Rechtsgrundlagen
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Allgemeine und branchenspezifische Rechtsgrundlagen sind für die Entwicklung von Leitlinien, Richtlinien und Konzepten zur Informationssicherheit von zentraler Bedeutung, da sie die gesetzlichen Mindestanforderungen und spezifischen Risiken adressieren. Sie bilden den Rahmen, um rechtliche Risiken zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Einleitung
Allgemeine Rechtsgrundlagen wie die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) legen branchenübergreifend die Grundprinzipien des Datenschutzes fest. Sie bilden die Grundlage für die Entwicklung umfassender Sicherheitsstrategien, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleisten.
Branchenspezifische Rechtsgrundlagen adressieren dagegen die besonderen Risiken und Anforderungen einzelner Branchen, wie z.B. des Gesundheitswesens, der Finanzbranche oder der Energieversorgung. Diese branchenspezifischen Regelungen sollen den besonderen Bedrohungen und Sicherheitsanforderungen der jeweiligen Branche Rechnung tragen. Sie erfordern maßgeschneiderte Sicherheitsmaßnahmen und -konzepte, die den besonderen Anforderungen gerecht werden und die Einhaltung der jeweiligen gesetzlichen Vorgaben sicherstellen.
Die Berücksichtigung dieser rechtlichen Vorgaben ist unerlässlich, um rechtliche Risiken zu minimieren und Vertrauen bei Kunden, Partnern und der Öffentlichkeit zu schaffen. Sie dienen als Rahmen für die Entwicklung von Sicherheitsrichtlinien und -konzepten, die nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch die Grundlage für eine ganzheitliche und proaktive Informationssicherheitsstrategie bilden.
In vielen Regelwerken wird in den einleitenden Kapiteln auf die Rechtsgrundlagen verwiesen; die folgende Tabelle soll dabei helfen, die allgemeinen und die branchenspezifischen Rechtsgrundlagen zu finden und zu benennen.
Rechtsgrundlagen zur Informationssicherheit
Diese Tabelle umfasst die meisten relevanten Branchen und die entsprechenden gesetzlichen Vorgaben für die Informationssicherheit. Dabei wurden die zum Zeitpunkt der Erstellung aktuellsten verfügbaren Fassungen der Rechtsgrundlagen berücksichtigt. Es ist jedoch zu beachten, dass die Rechtslage sich fortlaufend ändern kann und spezifische Verordnungen oder Landesregelungen in manchen Fällen zusätzlich relevant sein können. Diese Tabelle ist nach Spalten sortierbar:
⚠️ Die Tabelle ist noch nicht qualitätsgesichert!
Rechtsgrundlage | Bereich | Konkreter Verweis |
---|---|---|
Datenschutz-Grundverordnung (DSGVO) | Datenschutz | Art. 32 DSGVO - Sicherheit der Verarbeitung |
Bundesdatenschutzgesetz (BDSG) | Datenschutz | Ergänzende Regelungen, z.B. § 64 BDSG - Datenschutzbeauftragte |
Telekommunikationsgesetz (TKG) | Telekommunikation | Teil 10 - Öffentliche Sicherheit und Notfallvorsorge |
Digitale-Dienste-Gesetz (DDG) | Diensteanbieter | Ersetzt Telemediengesetz (TMG)
Teil 2 - Informationspflichten Teil 3 - Rechtsverletzungen von Nutzern |
IT-Sicherheitsgesetz | Allgemein, Kritische Infrastruktur | § 8a BSIG - Sicherheitsanforderungen für KRITIS |
NIS-Richtlinie | Kritische Infrastruktur | Art. 14 NIS-Richtlinie - Sicherheitsanforderungen |
ISO/IEC 27001 | IT-Sicherheit | Standardanforderungen insgesamt |
BSI IT-Grundschutz | IT-Sicherheit | BSI-Standards 200-1 bis 200-3 |
Sozialgesetzbuch (SGB V, SGB X) | Gesundheit, Soziales | § 67 ff. SGB X - Sozialdaten, Datenschutz, Datensicherung |
Krankenhausgesetz (KHG) | Gesundheit | Landesspezifische Regelungen, z.B. § 17 KHG NRW - Datenschutz |
E-Health-Gesetz | Gesundheit, IT-Sicherheit | § 291a SGB V - Elektronische Gesundheitskarte |
Musterberufsordnung der Ärzte (MBO-Ä) | Gesundheit | § 9 MBO-Ä - Schweigepflicht und Datenschutz |
Kommunale Datenschutzgesetze | Kommunalverwaltung | Landesspezifische Regelungen |
E-Government-Gesetz (EGovG) | Verwaltung, IT-Sicherheit | § 3 EGovG - IT-Sicherheit |
Sicherheitsüberprüfungsgesetz, (SÜG) | Geheimschutz | § 1-10 SÜG - Sicherheitsüberprüfung |
Verschlusssachenanweisung (VSA) | Geheimschutz | Kap. 4 VSA - Sicherheitsmaßnahmen für Verschlusssachen |
Geheimschutzordnung | Geheimschutz | Landesspezifische Regelungen |
Energiewirtschaftsgesetz (EnWG) | Energie | § 11 EnWG - Sicherheitsanforderungen an Energieversorgungsnetze |
Luftverkehrsgesetz (LuftVG) | Luftfahrt | § 29d LuftVG - Sicherheit der Luftverkehrsunternehmen |
Luftsicherheitsgesetz (LuftSiG) | Luftfahrt | § 8 LuftSiG - Sicherheitsmaßnahmen |
Geldwäschegesetz (GwG) | Finanzen | § 25 GwG - Interne Sicherungsmaßnahmen |
Verordnung über die elektronische Aktenführung (eGovG, E-Akten-Verordnung) | Verwaltung, IT-Sicherheit | § 6 E-Akten-Verordnung - Anforderungen an die IT-Sicherheit |
Kreditwesengesetz (KWG) | Finanzsektor | § 25a KWG - Risikomanagement, IT-Sicherheit |
Zahlungsdiensteaufsichtsgesetz (ZAG) | Finanzsektor | § 22 ZAG - Sicherheitsanforderungen an Zahlungsdienste |
Mindestanforderungen an das Risikomanagement (MaRisk) | Finanzsektor | AT 7.2 MaRisk - IT-Sicherheit und IT-Risikomanagement |
Versicherungsaufsichtsgesetz (VAG) | Versicherungssektor | § 23 VAG - IT-Sicherheit und Risikomanagement |
Mindestanforderungen an die IT bei Versicherungen (VAIT) | Versicherungssektor | Modul 3 VAIT - IT-Sicherheitsmanagement |
Seeschifffahrtsgesetz (SeeSG) | Transport und Logistik | § 9 SeeSG - Sicherheit der IT-Systeme auf Schiffen |
Straßenverkehrsgesetz (StVG) | Transport und Logistik | § 6c StVG - Datenschutz und IT-Sicherheit in vernetzten Fahrzeugen |
Bahnsicherheitsgesetz (BSG) | Transport und Logistik | § 4 BSG - IT-Sicherheit im Bahnverkehr |
Rundfunkstaatsvertrag (RStV) | Telekommunikation und Medien | § 57 RStV - Sicherheit der Informationstechnik |
Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) | Telekommunikation und Medien | § 19 TTDSG - Schutz von personenbezogenen Daten |
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) | Handel, Wirtschaft | § 91 AktG - Überwachungssysteme |
Arzneimittelgesetz (AMG) | Chemie- und Pharmaindustrie | § 67 AMG - Datensicherheit bei Arzneimittelüberwachung |
Wasserhaushaltsgesetz (WHG) | Wasserwirtschaft | § 61 WHG - Anforderungen an die IT-Sicherheit in Wasserwirtschaft |
Gesetz zur Sicherstellung von Verschlusssachen (VS-Gesetz) | Verteidigungssektor | § 4 VS-Gesetz - Schutz von Verschlusssachen |
Gesetz gegen den unlauteren Wettbewerb (UWG) | Handel und E-Commerce | § 3a UWG - Verbot unlauterer geschäftlicher Handlungen |
Zahlungsdiensterichtlinie (PSD2) | Handel und E-Commerce | Art. 94 PSD2 - Sicherheit der Zahlungsdienste |
Bauordnungen der Länder | Bauwirtschaft, Infrastruktur | Landesspezifische Regelungen |
Bildungsgesetze der Länder | Bildungssektor | Landesspezifische Regelungen, Datenschutz in Schulen |
Hochschulgesetze | Bildungssektor | Landesspezifische Regelungen, IT-Sicherheit an Hochschulen |
Landwirtschaftsdatensicherungsgesetz | Landwirtschaft, Ernährung | § 4 LandwDatG - Sicherheit der landwirtschaftlichen Daten |
Kulturfördergesetze | Kultur- und Medienwirtschaft | Landesspezifische Regelungen, Schutz digitaler Kulturgüter |
Urheberrechtsgesetz (UrhG) | Kultur- und Medienwirtschaft | § 95b UrhG - Schutz technischer Maßnahmen |
Veranstaltungsgesetze und -verordnungen | Sport und Veranstaltungen | Landesspezifische Regelungen, IT-Sicherheit bei Großveranstaltungen |
Gaststättengesetze | Tourismus und Gastgewerbe | Landesspezifische Regelungen, Schutz von Kundendaten |
Kreislaufwirtschaftsgesetz (KrWG) | Abfallwirtschaft | § 62 KrWG - Sicherheitsanforderungen in der Abfallwirtschaft |