IT-Recht für Nicht-Juristen: Die wichtigsten Gesetze rund um Cybersicherheit

Warum IT-Verantwortliche die Rechtslandschaft kennen müssen

Als IT-Leiter oder Informationssicherheitsbeauftragter bist du kein Jurist und musst auch keiner werden. Aber du musst verstehen, welche Gesetze für dein Unternehmen gelten, welche Pflichten daraus entstehen und was passiert, wenn du sie nicht einhältst. Denn die Verantwortung für die Umsetzung dieser Gesetze liegt in der Praxis häufig bei der IT-Abteilung, auch wenn die rechtliche Verantwortung formell bei der Geschäftsführung liegt.

Die rechtliche Landschaft rund um Cybersicherheit hat sich in den letzten Jahren massiv verdichtet. Wo früher allenfalls das Bundesdatenschutzgesetz relevant war, müssen Unternehmen heute ein ganzes Geflecht aus europäischen Richtlinien und Verordnungen, nationalen Gesetzen und branchenspezifischen Vorgaben beachten. Dieser Artikel gibt dir einen verständlichen Überblick über die wichtigsten Gesetze und ordnet sie in den Kontext deines ISMS ein.

NIS2: Das neue Cybersicherheitsgesetz der EU

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit, die die ursprüngliche NIS-Richtlinie von 2016 ablöst. In Deutschland wird sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt, das weitreichende Änderungen am BSI-Gesetz (BSIG) vornimmt.

Wen betrifft NIS2?

NIS2 erfasst deutlich mehr Unternehmen als die Vorgängerrichtlinie. Betroffen sind Unternehmen in 18 Sektoren, die als "wesentliche" oder "wichtige" Einrichtungen klassifiziert werden. Die Sektoren umfassen unter anderem Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienste, öffentliche Verwaltung, Raumfahrt, Post und Kurier, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.

Die Schwellenwerte sind niedrig: In der Regel fallen Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in den Anwendungsbereich. In bestimmten Sektoren (z. B. digitale Infrastruktur, DNS-Dienste) gibt es keine Größenschwelle.

Kernpflichten unter NIS2

Risikomanagement: Unternehmen müssen geeignete technische, operative und organisatorische Maßnahmen ergreifen, um Cybersicherheitsrisiken zu managen. Artikel 21 NIS2 listet mindestens zehn Bereiche auf, darunter Risikoanalyse, Incident Management, Business Continuity, Lieferkettensicherheit, Kryptografie und Zugangskontrollen.

Meldepflichten: Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden. Die Meldefristen sind gestaffelt: Erstmeldung innerhalb von 24 Stunden, Aktualisierung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats.

Geschäftsleiterhaftung: Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen genehmigen und überwachen und kann persönlich haftbar gemacht werden. Die Geschäftsleitung muss außerdem an Cybersicherheitsschulungen teilnehmen.

Registrierung: Betroffene Unternehmen müssen sich beim BSI registrieren.

Bußgelder

NIS2 sieht erhebliche Bußgelder vor: Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes und für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Praktische Auswirkungen

Für IT-Verantwortliche bedeutet NIS2 konkret: Du brauchst ein systematisches Risikomanagement (ISMS), dokumentierte Sicherheitsmaßnahmen, einen getesteten Incident-Response-Plan, Nachweise über die Sicherheit deiner Lieferkette und regelmäßige Schulungen, einschließlich der Geschäftsleitung.

DSGVO: Datenschutz als Sicherheitstreiber

Was regelt die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) schützt personenbezogene Daten natürlicher Personen in der EU. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen: Name, E-Mail-Adresse, IP-Adresse, Standortdaten, Gesundheitsdaten, biometrische Daten und vieles mehr.

Sicherheitsrelevante Pflichten

Für IT-Verantwortliche sind vor allem die folgenden Pflichten relevant:

Technische und organisatorische Maßnahmen (TOMs) nach Artikel 32: Du musst ein Schutzniveau gewährleisten, das dem Risiko angemessen ist. Die DSGVO nennt konkret Pseudonymisierung und Verschlüsselung, die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sicherzustellen, die Fähigkeit, Daten nach einem Vorfall rasch wiederherzustellen, und regelmäßige Prüfung und Bewertung der Wirksamkeit der Maßnahmen.

Meldepflicht bei Datenpannen nach Artikel 33 und 34: Datenpannen, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, müssen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Bei hohem Risiko müssen auch die betroffenen Personen benachrichtigt werden.

Auftragsverarbeitung nach Artikel 28: Wenn du personenbezogene Daten durch externe Dienstleister verarbeiten lässt, brauchst du einen Auftragsverarbeitungsvertrag (AVV), der unter anderem technische und organisatorische Maßnahmen regelt.

Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35: Bei Verarbeitungen, die ein hohes Risiko für die Betroffenen darstellen (z. B. Videoüberwachung, Profiling, Verarbeitung von Gesundheitsdaten), musst du eine DSFA durchführen.

Bußgelder

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor, je nachdem, was höher ist. Deutsche Aufsichtsbehörden haben in den vergangenen Jahren Bußgelder in Millionenhöhe verhängt, unter anderem wegen unzureichender technischer Maßnahmen und verspäteter Meldung von Datenpannen.

Schnittstelle zu NIS2

NIS2 und DSGVO haben erhebliche Überschneidungen bei den Sicherheitsanforderungen. Wenn du ein ISMS aufbaust, das die Anforderungen beider Gesetze abdeckt, sparst du Aufwand und vermeidest Doppelarbeit. Die DSGVO fokussiert sich auf personenbezogene Daten, NIS2 auf die Sicherheit von Netz- und Informationssystemen insgesamt. Ein umfassendes ISMS deckt beides ab.

GeschGehG: Schutz von Geschäftsgeheimnissen

Was regelt das GeschGehG?

Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) setzt die EU-Richtlinie 2016/943 um und regelt den Schutz von Geschäftsgeheimnissen gegen rechtswidrige Erlangung, Nutzung und Offenlegung.

Was ist ein Geschäftsgeheimnis?

Eine Information ist ein Geschäftsgeheimnis, wenn sie nicht allgemein bekannt oder ohne Weiteres zugänglich ist, einen wirtschaftlichen Wert hat, weil sie geheim ist, und Gegenstand angemessener Geheimhaltungsmaßnahmen ist. Der dritte Punkt ist der entscheidende: Ohne angemessene Maßnahmen kein Schutz, egal wie wertvoll die Information ist.

Angemessene Geheimhaltungsmaßnahmen

Was "angemessen" ist, hängt von den Umständen ab. Die Rechtsprechung hat folgende Maßnahmen als relevant anerkannt: vertragliche Maßnahmen (NDAs, Vertraulichkeitsklauseln in Arbeitsverträgen), technische Maßnahmen (Zugangskontrollen, Verschlüsselung, DRM), organisatorische Maßnahmen (Informationsklassifikation, Need-to-know-Prinzip, Schulungen) und physische Maßnahmen (Zutrittskontrolle, verschlossene Räume).

Ein ISMS, das diese Maßnahmen systematisch umsetzt und dokumentiert, erfüllt die Anforderungen des GeschGehG. Ohne ISMS riskierst du, dass deine Geschäftsgeheimnisse ihren rechtlichen Schutz verlieren. Ergänzend solltest du Geheimhaltungsvereinbarungen (NDAs) mit allen Parteien abschließen, die Zugang zu vertraulichen Informationen erhalten.

Rechtsfolgen

Das GeschGehG gibt dem Geheimnisinhaber Ansprüche auf Unterlassung, Vernichtung, Herausgabe, Auskunft und Schadensersatz. In schwerwiegenden Fällen drohen strafrechtliche Konsequenzen nach § 23 GeschGehG.

BSIG und IT-Sicherheitsgesetz

BSI-Gesetz (BSIG)

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) regelt die Aufgaben und Befugnisse des BSI. Durch die Umsetzung von NIS2 wird das BSIG erheblich erweitert und enthält die konkreten nationalen Anforderungen an die Cybersicherheit.

IT-Sicherheitsgesetz (IT-SiG)

Das IT-Sicherheitsgesetz (in der aktuellen Fassung IT-SiG 2.0 von 2021) hat die Aufgaben des BSI erweitert und die Pflichten für Betreiber Kritischer Infrastrukturen (KRITIS) verschärft. Mit der Umsetzung von NIS2 werden die relevanten Regelungen in das novellierte BSIG überführt.

KRITIS-Betreiber

Betreiber Kritischer Infrastrukturen haben besondere Pflichten: Implementierung angemessener Sicherheitsmaßnahmen nach dem Stand der Technik, Nachweis der Umsetzung gegenüber dem BSI alle zwei Jahre (durch Audits, Prüfungen oder Zertifizierungen), Meldung erheblicher Sicherheitsvorfälle an das BSI und Einrichtung einer Kontaktstelle für das BSI.

BSI als Aufsichtsbehörde

Das BSI hat mit NIS2 erweiterte Befugnisse erhalten: Durchführung von Audits und Überprüfungen, Anordnung von Maßnahmen zur Beseitigung von Sicherheitsmängeln, Verhängung von Bußgeldern und Information der Öffentlichkeit über Sicherheitsrisiken.

StGB: Strafrechtliche Aspekte der Cybersicherheit

Das Strafgesetzbuch enthält mehrere Tatbestände, die im Kontext der Cybersicherheit relevant sind, sowohl für Angreifer als auch für IT-Verantwortliche.

Straftatbestände für Cyberangriffe

§ 202a StGB (Ausspähen von Daten): Das unbefugte Verschaffen von Zugang zu Daten, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Strafe: Freiheitsstrafe bis zu drei Jahre oder Geldstrafe.

§ 202b StGB (Abfangen von Daten): Das unbefugte Abfangen von Daten aus einer nicht öffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage. Relevant bei Man-in-the-Middle-Angriffen und Netzwerk-Sniffing.

§ 202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten): Das Herstellen, Verschaffen, Verkaufen oder Zugänglichmachen von Werkzeugen, die für Straftaten nach §§ 202a, 202b bestimmt sind (sogenannter "Hackerparagraph"). Dieser Paragraph ist umstritten, weil er auch die Arbeit von Sicherheitsforschern und Penetrationstestern betreffen kann.

§ 263a StGB (Computerbetrug): Die Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten oder durch unbefugte Einwirkung. Relevant bei Phishing, CEO-Fraud und Manipulation von Finanzsystemen. Strafe: Freiheitsstrafe bis zu fünf Jahre oder Geldstrafe.

§ 303a StGB (Datenveränderung): Das rechtswidrige Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten. Relevant bei Ransomware-Angriffen und Sabotage. Strafe: Freiheitsstrafe bis zu zwei Jahre oder Geldstrafe.

§ 303b StGB (Computersabotage): Die erhebliche Störung einer Datenverarbeitung durch Datenveränderung oder durch Eingabe oder Übermittlung von Daten in der Absicht, einem anderen Nachteil zuzufügen. Bei Beeinträchtigung von Betrieben, Unternehmen oder Behörden: Freiheitsstrafe bis zu fünf Jahre oder Geldstrafe.

Relevanz für IT-Verantwortliche

Du als IT-Verantwortlicher bist in der Regel nicht der Angreifer. Aber es gibt Konstellationen, in denen strafrechtliche Risiken auch für dich relevant werden:

Penetrationstests: Wenn du einen Penetrationstest beauftragst oder durchführst, brauchst du eine schriftliche Einwilligung des Systemeigentümers. Ohne diese Einwilligung können die Tester und du als Auftraggeber nach §§ 202a, 303a StGB strafbar sein.

Monitoring und Logging: Die Überwachung von Mitarbeiterkommunikation kann gegen § 206 StGB (Verletzung des Fernmeldegeheimnisses) verstoßen, wenn die private Nutzung von E-Mail und Internet erlaubt ist. Kläre vor der Implementierung von Monitoring-Maßnahmen die rechtlichen Rahmenbedingungen mit dem Datenschutzbeauftragten und der Rechtsabteilung.

Incident Response: Bei der Analyse eines Sicherheitsvorfalls darfst du grundsätzlich die Systeme deines Unternehmens untersuchen. Aber Vorsicht: Wenn du dabei auf private Daten von Mitarbeitern stößt (private E-Mails bei erlaubter Privatnutzung), gelten besondere Regeln.

Weitere relevante Gesetze

Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)

Das TDDDG (ehemals TTDSG) regelt den Datenschutz und die Vertraulichkeit bei Telekommunikation und digitalen Diensten. Relevant ist insbesondere § 25, der die Einwilligung für das Speichern von und den Zugriff auf Informationen auf Endeinrichtungen regelt (Cookie-Consent).

Telemediengesetz (TMG) und Digitale-Dienste-Gesetz (DDG)

Für Anbieter von Online-Diensten gelten weitere Pflichten, insbesondere hinsichtlich Impressum, Datenschutzerklärung und Haftung für Inhalte.

Branchenspezifische Regulierung

In bestimmten Branchen gelten zusätzliche Anforderungen: Im Finanzsektor BAIT (Bankaufsichtliche Anforderungen an die IT), VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und DORA (Digital Operational Resilience Act). Im Gesundheitswesen das SGB V mit Anforderungen an die IT-Sicherheit von Krankenhäusern und Ärzten. In der Automobilindustrie TISAX (Trusted Information Security Assessment Exchange) als Branchenstandard.

Wie die Gesetze zusammenwirken

Die verschiedenen Gesetze sind kein Widerspruch, sondern ergänzen sich. In der Praxis lassen sie sich wie konzentrische Kreise verstehen:

Im innersten Kreis steht die DSGVO, die spezifisch personenbezogene Daten schützt. Darum herum liegt NIS2, das die Sicherheit von Netz- und Informationssystemen insgesamt adressiert. Das GeschGehG schützt den wirtschaftlichen Wert vertraulicher Informationen. Und das StGB definiert die Grenzen, deren Überschreitung strafrechtliche Konsequenzen hat.

Ein ISMS, das nach ISO 27001 oder einem vergleichbaren Standard aufgebaut ist, deckt die Anforderungen aller dieser Gesetze weitgehend ab. Die DSGVO fordert TOMs, NIS2 fordert Risikomanagement, das GeschGehG fordert angemessene Schutzmaßnahmen. All das bietet ein gut aufgebautes ISMS.

Praktische Handlungsempfehlungen

Betroffenheit prüfen: Stelle fest, welche Gesetze für dein Unternehmen gelten. NIS2 hat den Kreis der betroffenen Unternehmen erheblich erweitert. Nutze die Betroffenheitsprüfung des BSI.

ISMS aufbauen: Ein ISMS nach ISO 27001 oder BSI IT-Grundschutz deckt die Anforderungen der meisten Gesetze ab und ist die effizienteste Antwort auf die regulatorische Vielfalt. Tools wie ISMS Lite helfen dabei, die Anforderungen aus NIS2, DSGVO und GeschGehG in einem System abzubilden und den Compliance-Status jederzeit nachvollziehbar zu dokumentieren.

Rechtsberatung einholen: Für die Bewertung der konkreten Betroffenheit und die Auslegung spezifischer Anforderungen brauchst du juristischen Rat. Suche dir einen Anwalt, der sich auf IT-Recht spezialisiert hat.

Dokumentieren: Alle Gesetze verlangen, dass du nachweisen kannst, was du getan hast. Dokumentation ist keine Nebensache, sondern Kernpflicht.

Regelmäßig aktualisieren: Die Rechtslandschaft ändert sich schnell. Verfolge regulatorische Entwicklungen und passe dein ISMS an.

Zusammenarbeit mit dem Datenschutzbeauftragten: Cybersicherheit und Datenschutz überschneiden sich stark. Arbeite eng mit dem DSB zusammen, um Doppelarbeit zu vermeiden und Synergien zu nutzen.

Weiterführende Artikel

• NIS2 für den Mittelstand: Was jetzt zu tun ist
• Haftung des IT-Leiters: Persönliche Risiken und wie du dich absicherst
• NIS2 Bußgelder und Haftung: Was bei Verstößen droht
• TOMs dokumentieren: Technische und organisatorische Maßnahmen nach DSGVO
• Geheimhaltungsvereinbarung (NDA): Vorlage und worauf es ankommt