Rechtliche Anforderungen an die IT-Sicherheit

Transkript

1 Rechtliche Anforderungen an die IT-Sicherheit Tag der IT-Sicherheit NELL-BREUNING-ALLEE 6 D SAARBRÜCKEN TELEFON: +49(0)681 / TELFAX: +49(0)681 /

2 Überblick über gesetzliche Vorschriften Verantwortlichkeiten Datenschutz Bring Your Own Device Cloud Computing RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 2

3 Die Angst vor der Digitalisierung (Handelsblatt vom laut Umfrage der DIHK) 1849 befragte Unternehmen ca. ein Drittel - Digitalisierung sei gut entwickelt über zwei Drittel Defizite bei der Digitalisierung Mittelständler sehen eher die Risiken industrielle Großunternehmen sehen eher die Chancen Mehrheit um Sicherheit ihrer Daten besorgt German Angst? RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 3

4 Entwicklung USA 1890 The Right to Privacy Hessen 1970 Datenschutzgesetz USA 1974 Privacy Act Deutschland 1977 Bundesdatenschutzgesetz BVerfG 1983 Grundrecht auf informationelle Selbstbestimmung Datenschutzrichtlinie 95/46/EG Moore s law totale Vernetzung Industrie 4.0 Roboter, Drohnen, 3D-Drucker RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 4

5 mögliche Angreifer der gemeine Cyberkriminelle Wettbewerber politisch motivierte Aktivisten Nachrichtendienste (silent corporation) RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 5

6 mögliche Angriffspunkte mobile Datennutzung soziale Netzwerke Cloud Computing Smart Grids Industrie 4.0 RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 6

7 mögliche Bedrohungen Sabotage Spionage Protestbewegungen Erpressung Cyberwar etc. RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 7

8 mögliche Maßnahmen Verschlüsselung der Daten / des Transports abhörsichere Komponenten und Hardware Auswahl vertrauenswürdiger IT-Dienstleister Schritt für Schritt zu einem angemessenen Sicherheitsniveau IT-Sicherheit im Alltag eines Unternehmens RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 8

9 gesetzliche Grundlagen TKG z.b. 109a Datensicherheit (Meldepflichten) BDSG z.b. 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten TMG z.b. 15a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten EnWG z.b. 21e Allgemeine Anforderungen an Messsysteme zur Erfassung elektrischer Energie (viele weitere gesetzl. Regelungen von SGB bis AufenthG) RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 9

10 109 TKG Technische Schutzmaßnahmen (1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen 1. zum Schutz des Fernmeldegeheimnisses und 2. gegen die Verletzung des Schutzes personenbezogener Daten. Dabei ist der Stand der Technik zu berücksichtigen. (2). angemessene technische Vorkehrungen und sonstige Maßnahmen zu treffen 1. zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und - diensten führen,. und 2. zur Beherrschung der Risiken für die Sicherheit von Telekommunikationsnetzen und -diensten. Insbesondere sind Maßnahmen zu treffen, um Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu sichern und Auswirkungen von Sicherheitsverletzungen für Nutzer oder für zusammengeschaltete Netze so gering wie möglich zu halten. (6) Die Bundesnetzagentur erstellt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einen Katalog von Sicherheitsanforderungen und für die zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen nach den Absätzen 1 und 2. Der Katalog wird von der Bundesnetzagentur veröffentlicht. RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 10

11 109a TKG Datensicherheit (1), hat im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen. Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten Teilnehmer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Anbieter des Telekommunikationsdienstes zusätzlich die Betroffenen unverzüglich von dieser Verletzung zu benachrichtigen. Im Übrigen gilt 42a Satz 6 des Bundesdatenschutzgesetzes entsprechend. (3) Die Anbieter der Telekommunikationsdienste haben ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen, RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 11

12 Entwurf IT-Sicherheitsgesetz IT-SiG-E Beschluss des Bundeskabinetts vom zum Schutz der digitalen Infrastruktur IT-Sicherheit durch Aufklärung Schutz kritischer Infrastrukturen (Energieversorgung, Verkehr, Gesundheits-, Finanz-, Versicherungs- und Transportwesen) erweiterte Befugnisse des BSI und des BKA erhöhte Meldepflichten Steigerung der Anforderung an Diensteanbieter im Telekommunikations- und Telemedien-Recht (!) RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 12

13 eidas-verordnung Veröffentlichung der Verordnung (EU) Nr. 910/2014 in Kraft seit dem grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 13

14 Internationale Gremien IETF Internet Engineering Task Force ICANN Internet Corporation for Assigned Names and Numbers W3C World Wide Web Consortium IGF Internet Governance Forum WGIG Working Group of Internet Governance ENISA Europäische Agentur für Netz-und Informationssicherheit RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 14

15 nationale, bilaterale und supranationale Maßnahmen Bundesrat Gesetzentwurf zur Strafbarkeit der Datenhehlerei BMWi-Taskforce IT-Sicherheit in der Wirtschaft Allianz für Cybersicherheit NoSpy-Abkommen vs. USA Patriot Act (FBI, NSA, CIA) Tisa (!) NATO Enhanced Cyber Defense Policy EU-Kommission Cybercrime-Richtlinienentwurf RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 15

16 Überblick über gesetzliche Vorschriften Verantwortlichkeiten Datenschutz Bring Your Own Device Cloud Computing RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 16

17 Bring Your Own Device Datensicherheit Soziale Netzwerke Datenschutz Softwarelizenzen Arbeitsrecht BetrVG EStG Vertragsgestaltung Betriebsvereinbarung RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 17

18 Cloud Computing Datensicherheit Datenschutz BetrVG Standort geltendes Recht Vertragsgestaltung Betriebsvereinbarung RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 18

19 RA Jörg Oliver Pick Fachanwalt für Gewerblichen Rechtsschutz RA Jörg Oliver Pick Rechtliche Anforderungen an die IT-Sicherheit 19