IT Sicherheit Rechtlicher Rahmen und Risikomanagement. bayme vbm / TÜV Süd IT-Sicherheit ist Chefsache 6. Dezember 2016, München

Transkript

1 Berlin Düsseldorf Frankfurt/Main Hamburg München IT Sicherheit Rechtlicher Rahmen und Risikomanagement bayme vbm / TÜV Süd IT-Sicherheit ist Chefsache 6. Dezember 2016, München Dr. Matthias Orthwein, LL.M. (Boston)

2 Berlin Düsseldorf Frankfurt/Main Hamburg München SKW Schwarz auf einen Blick Hamburg Berlin 120 Anwälte 16 Geschäftsbereiche 5 Standorte 1 Kanzlei Düsseldorf Frankfurt am Main München

3 Berlin Düsseldorf Frankfurt/Main Hamburg München Awards Kanzlei des Jahres 2016 für Medien & Technologie 2016 JUVE Awards Top-Wirtschaftskanzleien im Fachbereich Informationstechnologie und Telekommunikation FOCUS SPEZIAL Top-Anwälte 2016 JUVE Kanzlei des Jahres 2011 für IT- Recht Top Tier für Medien & Entertainment sowie IT-Recht Listed in WHO S WHO LEGAL 2011 JUVE Awards 2016 THE LEGAL 500 Deutschland 2016 Germany, TMT Auf den Feldern IT, Internet und E-Business ist die Sozietät ( ) hoch gelobt Law firm of the Year for Media 2016 Best Lawyers Linking Lawyers and Clients worldwide

4 Berlin Düsseldorf Frankfurt/Main Hamburg München 3 IT Sicherheit im geltenden deutschen Recht 2 Abs. 2 BSIG: Sicherheit in der Informationstechnik bedeutet die Einhaltung bestimmter Sicherheitsstandards IT-Standards füllen unbestimmte Rechtsbegriffe aus Standards legen Methoden zur Ermittlung des aktuellen Stands der Technik für IT-Sicherheitsmaßnahmen fest IT-Sicherheitsgesetz IT-Security als Element von Corporate Governance-Strukturen und Bestandteil des gesetzlich geforderten Risikomanagements Gesetzliche Forderungen nach IT-Security ergeben sich auch aus: Sorgfaltspflichten der Geschäftsführung ( 93 Abs. 1 AktG, 43 Abs. 1 GmbHG) Vertraglichen Pflichten Buchführungsanforderungen ( 239, 261 HGB und GoBD) Datenschutz / Datensicherheit ( 9 BDSG i.v.m. Anlage)

5 Berlin Düsseldorf Frankfurt/Main Hamburg München 4 Überblick über die Vorschriften der EU-DSGVO Kapitel 10 / 11: Delegierte Rechtsakte, Schlussbestimmungen Kapitel 1: Allgemeine Bestimmungen Kapitel 2: Grundsätze Kapitel 9: Vorschriften für besondere Verarbeitungen Struktur der EU-DSGVO Kapitel 3: Betroffenenrechte Kapitel 8: Sanktionen, Haftung und Rechtsbehelfe Kapitel 4: Verantwortlicher und Auftragsverarbeiter Kapitel 6 / 7: Aufsichtsbehörden Kapitel 5: Übermittlungen in Drittländer

6 Berlin Düsseldorf Frankfurt/Main Hamburg München 5 EU-Datenschutzgrundverordnung EU-DSGVO 2018 Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) trat nach langen Verhandlungen nunmehr am 25. Mai 2016 in Kraft. Bis zur unmittelbaren Gültigkeit gibt es eine 2-jährige Übergangszeit, sodass die Verordnung am / ab dem 25. Mai 2018 unmittelbar geltendes und anzuwendendes Recht ist. Das derzeitige BDSG wird in der jetzigen Form keinen Bestand mehr haben. Allerdings gibt es zahlreiche sog. Öffnungsklauseln, bei denen der nationale Gesetzgeber die Pflicht oder aber die Möglichkeit hat, bestimmte Fälle zu konkretisieren oder auszugestalten. Derzeit wird an einem sogenannten Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (aktueller Entwurf vom liegt vor) gearbeitet, in dem ggf. einzelne für uns relevante Regelungen (wie z.b. 32 BDSG) erhalten bleiben. Insbesondere im Hinblick auf die Rechte der betroffenen Verbraucher (Arbeitnehmer und Kunden) und den Vorschriften zur Auftragsdatenverarbeitung liegt eine Verschärfung gegenüber den BDSG-Regelungen vor.

7 Berlin Düsseldorf Frankfurt/Main Hamburg München 6 1 Privacy by Design

8 Berlin Düsseldorf Frankfurt/Main Hamburg München 7 Privacy by Design - Ziele Schutz personenbezogener Daten so früh wie möglich in IT-Lösungen berücksichtigen Konzeption und Entwicklung muss sich bereits am Datenschutz ausrichten Voreinstellungen in Systemen sollen Datenschutz berücksichtigen Nur Verfahren einsetzen, die sicherstellen, dass ausschließlich solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden Nur Daten erheben, die für spezifische Zwecke der Verarbeitung benötigt werden Nicht mehr Daten zusammentragen und vorhalten, als unbedingt zur Zweckerreichung notwendig Speicherung nur solange wie für Zweckerfüllung notwendig Daten dürfen nur von Personen eingesehen werden, welche diese für die Zweckerreichung benötigen

9 Berlin Düsseldorf Frankfurt/Main Hamburg München 8 Privacy by Design - Umsetzung Bei der Entwicklung neuer Produkte muss Datenschutz Teil des Pflichten- /Lastenheftes werden Nicht nur fachliche Anforderungen an das zu entwickelnde Verfahren, Sondern auch Forderung nach sparsamer Datenerfassung und Datenspeicherung, intelligente Löschfunktionen, sicherer Zugangsschutz und ein ausgefeiltes Berechtigungssystem Beispiel Verschlüsselung Verfahren muss zunächst integrierte Verschlüsselungsfunktionen bieten oder diese müssen einfach integrierbar sein Darüber hinaus sollte Verschlüsselungsfunktion so voreingestellt sein, dass die einzelnen Nutzer möglichst automatisch personenbezogene Daten nur verschlüsselt speichern oder weiterleiten

10 Berlin Düsseldorf Frankfurt/Main Hamburg München 9 2 Meldepflicht bei Datenleck

11 Berlin Düsseldorf Frankfurt/Main Hamburg München 10 Datenlecks müssen gemeldet werden BDSG 43 BDSG Dritte erlangen illegal Kenntnis von u.a.: besonderen Daten (Krankenakte etc.) Berufsgeheimnis Bank-/Kreditkartenkonten Betroffene und Behörde unverzüglich (Praxis: ca. 48 Stunden) zu informieren Behörde auch über Gegenmaßnahmen und Ursachen zu informieren Wenn Betroffeneninformation unverhältnismäßig: öffentliche Bekanntmachung über Tageszeitung 15a TMG Gilt auch für Bestands-/Nutzungsdaten der Internet Dienstleister mit hohem Risiko für Nutzer DS-GVO Art. 33 DS-GVO Meldepflicht bei Aufsichtsbehörden über Verletzungen des Schutzes aller personenbezogenen Daten Es sei denn, Risiken für Betroffene ausgeschlossen Meldepflicht innerhalb 72 Stunden mit konkreten Informationen Zusätzlich Dokumentation der Vorfälle und Gegenmaßnahmen für die Behörde Art. 34 DS-GVO Droht hohes Risiko für die Rechte und Freiheiten natürlicher Personen (z.b. finanzielle und gesellschaftliche Schäden, Identitätsklau oder Berufsgeheimnis) Betroffene Person unverzüglich informieren, sofern kein technischer Schutz vor Risiken Anordnung: öffentliche Bekanntmachung

12 Berlin Düsseldorf Frankfurt/Main Hamburg München 11 3 Technisch Organisatorische Sicherheit

13 Berlin Düsseldorf Frankfurt/Main Hamburg München 12 Technisch Organisatorische IT Sicherheit Verantwortliche Stelle und Auftragsverarbeiter stellen durch technische und organisatorische Maßnahmen angemessenes Schutzniveau sicher (Art. 32 DS-GVO) z.b. durch Pseudonymisierung/Verschlüsselung Gewährleistung IT Sicherheit und Desaster Recovery (IT Notfallplan) Zertifizierung genügt als Nachweis Eigene Haftung des Auftragsverarbeiters statt Gesetzgeberromantik Beispiel Konsequenzen eines nicht funktionierenden Notfallkonzepts Haftung des Unternehmens: fehlendes Notfallkonzept kann Mitverschulden und damit Wegfall von Schadenersatz begründen Haftung der Unternehmensleitung: IT-Notfallkonzept ist wesentliche Geschäftsführerpflicht nur die Ausführung, nicht die Verantwortung kann delegiert werden Aufsichtsmaßnahmen: z.b. durch BaFin oder BNetzAg Höhere Refinanzierungskosten: IT-Risiken sind zentrale operationelle Risiken, unzureichende Absicherung verschlechtern Basel II-Rating Verlust von Versicherungsschutz: Unternehmen muss Versicherung über Risiken aus IT- Einsatz informieren, fehlendes Notfallkonzept kann zu Schutzwegfall aus Mitverschulden führen

14 Berlin Düsseldorf Frankfurt/Main Hamburg München 13 4 Haftung / Bußgelder

15 Berlin Düsseldorf Frankfurt/Main Hamburg München 14 Verschärfung der Bußgeldvorschriften BDSG 43 BDSG: Die Ordnungswidrigkeit kann im Fall des Abs. 1 mit einer Geldbuße bis Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu Euro geahndet werden Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. DS-GVO Art. 83 DS-GVO allg. Kriterien, Art. 79 Abs. 1 und 2 bis 10 Mio. Euro oder 2% des Jahresumsatzes (je nachdem was höher ist) bis 20 Mio. Euro oder 4% Jahresumsatz (je nachdem was höher ist) bei Verstoß gegen Zuverlässigkeit und Rechte der Betroffenen bei Verstoß gegen Anordnungen der Aufsichtsbehörde Pflicht zur Regelung von Sanktionen durch Mitgliedstaat

16 Berlin Düsseldorf Frankfurt/Main Hamburg München 15 5 Management Summary

17 Berlin Düsseldorf Frankfurt/Main Hamburg München 16 Management Summary Auf Unternehmen kommt zum Teil ein erheblicher Anpassungsbedarf zu Die Uhr tickt Wichtige Punkte Jetzt handeln Auftragsverarbeitung als Auftragnehmer und Auftraggeber Datenschutzfolgeabschätzung Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Erhöhter Bußgeldrahmen und Haftungsverschärfung Meldungen von Datenschutzverstößen Datenschutzbeauftragter Recht auf Vergessenwerden Weiteres Vorgehen unverzüglich Projekt aufsetzen Kick-off Meeting Schwachstellenanalyse Umsetzungsphase

18 Berlin Düsseldorf Frankfurt/Main Hamburg München Ansprechpartner Dr. Matthias Orthwein LL.M. (Boston), Partner SKW Schwarz Rechtsanwälte Wittelsbacherplatz München Kontakt T F E m.orthwein@skwschwarz.de Tätigkeitsbereiche IT-Recht & Digital Business Sprachen Englisch, Französisch Follow me on 2016 Dr. M. Orthwein Inhalte der Folien stellen keine Rechtsberatung dar, Vervielfältigung, Verbreitung, Übernahme (auch auszugsweise) nur mit schriftlicher Einwilligung des Autors und zu eigenen Zwecken Empfohlene Rechtsanwälte für IT und Outsourcing: fundiertes Wissen und Verhandlungsgeschick in IT-Prozessen Legal 500 Deutschland, 2016 /2017

19 Berlin Düsseldorf Frankfurt/Main Hamburg München