IT-Gesetze: Welche Gesetze und Normen zur IT-Sicherheit gilt es einzuhalten?

Unternehmen in Deutschland und Europa müssen eine Vielzahl von Gesetzen in Sachen IT-Sicherheit einhalten – andernfalls drohen hohe Sanktionen. Auf diese Weise soll eine flächendeckend hohe IT-Security gewährleistet werden. Welche juristischen Pflichten es genau gibt und welche Gesetzesnormen jedes Unternehmen kennen und einhalten sollte, das haben wir in diesem Blog-Artikel für Sie zusammengefasst.

IT-Risikomanagement zu betreiben ist schon lange keine Sache mehr, die nur große Unternehmen sich leisten können, sollten und müssen. Nein, vielmehr ist es zur Pflicht geworden. Verschiedene Vorschriften und Gesetzesanforderungen verpflichten Unternehmen rechtlich dazu, IT-Security-Maßnahmen zu ergreifen. Wer dies nicht tut, für den kann es schnell sehr teuer werden – im Falle eines IT-Securityvorfalls können Millionen-Bußgelder und zudem schwere Image-Schäden entstehen. Die meisten Bußgelder in dem Bereich werden derzeit wohl von der Europäische Union aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verhängt – im Jahr 2020 waren es insgesamt rund 160 Millionen Euro.

Warum es diese Vorgaben vonseiten der Regierung überhaupt gibt? Die Politik stuft Cyber-Kriminalität als von zentraler Bedeutung für die staatliche Sicherheit und für die wirtschaftliche Leistungsfähigkeit ein. Von diesem Gedanken ausgehend wurden in den vergangenen Jahren in nahezu allen Wirtschaftssektoren gesetzliche Vorschriften hinsichtlich IT-Schutzmaßnahmen und IT-Sicherheitslösungen umgesetzt bzw. verschärft.

Leider ist es nicht ganz einfach, sich im Dschungel an Regeln und Vorschriften zurechtzufinden, denn es existiert nicht etwa ein zentrales Hauptgesetz zur IT-Sicherheit, sondern eine ganze Reihe an gesetzlichen Regularien, die allerdings nicht alle für jeden gleichermaßen gelten.

Welche juristischen Pflichten es genau gibt und welche Gesetzesnormen jedes Unternehmen kennen und einhalten sollte, das haben wir in diesem Blog-Artikel kompakt für Sie zusammengefasst.

Die wichtigsten IT-Gesetze im Überblick

Die Regularien im Bereich IT-Sicherheit haben vorrangig das Ziel, Unternehmen vor Cyberattacken und dem unerlaubten Datenzugriff sowie Datendiebstahl abzusichern. Ergänzt werden diese durch Normen zum Datenschutz, die in der EU-DSGVO geregelt sind.

Für kleine und mittelständische Unternehmen aus Deutschland sind vor allem die folgenden vier Regelungen relevant:

1) IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz, kurz: IT-SiG, hat das Ziel, Daten und IT-Infrastrukturen zu schützen. Es richtet sich vorrangig an Provider systemrelevanter Infrastrukturen – es gilt also nur für Unternehmen, die zu den sogenannten „kritischen Infrastrukturen“ gehören, wozu die folgenden Sektoren zählen: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

2) EU-DSGVO

Die EU-Datenschutzgrundverordnung (kurz: EU-DSGVO) zielt darauf ab, ein europaweit einheitliches Datenschutzniveau zu etablieren und seine Gewährleistung dauerhaft sicherzustellen. Im Kern steht dabei die Verarbeitung personenbezogener Daten, für die Grundsätze definiert werden wie z. B. eine Speicherbegrenzung. Heißt: Laut EU-DSGVO dürfen Daten nur so lange aufbewahrt werden, wie sie auch wirklich erforderlich sind. Zudem braucht es für die Speicherung personenbezogener Daten stets eine Zweckbindung, d. h. die Verarbeitung muss an eindeutige und legitime Zwecke wie die Erfüllung eines Vertrags gebunden sein.

3) GoBD

Die Abkürzung GoBD steht für „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Genauso komplex wie der Name sind auch die Regularien an sich. Im Kern geht es um eine rechtskonforme Dokumentation von wichtigen Unterlagen in Unternehmen, also um Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten. Zudem werden in den GoBD unterschiedliche Kriterien beschrieben, die Unternehmen bei der Verarbeitung, Vorhaltung und Zurverfügungstellung von Dokumenten einhalten müssen. Kurzform: Alles, was geschäftlich relevant ist, also sämtliche steuerrelevanten Unterlagen, sind  revisionssicher für einen gesetzlich vorgegebenen Zeitraum aufzubewahren.

4) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz: KonTraG) ist bereits 1998 in Kraft getreten und gehört damit zu den „älteren Eisen“. Eingeführt wurde es als Ergänzung zu Regelungen des Handelsgesetzbuches und des Aktiengesetzes. Ziel des KonTraG ist es, die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen klar zu definieren und diese Verantwortlichen dazu zu verpflichten, unternehmensweite Risiko-Analyse zu betreiben sowie wichtige Erkenntnisse hinsichtlich Risiken im Jahresabschluss zu veröffentlichen, um für mehr Transparenz zu sorgen. In Bezug auf die IT bedeutet dieses Gesetz, dass die Verantwortlichen angehalten werden, in ein adäquates IT-Risk-Management inkl. Frühwarnsystem zu investieren.

Neben diesen vier Gesetzen gibt noch eine ganze Reihe weiterer Regularien, die den Bereich IT-Sicherheit betreffen. Dazu zählen zum Beispiel die folgenden Rechtsvorschriften:

  • Telekommunikation-Telemedien-Datenschutzgesetz (kurz: TTDSG) – vor allem relevant für den Online-Handel, aber auch für jeden Website-Betreiber, da es Regularien zum Setzen von Cookies und dem Consent Management beinhaltet.
  • Telemediengesetz (kurz: TMG) – relevant für jeden Website-Betreiber, da auf diesem Gesetz unter anderem die Impressumspflicht beruht; zudem relevant für alle Unternehmen, die per E-Mail kommunizieren, da in diesem Gesetz Maßnahmen zur Bekämpfung von Spam vorgeschrieben werden.
  • Telekommunikationsgesetz (kurz: TKG) – relevant für Unternehmen, die Telekommunikationsdienstleistungen erbringen – für sie werden unter anderem Informations- und Transparenzpflichten festgelegt.
  • Gesetz zum Schutz von Geschäftsgeheimnissen (kurz: GeschGehG) – relevant für jedes Unternehmen, da es in jedem Unternehmen sensible Daten gibt, die es zu schützen gilt vor dem Zugriff Unbefugter. Das Gesetz legt Unternehmen verschiedene Pflichten auf, wie Geschäftsgeheimnisse vor unerlaubter Einsicht und Offenlegung zu schützen sind und regelt Verantwortlichkeiten.

Benötigen Sie Unterstützung in Sachen IT-Security? Sind Sie unsicher, ob Sie alle gesetzlichen Anforderungen erfüllen? Wir helfen Ihnen gerne, sprechen Sie uns einfach jederzeit an.