{"id":487,"date":"2025-07-09T15:28:06","date_gmt":"2025-07-09T14:28:06","guid":{"rendered":"https:\/\/tobas.de\/wp\/?p=487"},"modified":"2025-07-09T15:33:49","modified_gmt":"2025-07-09T14:33:49","slug":"it-gesetze-welche-gesetze-und-verordnungen-zur-it-sicherheit-gilt-es-einzuhalten","status":"publish","type":"post","link":"https:\/\/tobas.de\/wp\/?p=487","title":{"rendered":"IT-Gesetze: Welche Gesetze und Verordnungen zur IT-Sicherheit gilt es einzuhalten?"},"content":{"rendered":"

Unternehmen in Deutschland und Europa m\u00fcssen eine Vielzahl von Gesetzen in Sachen IT-Sicherheit einhalten \u2013 andernfalls drohen hohe Sanktionen. Auf diese Weise soll eine fl\u00e4chendeckend hohe IT-Security gew\u00e4hrleistet werden. Welche juristischen Pflichten es genau gibt und welche Gesetzesnormen jedes Unternehmen kennen und einhalten sollte, das haben wir in diesem Blog-Artikel f\u00fcr Sie zusammengefasst.<\/strong><\/p>\n

IT-Risikomanagement zu betreiben ist schon lange keine Sache mehr, die nur gro\u00dfe Unternehmen sich leisten k\u00f6nnen, sollten und m\u00fcssen. Nein, vielmehr ist es zur Pflicht geworden. Verschiedene Vorschriften und Gesetzesanforderungen verpflichten Unternehmen rechtlich dazu, IT-Security-Ma\u00dfnahmen zu ergreifen. Wer dies nicht tut, f\u00fcr den kann es schnell sehr teuer werden \u2013 im Falle eines IT-Securityvorfalls k\u00f6nnen Millionen-Bu\u00dfgelder und zudem schwere Image-Sch\u00e4den entstehen. Die meisten Bu\u00dfgelder in dem Bereich werden derzeit wohl von der Europ\u00e4ische Union aufgrund von Verst\u00f6\u00dfen gegen die Datenschutzgrundverordnung (DSGVO) verh\u00e4ngt \u2013 im Jahr 2020 waren es insgesamt rund 160 Millionen Euro.<\/p>\n

Warum es diese Vorgaben vonseiten der Regierung \u00fcberhaupt gibt? Die Politik stuft Cyber-Kriminalit\u00e4t als von zentraler Bedeutung f\u00fcr die staatliche Sicherheit und f\u00fcr die wirtschaftliche Leistungsf\u00e4higkeit ein. Von diesem Gedanken ausgehend wurden in den vergangenen Jahren in nahezu allen Wirtschaftssektoren gesetzliche Vorschriften hinsichtlich IT-Schutzma\u00dfnahmen und IT-Sicherheitsl\u00f6sungen umgesetzt bzw. versch\u00e4rft.<\/p>\n

Leider ist es nicht ganz einfach, sich im Dschungel an Regeln und Vorschriften zurechtzufinden, denn es existiert nicht etwa ein zentrales Hauptgesetz zur IT-Sicherheit, sondern eine ganze Reihe an gesetzlichen Regularien, die allerdings nicht alle f\u00fcr jeden gleicherma\u00dfen gelten.<\/p>\n

Welche juristischen Pflichten es genau gibt und welche Gesetzesnormen jedes Unternehmen kennen und einhalten sollte, das haben wir in diesem Blog-Artikel kompakt f\u00fcr Sie zusammengefasst.<\/p>\n

Die wichtigsten IT-Gesetze im \u00dcberblick<\/h2>\n

Die Regularien im Bereich IT-Sicherheit haben vorrangig das Ziel, Unternehmen vor Cyberattacken und dem unerlaubten Datenzugriff sowie Datendiebstahl abzusichern. Erg\u00e4nzt werden diese durch Normen zum Datenschutz, die in der EU-DSGVO geregelt sind.<\/p>\n

F\u00fcr kleine und mittelst\u00e4ndische Unternehmen aus Deutschland sind vor allem die folgenden vier Regelungen relevant:<\/p>\n

1) IT-Sicherheitsgesetz<\/strong><\/p>\n

Das IT-Sicherheitsgesetz, kurz:\u00a0IT-SiG<\/a>, hat das Ziel, Daten und IT-Infrastrukturen zu sch\u00fctzen. Es richtet sich vorrangig an Provider systemrelevanter Infrastrukturen \u2013 es gilt also nur f\u00fcr Unternehmen, die zu den sogenannten \u201ekritischen Infrastrukturen\u201c geh\u00f6ren, wozu die folgenden Sektoren z\u00e4hlen: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ern\u00e4hrung sowie Finanz- und Versicherungswesen.<\/p>\n

2) EU-DSGVO<\/strong><\/p>\n

Die EU-Datenschutzgrundverordnung (kurz:\u00a0EU-DSGVO<\/a>) zielt darauf ab, ein europaweit einheitliches Datenschutzniveau zu etablieren und seine Gew\u00e4hrleistung dauerhaft sicherzustellen. Im Kern steht dabei die Verarbeitung personenbezogener Daten, f\u00fcr die Grunds\u00e4tze definiert werden wie z. B. eine Speicherbegrenzung. Hei\u00dft: Laut EU-DSGVO d\u00fcrfen Daten nur so lange aufbewahrt werden, wie sie auch wirklich erforderlich sind. Zudem braucht es f\u00fcr die Speicherung personenbezogener Daten stets eine Zweckbindung, d. h. die Verarbeitung muss an eindeutige und legitime Zwecke wie die Erf\u00fcllung eines Vertrags gebunden sein.<\/p>\n

3) GoBD<\/strong><\/p>\n

Die Abk\u00fcrzung\u00a0GoBD<\/a>\u00a0steht f\u00fcr \u201eGrunds\u00e4tze zur ordnungsgem\u00e4\u00dfen F\u00fchrung und Aufbewahrung von B\u00fcchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff\u201c. Genauso komplex wie der Name sind auch die Regularien an sich. Im Kern geht es um eine rechtskonforme Dokumentation von wichtigen Unterlagen in Unternehmen, also um Buchf\u00fchrungs-, Aufzeichnungs- und Aufbewahrungspflichten. Zudem werden in den GoBD unterschiedliche Kriterien beschrieben, die Unternehmen bei der Verarbeitung, Vorhaltung und Zurverf\u00fcgungstellung von Dokumenten einhalten m\u00fcssen. Kurzform: Alles, was gesch\u00e4ftlich relevant ist, also s\u00e4mtliche steuerrelevanten Unterlagen, sind\u00a0 revisionssicher f\u00fcr einen gesetzlich vorgegebenen Zeitraum aufzubewahren.<\/p>\n

4) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich<\/strong><\/p>\n

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz:\u00a0KonTraG<\/a>) ist bereits 1998 in Kraft getreten und geh\u00f6rt damit zu den \u201e\u00e4lteren Eisen\u201c. Eingef\u00fchrt wurde es als Erg\u00e4nzung zu Regelungen des Handelsgesetzbuches und des Aktiengesetzes. Ziel des KonTraG ist es, die Haftung von Vorstand, Aufsichtsrat und Wirtschaftspr\u00fcfern in Unternehmen klar zu definieren und diese Verantwortlichen dazu zu verpflichten, unternehmensweite Risiko-Analyse zu betreiben sowie wichtige Erkenntnisse hinsichtlich Risiken im Jahresabschluss zu ver\u00f6ffentlichen, um f\u00fcr mehr Transparenz zu sorgen. In Bezug auf die IT bedeutet dieses Gesetz, dass die Verantwortlichen angehalten werden, in ein ad\u00e4quates IT-Risk-Management inkl. Fr\u00fchwarnsystem zu investieren.<\/p>\n

Neben diesen vier Gesetzen gibt noch eine ganze Reihe weiterer Regularien, die den Bereich IT-Sicherheit betreffen. Dazu z\u00e4hlen zum Beispiel die folgenden Rechtsvorschriften:<\/p>\n