Rechtsregister · Cenedril Wiki

Das Rechtsregister erfasst alle gesetzlichen, regulatorischen und vertraglichen Anforderungen, die für dein ISMS relevant sind. Es beantwortet eine einzige Frage: Welche externen Verpflichtungen hat deine Organisation — und erfüllst du sie?

ISO 27001 A.5.31 (Legal, Statutory, Regulatory and Contractual Requirements) verlangt, dass relevante Anforderungen identifiziert, dokumentiert und regelmäßig überprüft werden. Ohne ein gepflegtes Rechtsregister fehlt dir im Audit der Nachweis, dass du deine Rechtslandschaft kennst.

Was enthält es?

Jede Zeile steht für eine externe Anforderung. Die Spalten:

ID / Regulation / Article — eindeutige Kennung, Name des Gesetzes oder Vertrags und relevanter Abschnitt
Requirement — Zusammenfassung der konkreten Anforderung
Applicability / Obligation Type — auf welche Daten, Systeme oder Prozesse sich die Anforderung bezieht und ob es eine organisatorische oder technische Pflicht ist
Responsible — verantwortliche Person (z. B. Datenschutzbeauftragter, ISB, Rechtsabteilung)
Evidence / Status / Next Review — Verweis auf den Nachweis, aktueller Compliance-Status und nächster Prüftermin

So nutzt du es

Initiale Befüllung: Starte mit den offensichtlichen Gesetzen (DSGVO, BDSG, ggf. NIS2) und ergänze dann vertragliche Pflichten aus Kunden- und Lieferantenverträgen. Für jeden Eintrag definierst du eine verantwortliche Person und einen Nachweis.

Laufende Pflege: Bei Gesetzesänderungen, neuen Verträgen oder Expansion in neue Märkte aktualisierst du das Register. Die verantwortliche Person prüft den Compliance-Status und dokumentiert ggf. Handlungsbedarf.

Audit-Vorbereitung: Auditor:innen wählen stichprobenartig Einträge und prüfen, ob der angegebene Nachweis tatsächlich existiert und aktuell ist. Ein vollständiges Register mit gepflegten Evidence-Verweisen beschleunigt diesen Prozess erheblich.

ID	Regelwerk	Artikel / Abschnitt	Anforderung	Anwendbarkeit	Pflichtart	Verantwortlich	Nachweis	Status	Nächste Prüfung
LR-001	DSGVO (EU 2016/679)	Art. 5	Grundsätze der Verarbeitung (Rechtmäßigkeit Fairness Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität Vertraulichkeit Rechenschaftspflicht)	Alle Verarbeitungen personenbezogener Daten	Organisatorisch	DSB	Datenschutzrichtlinie + Verarbeitungsverzeichnis	Konform	2026-12-31
LR-002	DSGVO	Art. 6	Rechtsgrundlage für jede Verarbeitung erforderlich	Alle Verarbeitungen personenbezogener Daten	Organisatorisch	DSB	Rechtsgrundlage im Verarbeitungsverzeichnis dokumentiert	Konform	2026-12-31
LR-003	DSGVO	Art. 13-14	Informationen an betroffene Personen bei Erhebung	Kunden- und Mitarbeiterdaten	Organisatorisch	DSB	Datenschutzerklärung auf Website + HR-Handbuch	Konform	2026-12-31
LR-004	DSGVO	Art. 15-22	Rechte der betroffenen Personen (Auskunft Berichtigung Löschung Einschränkung Datenübertragbarkeit Widerspruch)	Alle personenbezogenen Daten	Organisatorisch	DSB	SAR-Verfahren + Log	Konform	2026-12-31
LR-005	DSGVO	Art. 24 25	Verantwortung des Verantwortlichen + Datenschutz durch Technikgestaltung	Alle Verarbeitungen	Technisch + Organisatorisch	DSB	DSFA-Verfahren + umgesetzte Kontrollen	Konform	2026-12-31
LR-006	DSGVO	Art. 28	Auftragsverarbeitungsverträge (AVV) erforderlich	Alle Auftragsverarbeiter	Vertraglich	DSB	AVV mit allen Auftragsverarbeitern	Konform	2026-06-30
LR-007	DSGVO	Art. 30	Verzeichnis von Verarbeitungstätigkeiten	Organisation (>250 oder hohes Risiko)	Organisatorisch	DSB	Verarbeitungsverzeichnis	Konform	2026-12-31
LR-008	DSGVO	Art. 32	Sicherheit der Verarbeitung (geeignete technische und organisatorische Maßnahmen)	Alle Verarbeitungen	Technisch + Organisatorisch	ISB	ISMS-Kontrollen + TOM-Dokument	Konform	2026-12-31
LR-009	DSGVO	Art. 33	Meldung an Aufsichtsbehörde innerhalb 72 Stunden	Alle Verarbeitungen	Verfahrensbezogen	DSB	IRP-Abschnitt Breach + Log	Konform	2026-12-31
LR-010	DSGVO	Art. 34	Benachrichtigung der betroffenen Personen (bei hohem Risiko)	Alle Verarbeitungen	Verfahrensbezogen	DSB	IRP + Kommunikationsvorlagen	Konform	2026-12-31
LR-011	DSGVO	Art. 35	Datenschutz-Folgenabschätzung bei hohem Risiko erforderlich	Neue Verarbeitungstätigkeiten	Verfahrensbezogen	DSB	DSFA-Verfahren + abgeschlossene DSFAs	Konform	2026-12-31
LR-012	DSGVO	Art. 37-39	Benennung und Aufgaben des Datenschutzbeauftragten	Organisation	Organisatorisch	Geschäftsleitung	DSB-Bestellung	Konform	2027-01-31
LR-013	DSGVO	Art. 44-49	Übermittlung in Drittländer erfordert Rechtsgrundlage (SCC Angemessenheit BCR)	Jede internationale Übermittlung	Vertraglich	DSB	Transfer Impact Assessments + SCCs	Konform	2026-12-31
LR-014	NIS2 (EU 2022/2555)	Art. 20	Governance: Leitungsorgane müssen Risikomaßnahmen genehmigen und überwachen sowie Schulungen absolvieren	Wesentliche oder wichtige Einrichtung	Organisatorisch	Geschäftsleitung	Schulungsnachweise + genehmigte ISMS-Dokumente	Konform	2026-12-31
LR-015	NIS2	Art. 21(1)	Geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen	Wesentliche oder wichtige Einrichtung	Technisch + Organisatorisch	ISB	ISMS + SoA	Konform	2026-12-31
LR-016	NIS2	Art. 21(2)(a)	Risikoanalyse und Informationssicherheits-Richtlinien	Einrichtung	Organisatorisch	ISB	Risikomanagement-Richtlinie + Informationssicherheitsrichtlinie	Konform	2026-12-31
LR-017	NIS2	Art. 21(2)(b)	Bewältigung von Sicherheitsvorfällen	Einrichtung	Verfahrensbezogen	ISB	Incident Response Plan	Konform	2026-12-31
LR-018	NIS2	Art. 21(2)(c)	Aufrechterhaltung des Betriebs (Backup-Management Wiederherstellung Krisenmanagement)	Einrichtung	Verfahrensbezogen	BCM-Leitung	BCP + DRP + Krisenkommunikation	Konform	2026-12-31
LR-019	NIS2	Art. 21(2)(d)	Sicherheit der Lieferkette einschließlich Lieferanten und Dienstleister	Einrichtung	Organisatorisch	Einkauf	Lieferanten-Sicherheitsrichtlinie + Register	Konform	2026-12-31
LR-020	NIS2	Art. 21(2)(e)	Sicherheit bei Erwerb Entwicklung und Wartung einschließlich Schwachstellen-Handhabung und -Offenlegung	Einrichtung	Technisch	IT-Betriebsleitung	Sichere Entwicklung + Vuln-Mgmt-Verfahren	Konform	2026-12-31
LR-021	NIS2	Art. 21(2)(f)	Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomaßnahmen	Einrichtung	Organisatorisch	ISB	Internes Audit + Management-Review	Konform	2026-12-31
LR-022	NIS2	Art. 21(2)(g)	Grundlegende Cyberhygiene und Cybersicherheits-Schulung	Einrichtung	Organisatorisch	ISB	Awareness-Schulungsnachweise	Konform	2026-12-31
LR-023	NIS2	Art. 21(2)(h)	Richtlinien und Verfahren zum Einsatz von Kryptographie und ggf. Verschlüsselung	Einrichtung	Technisch	ISB	Kryptographie-Richtlinie	Konform	2026-12-31
LR-024	NIS2	Art. 21(2)(i)	Personalsicherheit Zugriffskontrolle und Asset-Management	Einrichtung	Organisatorisch	HR + ISB	HR-Security + Zugriffskontrolle + Asset-Mgmt	Konform	2026-12-31
LR-025	NIS2	Art. 21(2)(j)	Einsatz von MFA oder kontinuierlicher Authentifizierung gesicherter Sprach- Video- und Textkommunikation und gesicherter Notfallkommunikation	Einrichtung	Technisch	IT-Betriebsleitung	MFA-Rollout + sichere Kommunikation	Teilweise konform	2026-06-30
LR-026	NIS2	Art. 23	Frühwarnung (24 h) Vorfallmeldung (72 h) Zwischenbericht Abschlussbericht (1 Monat)	Einrichtung bei erheblichen Vorfällen	Verfahrensbezogen	ISB	IRP-Meldeworkflow	Konform	2026-12-31
LR-027	NIS2	Art. 27	Registrierung bei zuständiger Behörde	Einrichtung	Organisatorisch	ISB	Registrierungsbestätigung	Konform	2027-01-31

ID	Regulation	Article / Section	Requirement	Applicability	Obligation Type	Responsible	Evidence	Status	Next Review
LR-001	GDPR (EU 2016/679)	Art. 5	Principles of processing (lawfulness fairness transparency purpose limitation data minimisation accuracy storage limitation integrity confidentiality accountability)	All personal data processing	Organisational	DPO	Data Protection Policy + RoPA	Compliant	2026-12-31
LR-002	GDPR	Art. 6	Lawful basis required for each processing activity	All personal data processing	Organisational	DPO	Legal basis documented in RoPA	Compliant	2026-12-31
LR-003	GDPR	Art. 13-14	Information to data subjects at collection	Customer and employee data	Organisational	DPO	Privacy notice on website + HR handbook	Compliant	2026-12-31
LR-004	GDPR	Art. 15-22	Data subject rights (access rectification erasure restriction portability objection)	All personal data	Organisational	DPO	SAR procedure + log	Compliant	2026-12-31
LR-005	GDPR	Art. 24 25	Responsibility of controller + privacy by design	All processing	Technical + Organisational	DPO	DPIA procedure + control implementation	Compliant	2026-12-31
LR-006	GDPR	Art. 28	Processor contracts (DPA) required	All processors	Contractual	DPO	Data processing agreements with all processors	Compliant	2026-06-30
LR-007	GDPR	Art. 30	Records of processing activities	Organisation (>250 or high risk)	Organisational	DPO	RoPA (records of processing)	Compliant	2026-12-31
LR-008	GDPR	Art. 32	Security of processing (appropriate technical and organisational measures)	All processing	Technical + Organisational	ISO	ISMS controls + TOM document	Compliant	2026-12-31
LR-009	GDPR	Art. 33	Breach notification to supervisory authority within 72 hours	All processing	Procedural	DPO	Incident Response Plan breach section + log	Compliant	2026-12-31
LR-010	GDPR	Art. 34	Breach notification to affected data subjects (if high risk)	All processing	Procedural	DPO	IRP + communication templates	Compliant	2026-12-31
LR-011	GDPR	Art. 35	Data protection impact assessment required for high-risk processing	New processing activities	Procedural	DPO	DPIA procedure + completed DPIAs	Compliant	2026-12-31
LR-012	GDPR	Art. 37-39	Designation and tasks of data protection officer	Organisation	Organisational	Top management	DPO appointment letter	Compliant	2027-01-31
LR-013	GDPR	Art. 44-49	Transfers to third countries require legal basis (SCC adequacy BCR)	Any international transfer	Contractual	DPO	Transfer impact assessments + SCCs	Compliant	2026-12-31
LR-014	NIS2 (EU 2022/2555)	Art. 20	Governance: management bodies must approve and supervise risk measures and take training	Essential or important entity	Organisational	Top management	Management training record + approved ISMS docs	Compliant	2026-12-31
LR-015	NIS2	Art. 21(1)	Appropriate and proportionate technical operational and organisational measures	Essential or important entity	Technical + Organisational	ISO	ISMS + SoA	Compliant	2026-12-31
LR-016	NIS2	Art. 21(2)(a)	Risk analysis and information system security policies	Entity	Organisational	ISO	Risk Management Policy + Information Security Policy	Compliant	2026-12-31
LR-017	NIS2	Art. 21(2)(b)	Incident handling	Entity	Procedural	ISO	Incident Response Plan	Compliant	2026-12-31
LR-018	NIS2	Art. 21(2)(c)	Business continuity (backup management disaster recovery crisis management)	Entity	Procedural	BCM Lead	BCP + DRP + crisis comms	Compliant	2026-12-31
LR-019	NIS2	Art. 21(2)(d)	Supply chain security including supplier and service provider relationships	Entity	Organisational	Procurement	Supplier Security Policy + register	Compliant	2026-12-31
LR-020	NIS2	Art. 21(2)(e)	Security in network and information systems acquisition development and maintenance including vulnerability handling and disclosure	Entity	Technical	IT Operations Lead	Secure Development + Vuln Mgmt procedure	Compliant	2026-12-31
LR-021	NIS2	Art. 21(2)(f)	Policies and procedures to assess effectiveness of cybersecurity risk measures	Entity	Organisational	ISO	Internal audit + management review	Compliant	2026-12-31
LR-022	NIS2	Art. 21(2)(g)	Basic cyber hygiene practices and cybersecurity training	Entity	Organisational	ISO	Awareness training records	Compliant	2026-12-31
LR-023	NIS2	Art. 21(2)(h)	Policies and procedures on use of cryptography and where appropriate encryption	Entity	Technical	ISO	Cryptography Policy	Compliant	2026-12-31
LR-024	NIS2	Art. 21(2)(i)	Human resources security access control policies and asset management	Entity	Organisational	HR + ISO	HR Security + Access Control + Asset Mgmt	Compliant	2026-12-31
LR-025	NIS2	Art. 21(2)(j)	Use of MFA or continuous auth solutions secured voice/video/text communications and secured emergency communications	Entity	Technical	IT Operations Lead	MFA rollout + secure comms	Partially compliant	2026-06-30
LR-026	NIS2	Art. 23	Early warning (24h) incident notification (72h) intermediate report final report (1 month)	Entity on significant incidents	Procedural	ISO	IRP notification workflow	Compliant	2026-12-31
LR-027	NIS2	Art. 27	Registration with competent authority	Entity	Organisational	ISO	Registration confirmation	Compliant	2027-01-31

Quellen

ISO/IEC 27001:2022 A.5.31 — Legal, Statutory, Regulatory and Contractual Requirements
DSGVO (EU 2016/679) — Datenschutz-Grundverordnung
NIS2-Richtlinie (EU 2022/2555) — Netz- und Informationssicherheit

Häufig gestellte Fragen

Welche Gesetze gehören ins Rechtsregister?

Alle Gesetze, Verordnungen und vertragliche Pflichten, die Auswirkungen auf deine Informationssicherheit haben. Typisch: DSGVO, BDSG, NIS2 (wenn anwendbar), branchenspezifische Regulierung (z. B. DORA für Finanzdienstleister), Geheimhaltungsvereinbarungen mit Kunden und Lieferantenverträge mit Sicherheitsanforderungen.

Wie oft muss das Rechtsregister aktualisiert werden?

Mindestens jährlich und anlassbezogen — etwa bei neuen Gesetzen, Vertragsänderungen oder Geschäftstätigkeit in neuen Rechtsräumen. Die CSV-Vorlage enthält eine Spalte Next Review, damit du den nächsten Prüftermin nicht vergisst.

Muss ich den genauen Gesetzestext zitieren?

Im Register reicht eine Zusammenfassung der Anforderung und ein Verweis auf den relevanten Artikel oder Paragraphen. Die vollständigen Gesetzestexte archivierst du separat (oder verlinkst sie). Auditor:innen wollen sehen, dass du die Anforderung verstanden und einer verantwortlichen Person zugewiesen hast.

Was enthält es?

So nutzt du es

Quellen

Abgedeckte ISO-27001-Kontrollen

Häufig gestellte Fragen