Skip to main content

Phase 2 – Rechtliche und vertragliche Anforderungen

„Ein ISMS muss nichtdie nurtatsächlichen technisch sinnvoll sein, sondern auch zu den rechtlichen, vertraglichen und organisatorischen AnforderungenPflichten des Unternehmens passen.kennen.

Einleitung

NachdemPhase in2 – Rechtliche und organisatorische Anforderungen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase 1verbindet dasorganisatorische Unternehmen,Sicht, seinetechnische GeschäftsprozesseRealität und seine grundlegende Struktur verstanden wurden, folgt nun die BetrachtungAnforderungen der rechtlichen, vertraglichen und organisatorischen Anforderungen.Geschäftsführung.

Diese Phase ist wichtig, weil Informationssicherheit nicht im luftleeren Raum stattfindet. Unternehmen müssen gesetzliche Vorgaben einhalten, Verträge erfüllen, Kundenerwartungen berücksichtigen und interne Verantwortlichkeiten klären.

Gerade bei kleinen und mittleren Unternehmen ist häufig unklar, welche Anforderungen überhaupt bestehen. Oft gibt es Datenschutzthemen, Anforderungen von Kunden, Versicherungsbedingungen oder branchenspezifische Vorgaben, die nie systematisch erfasst wurden.

Das Ziel dieser Phase ist daher nicht, sofort juristische Detailbewertungen vorzunehmen. Vielmehr soll ein vollständiger Überblick entstehen, welche externen und internen Anforderungen für das spätere ISMS relevant sind.


Ziel der Phase

Das Ziel dieserist Phasees, bestehtdie darin,relevanten alleInformationen Anforderungenstrukturiert zu erfassen, dieverständlich Einflusszu auf Informationssicherheit, Datenschutz, IT-Betriebdokumentieren und organisatorische Verantwortlichkeiten haben.

Nach Abschluss dieser Phase sollte bekannt sein,

  • welche gesetzlichen Anforderungen relevant sind,
  • welche vertraglichen Verpflichtungen bestehen,
  • welche Anforderungen Kunden oder Geschäftspartner stellen,
  • ob Versicherungen bestimmte Sicherheitsmaßnahmen voraussetzen,
  • welche Rollen und Verantwortlichkeiten bereits existieren,
  • und welche organisatorischen Lücken geschlossen werden müssen.

Diese Informationen bilden später dieals Grundlage für Richtlinien,die Prozesse,nächsten RisikoanalysenSchritte undnutzbar Maßnahmenpläne.zu machen.


Benötigte Teilnehmer

Je nach Unternehmensgröße sollten möglichst folgende Personen beteiligt werden:

  • Geschäftsführung oder IT-Entscheider
  • IT-VerantwortlicherInterner oder externer IT-DienstleisterVerantwortlicher
  • Datenschutzbeauftragter,Fachabteilungen fallsnach vorhandenBedarf
  • Verantwortliche aus Verwaltung, BuchhaltungDatenschutz oder Personal
  • Verantwortliche aus Vertrieb oder Kundenmanagement
  • Qualitätsmanagement, falls vorhanden

Bei kleinen Unternehmen reicht häufig ein Gespräch mit der Geschäftsführung und dem externen IT-Dienstleister. Wichtig ist jedoch, dass nicht nur technische Themen betrachtet werden.


Arbeitsergebnisse der Phase

Nach

    Abschluss dieser Phase sollten mindestens folgende
  • Dokumentierte Ergebnisse vorliegen:

    • Übersicht der relevanten gesetzlichen AnforderungenBestandsaufnahme
    • ÜbersichtOffene derFragen vertraglichenund AnforderungenRisiken
    • ListeErste wichtigerPrioritäten Kundenanforderungenfür spätere Maßnahmen
    • ÜbersichtGrundlage bestehenderfür Versicherungsanforderungen
    • die
    • Listenächste vorhandener Richtlinien und interner Regelungen
    • Übersicht vorhandener Rollen und Verantwortlichkeiten
    • Liste offener rechtlicher oder organisatorischer FragenPhase

    Diese Ergebnisse müssen nicht perfekt sein. Wichtig ist zunächst, dass Transparenz entsteht und offene Punkte sichtbar werden.


    Warum ist diese Phase wichtig?

    Viele Sicherheitsmaßnahmen werden erst dann nachvollziehbar, wenn die zugrunde liegenden Anforderungen bekannt sind.

    Ein Unternehmen kann beispielsweise technisch gut abgesichert sein, aber dennoch gegen Datenschutzvorgaben verstoßen, weil Auftragsverarbeitungsverträge fehlen oder personenbezogene Daten unkontrolliert weitergegeben werden.

    Ebenso kann ein Unternehmen davon ausgehen, gut versichert zu sein, obwohl die Cyberversicherung im Schadensfall bestimmte Mindestmaßnahmen wie Mehr-Faktor-Authentifizierung, Patchmanagement oder funktionierende Backups voraussetzt.

    Diese Phase verhindert, dass Informationssicherheit nur aus technischer Sicht betrachtet wird.


    Checkliste

    Gesetzliche Anforderungen

    Ziel

    Erfassen,DSGVO, welcheBDSG gesetzlichenund ggf. branchenspezifische Vorgaben fürwerden dasgeprüft. UnternehmenNicht relevantjede sind.Norm ist relevant, aber relevante Pflichten müssen dokumentiert werden.

    Zu erfassende Informationen

    • DSGVO
    • BDSG
    • Handels- und steuerrechtliche Aufbewahrungspflichten
    • Arbeitsrechtliche Anforderungen
    • Branchenspezifische Vorgaben
    • Regulatorische Anforderungen

    Warum ist das wichtig?

    GesetzlicheDieser AnforderungenPunkt bildensorgt häufigdafür, dendass Mindeststandard,Entscheidungen dennicht einauf Annahmen beruhen. Gerade in kleinen Unternehmen einhaltensind muss.viele BesondersInformationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die Verarbeitungstrukturierte personenbezogenerErfassung Datenentsteht betrifft nahezu jedes Unternehmen.

    Für das ISMS ist wichtig zu wissen, welche Daten verarbeitet werden, wie lange sie aufbewahrt werden müssenTransparenz und welcheeine Schutzmaßnahmenbelastbare gesetzlichGrundlage oderfür faktischRisikoanalyse, erforderlichMaßnahmenplanung sind.und spätere Audits.


    Vertragliche

    DatenschutzAnforderungen

    Ziel

    DenKundenverträge, aktuellenLieferantenverträge, Stand der Datenschutzorganisation erfassen.

    Zu erfassende Informationen

    • Datenschutzbeauftragter
    • Datenschutzerklärungen
    • Verzeichnis der Verarbeitungstätigkeiten
    • Auftragsverarbeitungsverträge
    • TechnischeGeheimhaltungsvereinbarungen und organisatorischeServiceverträge Maßnahmen
    • können
    • Löschkonzepte
    • Sicherheitsanforderungen
    • Umgangenthalten. mitDiese Auskunftsersuchen
    • Anforderungen
    werden oft erst bei Audits sichtbar.

    Warum ist das wichtig?

    DatenschutzDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und Informationssicherheiteine überschneidenbelastbare sichGrundlage stark.für WährendRisikoanalyse, DatenschutzMaßnahmenplanung denund Schutzspätere personenbezogener Daten betrachtet, schützt Informationssicherheit auch andere schützenswerte Informationen wie Geschäftsgeheimnisse, Verträge, Zugangsdaten oder technische Dokumentationen.Audits.

    Ein ISMS sollte daher den Datenschutz nicht ersetzen, aber sinnvoll ergänzen.


    AuftragsverarbeitungKundenanforderungen

    Ziel

    Erfassen,Manche welcheKunden externenverlangen DienstleisterSicherheitsnachweise, personenbezogeneFragebögen, DatenMindeststandards imoder AuftragZertifizierungen. desDiese UnternehmensAnforderungen verarbeiten.bestimmen häufig die Priorisierung.

    Zu erfassende Informationen

    • IT-Dienstleister
    • Cloud-Anbieter
    • Hostinganbieter
    • Lohnbuchhaltung
    • Newsletter-Dienste
    • Support-Dienstleister
    • Software-as-a-Service-Anbieter

    Warum ist das wichtig?

    VieleDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen nutzensind externeviele Dienste,Informationen ohnenicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die datenschutzrechtlichenstrukturierte Erfassung entsteht Transparenz und sicherheitstechnischeneine Auswirkungenbelastbare vollständigGrundlage zufür kennen.

    Risikoanalyse,

    Für das ISMS ist entscheidend, welche Dienstleister Zugriff auf Daten, Systeme oder Benutzerkonten habenMaßnahmenplanung und obspätere deren Leistungen vertraglich sauber geregelt sind.Audits.


    Vertragliche AnforderungenCyberversicherung

    Ziel

    AlleVersicherer Verträgeverlangen identifizieren,oft dieMFA, AnforderungenPatchmanagement, anBackups, IT, DatenschutzEDR oder InformationssicherheitNotfallpläne. enthalten.Der tatsächliche Versicherungsvertrag sollte geprüft werden.

    Zu erfassende Informationen

    • Kundenverträge
    • Lieferantenverträge
    • Wartungsverträge
    • Service Level Agreements
    • Geheimhaltungsvereinbarungen
    • Rahmenverträge
    • Verträge mit IT-Dienstleistern

    Warum ist das wichtig?

    VertraglicheDieser AnforderungenPunkt werdensorgt häufigdafür, übersehen.dass Kunden können beispielsweise bestimmte Sicherheitsmaßnahmen, Reaktionszeiten, Verfügbarkeiten oder Vertraulichkeitsregeln verlangen.

    Wenn solche AnforderungenEntscheidungen nicht bekanntauf sind,Annahmen könnenberuhen. RisikenGerade falschin bewertetkleinen oderUnternehmen Verpflichtungensind unbeabsichtigtviele verletztInformationen werden.nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.


    KundenanforderungenAuftragsverarbeitung

    Ziel

    Erfassen,AV-Verträge obund KundenDatenschutzrollen besonderemüssen Anforderungengeklärt anwerden. InformationssicherheitBesonders stellen.wichtig ist die Abgrenzung zwischen Verantwortlichem, Auftragsverarbeiter und Unterauftragnehmer.

    Zu erfassende Informationen

    • Sicherheitsfragebögen
    • Kundenaudits
    • Vertraulichkeitsanforderungen
    • Zertifizierungsanforderungen
    • Technische Mindestanforderungen
    • Branchenvorgaben der Kunden

    Warum ist das wichtig?

    Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade größerein Kundenkleinen verlangenUnternehmen zunehmendsind Nachweiseviele zurInformationen Informationssicherheit.nicht Auchdokumentiert, wennsondern keinenur ISO-27001-Zertifizierungeinzelnen gefordertPersonen wird,bekannt. erwartenDurch Kundendie häufigstrukturierte dokumentierteErfassung Prozesse,entsteht Zugriffskontrollen,Transparenz Backupkonzepteund odereine Notfallpläne.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

    Ein ISMS kann helfen, solche Anforderungen strukturiert zu beantworten.


    CyberversicherungDatenschutzorganisation

    Ziel

    Prüfen,Datenschutzbeauftragter, obVerzeichnis eineder CyberversicherungVerarbeitungstätigkeiten, bestehtLöschkonzepte und welcheBetroffenenrechte Sicherheitsanforderungenwerden damitbetrachtet. verbundenDatenschutz sind.und Informationssicherheit überschneiden sich stark.

    Zu erfassende Informationen

    • Versicherungspolice
    • Sicherheitsfragebogen
    • Mindestanforderungen
    • Ausschlüsse
    • Meldepflichten im Schadensfall
    • Kontaktwege zur Versicherung

    Warum ist das wichtig?

    VieleDieser CyberversicherungenPunkt setzensorgt bestimmtedafür, Sicherheitsmaßnahmendass voraus. Dazu gehören beispielsweise funktionierende Backups, aktuelle Systeme, Virenschutz, Mehr-Faktor-Authentifizierung oder ein dokumentiertes Patchmanagement.

    Werden diese AnforderungenEntscheidungen nicht erfüllt,auf kannAnnahmen diesberuhen. imGerade Schadensfallin problematischkleinen werden.Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.


    Interne

    Branchenspezifische AnforderungenRichtlinien

    Ziel

    Ermitteln,Vorhandene obRegeln besonderezu AnforderungenPasswörtern, ausHomeoffice, dermobilen BrancheGeräten desoder UnternehmensE-Mail bestehen.werden gesammelt. Fehlen sie, entsteht daraus später ein Maßnahmenbedarf.

    Beispiele

    • Gesundheitswesen
    • Steuerberatung
    • Rechtsberatung
    • Produktion
    • Automobilzulieferer
    • Kritische Infrastrukturen
    • Finanz- und Versicherungsbereich

    Warum ist das wichtig?

    EinigeDieser BranchenPunkt habensorgt deutlichdafür, höheredass AnforderungenEntscheidungen annicht Datenschutz,auf VerfügbarkeitAnnahmen oderberuhen. Vertraulichkeit.

    Gerade

    Auchin wenn ein kleineskleinen Unternehmen selbstsind viele Informationen nicht reguliertdokumentiert, ist,sondern kannnur eseinzelnen durchPersonen Kundenbekannt. oderDurch Lieferkettendie indirektstrukturierte mitErfassung solchenentsteht Anforderungen konfrontiert werden.


    ZertifizierungenTransparenz und Standards

    eine

    Ziel

    belastbare

    Erfassen, ob bestehende oder geplante Zertifizierungen Einfluss auf das ISMS haben.

    Zu erfassende Informationen

    • ISO 9001
    • ISO 27001
    • TISAX
    • Branchenspezifische Standards
    • Kundenspezifische Audits
    • Interne Qualitätsmanagement-Vorgaben

    Warum ist das wichtig?

    Bestehende Managementsysteme könnenGrundlage für denRisikoanalyse, Aufbau eines ISMS sehr hilfreich sein. Wenn bereits Qualitätsmanagement, Prozessbeschreibungen oder interne Audits existieren, sollte das ISMS daran anknüpfen.

    So wird vermieden, dass parallele Dokumentationen entstehen, die später nicht gepflegt werden.


    Interne Richtlinien

    Ziel

    Erfassen, welche internen Vorgaben bereits existieren.

    Zu erfassende Informationen

    • IT-Richtlinien
    • Passwortrichtlinien
    • Homeoffice-Regelungen
    • Bring-your-own-device-Regelungen
    • Datenschutzrichtlinien
    • Nutzungsrichtlinien für E-MailMaßnahmenplanung und Internet
    • spätere
    • Arbeitsanweisungen

    Warum ist das wichtig?Audits.

    Viele Unternehmen haben einzelne Regeln, aber kein geschlossenes Regelwerk. Häufig existieren mündliche Vorgaben oder alte Dokumente, die nicht mehr zum tatsächlichen Betrieb passen.

    Für das ISMS muss geklärt werden, welche Richtlinien weiterverwendet, überarbeitet oder neu erstellt werden müssen.


    Rollen und Verantwortlichkeiten

    Ziel

    Klären,Es wird geklärt, wer fürInformationssicherheit welchesteuert, ThemenEntscheidungen verantwortlich ist.

    Zu erfassende Informationen

    • Geschäftsführung
    • IT-Verantwortlicher
    • Datenschutzbeauftragter
    • Fachbereichsverantwortliche
    • Administratorinnentrifft und Administratoren
    • Maßnahmen
    • Externefreigibt. Dienstleister
    • Ohne
    • Vertretungsregelungen
    • klare
    Rollen bleibt das ISMS wirkungslos.

    Warum ist das wichtig?

    InformationssicherheitDieser funktioniertPunkt nur,sorgt wenndafür, Verantwortlichkeitendass klarEntscheidungen geregeltnicht sind.

    auf

    InAnnahmen beruhen. Gerade in kleinen Unternehmen istsind häufigviele unklar,Informationen obnicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die Geschäftsführung,strukturierte derErfassung externeentsteht IT-DienstleisterTransparenz oderund einzelneeine Mitarbeitendebelastbare Grundlage für bestimmteRisikoanalyse, Aufgaben zuständig sind. Diese Unklarheit führt im Ernstfall zu VerzögerungenMaßnahmenplanung und Fehlern.spätere Audits.


    IT-Dienstleister und Verantwortungsabgrenzung

    Ziel

    Verstehen, welche Aufgaben externe IT-Dienstleister tatsächlich übernehmen.

    Zu erfassende Informationen

    • Wartungsverträge
    • Reaktionszeiten
    • Regelmäßige Prüfungen
    • Backup-Verantwortung
    • Patchmanagement
    • Monitoring
    • Dokumentationspflichten
    • Zugriff auf Administratorenkonten

    Warum ist das wichtig?

    Viele Unternehmen gehen davon aus, dass der IT-Dienstleister „alles macht“. In der Praxis gibt es jedoch oft nur eine reine Störungsbehebung ohne Wartung, Dokumentation oder proaktive Sicherheitsmaßnahmen.

    Für das ISMS muss daher genau dokumentiert werden, welche Aufgaben tatsächlich beauftragt sind und welche nicht.


    Nachweis- und Dokumentationspflichten

    Ziel

    Erfassen, welche Nachweise das Unternehmen im Bedarfsfall vorlegen können muss.

    Beispiele

    • Backup-Nachweise
    • Patchstände
    • Benutzer- und Rechteübersichten
    • Protokolle von Sicherheitsprüfungen
    • Verträge mit Dienstleistern
    • Schulungsnachweise
    • Dokumentierte Risikoentscheidungen

    Warum ist das wichtig?

    Viele Sicherheitsmaßnahmen sind nur dann belastbar, wenn sie dokumentiert und nachweisbar sind.

    Ein Backupkonzept ist beispielsweise wenig wert, wenn nie dokumentiert wurde, was gesichert wird, ob die Sicherung funktioniert und ob eine Wiederherstellung getestet wurde.


    Geplante Veränderungen

    Ziel

    Erfassen, ob in naher Zukunft organisatorische oder technische Veränderungen geplant sind.

    Beispiele

    • Umzug
    • Wachstum
    • Neue Standorte
    • Neue Software
    • Cloud-Migration
    • Neue Kundenanforderungen
    • Wechsel des IT-Dienstleisters

    Warum ist das wichtig?

    Ein ISMS sollte nicht nur den aktuellen Zustand betrachten, sondern auch absehbare Veränderungen berücksichtigen.

    Wenn beispielsweise ohnehin eine neue ERP-Software eingeführt wird, können Anforderungen an Berechtigungen, Protokollierung und Datensicherung direkt in das Projekt aufgenommen werden.


    Typische Feststellungen

    In vielenKMU kleinenfehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und mittlerenregelmäßige UnternehmenPrüfungen. zeigtDas sichist inkein dieserVorwurf, Phase ein ähnliches Bild.

    • Es gibt keinen formalen IT-Verantwortlichen.
    • Der externe IT-Dienstleister wird nur bei Störungen kontaktiert.
    • Es existieren keine oder nur veraltete Verträge.
    • Datenschutzdokumente sind unvollständig oder nicht gepflegt.
    • Auftragsverarbeitungsverträge fehlen.
    • Kundenanforderungen wurden nie zentral gesammelt.
    • Versicherungsbedingungen wurden nicht mitsondern der tatsächlichenAusgangspunkt ITfür abgeglichen.
    • den
    • InterneAufbau Richtlinieneines existieren nur mündlich.

    Diese Feststellungen sind kein Scheitern, sondern ein wichtiger Erkenntnisgewinn. Sie zeigen, an welchen Stellen das spätere ISMS zuerst ansetzen muss.ISMS.


    Hinweise für den IT-Berater

    In dieser Phase sollte klar zwischen technischer Beratung und rechtlicher Bewertung unterschieden werden.

    Ein IT-Berater kann Anforderungen identifizieren, Lücken sichtbar machen und organisatorische Maßnahmen vorschlagen. Eine verbindliche juristische Bewertung sollte jedoch durch entsprechend qualifizierte Stellen erfolgen, beispielsweise Rechtsberatung oder Datenschutzberatung.

    Wichtig ist außerdem, nicht zu früh in technische Lösungen zu springen. Wenn beispielsweise ein Kunde nach ISO 27001 fragt, bedeutet das nicht automatisch, dass eine Zertifizierungpragmatische sinnvollSprache. oderGeschäftsführung erforderlichund ist.Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

    Häufig reicht zunächst ein pragmatisches, gut dokumentiertes Sicherheitsmanagement, das sich an bewährten Standards orientiert.


    Praxistipp

    FragenAm SieEnde beijeder jedemPhase Vertragsollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und jederwelche Anforderung:Entscheidung wird als nächstes benötigt?

    „Was passiert, wenn diese Anforderung nicht erfüllt wird?“

    Diese Frage hilft, Anforderungen zu priorisieren.

    Manche Anforderungen sind gesetzlich zwingend. Andere sind vertraglich wichtig. Wieder andere sind eher wünschenswert, aber nicht unmittelbar kritisch.

    Diese Unterscheidung ist später für die Maßnahmenplanung sehr hilfreich.


    Ergebnis der Phase

    Nach Abschluss dieserDie Phase liegtist einabgeschlossen, Überblick überwenn die rechtlichen,Ergebnisse vertraglichenso dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und organisatorischen Rahmenbedingungen des Unternehmens vor.

    Es ist bekannt, welche Anforderungen zwingend berücksichtigt werden müssen, welche Verantwortlichkeiten bestehen und welche organisatorischen Lücken noch geschlossen werden müssen.

    Damit ist die Grundlage geschaffen, um inmit der nächsten Phase diefortfahren schützenswerten Werte des Unternehmens systematisch zu erfassen.kann.