M 2.340 Beachtung rechtlicher Rahmenbedingungen
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Leiter Organisation, Vorgesetzte
Bei der Verarbeitung von Informationen sind eine Vielzahl von gesetzlichen oder vertraglichen Rahmenbedingungen zu beachten. Diese variieren sehr stark in Abhängigkeit von der Art der Institution, der Branche und den Geschäftsprozessen.
Typische Bereiche der Informationsverarbeitung, die besonderen gesetzlichen Regelungen unterliegen, sind:
- Schutz personenbezogener Daten,
- Einsatz von kryptographischen Verfahren,
- Schutz von geistigem Eigentum,
- ordnungsgemäßer Betrieb von IT-Systemen.
Abhängig von dem Land, in dem die Informationen verarbeitet werden und ihrem speziellen Einsatzzweck können noch eine Vielzahl von weiteren rechtlichen Regelungen existieren. Diese einzeln zu nennen, würde den Rahmen der IT-Grundschutz-Kataloge sprengen. In diversen Bereichen des IT-Grundschutzes werden länder- oder branchenspezifische Gesetze angesprochen, wie z. B. zu Kryptographie, Outsourcing oder Archivierung. Dies sind aufgrund der Vielzahl möglicher gesetzlicher Rahmenbedingungen jeweils nur Beispiele ohne Anspruch auf Vollständigkeit oder Aktualität.
Zu beachtende gesetzliche und vertragliche Vorschriften für die Informationsverarbeitung, den Betrieb von IT-Systemen und der zugehörigen physischen Infrastruktur müssen identifiziert und dokumentiert werden. Es ist dabei zu beachten, dass gesetzliche Vorschriften sich häufig auf Landes- und Regionalebene unterscheiden. Als Konsequenz müssen für jede Lokation jeweils die dort gültigen Gesetze eingehalten werden. Ebenso ist zu berücksichtigen, dass je nach Einsatzzweck der IT-Systeme (z. B. Büroumgebung, Prozesssteuerung) verschiedene Vorschriften gelten können.
Insbesondere müssen
- alle angewandten IT-Praktiken und Vorgehensweisen,
- alle installierten IT-Systeme (Hardware- und Software) sowie
- die zum Betrieb der IT-Systeme notwendige physikalische Infrastruktur
die gültigen gesetzlichen Vorschriften erfüllen. Alle Änderungen gesetzlicher Auflagen müssen erfasst und die für die Institution relevante Änderungen berücksichtigt werden.
Führungskräfte, welche die rechtliche Verantwortung für die Institution vor Ort tragen, müssen für die Identifizierung und Dokumentation der anzuwendenden gesetzlichen Vorschriften sorgen. Dabei können auch einzelne Bereiche auf benannte Verantwortliche übertragen werden.
So ist der betriebliche Datenschutzbeauftragte dafür verantwortlich, auf die Einhaltung der gültigen Datenschutzvorschriften sowie für die Erstellung und Einhaltung eines institutionsweit gültigen Regelwerks zum Schutz personenbezogener Daten hinzuwirken. Die IT-Leitung muss für die Definition und Dokumentation des Lizenzmanagements sorgen.
Natürlich ist auch jeder einzelne Mitarbeiter und insbesondere das Führungspersonal für die Umsetzung der Regelungen zu rechtlichen Aspekten und für die Überwachung der Einhaltung verantwortlich (siehe auch M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen).
Ergänzende Kontrollfragen:
- Sind alle relevanten rechtlichen Vorgaben identifiziert und dokumentiert worden?
- Sind die Verantwortlichkeiten und Zuständigkeiten für die Einhaltung rechtlicher Vorgaben definiert?