Mag. Andreas Schütz, LL.M. Partner, Taylor Wessing

Transkript

1 Mag. Andreas Schütz, LL.M. Partner, Taylor Wessing 15. September 2016

2 Inhalt 01 > Rechtsupdate Cybercrime / Datenschutz 02 > Rechtliche Vorgaben im Informationssicherheitsbereich Relevante Gesetze für den Informationssicherheitsbereich Datensicherheit 03 > EU-Datenschutz-Grundverordnung Überblick Änderungen

3 1. Rechtsupdate Cybercrime / Datenschutz

4 1. Rechtsupdate Cybercrime / Datenschutz Aktuelle Ereignisse Türkische Hacker griffen offenbar Österreichische Nationalbank an. (Online-Standard am ) Cyberangriff auf Flughafen Schwechat durch DDoS-Attacke. (Online-Standard am ) Deutscher Autozulieferer Leoni um 40 Mio Euro mit Chef-Masche betrogen. (Online-Standard am ) Cyber-Attacke auf A1: Erpresser wollten Euro in Bitcoins (Online-Standard am )

5 1. Rechtsupdate Cybercrime / Datenschutz Cybersicherheitsstrategie der EU NIS-Richtlinie 2016/1148 (Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union) Hintergrund und Entwicklung Zitat Kommissarin Cecilia Malmström Das Verbrechen geht neue Wege. Mithilfe von Schadsoftware ist es möglich, die Kontrolle über eine große Zahl von Computern zu gewinnen und Kreditkartennummern zu stehlen, sensible Informationen ausfindig zu machen und Großangriffe zu starten.[..] Die Vorschläge, die wir heute vorlegen, sind ein wichtiger Schritt [ ]. Zitat Vizepräsidentin der Kommission, Neelie Kroes Online-Bedrohungen kennen keine Grenzen. [...] Unsere EU-Organe und Regierungen müssen sehr eng zusammenarbeiten, damit wir die Art und das Ausmaß der neuen Online- Bedrohungen verstehen lernen.

6 1. Rechtsupdate Cybercrime / Datenschutz Gesetzesgrundlage Hintergrund und Entwicklung der NIS-RL Als eine der sieben Leitlinien der Strategie Europa 2020 wurde in der Digitalen Agenda im September 2010 das Ziel festgelegt einen Digitalen Binnenmarkt zu schaffen. Schwerpunktthema bildet der Umgang mit Cyberkriminalität wie etwa Cyber-Großangriffen ( Roboter-Armee im Internet, Botnets ). > Rahmenbeschluss über Angriffe auf Informationssysteme des Rates der EU > Vorschlag zur NIS-RL der EU-Kommission (Digitale Agenda) > Inkrafttreten der NIS-RL

7 1. Rechtsupdate Cybercrime / Datenschutz Gesetzesgrundlage Ziele der Netz- und Informationssicherheits-Richtlinie (NIS-RL) Erzielung eines EU-weiten hohen Niveaus an Netzwerkund Informationssicherheit > Verbesserung der Zusammenarbeit der Mitgliedstaaten > Verpflichtung zur Einführung angemessener IT- Sicherheitsmaßnahmen > Verpflichtung zur Meldung von Sicherheitsvorfällen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste

8 1. Rechtsupdate Cybercrime / Datenschutz Anwendungsbereich Betroffene Einrichtungen: > Betreiber wesentlicher Dienste (Aufzählung im Anhang II der NIS-RL); kritische Infrastrukturen in den Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur (Internet Exchange Points, DNS-Provider, TLD-Registries) > Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, Cloud-Computing- Dienste)

9 1. Rechtsupdate Cybercrime / Datenschutz Anwendungsbereich Definition Betreiber wesentlicher Dienste (Art. 4 NIS-RL) > Öffentliche und private Einrichtungen mit Niederlassung im Hoheitsgebiet der MS > Dienst ist für die Aufrechterhaltung kritischer gesellschaftlicher und / oder wirtschaftlicher Tätigkeiten unerlässlich > Bereitstellung des Dienstes abhängig von Netz- u. Informationssystemen > Sicherheitsvorfall würde eine erhebliche Störung bei der Bereitstellung des Dienstes bewirken. > Jeder MS erstellen bis eine Liste der ermittelten Betreiber wesentlicher Dienste

10 1. Rechtsupdate Cybercrime / Datenschutz Anwendungsbereich Erhebliche Störung > Berücksichtigung mind. eines der folgenden sektorenübergreifenden Faktoren (Art. 6 NIS-RL): Zahl der Nutzer des Dienstes Abhängigkeit zu weiteren in Anhang II genannten Sektoren Auswirkungen von Sicherheitsvorfällen auf wirtschaftliche und gesellschaftliche Tätigkeiten oder öffentliche Sicherheit Marktanteil der Einrichtung Geografische Ausbreitung Bedeutung der Einrichtung für die Aufrechterhaltung des Dienstes (Alternativen)

11 1. Rechtsupdate Cybercrime / Datenschutz NIS-Behörden und deren Aufgaben Mit der NIS-RL wird ein Computer-Notfallteam geschaffen (Aufgaben im Anhang I) CSIRTs-Netzwerk Computer Security Incident Response Teams Network Aufgaben des CSIRT > Überwachung Sicherheitsvorfälle auf nationaler Ebene > Frühwarnungen / Alarmmeldungen / Risikoeinschätzungen > Reaktion auf Sicherheitsvorfälle > Analyse der Vorfälle und Lagerbeurteilung > Standardisierung der Verfahren im privaten Sektor für Sicherheitsvorfälle

12 1. Rechtsupdate Cybercrime / Datenschutz Nationale Umsetzung in Österreich Vorbereitung Cyber-Sicherheitsgesetz > Meldepflichten und Melderecht von Cybersecurity-Vorfälle > Maßnahmen zum Risikomanagement und zur Verhinderung sowie Minimierung der Auswirkungen von IT-Vorfällen > Mögliche Sanktionen können sich an der DSGVO orientieren > IT-Sicherheitsbeauftragter nach dem Vorbild des Datenschutzbeauftragter (siehe White Paper Kuratorium Sicheres Österreich)

13 1. Rechtsupdate Cybercrime / Datenschutz Nationale Umsetzung in Österreich Vorbereitung Cyber-Sicherheitsgesetz > Cyber-Sicherheitsinitiative (BM.I, Kuratorium Sicheres Österreich KSÖ) > Österreichische Strategie für Cyber Sicherheit (ÖSCS); Cyber Sicherheit Steuerungsgruppe (CSS) (Bundeskanzleramt) ( Implementierungsplan); Einbindung des Cyber Sicherheits Center (CSC) des BM.I; Cyber Defence Zentrum (CDZ) des BMLVS; GovCert (Government Computer Emergency Response Team, MilCERT (Military Cyber Emergency Readiness Team); Cyber Crime Competence Center (C4) Private CERTs (CERT.at; BRZ-CERT, Banken-CERTs, ) > Cyber Krisenmanagement (CKM) > Cyber Sicherheit Plattform (CSP) Konsultation mit 100 Stakeholdern aus Wirtschaft, Wissenschaft und Verwaltung

14 1. Rechtsupdate Cybercrime / Datenschutz Auswirkungen Sicherheitsvorfall Auswirkungen von Sicherheitsvorfällen auf österreichische Unternehmen > Wann entsteht eine Anzeigepflicht? Freiwilliger Informationsaustausch Branchenspezifische Anforderungen > Welche Präventivmaßnahmen (Notfallpläne, Sicherheitsrücklagen) müssen getroffen werden? > Einführung von Incident-Management System? Dokumentation von kritischen Sicherheitsvorfällen Früherkennung der Gefährdung von Kernleistungen > Notfallpläne für kritische Szenarien Regelung der Informationsweitergabe an Organisationen zur Angriffsabwehr, Beseitigung Angriffsschäden Erlaubte Maßnahmen zur Ereignisbewältigung

15 1. Rechtsupdate Cybercrime / Datenschutz Ausblick Cyber-Sicherheitsgesetz Zeitplan zur Umsetzung Veröffentlichung Inkrafttreten der NIS RL Ende 2016 Erster Entwurf des Cyber- Sicherheitsgesetz Ende Umsetzungsfrist der NIS RL Anwendbarkeit der DSGVO : Ende der Umsetzungsfrist : Ermittlung der Betreiber wesentlicher Dienste

16 2. Rechtliche Vorgaben im Informationssicherheitsbereich

17 2. Rechtliche Vorgaben im Informationssicherheitsbereich Relevante Gesetze für den Informationssicherheitsbereich Geschäftsführerhaftung (UGB, GmbHG) Arbeitsrecht (ArbVG, AVRAG, ABGB) Verbandsverantwortlichkeitsgesetz (VbVG) Datenschutzgesetz: Datensicherheit ( 14 DSG) Data Breach Notification Duty ( 24 Abs.2a DSG 2000)

18 2. Rechtliche Vorgaben im Informationssicherheitsbereich Datenschutz und Informationssicherheit Informationssicherheit Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen Schutz jeglicher Informationen Informationssicherheit Datensicherheit Datensicherheit Auftraggeber und Dienstleister sind verpflichtet Maßnahmen zur Gewährleistung der Datensicherheit zu treffen Anforderungen an den Datenschutz laut DSG und jene an Informationssicherheit oftmals deckungsgleich

19 2. Rechtliche Vorgaben im Informationssicherheitsbereich Der Begriff der Informationssicherheit Ziele der Informationssicherheit 1. Verfügbarkeit der Informationen ( Schutz vor Zerstörung) 2. Integrität ( Verhinderung von nicht ordnungsgemäßer Verwendung) 3. Vertraulichkeit ( Verhinderung der Zugänglichkeit für Unbefugte)

20 3. EU-Datenschutz Grundverordnung (DSGVO)

21 3. EU-Datenschutz-Grundverordnung Neuerungen durch die EU-Datenschutz-Grundverordnung Countdown 2018 ab unmittelbar anwendbar Öffnungsklauseln nationale Umsetzung Schutz vor astronomische Geldbußen Risiko für Unternehmen und Manager

22 3. EU-Datenschutz-Grundverordnung 10 wichtigsten Punkte 1. Rechte auf Vergessen, Datenportabilität und Zugang 2. Klare Einwilligung als Eckpfeiler 3. Informationsrechte und Transparenz 4. Strenge Regeln für Datentransfers in Drittstaaten 5. Zukunftstaugliche Definitionen 6. Harte Sanktionen von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens bei Verstößen 7. Datenschutzkonforme Technikgestaltung: Privacy by Design und by Default 8. Weniger Bürokratie 9. Einheitliche Rechtsdurchsetzung 10. Feste Ansprechpartner für Datenverarbeiter in ganz Europa

23 3. EU-Datenschutz-Grundverordnung Maßnahmen zur Umsetzung Vorbereitungszeit nutzen Entscheidungsträger und Schlüsselpersonen in Kenntnis setzen, betroffene Unternehmensbereiche identifizieren (zb Compliance) Istzustand prüfen Welche Daten von Kunden (Profiling), Mitarbeitern und Geschäftspartnern werden aktuell verarbeitet u.o in ein Drittland übertragen? Strategieplan erstellen Personelle Änderungen (Bestellen Datenschutzbeauftragter), Ablaufplan für Datenschutzfolgeabschätzung und bei Datenschutzvorfall (Art. 33 DSGVO) Betroffenenrechte konkretisieren Recht auf Vergessenwerden, Einschränkung der Verarbeitung und auf Datenübertragbarkeit (Anpassung ABG, Datenschutzerklärung, Umgang mit Löschungsanträgen)

24 3. EU-Datenschutz-Grundverordnung Maßnahmen zur Umsetzung Risiko- und Projektmanagement wird eine Datenschutzfolgeabschätzung (Art. 35 DSGVO) bei Anwendung neuer Technologien (z.b. Profiling mit Einsatz von Web-Tools, die Kundenverhalten auswerten) notwendig? One-stop-shop und Sanktionen Zuständig für Unternehmen wird hauptsächlich die federführende Aufsichtsbehörde am Sitz der Hauptniederlassung sein, bei Verletzungen der Pflichten können Geldbußen von bis zu zehn Mio. Euro bzw. vier Prozent des weltweit erzielten Jahresumsatzes verhängt werden (Art. 83 DSGVO). Risiko Datenverarbeitung in multinationalen Unternehmen Im Erwägungsgrund 150 der DSGVO wird der Unternehmensbegriff im Sinne des europäischen Kartellrechts verstanden. Abzuwarten bleibt ob die Aufsichtsbehörden die Bußgelder am weltweiten Konzernumsatz bemessen oder eine Beurteilung anhand der Unternehmensstruktur vornehmen werden. SCHULUNG!

25 Danke für Ihre Aufmerksamkeit! Mag. Andreas Schütz, LL.M. Partner, Taylor Wessing Wien IP/IT, Head of Data Protection CEE