geschäftsführer verantwortet die (IT-)Sicherheit – mit allen Konsequenzen. Nur wenn er nachweislich alle geforderten sicherheitsrelevanten Maßnahmen umgesetzt hat, kann er sich aus der Haftung exkulpieren.

Interessante Details zum Thema Risikomanagement haben wir Ihnen in zwei Artikeln zusammengefasst:

GoBD: die Pflicht zur Sorgfalt bei der elektronischen Dokumentation

Der Name hinter der Abkürzung bedeutet „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Die GoBD sind Vorgaben aus einer Verwaltungsanweisung des Bundesministerium der Finanzen für die Dokumentationsprozesse in Unternehmen. Streng genommen handelt es sich nicht um ein Gesetz im engeren Sinne. Aber durch den Charakter einer Verwaltungvorschrift sind alle Unternehmensbereiche betroffen, in denen betriebliche Abläufe und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen.

Entsprechend erhält ein Unternehmen die Auflage diverse Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung der Informationen zu beachten. Dazu gehören Nachvollziehbarkeit und -prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit. Diese Anforderungen sind auf die Verfahren anzuwenden, die durch die IT abgebildet werden. Gleichwohl müssen sämtliche Vorgaben über ein Internes Kontrollsystem (IKS) umgesetzt werden. Zusätzlich ist eine Verfahrensdokumentation als Nachweis eines ordnungsgemäßen Systembetriebs vorgeschrieben. Infolgedessen bedarf es zur Erfüllung der GoBD eines Datensicherheitskonzepts mit weitreichenden Maßnahmen zur Sicherung der Informationen vor Verlust.

Deutsche Gesetze mit konkretem Bezug zur IT

Folgende Gesetzestexte sollten bei der IT-Compliance in Deutschland immer berücksichtigt werden, da mit ihnen das IT-Umfeld konkret geregelt sein soll.

Telemediengesetz (TMG)

Das TMG regelt die rechtlichen Rahmenbedingungen für die Ausgestaltung des Angebots sogenannter Telemedien in Deutschland. Mit Telemedien lassen sich fast alle Angebote im Internet zusammenfassen, welche elektronische Informations- und Kommunikationsdienste darstellen. Also Dienste im Internet, mit denen Nutzer Informationen inhaltlich austauschen können. Dies umfasst Access-, Plattform- oder auch Hosting-Provider. Zum einen legt es die Verantwortung der Provider für die Informationen fest, die sie von und über ihre Nutzer erhalten. Zum anderen werden Vorgaben gemacht, welche Informationen die Nutzer darüber erhalten sollen. Die großen medienwirksamen Diskussionen der letzten Jahre (freies W-LAN, Impressumspflicht auf Webseiten, Datenschutz in Social Media oder Cookies) bezogen sich vor allem auf die Regelungen dieses Gesetzes. Insbesondere zu Themen der IT-Sicherheit sollte § 13 Abs. 7 TMG betrachtet werden.

Telekommunikationsgesetz (TKG)

Während das TMG die Ausgestaltung von Angeboten im Internet regelt, gibt das TKG Regelungen vor wie und unter welchen Voraussetzungen das Internet und andere Telekommunikationsleistungen wie die Telefonie, bereitgestellt werden dürfen. Das TKG ist im Bereich des öffentlichen Rechts anzusiedeln, da die Bundesnetzagentur (BNetzA) die Einhaltung der Vorgaben des deutschen Netzes überwacht und eingreifen kann. Das TKG legt fest, in welchem Rahmen die BNetzA und die Teilnehmer an der Telekommunikation handeln sollen und dürfen. Dazu gehören Vorgaben zur Sicherung und Ausgestaltung des Fernmeldegeheimnisses sowie des Datenschutzes (Stichwort: Vorratsdatenspeicherung) durch entsprechende technische und organisatorische Maßnahmen.

(Software-)Urheberrecht im UrhG

In Europa werden Regelungen der Software grundsätzlich dem Urheberrecht zugeordnet, da die Software zunächst durch den geschriebenen Code materialisiert wird. Vorgaben, die die Urherber- aber auch die Verwertungsrechte meist in Form von Lizenzen, regeln, ergeben sich einerseits aus den allgemeinen Regelungen für urheberrechtliche Werke und speziell für Software aus den §§ 69a-69g UrhG.

IT-Strafrecht im Strafgesetzbuch (StGB)

Durch die Zunahme von Straftaten im Internet versucht der Gesetzgeber diesem Umstand mit speziellen Strafnormen entgegenzuwirken. Die §§ 202a-202c StGB verbieten, grob gesagt, das unrechtmäßig Erlangen von Informationen aus IT-Systemen. Die §§ 303a und 303b StGB verbieten die unrechtmäßige Zerstörung von Computern und Daten. § 263a StGB zum Computerbetrug verbietet Handlungen, bei denen Opfer in betrügerischer Art durch das Manipulieren von Computern und Systeme finanziell geschädigt werden.

Berücksichtigt werden sollten auch Strafnormen, die zwar für die analoge Welt geschrieben wurden, die aber Regelungen für die digitale Welt beinhalten könnten. So ist etwa nach § 203 StGB die Verletzung von Geheimnissen von Berufsgeheimnisträgern (wie Anwälten, Ärztinnen, Therapeuten u. ä.) verboten, was insbesondere dann wichtig ist, wenn diese Berufsgeheimnisträger Computersysteme nutzen. Auch Betrug oder Identitätsdiebstahl sind in der digitalen Welt ein Thema und können aufgrund der §§ 269 und 270 StGB geahndet werden.

Verträge: die Anforderungen und Wünsche der Kunden nicht vergessen

Die bisherigen Vorgaben geben wieder, was der Gesetzgeber als Vorgaben für den Bereich der IT allgemein erarbeitet hat. Im Zusammenspiel mit unseren Kunden stellen wir uns zudem immer die Frage, welche Verantwortung wir damit eingehen und welche wir dem Kunden abnehmen.

Als Managed Cloud Solution Provider befassen wir uns nicht nur mit dem bloßen Bereitstellen einer Infrastruktur für unsere Kunden, sondern versuchen bei der Planung dieser die Unternehmen bestmöglich bei der Einhaltung regulatorischer Vorgaben mit Bezug zur IT zu unterstützen. Beispielsweise werden bestimmte Berichtsformen und -arten erwartet, bei denen wir versuchen im Rahmen des jeweiligen Projektes Rechnung zu tragen.

Es ist wichtig auf die Vertragsinhalte zu achten, besonders auf die Service Level Agreements (SLA). Sie unterliegen den zivilrechtlichen Regelungen zu Verträgen und sollten an diesen gemessen werden.

In einem folgenden Artikel werden wir auf einige regulatorische Vorgaben eingehen, die wir von unseren Kunden geerbt haben.

Erfolgreich in der Cloud

Nutzen Sie vorhandene Ressourcen jetzt effektiver!

Informieren Sie sich über unsere Cloud Infrastruktur made in Frankfurt.

Fazit: Auf die individuellen Anforderungen achten

Es ist abschließend wichtig zu erwähnen, dass diese Auflistungen nur sehr grob sind. Zum einen gibt es eine Vielzahl an Einzelnormen in anderen Gesetzen, die ebenfalls Auswirkungen auf die Gestaltung der IT haben. Zum anderen haben nicht alle Normen der genannten Gesetze wirklich Einfluss auf die IT. Hinzu kommt, dass eine gesetzliche Regelung einem noch nicht die direkte Antwort gibt. Es ist Interpretation gefragt. Hierzu sollte unter Umständen eine Rechtsberatung hinzugezogen werden. Echte IT-Compliance ist eine ständige Aufgabe, die darin besteht, die relevanten Anforderungen zu identifizieren und umzusetzen. Diese Übersicht kann ein erster Anstoß sein.

Unser Video zu Datensicherheit und IT-Security

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Schließen Sie sich über 1.300 IT-Experten an.
Alle 14 Tage Top-Infos zu Cloud, Hosting und Management erhalten.

Tags: , , , , , , ,

Verwandte Artikel

IT Security

Neues Gesetz soll vor DSGVO-Abmahnungen schützen

Maßnahmen wie die Verschärfung der Klagebefugnis und Strafenlimits sollen vor allem kleine und mittelständische Unternehmen vor unverhältnismäßig hohen Abmahngebühren schützen.

IT Security

Risikomanagement als Mehrwert für Unternehmen

Wie Sie das Zusammenspiel von ISMS und IKS für sich nutzen können, zeigt Ihnen unser Fachbeitrag.

IT Security

Weniger Bugs – Tipps zum Fehlermanagement im Softwarebereich

Thomas Wittbecker berichtet darüber, wieso es keine absolute Sicherheit vor Software-Bugs geben kann.