G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen
Wenn Informationen, Geschäftsprozesse und IT-Systeme unzureichend abgesichert sind (beispielsweise durch ein unzureichendes IT-Sicherheitsmanagement), kann dies dazu führen, dass eine Institution gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern verstößt. Häufig ist die jeweilige Gesetzeslage von der Art der Institution bzw. der betriebenen Geschäftsprozesse und Dienstleistungen sowie den nationalen Vorschriften abhängig. Folgende Beispiele verdeutlichen dies:
- Der Umgang mit personenbezogenen Daten ist in Deutschland über eine Vielzahl von Vorschriften geregelt. Dazu gehören das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze, aber auch eine Vielzahl bereichsspezifischer Regelungen.
- Werden bei der Kommunikation zwischen zwei Geschäftsbereichen personenbezogene Daten (z. B. vertrauliche Patientendaten) ungeschützt über öffentliche Netze übertragen, kann dies unter Umständen rechtliche Konsequenzen nach sich ziehen.
- Bei einem Unternehmen ist die Geschäftsführung dazu verpflichtet, bei allen Geschäftsprozessen eine angemessene Sorgfalt anzuwenden. Hierzu gehört auch die Beachtung anerkannter Sicherheitsmaßnahmen. In Deutschland gibt es verschiedene Rechtsvorschriften wie KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), GmbHG (Gesetz betreffend die Gesellschaften mit beschränkter Haftung) oder AktG (Aktiengesetz), aus denen sich zu Risikomanagement und IT-Sicherheit Handlungs- und Haftungsverpflichtungen der Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen.
- Die ordnungsmäßige Verarbeitung von buchungsrelevanten Daten ist in verschiedenen Gesetzen und Vorschriften geregelt. In Deutschland sind dies unter anderem das Handelsgesetzbuch (z. B. HGB §§ 238 ff.) und die Abgabenordnung (AO). Die ordnungsmäßige Verarbeitung von Informationen umfasst natürlich deren sichere Verarbeitung. Beides muss in vielen Ländern regelmäßig nachgewiesen werden, beispielsweise durch Wirtschaftsprüfer im Rahmen der Prüfung des Jahresabschlusses. Falls hierbei gravierende Sicherheitsmängel festgestellt werden, kann kein positiver Prüfungsbericht erstellt werden.
- In vielen Branchen (z. B. der Automobil-Industrie) ist es üblich, dass Hersteller ihre Zulieferer zur Einhaltung bestimmter Qualitäts- und Sicherheitsstandards verpflichten. In diesem Zusammenhang werden zunehmend auch Anforderungen an IT-Sicherheit gestellt. Verstößt ein Vertragspartner gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen nach sich ziehen, aber auch Vertragsauflösungen bis hin zum Verlust von Geschäftsbeziehungen.
Nur wenige Sicherheitsanforderungen ergeben sich unmittelbar aus Gesetzen. Im Allgemeinen orientiert sich die Gesetzgebung aber am Stand der Technik als allgemeine Bewertungsgrundlage für den Grad der erreichbaren Sicherheit. Wenn also bei einer Institution die vorhandenen Sicherheitsmaßnahmen in
keinem gesunden Verhältnis zu den zu schützenden Werten stehen, kann dies gravierende Konsequenzen nach sich ziehen.