ISO 27001: Rechtliche und vertragliche Anforderungen im Griff

Viele Unternehmen hören bei "Rechtskataster" und denken an ein einmaliges Juristenprojekt. Das kann ein sinnvoller Start sein. Man kann sich so etwas punktuell extern aufsetzen lassen oder laufend unterstützen lassen. Gelöst ist das Thema damit aber noch nicht. Denn die ISO 27001 Anforderung A.5.31 ist erst dann sauber erfüllt, wenn Ihr Unternehmen relevante Anforderungen ermittelt, dokumentiert und aktuell hält. Genau darauf zielt die Maßnahme. Und genau deshalb reicht eine schöne Liste ohne Verantwortliche und ohne Review-Rhythmus nicht aus. Ein belastbares Register ist mehr als eine Liste; es braucht Struktur, sichtbare Verantwortlichkeit und laufende Review-Zyklen.

Warum steht das überhaupt in der ISO 27001? Weil Informationssicherheit nicht nur an Technik scheitert, sondern oft daran, dass Anforderungen von außen übersehen werden. Dann merkt man erst im Ernstfall, dass es eine Meldepflicht gab, eine Aufbewahrungspflicht, eine Löschpflicht, eine Vertragsklausel zum Hosting-Standort oder ein Auditrecht des Kunden. Anforderung A.5.31 soll genau dieses peinliche "Hätten wir wissen müssen" verhindern.

Die kurze Antwort

A.5.31 verlangt kein vollständiges Verzeichnis sämtlicher deutscher Gesetze. Es verlangt einen brauchbaren Mechanismus, mit dem Ihr Unternehmen die für die Informationssicherheit relevanten rechtlichen, gesetzlichen, regulatorischen und vertraglichen Anforderungen erkennt, dokumentiert, Verantwortliche zuordnet und Änderungen nachzieht. Das NCSC nennt rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen als externe Faktoren, die in das Cyber-Risikomanagement einfließen müssen.

Die Betonung liegt auf für die Informationssicherheit relevant. Genau das ist wichtig. Sonst bauen Sie ein Monster-Dokument, in dem alles Mögliche steht, aber nichts mehr steuerbar ist. A.5.31 will kein juristisches Telefonbuch, sondern Übersicht und Steuerung.

Worum es bei praktisch wirklich geht

Praktisch geht es um zwei Fragen: Welche Anforderungen wirken von außen auf unsere Informationssicherheit ein? Und wer merkt, wenn sich daran etwas ändert? Das ist der Kern. Nicht die schönste Tabellenformatierung. Nicht die längste Gesetzesliste. Sondern die Fähigkeit, relevante Anforderungen im Alltag zu erkennen und in Prozesse, Kontrollen und Zuständigkeiten zu übersetzen.

Der Control meint dabei nicht nur Gesetze, sondern auch vertragliche Anforderungen. Und genau da wird es in vielen Unternehmen praktisch: NDA, AV-Vertrag, TOM-Anhang, Sicherheitsanhang eines Kunden, Meldefristen bei Vorfällen, Rechte auf Audits, Anforderungen an Subunternehmer, Datenrückgabe oder Löschung bei Vertragsende. In regulierten Bereichen wird diese Logik sogar sehr formal: DORA verlangt für den Finanzsektor ein Register über vertragliche Vereinbarungen zu IKT-Dienstleistungen, und dafür gibt es inzwischen standardisierte Vorlagen auf EU-Ebene.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "Wir lassen von einem Rechtsanwalt einmal ein Rechtskataster erstellen, dann passt das."

Das wird so nicht genügen. Anforderung A.5.31 verlangt, dass die Anforderungen auf dem neuesten Stand gehalten werden. Und genau daran scheitern viele Unternehmen eher als an der ersten Sammlung. Schon ein kurzer Blick auf aktuelle Gesetze zeigt, warum: Das BDSG wurde zuletzt im Mai 2024 geändert, das BSIG wurde Ende 2025 neu gefasst, und die AO ist in der Fassung von Januar 2025 und wurde 2026 erneut geändert. Wer hier nur einmal sammelt und dann nie wieder hinschaut, baut sich sehr schnell eine Altlast.

Woher bekommt man die Anforderungen überhaupt?

Ein guter Start ist oft ein Rundgang durchs Unternehmen. Nicht im wörtlichen Sinn, sondern in Form einfacher Gespräche mit den Bereichen, die fachlich am nächsten dran sind.

HR bringt häufig Datenschutzthemen früh auf den Tisch: Bewerberdaten, Mitarbeiterdaten, Zugriffsrechte, Aufbewahrung und Löschung, Personalakten, Auskunftsansprüche. Hier sind DSGVO und BDSG fast immer relevant.

Marketing, Website und Vertrieb stolpern oft zuerst über Tracking, Cookies, Einwilligungen, Kontaktformulare, Newsletter und CRM-Themen. Für Website und Endeinrichtungen ist in Deutschland insbesondere § 25 TDDDG ein Klassiker, weil dort die Speicherung und der Zugriff auf Informationen in Endeinrichtungen grundsätzlich an eine Einwilligung geknüpft werden.

Finanzbuchhaltung und kaufmännische Bereiche bringen häufig Aufbewahrungspflichten ins Spiel. HGB und AO regeln, dass bestimmte Unterlagen über Jahre geordnet aufbewahrt werden müssen. Das ist für die ISO 27001 deshalb wichtig, weil es unmittelbare Auswirkungen auf Löschregeln, Verfügbarkeit, Integrität und Zugriffsschutz hat.

IT, ISB und Geschäftsführung sehen häufig regulatorische Spezialpflichten zuerst, etwa wenn das Unternehmen unter NIS-2 (BSIG) fällt oder in einem besonders regulierten Umfeld unterwegs ist.

Projektleiter, Delivery und Einkauf wiederum bekommen oft die schärfsten Vertragsanforderungen zuerst zu sehen. Genau dort tauchen Sicherheitsanhänge, Auditklauseln, TOM-Anforderungen, Löschpflichten, Hosting-Vorgaben. SLAs oder Reaktionsfristen auf. Wer diese Dokumente nicht in A.5.31 mitdenkt, lässt einen großen Teil der realen Anforderungen einfach liegen.

Unternehmen, die international unterwegs sind, haben hier noch etwas mehr zu tun, denn für die ganzen o.g. deutschen Gesetze gibt es in der Regel in jedem anderen Land entsprechende Pendants - die immer ein wenig anders sind.

Was in Deutschland fast immer in den Grundstock gehört

Nicht alles davon ist für jedes Unternehmen gleichermaßen relevant. Aber diese Themen sollte man in Deutschland für A.5.31 fast immer zumindest einmal bewusst prüfen.

DSGVO und BDSG

Fast jedes Unternehmen verarbeitet personenbezogene Daten. Damit kommen automatisch Anforderungen an Vertraulichkeit, Integrität, Verfügbarkeit, Löschung, Betroffenenrechte, Verträge mit Auftragsverarbeitern und Vorfallmanagement auf den Tisch. Das BDSG ergänzt die DSGVO im deutschen Recht an mehreren Stellen.

TDDDG

Sobald Website, Tracking, Cookies oder ähnliche Technologien im Spiel sind, wird das TDDDG relevant. § 25 TDDDG ist in der Praxis besonders sichtbar, weil er die Speicherung von Informationen in Endeinrichtungen und den Zugriff auf solche Informationen grundsätzlich an eine Einwilligung knüpft.

Geschäftsgeheimnisgesetz

Das GeschGehG dient dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung. Allein daran sieht man schon, warum es in ein A.5.31-Verzeichnis hineingehören kann: Wer vertrauliche Informationen schützen will, bewegt sich nicht nur im Technikraum, sondern auch im Rechtsraum.

HGB und AO

Diese beiden Regelwerke sind keine klassischen „Cybergesetze“, aber oft hoch relevant für Informationssicherheit. Sie prägen mit, welche Unterlagen wie lange aufzubewahren sind und damit auch, welche Informationen verfügbar, lesbar und geschützt bleiben müssen.

BSIG und NIS2-nahe Pflichten

Nicht jedes Unternehmen fällt darunter. Aber für betroffene Einrichtungen ist das ein großes Thema. Das aktuelle BSIG enthält Pflichten rund um Risikomanagement, Meldungen, Registrierung, Nachweise und Schulungen der Geschäftsleitung. Das BSI verweist für KRITIS zudem auf branchenspezifische Sicherheitsstandards.

DORA

Für Unternehmen im Finanzsektor oder sehr nah daran ist DORA kein Randthema, sondern zentral. Die Verordnung schafft einheitliche Regeln für die Sicherheit von Netz- und Informationssystemen von Finanzunternehmen und bringt zusätzliche Anforderungen an das Management von IKT-Drittdienstleistern mit.

So wird aus der Sammlung ein System

Der Fehler vieler Unternehmen ist nicht, dass sie gar nichts sammeln. Der Fehler ist, dass sie eben nur sammeln. A.5.31 wird erst dann stark, wenn aus der Sammlung ein steuerbares System wird. Ein gutes Register verknüpft Anforderungen mit Assets, Prozessen, Verantwortlichen und Kontrollen.

Praktisch reicht dafür oft schon eine einfache Tabelle mit Spalten wie: Anforderung, Quelle, warum für Informationssicherheit relevant, betroffener Prozess oder Asset, Owner, wie wir das erfüllen, wie Änderungen erkannt werden, letzter Review, nächster Review. Genau diese Mischung aus Struktur, Ownership und Review-Zyklus ist der Unterschied zwischen "wir haben da etwas" und "wir haben das im Griff".

Wer merkt eigentlich, wenn sich etwas ändert?

Das ist die eigentliche Schlüsselfrage. Nicht jede Änderung wird zentral zuerst sichtbar. Und das ist auch nicht nötig. Oft ist es viel klüger, die Verantwortung dorthin zu legen, wo die Änderung zuerst auftaucht: HR bei Personaldaten, Marketing bei Website- und Tracking-Themen, Finance bei Aufbewahrung, Projektleiter bei Kundenverträgen, IT oder ISB bei Sicherheitsregulierung. Zentral braucht es dann nur noch einen Mechanismus, der diese Änderungen einsammelt, bewertet und im Register nachzieht.

Was will der Auditor sehen?

Ein Auditor will hier in aller Regel keinen Nachweis, dass Sie jedes deutsche Gesetz auswendig kennen. Er will sehen, dass Ihr Unternehmen ein plausibles Verfahren hat: Wie identifizieren Sie relevante rechtliche, regulatorische und vertragliche Anforderungen? Wo dokumentieren Sie sie? Wer ist verantwortlich? Wie halten Sie das aktuell? Und wie stellen Sie sicher, dass auch Kundenverträge oder neue Sicherheitsanhänge nicht am ISMS vorbeirutschen?

Als Nachweise helfen typischerweise ein gepflegtes Register, erkennbare Owner, dokumentierte Review-Termine, Beispiele für konkret umgesetzte Anforderungen und im Idealfall ein nachvollziehbarer Weg, wie neue Vertragsanforderungen, neue gesetzliche Pflichten oder neue regulatorische Themen in das ISMS gelangen. Der Auditor sucht hier kein juristisches Kunstwerk. Er sucht Steuerbarkeit.

FAQ

Interesse geweckt?

Wenn Sie rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen im Rahmen einer ISO 27001-Einführung sauber regeln wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!