Karsten U. Bartels LL.M. 5. DFN-Konferenz Datenschutz, Hamburg //

Größe: px

Ab Seite anzeigen:

Download "Karsten U. Bartels LL.M. 5. DFN-Konferenz Datenschutz, Hamburg //"

Jobst Bauer
vor 5 Jahren
Abrufe

1 IT-Sicherheitsrecht für Anbieter von Telemedien Neue Anforderungen des Telemediengesetzes und der Datenschutzgrundverordnung sowie Auswirkungen der NIS-Richtlinie Karsten U. Bartels LL.M. 5. DFN-Konferenz Datenschutz, Hamburg //

2 Karsten U. Bartels LL.M. Partner, Rechtsanwalt Vorstand TeleTrusT Bundesverband IT-Sicherheit e. V. Stellv. Vorsitzender Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein e. V. Sachverständiger für IT-Produkte beim ULD S-H (rechtlich) Zert. Datenschutzbeauftragter (TÜV) Geschäftsführer HK2 Comtection GmbH

3 1 Gesetze und Adressaten 2 IT-Sicherheitsmaßnahmen 3 Stand der Technik + Angemessenheit 4 Dokumentation + Nachweis 5 Umsetzung intern + extern

4 Rechtsquellen NIS-Richtlinie (EU) Datenschutzgesetze (DE) DSGVO (EU) IT-Sicherheitsgesetz (DE) IT- Sicherheit untergesetzliche Normen und Standards

5 IT-Sicherheitsgesetz (ITSiG) BSIG Art. 1 AtomG Art. 2 EnWiG Art. 3 TMG Art. 4 TKG Art. 5 Art. 6-10

6 KRITIS-Sektoren, 2 Absatz 10 BSIG

7 BSIG Art. 1 AtomG Art. 2 EnWiG Art. 3 TMG Art. 4 TKG Art. 5 Art KRITIS, 2 (VO, 10) Meldepflicht 44b BSI-Katalog: Überprüfungen, Verbindlichkeit 11 TOV, 13 SdT zu berücksicht. VDS bei Angriffen 100 BBesG Auslandskooperation, 3 Bes. Anf. an Schutz von TK und DV 1b TOV f. Netzbetreiber nun nach SdT 109 BKAG: Daten- Delikte erw. Warnungen, 7 Meldepflicht (Schutz gg. Offenbarung) 1c Prüfung Umsetzung Si.Konzept durch BNetzA BSIG Untersuchung von Produkten/ Systemen, 7a Meldepflicht an BNetzA und Info- Weitergabe Geb.R. KRITIS: TOV, SdT (Soll), Branchenstandards, Nachweis, 8a Info der Dienstanbieter an Nutzer 109a IV Inkraft Zentrale Melde-/Stelle für KRITIS, 3, 8b Ausnahmen Kleinst.Unt. und 8a,b für gereg. Bereiche, 8c IT-Sicherheitsgesetz (ITSiG) Lim. Auskunftsverlangen, 8d

8 BSIG Art. 1 AtomG Art. 2 EnWiG Art. 3 TMG Art. 4 TKG Art. 5 Art KRITIS, 2 (VO, 10) Meldepflicht 44b BSI-Katalog: Überprüfungen, Verbindlichkeit Abs. 7 TMG TOV, SdT zu berücksicht. VDS bei Angriffen 100 BBesG Auslandskooperation, 3 Bes. Anf. an Schutz von TK und DV 1b TOV f. Netzbetreiber nun nach SdT 109 BKAG: Daten- Delikte erw. Warnungen, 7 Meldepflicht (Schutz gg. Offenbarung) 1c Prüfung Umsetzung Si.Konzept durch BNetzA BSIG Untersuchung von Produkten/ Systemen, 7a Meldepflicht an BNetzA und Info- Weitergabe Geb.R. KRITIS: TOV, SdT (Soll), Branchenstandards, Nachweis, 8a Info der Dienstanbieter an Nutzer 109a IV Inkraft Zentrale Melde-/Stelle für KRITIS, 3, 8b Ausnahmen Kleinst.Unt. und 8a,b für gereg. Bereiche, 8c IT-Sicherheitsgesetz (ITSiG) Lim. Auskunftsverlangen, 8d

9 13 Abs. 7 Telemediengesetz (TMG) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Telemedien/ -diensteanbieter 1 Abs. 1 TMG: elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste 2 Ziff.

10 Telemedien/ -diensteanbieter 1 Abs. 1 TMG: elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste 2 Ziff. 1 TMG: jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt geschäftsmäßig und im Rahmen ihrer jeweiligen Verantwortlichkeit i. S. v. 13 Abs. 7 TMG

11 13 Abs. 7 TMG: Sicherung der technischen Einrichtungen der Telemedienangebote gegen unerlaubte Zugriffe Verletzung des Schutzes personenbezogener Daten Störungen, auch durch äußere Angriffe Technische und organisatorische Vorkehrungen (TOV) Stand der Technik

12 13 Abs. 7 TMG: Sicherung der technischen Einrichtungen der Telemedienangebote gegen unerlaubte Zugriffe Verletzung des Schutzes personenbezogener Daten Störungen, auch durch äußere Angriffe Technische und organisatorische Vorkehrungen (TOV) Stand der Technik technisch möglich berücksichtigen wirtschaftlich zumutbar

13 13 Abs. 7 TMG: Sicherung der technischen Einrichtungen der Telemedienangebote gegen unerlaubte Zugriffe Verletzung des Schutzes personenbezogener Daten Störungen, auch durch äußere Angriffe Technische und organisatorische Vorkehrungen (TOV) Limitierte Schutzbedarfsanalyse Stand der Technik technisch möglich berücksichtigen wirtschaftlich zumutbar Dokumentation

14 Begründung zu 8a BSIG: Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt.

15 Stand von Wissenschaft und Forschung Stand der Technik Anerkannte Regeln der Technik

16 Ermittlung des Stands der Technik innerhalb/ außerhalb der Branche national/ international Bewertung/ Messung Ermittlungsanforderungen gelten auch i. R. v. 8a Abs. 2 BSIG Beratung Arbeitshilfen Dokumentation Nachweis

17 BSI Empfehlung für Internet-Dienstleister Absicherung von Telemediendiensten nach dem Stand der Technik vom Stellungnahme TeleTrusT Bundesverband IT-Sicherheit e. V. vom zum Diskussionspapier (07/2016)

18 Handreichung zum "Stand der Technik des TeleTrusT Bundesverband IT- Sicherheit e. V. Arbeitskreis Stand der Technik ht/stand-der-technik/

19 EU NIS-Richtlinie network and information security directive

NIS Richtlinie 2016/1148 Kap. V, Art. 16 ff. In Kraft seit 08.08.2016 Umsetzung bis 09.05.

Dienste (Anhang III) Online-Markplätze Suchmaschinen Cloud-Services Meldepflicht an zust.

20 NIS Richtlinie 2016/1148 Kap. V, Art. 16 ff. In Kraft seit Umsetzung bis Adressat Juristische Personen + Entgeltlichkeit Keine Kleinst-/ Kleinunternehmer Anbieter digitaler Dienste (Anhang III) Online-Markplätze Suchmaschinen Cloud-Services Meldepflicht an zust. Behörde oder CSIRT TOM Berücksichtigen Stand der Technik Business Continuity Management, Notfall- Konzept, Einhaltung internationaler Normen

21 EU Datenschutz-Grundverordnung (DSGVO)

22 Art. 32 Abs. 1-3 DSGVO Sicherheit der Verarbeitung Gewährleistung eines dem Risiko angemessenen Schutzniveaus Kompromittierungsrisiko Geeignete technische und organisatorische Maßnahmen (TOM) berücksichtigen Eintrittswahrscheinlichkeit und Schwere des Risikos einer Rechtsverletzung (Schutzbedarfsanalyse) Art, Umfang, Umstände, Zweck der Verarbeitung Stand der Technik Katalogmaßnahmen Implementierungskosten Rechenschaftspflicht Art. 5 Abs. 2 Nachweis durch genehm. Verhaltensregeln oder Zertifizierungsverfahren

23 Folgen von Verstößen gegen Art. 32 DSGVO Bußgeld gemäß Art. 83 Abs. 4 lit. b Höhe bis: 10 Mio. Euro bzw. 2% des weltweiten Vorjahresumsatzes

24 Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen wie z. B. Pseudonymisierung trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen

25 Nationaler IT-Gipfel 2016 Plattform Verbraucherpolitik in der digitalen Welt Fokusgruppe Privacy by Design/Datenschutz durch Technik Thesenpapier zu Privacy by Design vom Download via BMJV

26 Umsetzung

27 Umsetzung intern: Differenzanalyse SOLL IST Datenschutz- und IT-Sicherheitskonzepte anpassen konsolidierte Planung und Umsetzung Dokumentation Schulung IT-Sicherheit und Datenschutz als Leitungsaufgabe

28 Umsetzung extern: Anpassung von Verträgen mit IT-Sicherheitsbezug Aus ADV wird AV GVO-konforme A(D)V-Vereinbarungen schließen/ anpassen Support-Verträge inkl. Verträge Ausschreibungen anpassen Produktbeschreibungen + Technische Feinspezifikationen Lasten-/ Pflichtenhefte, SLA Vertragsanlagen IT-Sicherheit oder Datenschutz Umsetzung prüfen

29 Sicherungsklauseln Konkrete Verpflichtung auf den Stand der Technik Kontrolle durch: Information Dokumentation Offenlegung/ Zugang Zugriff Audit Anpassung während der Laufzeit Absicherung durch Vertragsstrafen, Schadenspauschalen etc. Geheimhaltungsklauseln No-Spy-Klauseln

30 Outsourcen Achtung: Wenn personenbezogene Daten betroffen sind, gilt 13 Abs. 7 S. 1 Nr. 2a TMG Aber: Pflichten aus 11 BDSG Lösung: Abschluss einer modifizierten ADV-Vereinbarung

31 Haben Sie Fragen? hk2.eu/newsletter

Ähnliche Dokumente

IT-Sicherheitsrechtstag 2017

IT-Sicherheitsrechtstag 2017 Gemeinsame Veranstaltung von TeleTrusT und BvD Berlin, 07.11.2017 Implementierung gesetzlicher IT-Sicherheitsmaßnahmen nach DSGVO und IT-Sicherheitsgesetz RA Karsten U. Bartels