Rechtliche Vorgaben zur IT-Sicherheit und IT-Compliance

Deutsche Unternehmen sind gesetzlich verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern und in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren. Was in Zeiten von Globalisierung und Mobilität großen Nutzen bringt, birgt durch die hohe Abhängigkeit von IT-Systemen auch Gefahren. Auf diesen Sachverhalt hat der Gesetzgeber reagiert und verschärfte Anforderungen an eine unternehmensweite IT-Sicherheit definiert. Informieren Sie sich in diesem Artikel über die wichtigsten Gesetze und Vorschriften bezogen auf die Informationstechnologie.

Zusammenspiel von rechtlicher IT-Sicherheit und IT-Compliance

Die meisten Unternehmen bilden ihre Geschäftsprozesse überwiegend digital ab. Im Rahmen der Digitalisierung gilt es diverse Vorgaben zu beachten. Ein wichtiger Baustein und Träger der IT-Compliance ist die IT-Sicherheit. Es gibt zwar keine absolute IT-Sicherheit, aber mithilfe geeigneter Maßnahmen können die mit dem Einsatz von Informationstechnologie verbundenen Risiken auf ein vertretbares Niveau gebracht werden. Neben freiwilligen Richtlinien und einschlägigen Sicherheitsstandards wie ISO 27001, COBIT (Control Objectives for Information and Related Technology) oder ITIL (Information Technology Infrastructure Library) sorgen Gesetze, Normen und Grundsätze dafür, dass sich Unternehmen ihrer damit verbundenen Handlungsweisen und Haftungsverpflichtungen bewusst sind. Gesetze zu Datenschutz und Informationssicherheit haben das Ziel, einen verlässlichen Schutz der Unternehmensinformationen in Bezug auf Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu schaffen. Die Einhaltung dieser Vorgaben ist zwingende Voraussetzung dafür, dass Unternehmen regelkonform bleiben.

Rechtsnormen mit Relevanz für die IT-Compliance im deutschen Regelungsraum

Die folgenden Gesetzestexte enthalten zentrale Regelungen oder haben diese geschaffen. Sie sind beim Thema „IT-Compliance“ stets zu berücksichtigen.

EU-DSGVO – gleiches Recht für alle in der EU

Durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) steht der Datenschutz in allen EU-Mitgliedsstaaten unter den gleichen Regeln, sodass es keine nationalen Unterschiede mehr gibt. Damit steigen die Anforderungen an die Datenschutz-Compliance und ein gut funktionierendes Datenschutz-Management-System. Die Regelungen des deutschen Bundesdatenschutzgesetzes (BDSG) ergänzen die EU-DSGVO, indem einige Punkte konkretisiert werden.

Details zur EU-DSGVO lesen Sie in folgenden Fachartikeln:

IT-Sicherheitsgesetz: rechtliche Grundlagen für die IT-Sicherheit

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist ein Artikelgesetz. Das heißt, darin werden bestehende Regelungen geändert und ergänzt. Ziel ist es, den Schutz von Daten und IT-Systemen zu sichern und zu gewährleisten.

Speziell der Schutz von Betreibern kritischer Infrastrukturen (KRITIS) aus Bereichen wie Strom- und Wasserversorgung, Finanzen oder Ernährung steht im Vordergrund. Die Betreiber sind verpflichtet, die zur Erbringung ihrer Dienste erforderliche IT angemessen abzusichern und diese mindestens alle zwei Jahre überprüfen zu lassen. Zudem soll die Zusammenarbeit in Sicherheitsvorfällen nach außen verstärkt werden. Es gibt bei Ausfällen oder IT-Sicherheitsvorfällen Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Informationspflichten gegenüber betroffenen Nutzern.

KonTraG: wirtschaftliche Kontrolle und Transparenz bei AG, GmbH & Co.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zielt auf die Verbesserung der Grundsätze der Unternehmensführung (Corporate Governance) ab. Zusätzlich sollen Unternehmer motiviert werden, sich stärker mit dem Thema (IT)-Risikomanagement auseinanderzusetzen und sinnvollerweise in ein unternehmensweites Risikofrüherkennungssystem zu investieren. Um diese Forderungen zu erreichen, wurden mittels des KonTraG, welches ein Artikelgesetz ohne eigenen Gesetzestext ist, Gesetze wie das GmbHG, das AktG oder das HGB inhaltlich geändert. Teilweise werden einzelne Paragraphen (z. B. § 43 GmbHG) entsprechend angewendet. Aus § 91 AktG, was durch § 43 GmbH für GmbHs Anwendungen findet, geht die Installierung eines angemessenen internen Risikomanagements für Gesellschaften hervor. Die Sachlage ist klar: Die Geschäftsführung verantwortet die (IT-)Sicherheit – mit allen Konsequenzen. Nur wenn diese nachweislich alle geforderten sicherheitsrelevanten Maßnahmen umgesetzt hat, kann sie sich aus der Haftung exkulpieren.

Details zum Risikomanagement enthalten die folgenden zwei Artikel:

GoBD: die Pflicht zur Sorgfalt bei der elektronischen Dokumentation

Der Name hinter der Abkürzung bedeutet „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Die GoBD sind Vorgaben aus einer Verwaltungsanweisung des Bundesministerium der Finanzen für die Dokumentationsprozesse in Unternehmen. Streng genommen handelt es sich nicht um ein Gesetz im engeren Sinne. Aber durch den Charakter einer Verwaltungvorschrift sind alle Unternehmensbereiche betroffen, in denen betriebliche Abläufe und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen.

Entsprechend erhält ein Unternehmen die Auflage diverse Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung der Informationen zu beachten. Dazu gehören Nachvollziehbarkeit und -prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit. Diese Anforderungen sind auf die Verfahren anzuwenden, die durch die IT abgebildet werden. Gleichwohl müssen sämtliche Vorgaben über ein Internes Kontrollsystem (IKS) umgesetzt werden. Zusätzlich ist eine Verfahrensdokumentation als Nachweis eines ordnungsgemäßen Systembetriebs vorgeschrieben. Infolgedessen bedarf es zur Erfüllung der GoBD eines Datensicherheitskonzepts mit weitreichenden Maßnahmen zur Sicherung der Informationen vor Verlust.

Deutsche Gesetze mit konkretem IT-Bezug

Folgende Gesetzestexte sollten in Deutschland beim Thema „IT-Compliance“ immer berücksichtigt werden, da mit ihnen das IT-Umfeld konkret geregelt werden soll.

Telemediengesetz (TMG)

Das TMG regelt die rechtlichen Rahmenbedingungen für die Ausgestaltung des Angebots sogenannter Telemedien in Deutschland. Mit Telemedien lassen sich fast alle Angebote im Internet zusammenfassen, welche elektronische Informations- und Kommunikationsdienste darstellen. Also Dienste im Internet, mit denen Nutzer Informationen inhaltlich austauschen können. Dies umfasst Access-, Plattform- oder Hosting-Provider. Zum einen legt es die Verantwortung der Provider für die Informationen fest, die sie von und über ihre Nutzer erhalten. Zum anderen werden Vorgaben gemacht, welche Informationen die Nutzer darüber erhalten sollen. Die großen medienwirksamen Diskussionen der letzten Jahre (freies W-LAN, Impressumspflicht auf Webseiten, Datenschutz in Social Media oder Cookies) bezogen sich vor allem auf die Regelungen dieses Gesetzes. Insbesondere zu Themen der IT-Sicherheit sollte § 13 Abs. 7 TMG betrachtet werden.

Telekommunikationsgesetz (TKG)

Während das TMG die Ausgestaltung von Angeboten im Internet regelt, gibt das TKG Regelungen vor wie und unter welchen Voraussetzungen das Internet und andere Telekommunikationsleistungen wie die Telefonie, bereitgestellt werden dürfen. Das TKG ist im Bereich des öffentlichen Rechts anzusiedeln, da die Bundesnetzagentur (BNetzA) die Einhaltung der Vorgaben des deutschen Netzes überwacht und bei Bedarf eingreifen kann. Das TKG legt fest, in welchem Rahmen die BNetzA und die Teilnehmer an der Telekommunikation handeln sollen und dürfen. Dazu gehören Vorgaben zur Sicherung und Ausgestaltung des Fernmeldegeheimnisses sowie des Datenschutzes (Stichwort: Vorratsdatenspeicherung) durch entsprechende technische und organisatorische Maßnahmen.

(Software-)Urheberrecht im UrhG

In Europa werden Regelungen der Software grundsätzlich dem Urheberrecht zugeordnet, da die Software zunächst durch den geschriebenen Code materialisiert wird. Vorgaben, welche die Urherber- aber auch die Verwertungsrechte meist in Form von Lizenzen regeln, ergeben sich aus den allgemeinen Regelungen für urheberrechtliche Werke und speziell für Software aus den §§ 69a-69g UrhG.

IT-Strafrecht im Strafgesetzbuch (StGB)

Durch die Zunahme von Straftaten im Internet versucht der Gesetzgeber diesem Umstand mit speziellen Strafnormen entgegenzuwirken. Die §§ 202a-202c StGB verbieten, grob gesagt, das unrechtmäßig Erlangen von Informationen aus IT-Systemen. Die §§ 303a und 303b StGB verbieten die unrechtmäßige Zerstörung von Computern und Daten. § 263a StGB zum Computerbetrug verbietet Handlungen, bei denen Opfer in betrügerischer Art durch das Manipulieren von Computern und Systeme finanziell geschädigt werden.

Berücksichtigt werden sollten auch Strafnormen, die zwar für die analoge Welt geschrieben wurden, aber Regelungen für die digitale Welt beinhalten könnten. So ist nach § 203 StGB die Verletzung von Geheimnissen von Berufsgeheimnisträgern (wie Anwälten, Ärztinnen, Therapeuten u. ä.) verboten, was insbesondere dann wichtig ist, wenn diese Berufsgeheimnisträger Computersysteme nutzen. Auch Betrug oder Identitätsdiebstahl sind in der digitalen Welt ein Thema und können aufgrund der §§ 269 und 270 StGB geahndet werden.

Verträge: an die Anforderungen und Wünsche der Kunden denken

Die bisherigen Vorgaben geben wieder, was der Gesetzgeber als Vorgaben für den IT-Bereich allgemein erarbeitet hat. Im Zusammenspiel mit den Kunden stellen wir uns zusätzlich die Frage, welche Verantwortung wir damit eingehen und welche wir dem Kunden abnehmen können. Als Managed Cloud Solution Provider befassen wir uns nicht nur mit dem bloßen Bereitstellen einer Infrastruktur für die Kunden, sondern versuchen bei deren Planung die Unternehmen bestmöglich bei der Einhaltung regulatorischer Vorgaben mit Bezug zur IT zu unterstützen. Beispielsweise werden bestimmte Berichtsformen und -arten erwartet, die wir im Rahmen des jeweiligen Projektes versuchen zu entsprechen. Es ist wichtig auf die Vertragsinhalte zu achten, besonders auf die Service Level Agreements (SLA). Sie unterliegen den zivilrechtlichen Regelungen zu Verträgen und sollten an diesen gemessen werden.

Fazit: auf die individuellen Anforderungen achten

Abschließend ist zu erwähnen, dass die gemachten Auflistungen sehr grob sind. Zusätzlich gibt es eine Vielzahl an Einzelnormen in anderen Gesetzen, die ebenfalls Auswirkungen auf die Gestaltung der IT haben. Außerdem haben nicht alle Normen der genannten Gesetze wirklich Einfluss auf die IT. Hinzu kommt, dass eine gesetzliche Regelung nicht immer direkt die Antwort parat hat. Häufig ist Interpretation gefragt. Hierbei empfiehlt sich unter Umständen eine Rechtsberatung hinzugezogen werden. Echte IT-Compliance ist eine ständige Aufgabe, die darin besteht, die relevanten Anforderungen zu identifizieren und umzusetzen. Diese Übersicht kann ein erster Anstoß sein.

Unser Video zu Datensicherheit und IT-Security