Rechtliche und ethische Aspekte

In dieser Lerneinheit beschäftigst du dich mit den wichtigsten rechtlichen Grundlagen und ethischen Prinzipien der IT-Sicherheit, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Du lernst die konkreten Anforderungen an den Umgang mit personenbezogenen Daten kennen und verstehst, welche Pflichten und Verantwortlichkeiten sich daraus für deine tägliche Arbeit ergeben. Diese Kenntnisse sind essentiell für die rechtskonforme Umsetzung von IT-Sicherheitsmaßnahmen und den professionellen Umgang mit sensiblen Daten im Unternehmenskontext.

Einführung

Stell dir vor: Ein IT-System in einem großen Krankenhaus wird Ziel eines Cyberangriffs. Plötzlich sind Patientendaten gesperrt, die Versorgung gerät ins Stocken und persönliche Informationen landen im Netz. Gleichzeitig liest du von Millionenstrafen gegen Unternehmen, die den Datenschutz vernachlässigen oder Urheberrechte missachten.

Wer trägt in solchen Situationen eigentlich die Verantwortung – technisch, rechtlich und moralisch?

Genau an diesem Punkt setzen die rechtlichen und ethischen Aspekte der Informationssicherheit an. Sie geben vor, wie mit sensiblen Daten, IT-Systemen und Angriffen umzugehen ist – und warum Gesetze allein oft nicht ausreichen.

Lernziele

Nach dieser Lerneinheit kannst du:

  1. die wichtigsten Regelungen der DSGVO und des BDSG erläutern und erklären, welche Rechte Betroffene beim Umgang mit personenbezogenen Daten haben.
  2. die Pflichten aus dem IT-Sicherheitsgesetz für KRITIS-Betreiber beschreiben und begründen, warum diese Vorgaben für die öffentliche Sicherheit unerlässlich sind.
  3. typische Formen von Cybercrime benennen sowie zentrale Paragrafen aus StGB und UrhG anwenden und deren Bedeutung im Kontext der IT-Sicherheit erklären.
  4. ethische Zielkonflikte der Informationssicherheit erkennen und bewerten und begründen, welche Verantwortung Unternehmen und Entwickler beim Umgang mit Daten tragen.

Überleitung

In immer mehr Bereichen werden heute personenbezogene Daten verarbeitet – sei es beim Online-Shopping, im Gesundheitswesen oder durch smarte Geräte im Alltag. Gleichzeitig gibt es fast wöchentlich Berichte über Datenlecks, Cyberangriffe oder Millionenstrafen wegen Verstößen gegen Datenschutzregeln.

Wie kannst du als Unternehmen oder Privatperson sicherstellen, dass Daten rechtskonform und sicher verarbeitet werden?

Genau hier greifen Datenschutzgesetze und spezielle Regelungen für die IT-Sicherheit ein.

Datenschutz – DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist das zentrale EU-Gesetz zum Schutz personenbezogener Daten. Sie gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten – unabhängig davon, wo sie ihren Sitz haben.

Kernziele der DSGVO:

  • Den Schutz personenbezogener Daten sicherstellen
  • Die Rechte der betroffenen Personen stärken
  • Ein einheitliches Datenschutzrecht in der EU schaffen

Datenschutz – DSGVO

Zentrale Begriffe:

  • Personenbezogene Daten: Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
  • Verarbeitung: Jeder Vorgang rund um personenbezogene Daten (z. B. Erheben, Speichern, Weitergeben, Löschen).
  • Verantwortlicher: Wer entscheidet über Zweck und Mittel der Datenverarbeitung?
  • Recht auf Datenübertragbarkeit: Du kannst verlangen, dass dir deine Daten in einem gängigen Format bereitgestellt werden.

Datenschutz – DSGVO

Wichtige Rechte aus der DSGVO:

  • Auskunft: Du hast Anspruch darauf zu erfahren, welche Daten von dir gespeichert sind.
  • Berichtigung: Falsche Daten müssen korrigiert werden.
  • Löschung: Du kannst verlangen, dass deine Daten gelöscht werden („Recht auf Vergessenwerden“).
  • Einschränkung: Du kannst die Verarbeitung in bestimmten Fällen einschränken.
  • Widerspruch: Du kannst der Verarbeitung widersprechen.
  • Datenübertragbarkeit: Deine Daten können auf Wunsch an einen anderen Anbieter übertragen werden.

Datenschutz – DSGVO

Rechtsgrundlagen für die Datenverarbeitung: Die DSGVO erlaubt die Verarbeitung nur, wenn einer der folgenden Gründe vorliegt (Art. 6 DSGVO):

  1. Einwilligung
  2. Vertragserfüllung
  3. Rechtliche Verpflichtung
  4. Lebenswichtige Interessen
  5. Öffentliche Aufgabe
  6. Berechtigtes Interesse

Das Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO für Deutschland – besonders dort, wo die EU-Regelung Spielräume lässt. Es regelt beispielsweise, wann ein Unternehmen einen Datenschutzbeauftragten benennen muss: Immer dann, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn besonders sensible Daten verarbeitet werden.

Praxisbeispiel:
Ein Online-Shop muss Kundendaten wie Namen, Adressen und Zahlungsinformationen schützen, eine verständliche Datenschutzerklärung bereitstellen und Einwilligungen sauber dokumentieren. Der Kunde hat jederzeit das Recht auf Auskunft und Löschung seiner Daten.

IT-Sicherheitsgesetz & KRITIS

Das IT-Sicherheitsgesetz (IT-SiG) legt in Deutschland verbindliche Mindeststandards für den Schutz kritischer Infrastrukturen (KRITIS) fest. Diese Regelungen betreffen Betreiber aus Bereichen wie Energieversorgung, Wasser, Gesundheit oder Telekommunikation – also Sektoren, bei denen Ausfälle gravierende Folgen hätten.

Was ist eine kritische Infrastruktur? Eine kritische Infrastruktur ist eine Einrichtung, deren Ausfall die öffentliche Sicherheit oder die Versorgung der Bevölkerung massiv beeinträchtigen würde. Beispiele: Stromnetze, Krankenhäuser, Wasserversorgung.

Pflichten aus dem IT-Sicherheitsgesetz:

  • Betreiber müssen ihre IT-Systeme besonders schützen und aktuelle Sicherheitsmaßnahmen umsetzen.
  • Sie müssen erhebliche IT-Sicherheitsvorfälle umgehend an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
  • Es gelten Nachweispflichten: Unternehmen müssen regelmäßig nachweisen, dass sie geeignete Schutzmaßnahmen umgesetzt haben.

IT-Sicherheitsgesetz & KRITIS

KRITIS-Sektoren laut BSI:

  • Energie
  • Wasser
  • Gesundheit
  • Informationstechnik/Telekommunikation
  • Verkehr
  • Ernährung
  • Staat/Verwaltung
  • Finanz- und Versicherungswesen
  • Medien & Kultur
  • Kommunalentsorgung

Praxisbeispiel:
Ein Stromversorger muss seine Systeme gegen Cyberangriffe absichern, regelmäßig Schwachstellen prüfen und Notfallpläne vorhalten. Bei einem erfolgreichen Angriff muss das Unternehmen sofort das BSI informieren und die Schutzmaßnahmen überprüfen.

⏳ Lädt Dataview-Inhalt...

Cybercrime: Definition und rechtlicher Rahmen

Cybercrime umfasst kriminelle Aktivitäten, bei denen Computer, Netzwerke oder das Internet im Zentrum stehen. Dies reicht von unerlaubter Vervielfältigung urheberrechtlich geschützter Inhalte über das unbefugte Eindringen in fremde Computersysteme (Hacking) bis hin zu Angriffen wie Phishing oder Ransomware.

Eine besondere Variante ist Vishing (Voice Phishing): Dabei versuchen Angreifer per Telefon, vertrauliche Informationen wie Passwörter oder Zugangsdaten zu erschleichen, indem sie sich z. B. als IT-Support oder Bankmitarbeiter ausgeben.

Der rechtliche Rahmen für Cybercrime in Deutschland wird v. a. durch das Strafgesetzbuch (StGB) und das Urheberrechtsgesetz (UrhG) gebildet.

Relevante Vorschriften im Strafgesetzbuch (StGB)

ParagraphTatbestand
§ 202a StGBAusspähen von Daten: Unbefugtes Beschaffen besonders gesicherter, nicht für den Täter bestimmter Daten.
§ 202b StGBAbfangen von Daten: Unbefugtes Abfangen nichtöffentlicher Daten, z. B. mittels technischer Mittel.
§ 202c StGBVorbereiten des Ausspähens/Abfangens: Herstellung, Beschaffung oder Überlassen entsprechender Werkzeuge.
§ 303a StGBDatenveränderung: Unbefugtes Löschen, Verändern oder Unbrauchbarmachen von Daten.
§ 303b StGBComputersabotage: Störung von Datenverarbeitungen, z. B. durch Schadsoftware oder Zerstörung von Systemen.

Relevante Vorschriften im Urheberrechtsgesetz (UrhG)

ParagraphTatbestand
§ 95a UrhGSchutz technischer Maßnahmen: Umgehung wirksamer technischer Schutzmaßnahmen (z. B. Kopierschutz) ist verboten.
§ 106 UrhGUnerlaubte Verwertung urheberrechtlich geschützter Werke: Vervielfältigung, Verbreitung oder Wiedergabe strafbar.
§ 108b UrhGUnzulässige Eingriffe in technische Schutzmaßnahmen: Umgehung ohne Berechtigung strafbar (Geld- oder Freiheitsstrafe).

Praxisbeispiele

  • Hacking in ein fremdes Online-Profil: § 202a, § 202c
  • Abfangen vertraulicher E-Mails: § 202b, § 202c StGB
  • Ransomware-Angriff mit Erpressung: § 253, § 202a, § 303b StGB
  • Unerlaubte Verbreitung von Musik/Filmen: § 106 UrhG, § 95a UrhG

Ethische Fragen und Hackerethik

Ethik in der Informationssicherheit beschäftigt sich mit moralischen Fragen rund um digitale Systeme. Die Hackerethik baut auf Prinzipien wie freiem Zugang zu Information, Wissensaustausch, Dezentralisierung und Verantwortungsbewusstsein auf.

  • Freier Zugang zu Technologien: Jeder sollte Technologien zum gesellschaftlichen Fortschritt nutzen können.
  • Freies Teilen von Informationen: Wissen soll möglichst allen zur Verfügung stehen.
  • Förderung der Dezentralisierung: Vermeidung zentraler Machtstrukturen.
  • Menschlichkeit im Mittelpunkt: Technik muss den Menschen dienen.
  • Keine Schädigung anderer/kein unberechtigtes Eindringen: Schaden und Missbrauch widersprechen der Ethik.

Rechtliche Verantwortung:

  • Rechtfertigender Notstand (§ 34 StGB): Offenlegung von Sicherheitslücken ist in engen Grenzen ausnahmsweise zulässig, wenn ein erheblicher Schaden abgewendet werden kann (z. B. Whistleblowing bei akuter Gefahr).
⏳ Lädt Dataview-Inhalt...

Zusammenfassung und Ausblick

Zusammenfassung:

In dieser Lerneinheit hast du zentrale rechtliche und ethische Grundlagen der Informationssicherheit kennengelernt. Die wichtigsten Inhalte kompakt und geordnet:

Datenschutz (DSGVO & BDSG)

  • Du weißt jetzt, welche Daten als personenbezogen gelten und dass für jede Verarbeitung eine rechtliche Grundlage erforderlich ist (z. B. Einwilligung, Vertrag, gesetzliche Pflicht).
  • Du kennst die Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Diese Rechte stärken deine Kontrolle über persönliche Daten.
  • Du kannst erklären, wann Unternehmen einen Datenschutzbeauftragten benennen müssen und wie sie den Grundsatz der Datenminimierung und Transparenz praktisch umsetzen.

IT-Sicherheitsgesetz & KRITIS

  • Du verstehst die Zielsetzung des IT-Sicherheitsgesetzes: Es schützt kritische Infrastrukturen (KRITIS) und verpflichtet Betreiber zu technischen und organisatorischen Schutzmaßnahmen.
  • Du kannst die wichtigsten KRITIS-Sektoren nennen (z. B. Energie, Wasser, Gesundheit, IT/Telekommunikation, Verwaltung, Verkehr).
  • Du weißt, welche Melde- und Nachweispflichten bestehen: Unternehmen müssen schwerwiegende IT-Sicherheitsvorfälle an das BSI melden und regelmäßig Schutzmaßnahmen belegen.

Cybercrime & Rechtlicher Rahmen

  • Du erkennst typische Cybercrime-Delikte: Hacking, Datenklau, Identitätsdiebstahl, Social Engineering, Ransomware und Computerbetrug.
  • Du kennst zentrale Paragrafen aus dem Strafrecht: § 202a StGB (Ausspähen von Daten), § 303a StGB (Datenveränderung), § 263a StGB (Computerbetrug) und weißt, wie sie im Kontext von Cyberangriffen angewendet werden.
  • Du verstehst den Zusammenhang zum Urheberrecht: Auch Verstöße gegen das UrhG (z. B. unerlaubte Kopien) können strafrechtliche Konsequenzen haben.

Ethische Fragen der Informationssicherheit

  • Du hast typische Zielkonflikte kennengelernt: Datenschutz vs. Informationsinteresse, individuelle Freiheit vs. öffentliche Sicherheit.
  • Du kannst erklären, warum ethische Überlegungen und gesellschaftliche Verantwortung neben dem Gesetz eine wichtige Rolle spielen.