Deutsche Unternehmen sind gesetzlich verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern und in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren. Was in Zeiten von Globalisierung und Mobilität großen Nutzen bringt, birgt durch die hohe Abhängigkeit von IT-Systemen auch Gefahren. Auf diesen Sachverhalt hat der Gesetzgeber reagiert und verschärfte Anforderungen an eine unternehmensweite IT-Sicherheit definiert. Informieren Sie sich in diesem Artikel über die wichtigsten Gesetze und Vorschriften bezogen auf die Informationstechnologie.
Zusammenspiel von rechtlicher IT-Sicherheit und IT-Compliance
Die meisten Unternehmen bilden ihre Geschäftsprozesse überwiegend digital ab. Im Rahmen der Digitalisierung gilt es diverse Vorgaben zu beachten. Ein wichtiger Baustein und Träger der IT-Compliance ist die IT-Sicherheit. Es gibt zwar keine absolute IT-Sicherheit, aber mithilfe geeigneter Maßnahmen können die mit dem Einsatz von Informationstechnologie verbundenen Risiken auf ein vertretbares Niveau gebracht werden. Neben freiwilligen Richtlinien und einschlägigen Sicherheitsstandards wie ISO 27001, COBIT (Control Objectives for Information and Related Technology) oder ITIL (Information Technology Infrastructure Library) sorgen Gesetze, Normen und Grundsätze dafür, dass sich Unternehmen ihrer damit verbundenen Handlungsweisen und Haftungsverpflichtungen bewusst sind. Gesetze zu Datenschutz und Informationssicherheit haben das Ziel, einen verlässlichen Schutz der Unternehmensinformationen in Bezug auf Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu schaffen. Die Einhaltung dieser Vorgaben ist zwingende Voraussetzung dafür, dass Unternehmen regelkonform bleiben.
Rechtsnormen mit Relevanz für die IT-Compliance im deutschen Regelungsraum
Die folgenden Gesetzestexte enthalten zentrale Regelungen oder haben diese geschaffen. Sie sind beim Thema „IT-Compliance“ stets zu berücksichtigen.
EU-DSGVO – gleiches Recht für alle in der EU
Durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) steht der Datenschutz in allen EU-Mitgliedsstaaten unter den gleichen Regeln, sodass es keine nationalen Unterschiede mehr gibt. Damit steigen die Anforderungen an die Datenschutz-Compliance und ein gut funktionierendes Datenschutz-Management-System. Die Regelungen des deutschen Bundesdatenschutzgesetzes (BDSG) ergänzen die EU-DSGVO, indem einige Punkte konkretisiert werden.
Details zur EU-DSGVO lesen Sie in folgenden Fachartikeln:
IT-Sicherheitsgesetz: rechtliche Grundlagen für die IT-Sicherheit
Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist ein Artikelgesetz. Das heißt, darin werden bestehende Regelungen geändert und ergänzt. Ziel ist es, den Schutz von Daten und IT-Systemen zu sichern und zu gewährleisten.
Speziell der Schutz von Betreibern kritischer Infrastrukturen (KRITIS) aus Bereichen wie Strom- und Wasserversorgung, Finanzen oder Ernährung steht im Vordergrund. Die Betreiber sind verpflichtet, die zur Erbringung ihrer Dienste erforderliche IT angemessen abzusichern und diese mindestens alle zwei Jahre überprüfen zu lassen. Zudem soll die Zusammenarbeit in Sicherheitsvorfällen nach außen verstärkt werden. Es gibt bei Ausfällen oder IT-Sicherheitsvorfällen Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Informationspflichten gegenüber betroffenen Nutzern.
KonTraG: wirtschaftliche Kontrolle und Transparenz bei AG, GmbH & Co.
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zielt auf die Verbesserung der Grundsätze der Unternehmensführung (Corporate Governance) ab. Zusätzlich sollen Unternehmer motiviert werden, sich stärker mit dem Thema (IT)-Risikomanagement auseinanderzusetzen und sinnvollerweise in ein unternehmensweites Risikofrüherkennungssystem zu investieren. Um diese Forderungen zu erreichen, wurden mittels des KonTraG, welches ein Artikelgesetz ohne eigenen Gesetzestext ist, Gesetze wie das GmbHG, das AktG oder das HGB inhaltlich geändert. Teilweise werden einzelne Paragraphen (z. B. § 43 GmbHG) entsprechend angewendet. Aus § 91 AktG, was durch § 43 GmbH für GmbHs Anwendungen findet, geht die Installierung eines angemessenen internen Risikomanagements für Gesellschaften hervor. Die Sachlage ist klar: Die Geschäftsführung verantwortet die (IT-)Sicherheit – mit allen Konsequenzen. Nur wenn diese nachweislich alle geforderten sicherheitsrelevanten Maßnahmen umgesetzt hat, kann sie sich aus der Haftung exkulpieren.
Details zum Risikomanagement enthalten die folgenden zwei Artikel: