Bundesamt für Sicherheit in der Informationstechnik

M 2.340 Beachtung rechtlicher Rahmenbedingungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Leiter Organisation, Vorgesetzte

Bei der Verarbeitung von Informationen sind eine Vielzahl von gesetzlichen oder vertraglichen Rahmenbedingungen zu beachten. Diese variieren sehr stark in Abhängigkeit von der Art der Institution, der Branche und den Geschäftsprozessen.

Typische Bereiche der Informationsverarbeitung, die besonderen gesetzlichen Regelungen unterliegen, sind:

  • Schutz personenbezogener Daten,
  • Einsatz von kryptographischen Verfahren,
  • Schutz von geistigem Eigentum,
  • ordnungsgemäßer Betrieb von IT-Systemen.

Abhängig von dem Land, in dem die Informationen verarbeitet werden und ihrem speziellen Einsatzzweck können noch eine Vielzahl von weiteren rechtlichen Regelungen existieren. Diese einzeln zu nennen, würde den Rahmen der IT-Grundschutz-Kataloge sprengen. In diversen Bereichen des IT-Grundschutzes werden länder- oder branchenspezifische Gesetze angesprochen, wie z. B. zu Kryptographie, Outsourcing oder Archivierung. Dies sind aufgrund der Vielzahl möglicher gesetzlicher Rahmenbedingungen jeweils nur Beispiele ohne Anspruch auf Vollständigkeit oder Aktualität.

Alle für die Geschäftsprozesse und Informationsverarbeitung, den Betrieb von IT-Systemen und der zugehörigen physischen Infrastruktur zu beachtenden gesetzlichen, vertraglichen und sonstigen Vorgaben müssen identifiziert und dokumentiert werden. Es ist dabei zu beachten, dass gesetzliche Vorschriften sich häufig auf Landes- und Regionalebene unterscheiden. Als Konsequenz müssen für jede Lokation jeweils die dort gültigen Gesetze eingehalten werden. Ebenso ist zu berücksichtigen, dass je nach Art der Geschäftsprozesse und dem Einsatzzweck der IT-Systeme (z. B. Büroumgebung, Prozesssteuerung) verschiedene Vorschriften gelten können.

Insbesondere müssen

  • alle angewandten betrieblichen Praktiken und Vorgehensweisen,
  • alle im Rahmen der geschäftlichen Tätigkeiten verarbeiteten Informationen,
  • alle installierten IT-Systeme (Hardware- und Software) sowie
  • die zum Betrieb der Geschäftsprozesse und IT-Systeme notwendige physikalische Infrastruktur

die gültigen gesetzlichen Vorschriften erfüllen. Alle Änderungen gesetzlicher Auflagen müssen erfasst und die für die Institution relevante Änderungen berücksichtigt werden.

Führungskräfte, welche die rechtliche Verantwortung für die Institution vor Ort tragen, müssen für die Identifizierung und Dokumentation der anzuwendenden gesetzlichen Vorschriften sorgen. Hiermit sollte ein Jurist oder Rechtsexperte beauftragt werden. Falls innerhalb der Institution das erforderliche Wissen oder die nötigen Ressourcen nicht zur Verfügung stehen, sollte externe Rechtsberatung eingeholt werden. Da nicht alle Mitarbeiter sämtliche Gesetze und Regelungen kennen müssen, sollten dabei die für die einzelnen Bereiche der Institution relevanten gesetzlichen und vertraglichen Vorgaben herausgearbeitet werden. Um deren Einhaltung zu überwachen, können in den einzelnen Bereichen Verantwortliche benannt werden. So ist der betriebliche Datenschutzbeauftragte dafür verantwortlich, auf die Einhaltung der gültigen Datenschutzvorschriften sowie für die Erstellung und Einhaltung eines institutionsweit gültigen Regelwerks zum Schutz personenbezogener Daten hinzuwirken. Die IT-Leitung muss für die Definition und Dokumentation des Lizenzmanagements sorgen.

Natürlich ist auch jeder einzelne Mitarbeiter und insbesondere das Führungspersonal für die Umsetzung der Regelungen zu rechtlichen Aspekten und für die Überwachung der Einhaltung verantwortlich (siehe auch M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ).

Prüffragen:

  • Gibt es ein Dokument mit dem Überblick über alle für die Institution relevanten rechtlichen Vorgaben?

  • Sind die Verantwortlichkeiten und Zuständigkeiten für die Einhaltung rechtlicher Vorgaben definiert?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK