Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: M 2.340 Beachtung rechtlicher Rahmenbedingungen - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.340 Beachtung rechtlicher Rahmenbedingungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Leiter Organisation, Vorgesetzte

Bei der Verarbeitung von Informationen sind eine Vielzahl von gesetzlichen oder vertraglichen Rahmenbedingungen zu beachten. Diese variieren sehr stark in Abhängigkeit von der Art der Institution, der Branche und den Geschäftsprozessen.

Typische Bereiche der Informationsverarbeitung, die besonderen gesetzlichen Regelungen unterliegen, sind:

Abhängig von dem Land, in dem die Informationen verarbeitet werden und ihrem speziellen Einsatzzweck können noch eine Vielzahl von weiteren rechtlichen Regelungen existieren. Diese einzeln zu nennen, würde den Rahmen der IT-Grundschutz-Kataloge sprengen. In diversen Bereichen des IT-Grundschutzes werden länder- oder branchenspezifische Gesetze angesprochen, wie z. B. zu Kryptographie, Outsourcing oder Archivierung. Dies sind aufgrund der Vielzahl möglicher gesetzlicher Rahmenbedingungen jeweils nur Beispiele ohne Anspruch auf Vollständigkeit oder Aktualität.

Zu beachtende gesetzliche und vertragliche Vorschriften für die Informationsverarbeitung, den Betrieb von IT-Systemen und der zugehörigen physischen Infrastruktur müssen identifiziert und dokumentiert werden. Es ist dabei zu beachten, dass gesetzliche Vorschriften sich häufig auf Landes- und Regionalebene unterscheiden. Als Konsequenz müssen für jede Lokation jeweils die dort gültigen Gesetze eingehalten werden. Ebenso ist zu berücksichtigen, dass je nach Einsatzzweck der IT-Systeme (z. B. Büroumgebung, Prozesssteuerung) verschiedene Vorschriften gelten können.

Insbesondere müssen

die gültigen gesetzlichen Vorschriften erfüllen. Alle Änderungen gesetzlicher Auflagen müssen erfasst und die für die Institution relevante Änderungen berücksichtigt werden.

Führungskräfte, welche die rechtliche Verantwortung für die Institution vor Ort tragen, müssen für die Identifizierung und Dokumentation der anzuwendenden gesetzlichen Vorschriften sorgen. Hiermit sollte ein Jurist oder Rechtsexperte beauftragt werden. Falls innerhalb der Institution das erforderliche Wissen oder die nötigen Ressourcen nicht zur Verfügung stehen, sollte externe Rechtsberatung eingeholt werden. Da nicht alle Mitarbeiter sämtliche Gesetze und Regelungen kennen müssen, sollten dabei die für die einzelnen Bereiche der Institution relevanten gesetzlichen und vertraglichen Vorgaben herausgearbeitet werden. Um deren Einhaltung zu überwachen, können in den einzelnen Bereichen Verantwortliche benannt werden. So ist der betriebliche Datenschutzbeauftragte dafür verantwortlich, auf die Einhaltung der gültigen Datenschutzvorschriften sowie für die Erstellung und Einhaltung eines institutionsweit gültigen Regelwerks zum Schutz personenbezogener Daten hinzuwirken. Die IT-Leitung muss für die Definition und Dokumentation des Lizenzmanagements sorgen.

Natürlich ist auch jeder einzelne Mitarbeiter und insbesondere das Führungspersonal für die Umsetzung der Regelungen zu rechtlichen Aspekten und für die Überwachung der Einhaltung verantwortlich (siehe auch M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen).

Prüffragen: