Aktuelle Gesetzgebung zu Datenschutz und IT- Sicherheit in Deutschland und Europa

Transkript

1 März 2017 Gewerblicher Rechtsschutz und Informationstechnologie Aktuelle Gesetzgebung zu Datenschutz und IT- Sicherheit in Deutschland und Europa Dr. Thomas Nägele, Dr. Simon Apel und Alexander Stolz, LL.M. Die vergangenen Monate haben im Datenschutzrecht zahlreiche gravierende Neuerungen gebracht, die weitreichende Auswirkungen auf Firmen in Deutschland, Europa und den USA haben: Das Europäische Parlament und der Rat der Europäischen Union haben auf Vorschlag der Kommission am die neue Datenschutzgrundverordnung (Verordnung 2016/679/EU, "DSGVO") erlassen, die die Richtlinie 95/46/EG ersetzt und die ab dem unmittelbar in der gesamten EU und somit auch in Deutschland Anwendung finden wird. Zur Anpassung des inländischen Datenschutzrechts an die DSGVO hat die Bundesregierung am einen vom Bundesminister des Inneren vorgelegten Gesetzentwurf (Datenschutz-Anpassungsund Umsetzungsgesetz EU) beschlossen, der als Kernstück eine Neukonzeption des Bundesdatenschutzgesetzes ("BDSG") vorsieht. Zudem hat die Europäische Kommission gemeinsam mit dem US- Handelsministerium (Department of Commerce, "DOC") ein "EU-US Privacy Shield", also ein EU-US Datenschutzschild, entwickelt, um das vom Europäischen Gerichtshof (EuGH) in 2015 für ungültig erklärte Safe-Harbour-Abkommen zu ersetzen. Auch auf dem Gebiet des IT-Sicherheitsrechts sind Neuerungen zu verzeichnen. Am 6. Juli 2016 wurde die Richtlinie 2016/1148/EU über "Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" ("NIS- Richtlinie") erlassen, zu deren Umsetzung das Bundeskabinett am einen Gesetzentwurf beschlossen hat. Nachfolgend geben wir einen kurzen Überblick zu ausgewählten und für die Praxis besonders

2 - 2 - wichtigen Gesichtspunkten der vorgenannten Neuerungen. I. Die DSGVO Neues Datenschutzrecht für die gesamte Europäische Union 1. Hintergrund der DSGVO Die DSGVO stellt die Wirtschaft vor erhebliche Herausforderungen, da sämtliche internen Vorgänge, die die Verarbeitung von personenbezogenen Daten betreffen, angesichts der neuen Rechtslage überprüft und gegebenenfalls an diese angepasst werden müssen: Mit der DSGVO, die am unmittelbar in Deutschland und den anderen EU-Mitgliedsstaaten verbindlich werden wird, wird der Datenschutz für die gesamte EU im Grundsatz einheitlich geregelt. Als EU-Verordnung gilt die DSGVO unmittelbar und bedarf keines Umsetzungsaktes durch den nationalen Gesetzgeber mehr. Sie wird daher das heutige deutsche BDSG weitgehend ersetzen. Die DSGVO beinhaltet jedoch an zahlreichen Stellen sog. "Öffnungsklauseln", die den Mitgliedstaaten abweichende Regelungen zu einzelnen Punkten erlauben. Der deutsche Gesetzgeber hat von einigen dieser Öffnungsklauseln Gebrauch gemacht und am einen Gesetzentwurf zur Anpassung des Datenschutzrechtes an die DSGVO beschlossen (dazu sogleich unter 5.) Ziel der DSGVO ist eine Verbesserung des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen. Um dies zu erreichen, werden Betroffenenrechte gestärkt, Unternehmen neue Pflichten auferlegt und Verfahrensregelungen vereinfacht. 2. Regelungsschwerpunkt: Stärkung der Betroffenenrechte Die DSGVO enthält zahlreiche Regelungen zur Stärkung der Rechte von natürlichen Personen, die von Datenverarbeitung betroffen werden. Wesentlich erweitert bzw. neu sind dabei insbesondere das sog. "Recht auf Vergessenwerden", also ein Anspruch auf Datenlöschung (Art. 17 DSGVO), weitreichende Auskunftsansprüche (Art. 15 DSGVO) sowie das gänzlich neue Recht auf Daten- Portabilität (Art. 20 DSGVO). Verkürzt gesprochen, kann der Betroffene von einer verantwortlichen Stelle seine dieser überlassenen personenbezogenen Daten in maschinenlesbarer Form herausverlangen, um sie zu einer anderen verantwortlichen Stelle "mitzunehmen". Die technische Umsetzbarkeit dieses Rechts ist derzeit noch völlig offen. Weiterhin werden die Anforderungen für die Wirksamkeit datenschutzrechtlicher Einwilligungen erhöht (insbesondere Art. 6 8 DSGVO); so ist etwa eine Einwilligung, die durch die betroffene Person gegenüber einer verantwortlichen Stelle erteilt wird, unwirksam, wenn zwischen diesen beiden Parteien ein "klares Ungleichgewicht" zu Lasten der betroffenen Person besteht. Es ist noch völlig unklar, wie dieser Unwirksamkeitsgrund in der Praxis angewendet werden wird. Denn zwischen großen Unternehmen, die eine begehrte Leistung für Verbraucher offerieren, und dem jeweiligen Verbraucher dürfte fak-

3 - 3 - tisch stets ein "klares Ungleichgewicht" bestehen. Flankiert werden diese neuen Betroffenenrechte durch die für das Datenschutzrecht neue prozessuale Möglichkeit einer Verbandsklage. Gemäß Art. 80 DSGVO kann ein Betroffener eine gemeinnützige Organisation (bspw. Verbraucherverbände) beauftragen, seine Schadensersatzansprüche, Auskunftsansprüche und Löschansprüche gegenüber Gerichten und Behörden geltend zu machen. Unternehmen sollten sich daher ihrer datenschutzrechtlichen Verpflichtungen bewusst sein und diese einhalten, da verstärkt mit Verbandsklagen zu rechnen ist. 3. Regelungsschwerpunkt: Neue Pflichten für Unternehmen und wesentlich erhöhte Geldbußen Ferner bringt die DSGVO neue Pflichten für Unternehmen mit sich. Insbesondere müssen diese nach Art. 37 Abs. 1 lit. b, c DSGVO einen Datenschutzbeauftragten bestellen, wenn die "Kerntätigkeit" des jeweiligen Unternehmens entweder (i) die "umfangreiche und systematische Überwachung von betroffenen Personen erforderlich macht" oder (ii) "in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten" z.b. Gesundheitsdaten, Daten über die ethnische Herkunft etc. (Art. 9 DSGVO) besteht. Um die Unternehmen zu einer sorgfältigen Datenschutz-Compliance anzuhalten, wurde zugleich die Höhe für mögliche Geldbußen wegen Datenschutzverstößen empfindlich angehoben. Statt wie bisher im Regelfall maximal (in Deutschland) EUR ,- ( 43 Abs. 3 S. 1 BDSG) können die zuständigen Datenschutzbehörden je nach Verstoß künftig bis zu EUR 20 Mio. bzw., falls das betroffene Unternehmen im jeweils letzten Geschäftsjahr einen weltweiten Gesamtumsatz von mehr als EUR 500 Mio. erzielt hat, sogar über EUR 20 Mio. verhängen. Denn in diesem Fall greift als Bußgeldbemessungsgrenze je nach Verstoß ein prozentualer Anteil am weltweiten Gesamtumsatz von 2% bzw. 4% (Art. 83 DSGVO). Dies wird weiter dadurch verschärft, dass der heranzuziehende Umsatz sich nach derzeit herrschender Meinung nicht auf den Umsatz des betroffenen Unternehmens, sondern entsprechend den kartellrechtlichen Bußgeldbemessungskriterien auf den Konzernumsatz (!) bezieht. Man wird abwarten müssen, wie die Datenschutzbehörden mit diesen neuen Bußgeldsätzen verfahren werden. Das kommerzielle Risiko, das durch Datenschutzverletzungen für ein Unternehmen entsteht, wird mit dem Wirksamwerden der DSGVO jedenfalls deutlich ansteigen. 4. Regelungsschwerpunkt: Vereinfachte Verfahren Auch in verfahrensrechtlicher Hinsicht bringt die DSGVO einige Neuerungen mit sich. So soll die Einheitlichkeit der Rechtsanwendung durch die Datenschutzbehörden der Länder durch ein aufwändiges sog. "Kohärenzverfahren" gewährleistet werden (Art. 60 ff. DSGVO). Ob sich dieses komplizierte System in der Praxis bewähren und für mehr Rechtssicherheit sorgen wird, bleibt abzuwarten. Ferner soll durch Einführung des sog. "onestop-shop"-prinzips künftig im Grundsatz in der EU nur noch die Datenschutzbehörde desjenigen Mitgliedsstaates für ein Unter-

4 - 4 - nehmen zuständig sein, an dem dieses seinen Hauptverwaltungssitz hat (Art. 56 DSGVO). Dieser Grundsatz wird aber durch Ausnahmen durchbrochen, sodass abzuwarten ist, inwieweit in der Praxis tatsächlich eine Zuständigkeitskonzentration eintritt. Gemäß des in Art. 3 Abs. 2 DSGVO geregelten Marktortprinzips weitet sich der Anwendungsbereich der DSGVO faktisch über das Gebiet der EU aus: Denn unabhängig vom tatsächlichen Sitzland eines Datenverarbeiters unterliegt dieser der DSGVO, wenn die Datenverarbeitung in Zusammenhang mit (i) dem Angebot von Waren oder Dienstleistungen an betroffene Personen innerhalb der EU oder (ii) dem Beobachten des Verhaltens von Personen innerhalb der Union erfolgt. 5. Gesetzentwurf zur Anpassung des Datenschutzrechts an die DSGVO Die Bundesregierung hat am einen dritten (!) Gesetzentwurf zur Anpassung des inländischen Datenschutzrechtes an die DSGVO ("BDSG-E") beschlossen 1, nachdem die vorherigen Entwürfe des Ausführungsgesetztes aufgrund harscher Kritik bereits früh zurückgezogen worden waren. Kernstück des Datenschutz-Anpassungsund Umsetzungsgesetzes EU so die umständliche Bezeichnung des BDSG-E ist 1 Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/679 Datenschutz- Anpassungs- und Umsetzungsgesetz EU ; einsehbar unter tzestexte/entwuerfe/entwurf-datenschutzgrundverordnung.pdf? blob=publicationfile. eine Neukonzeption des BDSG. Dieses soll die ab dem unmittelbar geltende DSGVO ergänzen und durch die DSGVO geforderte Anpassungen des nationalen Datenschutzrechts umsetzen. Ein Schwerpunkt liegt hierbei auf der Ausnutzung der bereits erwähnten Öffnungsklauseln der DSGVO, die den nationalen Gesetzgebern Spielräume eröffnet: Einige Regelungen, wie beispielsweise zum Beschäftigtendatenschutz ( 24 BDSG-E) oder Scoring ( 31 BDSG-E) sind weitgehend aus dem BDSG übernommen. Für diese bestehen gute Aussichten, dass sie von den Öffnungsklauseln der DSGVO gedeckt sind. Gleiches gilt für die im Vergleich zur DSGVO weitreichenderen Regelungen zur Bestellpflicht eines Datenschutzbeauftragten, die der Entwurf in 38 BDSG-E vorsieht. Der Gesetzgeber macht damit von der der Öffnungsklausel aus Art. 37 Abs. 4 S HS DSGVO Gebrauch, um die nach geltender Rechtslage bestehenden Verpflichtungen zur Bestellung eines Datenschutzbeauftragten zu erhalten. Die Regeln zu Stellung und Aufgaben des Datenschutzbeauftragten nach Art. 38 f. DSGVO werden vom Entwurf hingegen nicht berührt. Sie gelten unmittelbar und abschließend, auch ohne Umsetzung im BDSG-E. Weiter sieht der BDSG-E einige neue Regelungen vor, die Betroffenenrechte einschränken. So sieht etwa 32 BDSG-E unter bestimmten Voraussetzungen eine Einschränkung der Informationspflichten von Unternehmen bei einer zweckändernden Weiterverarbeitung von Daten vor. Ob ein solcher Eingriff in die Betroffenenrechte beispielsweise bei unverhältnismäßigem Aufwand

5 - 5 - der Verbraucherinformation für ein Unternehmen ( 32 Abs. 1 Nr. 1 BDSG-E) mit Unionsrecht vereinbar ist, darf zumindest bezweifelt werden. Denn die DSGVO lässt kaum Spielraum für die Beschränkung von Betroffenenrechten ( 23 DSGVO). Der BDSG-E ist daher, wie schon die beiden Vorgänger, bereits kurz nach Veröffentlichung starker Kritik ausgesetzt. Ob er in seiner derzeitigen Fassung Gesetz werden wird, ist daher zum jetzigen Zeitpunkt noch ungewiss. Es ist zu erwarten, dass es noch Änderungen im laufenden Gesetzgebungsverfahren geben wird. Ob und mit welchem Inhalt der Bundestag das neue BDSG noch vor der Bundestagswahl im Herbst verabschieden wird, ist somit unklar. Kommt es nicht mehr zu einer Verabschiedung, dürfte sich das Gesetzgebungsverwahren weiter verzögern. der EU-Kommission und den USA ersetzen, nachdem der EuGH diese mit Urteil vom für unwirksam erklärt hatte Rechtsnatur Der im Rahmen des Privacy Shield erlassene Durchführungsbeschluss der EU-Kommission vom stellt einen sog. "Angemessenheitsbeschluss" nach Art. 45 Abs. 1 DSGVO dar. In diesem Beschluss erkennt die Kommission die USA für Daten, die unter den Bedingungen des Privacy Shield übertragen werden, als ein Land an, das ein angemessenes Datenschutzniveau gewährleistet. Dies erleichtert potenziell den Transfer von personenbezogenen Daten aus der EU in die USA, die ansonsten rechtssicher im Wesentlichen nur mit einer insbesondere für Massengeschäfte nur bedingt praktikablen freiwilligen und ausdrücklichen Einwilligung der jeweils betroffenen Person möglich wäre. II. EU-US-Datenschutzschild ("Privacy Shield") 1. Das Privacy Shield Ziel des Privacy Shield ist es, einen Weg zu finden, den täglich stattfindenden Datentransfer zwischen Europa und den USA effektiver zu gestalten und dennoch die europäischen Grundrechte der Grundrechtecharta sowie der Europäischen Menschenrechtskonvention ("EMRK") zu schützen. Zudem soll so insbesondere für europäische Unternehmen ein sicherer Rechtsrahmen geschaffen werden, um ihre Geschäfte auch in den USA ausbauen und Daten in die USA transferieren können. Das Privacy Shield soll die Vorgängerübereinkunft "Safe-Harbour" zwischen 3. Anforderungen an US- Unternehmen Um als sichere Organisation im Sinne des Kommissionsbeschlusses zu gelten, müssen USamerikanische Unternehmen im Rahmen einer jährlich erneut durchzuführenden Selbstzertifizierung die Übereinstimmung ihrer Datenschutzbestimmungen mit den in Anhang II des Privacy Shield festgelegten Prinzipien darlegen. Hierbei müssen die US-Unternehmen kumulativ nachweisen, dass sie (i) der Ermittlungs- und Vollstreckungsbefugnis der US Federal Trade Commission oder einer anderen Behörde unterliegen, (ii) eine öffentliche Erklärung über die 2 Rs. C-362/14 Maximilian Schrems / Data Protection Commissioner.

6 - 6 - Verpflichtung zu den Prinzipien des Privacy Shield abgeben und (iii) die Prinzipien vollständig umsetzen. Über eingetragene Unternehmen wird vom DOC eine Liste geführt und regelmäßig überprüft, ob die dort aufgelisteten Unternehmen tatsächlich den Datenschutzprinzipien entsprechen. Anderenfalls werden diese Unternehmen von der Liste entfernt und fallen damit nicht mehr unter den Privacy Shield. Dies hat zur Konsequenz, dass sie die über den Privacy Shield erhaltenen Daten zurückgeben oder löschen müssen. Anhang II des Privacy Shield fordert die Einhaltung von sieben Prinzipien: cken übermittelt werden (Verantwortlichkeit für die Weitergabe). Es müssen angemessene Vorkehrungen zum Schutz persönlicher Daten getroffen werden (Sicherheit). Die Daten dürfen nur für den Zweck verwendet werden, dem der Betroffene zugestimmt hat (Datenintegrität und Zweckbindung). Betroffene müssen einen Zugang zu den vom Unternehmen gespeicherten personenbezogenen Daten haben (Auskunftsrecht). US-amerikanische Unternehmen müssen den Einzelnen darüber in Kenntnis setzen, für welche Zwecke die Daten erhoben, benutzt oder offengelegt werden, sowie die Rechte, die ein Betroffener in Bezug auf diese Datennutzung hat (Informationspflicht). Schließlich muss es bereits unternehmensintern Mechanismen geben, die die Einhaltung der Prinzipien sichern und im Falle einer Zuwiderhandlung Regressmöglichkeiten für den Einzelnen eröffnen, der von einem Verstoß gegen die Prinzipien betroffen ist (Rechtsschutz, Durchsetzung und Haftung). Dem Einzelnen muss die Möglichkeit gegeben werden, zu entscheiden, ob die Daten einer dritten Stelle offengelegt werden dürfen oder für andere Zwecke als die, auf Grund derer die Daten ursprünglich erhoben wurden, genutzt werden dürfen (Wahlmöglichkeit). Die Weiterübermittlung persönlicher Daten an dritte Unternehmen ist nur möglich, wenn der Datenschutz in diesem dritten Unternehmen den Prinzipien des Privacy Shield entspricht und ein Vertrag zwischen Übermittler und Empfänger regelt, dass die Daten nur zu eingeschränkten und von der Einwilligung des Einzelnen erfassten Zwe- US-amerikanische Unternehmen müssen zudem Anfragen von Unions-Bürgern bezüglich des Schutzes von deren Daten innerhalb einer Frist von 45 Tagen beantworten. 4. Zugriff amerikanischer Behörden auf personenbezogene Daten Das Abkommen regelt zudem, dass eine willkürliche Massenüberwachung durch USamerikanische Behörden zukünftig ausgeschlossen sein soll. Ein Zugriff auf personenbezogene Daten durch Behörden unterliegt künftig strengen Voraussetzungen und ist nur noch in Ausnahmefällen in begrenztem Umfang möglich. Anfragen

7 - 7 - und Beschwerden hierzu werden von einer eigens hierfür im US-Außenministerium eingerichteten Ombudsstelle beantwortet, wobei eine tatsächliche Handlungsmacht nicht besteht. BDSG, wenn der Privacy Shield nachträglich für ungültig erklärt wird, denn 43 BDSG fordert eine zumindest fahrlässige unbefugte Datenverarbeitung. 5. Rechtsbehelfe Ein wirksamer Schutz der personenbezogenen Daten von EU-Bürgern soll zudem durch neu geschaffene Rechtsbehelfe erreicht werden. Hierzu gehören die Beschwerdemöglichkeit europäischer Datenschutzbehörden an die DOC und Federal Trade Commission (FTC), ein kostenloses Verfahren zur alternativen Streitbeilegung und die bereits erwähnte Ombudsstelle. 6. Rechtsfolgen Der Angemessenheitsbeschluss wird grundsätzlich wirksam sein, soweit und solange er nicht vom EuGH für ungültig erklärt wird. Damit entfaltet er derzeit, selbst bei einer etwaigen Rechtswidrigkeit, Rechtswirkung. Es ist jedoch davon auszugehen, dass der EuGH den Beschluss eher früher als später einer Kontrolle unterziehen wird und ihn dann womöglich aufhebt, zumal der Privacy-Shield bereits in seiner Wirksamkeit in Zweifel gezogen wird. Es ist zu erwarten, dass der EuGH in absehbarer Zeit die Gelegenheit erhalten wird, sich hierzu zu äußern. Es kann nicht ausgeschlossen werden, dass auch der Privacy-Shield die Datenschutzrechte der EU- Bürger nicht ausreichend schützt und daher vor dem Gerichtshof keinen Bestand haben wird. Ein entsprechendes Risiko besteht für Binding Corporate Rules und die EU- Standardvertragsklauseln. Solange der Privacy Shield indes in Kraft ist, können auch deutsche Unternehmen, die Daten in die USA transferieren, auf die Rechtskraft vertrauen und begehen keine Ordnungswidrigkeit nach 43 Abs. 2 Nr. 1 Für US-amerikanische Unternehmen gilt es nun zu entscheiden, ob sie sich der Kontrolle der US- Behörden in Bezug auf ihre Datenschutzbestimmungen unterstellen wollen, oder weiterhin alternative Möglichkeiten, Daten zu übertragen, nutzen wollen, wie beispielsweise Binding Corporate Rules oder EU-Standardvertragsklauseln. III. ITSichG und NIS-Richtlinie 1. ITSichG Das bereits am erlassene IT- Sicherheitsgesetz ("ITSichG") soll im Zusammenspiel mit einer ergänzenden Verordnung ("KRITIS-VO", deren erster Korb im April 2016 erlassen wurde) und weiteren Ausführungsverordnungen der Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland dienen und kritische Infrastrukturen ("KRITIS") schützen. "Kritisch" sind Infrastrukturen, die für das Funktionieren des Gemeinwesens von hoher Bedeutung sind. Das als Artikelgesetz ausgestaltete ITSichG sah hierfür u.a. Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG), des Energiewirtschaftsgesetzes (EnWG), des Kreditwesengesetzes (KWG) und des Bundeskriminalamtsgesetzes (BKAG) vor. Für KRITIS-Betreiber brachte dies im Falle von Cyber-Attacken bzw. um diesen vorzubeugen u.a. erhebliche öffentlich-rechtliche Sicherungs-, Melde-, Nachweisund Mitwirkungspflichten mit sich. Die Vorgaben des ITSichG sind sektorenabhängig bis spätes-

8 - 8 - tens zwei Jahre nach Inkrafttreten der jeweils einschlägigen Verordnung umzusetzen, Verstöße sind bußgeldbewehrt. 2. Wesentliche Inhalte der NIS- Richtlinie Das Parlament der Europäischen Union hat am die "Richtlinie 2016/1148/EU über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" ("NIS- Richtlinie") verabschiedet. Nach deren Inkrafttreten am sind die darin enthaltenen Rechts- und Verwaltungsvorschriften von den Mitgliedstaaten innerhalb von 21 Monaten (ergo bis zum ) in nationales Recht umzusetzen. Die NIS-Richtlinie betrifft vor allem Unternehmen, deren Dienste für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Vorgänge unerlässlich sind ("Betreiber wesentlicher Dienste") sowie die Anbieter gewisser digitaler Dienste. Jene müssen geeignete und verhältnismäßige Maßnahmen treffen, um das Risiko von Sicherheitsvorfällen zu minimieren. Bei Sicherheitsvorfällen mit erheblichen Auswirkungen sieht die Richtlinie u.a. eine Meldepflicht der Betreiber oder Anbieter der sicherheitsrelevanten Systeme an die zuständige Behörde vor. Auffällig ist, dass der Begriff "Sicherheitsvorfall" in Art. 4 Ziff. 7 der NIS-Richtlinie geradezu uferlos weit als "alle Ereignisse, die tatsächlich nachteilige Auswirkungen auf die Sicherheit von Netzund Informationssystemen haben" definiert wird. Gleichwohl legt die NIS-Richtlinie ausdrücklich nur einen Mindeststandard für den Schutz von IT-Infrastrukturen fest, sodass die Mitgliedsstaaten weiterhin strengere Regeln erlassen dürfen. 3. Umsetzung der NIS-Richtlinie in das deutsche Recht und Zusammenspiel mit dem ITSichG Das Bundeskabinett hat am einen vom Bundesminister des Inneren vorgelegten Gesetzentwurf zur Umsetzung der NIS-Richtlinie beschlossen ("BSIG-E"). Da viele der in der NIS-Richtlinie enthaltenen Vorgaben bereits durch das (teilweise sogar strengere) ITSichG umgesetzt wurden, waren nur noch wenige Änderungen des BSIG, des Atomgesetztes (AtG), des EnWG und des Fünften Buches Sozialgesetzbuch Gesetzliche Krankenversicherung (SGB V) erforderlich. Der im ITSichG verwendete Begriff der "Betreiber kritischer Infrastrukturen" ( 1 Nr. 2 KRITIS- VO i.v.m. 2 Abs. 10 BSIG) deckt sich mit dem europäischen "Betreiber wesentlicher Dienste" (Art. 4 Nr. 4 NIS-Richtlinie), sodass insoweit keine Anpassungen erforderlich sind. Gemäß der Richtlinienvorgabe werden zudem "Anbietern digitaler Dienste" Pflichten auferlegt, die mit denen von KRITIS-Betreibern vergleichbar sind. Da sich das ITSichG ausschließlich an KRITIS-Betreiber richtet, waren insoweit im deutschen Recht noch Regelungslücken vorhanden. Der neue Gesetzentwurf betrifft daher insbesondere Online-Marktplätze ( 2 Abs. 11 Nr. 1 BSIG- E), Online-Suchmaschinen ( 2 Abs. 11 Nr. 2 BSIG-E) sowie Cloud-Computing-Dienste ( 2 Abs. 11 Nr. 3 BSIG-E), deren Anbieter zur Einführung von technischen und organisatorischen Sicherheitsvorkehrungen verpflichtet werden. Dadurch soll sicherheitsrelevanten Vorfällen innerhalb der Europäischen Union vorgebeugt und deren Auswirkungen so gering wie möglich gehalten werden ( 8c Abs. 1, 2 BSIG-E). Neben der Pflicht zur Ergreifung von geeigneten Sicherheitsvorkehrungen sieht der Entwurf eine Pflicht zur Anzeige von sicherheitsrelevanten Vorfällen beim Bundesamt für Sicherheit in der Informati-

9 - 9 - onstechnik ("BSI") vor ( 8c Abs. 3 BSIG-E). Der Begriff des "Sicherheitsvorfalls" wurde im Vergleich zur Richtlinie offenbar enger gefasst, indem nunmehr "erhebliche Auswirkungen auf die Bereitstellung" eines digitalen Dienstes vorausgesetzt werden. Die im konkreten Fall durch die Anbieter zu treffenden Sicherheitsmaßnahmen, die Inhalte einer Meldung des Sicherheitsvorfalls sowie die Voraussetzungen, unter denen ein Sicherheitsvorfall "erheblich" ist, sollen noch durch Durchführungsakte der Europäischen Kommission vorgegeben werden ( 8c Abs. 2, 3 BSIG-E). Die Einbeziehung der Anbieter digitaler Dienste und die damit einhergehende Erweiterung der Anbieterpflichten betrifft eine nicht unerhebliche Anzahl von Unternehmern. Nach erster Schätzung des Bundesministeriums im Inneren sind von den neuen Verpflichtungen bis zu Anbieter digitaler Dienste betroffen. Ergänzend zur Erweiterung der Anbieter- und Betreiberpflichten und der Befugnisse des BSI zur Überprüfung der Einhaltung der technischen und organisatorischen Sicherheitsanforderungen (z.b. durch Vor-Ort-Kontrollen gemäß 8a Abs. 4 BSIG-E) wurde im Entwurf eine Rechtsgrundlage ( 5a BSIG-E) für den Einsatz sogenannter Mobile Incident Response Teams ("MIRTs") geschaffen. MIRTs können als schnelle Eingreiftruppe in hochbrisanten Fällen von Cyberattacken betroffene Behörden und Unternehmen bei der Wiederherstellung ihrer IT-Systeme unterstützen. Zu erwähnen sind schließlich die Möglichkeit des BSI, bei Verstößen Bußgelder zu verhängen ( 14 Abs. 1 BSIG-E) und der vorgesehene transnationale Informationsaustausch zur Schaffung eines einheitlichen europäischen Cybersecurity-Raums ( 13 BSIG-E). Im Ergebnis entspricht der von der Bundesregierung beschlossene Entwurf, insbesondere aufgrund der neuen Verpflichtungen der Anbieter digitaler Dienste, weitgehend den Vorgaben der NIS-Richtlinie. Daher ist davon auszugehen, dass der Entwurf ohne grundlegende Änderungen das weitere Gesetzgebungsverfahren durchlaufen und somit noch innerhalb der auslaufenden Legislaturperiode Rechtssicherheit für die Anbieter und Betreiber geschaffen wird. IV. Konsequenzen und Fazit Die vorstehenden Ausführungen verdeutlichen, dass das Datenschutz- und IT-Sicherheitsrecht sich in einem fortwährenden Umbruch befindet und diese Themen zunehmend Aufmerksamkeit erfahren. Für Unternehmen ist es daher von großer Wichtigkeit, die Entwicklungen genau zu verfolgen. Der Umgang mit personenbezogenen Daten und die IT-Sicherheit sind an die komplexer werdende Rechtslage anzupassen. Die Situation wird dadurch verschärft, dass Verstöße gegen datenschutzrechtliche Bestimmungen o- der IT-Sicherheitsvorfälle neben empfindlicher werdenden behördlichen und rechtlichen Sanktionen auch zunehmend eine negative Wirkung für die öffentliche Wahrnehmung eines Unternehmens entfalten. Eine fundierte Vorbereitung und Begleitung dieses Prozesses durch anwaltliche Berater ist daher dringend zu empfehlen. *****

10 Diese Mandanteninformation beinhaltet lediglich eine unverbindliche Übersicht über das in ihr adressierte Themengebiet. Sie ersetzt keine rechtliche Beratung. Als Ansprechpartner zu dieser Mandanteninformation und zu Ihrer Beratung stehen gerne zur Verfügung: Dr. Thomas Nägele Rechtsanwalt Fachanwalt für Gewerbliche Rechtsschutz Dr. Steffen Henn Rechtsanwalt Thomas.Naegele@sza.de Steffen.Henn@sza.de Professor Dr. Kristian Fischer Rechtsanwalt Kristian.Fischer@sza.de Dr. Simon Apel Rechtsanwalt Simon.Apel@sza.de Alexander Stolz, LL.M. Rechtsanwalt Alexander.Stolz@sza.de SZA SCHILLING, ZUTT & ANSCHÜTZ RECHTSANWALTS AG D Mannheim, Otto-Beck-Straße 11 D Mannheim, Postfach Telefon: + 49 (0) Telefax: + 49 (0) D Frankfurt am Main, Taunusanlage 1 Telefon:+ 49 (0) Telefax: + 49 (0) B-1000 Brüssel Square de Meeûs 23 Telelefon: +32 (0) Telefax: +32 (0) info@sza.de