Gesetze zur IT-Sicherheit, Standards in Deutschland*

Gesetzliche Quellen
Der Unternehmer ist zur Durchführung betriebliche Schutzmaßnahmen zur Aufrechterhaltung der IT-Sicherheit im Wesentlichen durch das BDSG, IT-SG, KonTraG und GoBD verpflichtet.
Die gesetzlichen Eckpfeiler zur Informationssicherheit bilden folgende Normierungen:
1. das Bundesdatenschutzgesetz (BDSG),
2. IT-Sicherheitsgesetz: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme,
3. KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich,
4. GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen
5. (und ferner auch das KWG: Kreditwesengesetz).

Das BDSG regelt in Verbindung mit den Regelungen der Länder den Umgang mit personenbezogenen Daten (siehe Punkt V.1.). Das Gesetz bezweckt den Schutz des Einzelnen. Der Staatsbürger soll vor Eingriffen in seine Privatsphäre durch Behörden oder Unternehmen geschützt werden.

Das IT-Sicherheitsgesetz (kurz IT-SG) ist am 25.07.2015 in Kraft getreten und schützt die Betreiber „kritischer Infrastrukturen“. Die Sicherheit von Daten und IT-Systemen soll durch die Erarbeitung von Sicherheitsstandards gewährleistet werden, welche alle zwei Jahre einer Überarbeitung unterliegen. Das IT-SG ist in Artikeln aufgebaut. Ein Artikelgesetz besitzt die Eigenschaft, dass verschiedene Fachbereiche, die eigentlich keinen Bezug zueinander haben, zusammengefasst werden und ein bestimmtes Ziel abbilden.

Das KonTraG ist ein Artikelgesetz, welches aus Gesetzen wie das GmbHG , das AktG oder das HGB besteht. Dadurch werden Grundsätze der Unternehmensführung verbessert.

Das GoBD stellt Vorgaben für Dokumentationsprozesse und der Protokollführung innerhalb eines Betriebs. Dieses Gesetz ist also an Unternehmen, die Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten haben gerichtet. Es definiert allgemeine Sorgfaltspflichten. Unter Sorgfalt ist hierbei die Nachvollziehbarkeit und -prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit von der Dokumentation zu verstehen.

Folgen der Nichtbeachtung von Sicherheitsstandards
Verstöße gegen das Datenschutzrecht werden mit Geldstrafen sanktioniert. Erhebt ein Unternehmen personenbezogene Daten, haftet der Unternehmer. Er ist für die Sicherheit von Datenprozessen verantwortlich. Bei schwerwiegenden Verstößen wird gegebenenfalls auch das Privatvermögen in Anspruch genommen. Ein allgemeiner Bußgeldkatalog existiert nicht. Es hängt von den Umständen des Einzelfalls ab, in welchem Ausmaß das Bußgeld im Schadensfall erhoben wird. Es kommt darauf an, ob das Unternehmen mit Vorsatz handelte oder es aufgrund fahrlässigen Verhaltens zu Fehlern kam. Dokumentiert ein Betrieb seine Entscheidung nach bestem Wissen und Gewissen, wird dies positiv berücksichtigt. Schwerwiegende Verstöße, wie das Nichteinstellen eines Datenschutzbeauftragten wird als Vorsatztat gewertet und kann schnell mit 50.000 Euro bestraft werden. Zieht der Täter noch einen wirtschaftlichen Gewinn aus dem aktiven Verstoß, betragen Bußgelder nicht selten um die 300.000 Euro. Unabhängig davon erleiden Unternehmen einen gewaltigen Image-Schaden bei Geschäftspartnern und Kunden.