News

T-SiG, IT-SiG 2.0, EU NIS-RL, EU Cybersecurity Act

Mehr als vier Jahre ist es her, dass das „erste“ IT-Sicherheitsgesetz (IT-SiG) für Furore sorgte, nachdem es am 12. Juni 2015 vom Bundestag beschlossen wurde. Vieles war damals neu, und fast alles damit auch unklar. Klar war nur: Die Betreiber von sog. „Kritischen Infrastrukturen“ müssen aktiv Maßnahmen zur Cyberabwehr ergreifen. Dabei gab es nicht nur teils hitzige Diskussionen über den Anwendungsbereich der Regelungen – u.a. war strittig, ob auch eine kleine Arztpraxis, die aber das einzige medizinische Angebot in einem erheblichen Umkreis darstellt, kritisch ist – sondern auch im Hinblick auf die sanktionsbewehrten Maßnahmen, die von den Betreibern ebenjener Kritischen Infrastrukturen umzusetzen waren. Der Begriff „Stand der Technik“ entwickelte sich zu jener Zeit zum geflügelten Wort und war in aller Munde. Mittlerweile gibt es einen Konsens darüber, dass der Stand der Technik zumindest die Umsetzung eines betrieblichen IT-Sicherheit-Managementsystems (ISMS) erfordert (TeleTrusT).

Im Zuge der Digitalisierung ist der Einsatz moderner Informations- und Kommunikationstechnik für Unternehmen unverzichtbar geworden. Die stetig wachsende Menge an Geschäftsunterlagen und -informationen in jeglicher Form (Papier-/Digitalform) wird in Unternehmen oft manuell und lokal archiviert oder in den dazugehörigen Aktenordnern abgelegt. Mit einer derartigen Archivierung gehen Unternehmen das Risiko ein, dass die archivierten Dokumente und Informationen nicht rechtzeitig oder schlimmstenfalls gar nicht auffindbar sind.

Damit die Informationen und Geschäftsprozesse nachhaltig und effizient organisiert werden, ist ein unternehmensgerechtes Dokumentenmanagement-System (DMS) notwendig, das die elektronischen Geschäftsunterlagen verwaltet, die Papierunterlagen mit Hilfe automatisierter Workflows digitalisiert und die aufbewahrungspflichtigen Daten anforderungsgerecht archiviert. Zudem werden die Geschäftsinformationen mit Einsatz eines Dokumentenmanagement-Systems (DMS) strukturiert und klassifiziert erfasst. Das unternehmensgerechte digitalisierte Archivsystem versetzt die Dateneigner (Datenbearbeiter) in die Lage, die Arbeitsabläufe effizienter und schneller zu gestalten. Ein adäquates Informationsmanagement-System steigert die Produktivität und reduzieren die Kosten des Unternehmens.

Um die Vorteile eines Dokumentenmanagement-System (DMS) zu nutzen und Ihre Konkurrenzpotentiale zu induzieren, sind zwei wesentliche Aspekte - nämlich die Auswahl und die Einführung des Dokumentenmanagement-systems (DMS) - zu berücksichtigen. Welchen Nutzen für Ihr Unternehmen ein Dokumentenmanagement-System (DMS) explizit anbietet und welches Dokumenten-Management-System (DMS) für Ihr Unternehmen vorteilhaft ist, lässt sich durch einen umfassenden Überblick des Anbietermarktes und umfangreiche Kenntnisse der komplexen Anforderungen beurteilen.

Dieses Jahr stand die alljährliche Unternehmer-Party Berlin Eastside unter dem Motto „30 Jahre Mauerfall“. Der MHWK (Marzahn- Hellersdorfer Wirtschaftskreis) und der WKHL (Wirtschaftskreis Hohenschönhausen-Lichtenberg) hatten am 09. November 2019 in das ABACUS Tierpark Hotel eingeladen. Nach der Begrüßung durch die Vorstandsvorsitzenden der beiden Wirtschaftskreise - Karsten Dietrich und Uwe Heß - wurde nach einem Interview mit dem ehemaligen Koch von Erich Honecker, das köstliche Gala-Buffet des ABACUS Tierpark Hotels eröffnet. Unter den Gästen konnten wir Dagmar Pohle, Bürgermeisterin von Marzahn-Hellersdorf, und Michael Grunst, Bürgermeister von Lichtenberg, begrüßen. Weitere Gäste waren u.a. die stellv. Stadtbezirksrätin der SPD sowie der CDU Stadtbezirksvorstand. BERLINCOUNSEL ist Gründungsmitglied des Unternehmerverbandes Berlin Lichtenberg und ein gern gesehener Gast auf der Veranstaltung.

Die zunehmende Digitalisierung verändert die klassischen Geschäftsprozesse von Unternehmen in immer größer werdenden Umfang. Flankiert von zusätzlichen gesetzlichen Anforderungen wie DS-GVO, IT-Sicherheitsgesetz und anderen Vorgaben ergeben sich neue Herausforderungen für nahezu jedes Unternehmen.

Wir sind heute gezwungen, Vertrauen in Technologien zu stecken, die wir gar nicht verstehen. Insbesondere, wenn man bedenkt, dass in den meisten Unternehmen die eigentlichen Kronjuwelen Daten sind. Die Suche nach vertrauenswürdigen Technologien ist somit mehr als berechtigt. Jeder, der seine Daten aus der Hand gibt, will die Sicherheit haben, dass diese nicht in die falschen Hände geraten. Hier ist das notwendige Bewusstsein vielfach noch nicht vorhanden.

Daher versuchen Einige der Digitalisierung aus dem Wege zu gehen. Dies kann sich jedoch praktisch heute fast niemand mehr leisten, da die Digitalisierung sämtliche Bereiche der Wirtschaft betrifft.

Zum Thema Sicherheit lautet daher die entscheidende Frage der Zukunft: Wie schütze ich meine Daten, ohne auf die klar vorhandenen Vorteile der Digitalisierung, z.B. den ortsungebundenen und schnellen Zugriff auf Daten und Systeme, verzichten zu müssen?

Folgende Punkte gehören dabei zu den typischen Stolperfallen bei der IT-Sicherheit:

Erstmals, seit Inkrafttreten der DS-GVO, wurde in Deutschland eine Bußgeldstrafe in zweistelliger Millionenhöhe verhängt. Eine große Berliner Wohnungsgesellschaft muss 14,5 Millionen Euro Bußgeld wegen Datenschutzverstößen zahlen. Dies teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) in einer Pressemitteilung mit. Dem Bußgeld waren zwei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 vorausgegangen. Dabei wurden insbesondere schwere Verstöße gegen die datenschutzrechtlichen Löschpflichten festgestellt. Das Unternehmen hatte persönliche Daten mit hohem Vertraulichkeitsgrad von früheren Mietern, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten etc. über Jahre hinweg nicht gelöscht.

Wer kennt sie nicht, diese lästige Aufforderung des Systemadministrators zu einem erzwungenem Passwortwechsel nach Ablauf eines fixen, zeitlichen – meist recht kurzen – Intervalls. Wenn uns das Unternehmen vorgibt, dass wir z.B. alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln müssen und diese dann aber auch noch eine gewisse Komplexität aufweisen sollen, dann führt dies, aufgrund der üblicherweise getroffenen Einstellungen hinsichtlich des Passwortalters und der Passworthistorie, nicht selten zu einer gut kultivierten und unternehmensweit verbreiteten „gelben Zettelwirtschaft mit Passwortinformationen“ und somit - aufgrund der damit verbundenen Risiken - im Ergebnis zu weniger Datenschutz und weniger Informationssicherheit. Nachdem verschiedene Datenschutzbehörden der Länder und auch die Datenschutzkommission dies erkannt und bereits mehrfach vorgelegt haben, zieht nun endlich auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) nach und ändert endlich die Vorgaben für einen Passwortwechsel-Zwang.

Die GoBD von 2014 gelten vorerst weiter! Dies teilte das Bundesministerium für Finanzen (BMF) in einer offiziellen Stellungnahme mit. Eigentlich sollten die GoBD von 2014 durch eine bereits veröffentlichte Neufassung vom 11.07.2019 ersetzt werden. Diese sollte auf Besteuerungszeiträume Anwendung finden, die nach dem 31.12.2019 enden. Inzwischen hat das BMF die Neufassung der GoBD jedoch vorerst zurückgezogen. Als Begründung nannte das Ministerium „weiteren Abstimmungsbedarf mit den Bundesländern. Seit ihrer Verkündung stand die Neufassung der GoBD vielfach in der Kritik. Im Wesentlichen wurden ihr Schwächen im Detail nachgesagt. Es wird daher angenommen, dass die neuen GoBD nachgebessert und etwaig bestehende Inkonsistenzen in der Neufassung vor Inkrafttreten beseitigt werden sollen.

Bis auf Weiteres sind also wieder offiziell die GoBD aus 2014 maßgeblich! Dies hat zur Folge, dass die zahlreichen Erleichterungen, die die neuen GoBD enthalten, vorerst nicht gelten. Auch wenn das BMF in seiner offiziellen Erklärung davon ausgeht, dass „das Folgeschreiben nach erfolgter Abstimmung mit den Ländern kurzfristig wieder online gestellt und im Bundesteuerblatt veröffentlicht wird“, sollten all diejenigen sehr vorsichtig sein, die die Erleichterungen des BMF-Schreibens vom 11.7.19 (z.B. bei der Konvertierung oder beim Scannen) nutzen wollen!

Die europäische Datenschutz-Grundverordnung sieht einen Bußgeldrahmen von bis 20 Mio oder bis zu 4 % des Bruttoumsatzes des Vorjahres vor, je nachdem, welcher Betrag höher ist. Bislang sind die von den deutschen Datenschutzbehörden verhängten Geldbußen verhältnismäßig niedrig ausgefallen. Dies wird sich wohl bald ändern. Wie das Rechtsmagazin LTO berichtet, testen die Datenschutzbehörden von Bund und Ländern derzeit ein von der Datenschutzkonferenz (DSK) entwickeltes neues Bußgeldmodell zur Bußgeldbemessung. Momentan wird es bei Bußgeldverfahren begleitend herangezogen und auf seine Tauglichkeit in der Praxis sowie auf seine Zielgenauigkeit hin überprüft. Das Modell soll insbesondere zu einer höheren Nachvollziehbarkeit in der Bußgeldpraxis führen. Auf ihrer nächsten Konferenz im November will sich die DSK zu dem Konzept, welches sich derzeit im Entwurfsstatus befindet, weiter abstimmen. Wenngleich das Bußgeldkonzept noch nicht veröffentlich wurde, liegt es einigen Datenschutzanwälten zumindest in Teilen schon vor, weil es auch in den Begründungen von bereits verhängten Bußgeldbescheiden wiedergegeben ist. Dies ermöglicht eine belastbare Analyse. Fest steht, dass das neue Modell zu höheren Bußgeldern führen wird.

Der Europäische Gerichtshof (EuGH) hat in seiner viel beachteten Entscheidung im Fall "Planet49“ die rechtlichen Anforderungen an eine Einwilligung beim Setzen von Cookies klargestellt: Wenig überraschend stellt auch nach Auffassung des EuGHs eine bereits vorangekreutze Checkbox keine wirksame Einwilligungserklärung zum Setzen von Cookies dar, weil eine Einwilligung immer ausdrücklich abgegeben werden muss und eine aktive Handlung des Nutzers voraussetzt. Die Auffassung des EuGHs in diesem Punkt verwundert insofern nicht sonderlich, da vorangekreuzte Checkboxen bereits gemäß Erwägungsgrund 32 Satz 4 zur DS-GVO explizit kein wirksames Einwilligungsmittel darstellen. Allerdings stellte der BGH in diesem Zusammenhang auch klar, dass es hierbei keinen Unterschied macht, ob es sich bei den durch die Cookies im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente, die in sein Gerät eindringen. Außerdem legt der EuGH fest, welche Cookie-Informationen dem Nutzer zur Verfügung gestellt werden müssen. Demnach sind neben der Identität des Verantwortlichen und der Zweckbestimmung der Verarbeitung, für die die Daten bestimmt sind auch Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, erforderliche Informationen, die dem Betroffenen im Kontext mit der Verwendung von Cookies zu erteilen sind.  

Die Entscheidung des EuGHs hat zur Folge, dass § 15 Abs. 3 TMG somit als europarechtswidrig anzusehen ist und der BGH diesen Paragrafen voraussichtlich in Kürze für unanwendbar erklären wird. Website-Betreiber sollten nun Ihre Cookie-Einstellungen dahingehend überprüfen, ob diese den genannten Anforderungen genügen. Bei Bedarf unterstützen wir Sie gern dabei!

Die Berliner Datenschutzbehörde hat im August dieses Jahres die in Deutschland bislang höchste Bußgeldstrafe seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung verhängt. Dies teilte die Behörde in ihrer Pressemitteilung vom 19. September mit. Die Behörde gegen einen Betreiber mehrerer Lieferdienstplattformen eine Strafe in Höhe von knapp 200.000€ aufgrund mehrfacher Datenschutzverstöße. Die Aufsichtsbehörde beanstandete insbesondere die Missachtung von Betroffenenrechte. So wurde vielfach den Auskunftsersuchen über die Verarbeitung personenbezogener Daten, Werbewidersprüchen oder Löschbegehren von Kunden nicht nachgekommen. In einem Fall war der Betroffene seit über zehn Jahren nicht mehr auf der Plattform aktiv gewesen und dennoch kam das Unternehmen seiner Löschpflicht nicht nach. Der Lieferdienst gab als Erklärung für die Datenschutzverstöße technische Fehler sowie Mitarbeiterversehen an. In Anbetracht der hohen Zahl der Verstöße, des jahrelangen Zeitraums, in dem Verstöße stattfanden sowie der Tatsache, dass das Unternehmen nicht in der Lage war, die von der Behörde beanstanden Datenschutzdefizite zu beheben und angeordnete Maßnahmen zur Erreichung eines angemessenen Datenschutzes innerhalb der vorgegeben Frist umzusetzen, geht die Aufsichtsbehörde von „grundsätzlichen, strukturellen Organisationsproblemen“ auf, die sich straferhöhend auf das verhängte Bußgeld ausgewirkt haben.

Dieser Fall zeigt einmal mehr, wie wichtig ein gutes Datenschutzmanagement im Unternehmen ist, das eine rechtzeitige und umfängliche Erfüllung der datenschutzrechtlichen Pflichten sowie eine gute Zusammenarbeit mit der Aufsichtsbehörde sicherstellt. Ausgangspunkt ist hier die Kenntnis der eigenen Prozesse und Verfahren im Unternehmen. Nur so ist ein gutes Management zur Wahrung der Betroffenenrechte möglich. Das Aufdeckungsrisiko ist hierbei besonders hoch und kommt in über 70% der Fälle aus der Organisation selbst und von Kunden. Gerne unterstützen wir Sie bei dieser wichtigen Unternehmensaufgabe mit unseren Produkten zum Datenschutz (Datenschutz-Beratung, externer DSB oder Datenschutzaudit) und zur Beratung (Prozessmanagement). Sprechen Sie uns an!

Nachdem die britische Finanzbehörde FCA bereits dem britischen Finanzmarkt einen Fristaufschub zur Umsetzung der Vorgaben für die starke Kundenauthentifizierung gewährt hat, macht nun auch die deutsche Bafin von dieser Möglichkeit Gebrauch, die die Europäische Aufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt hatte. Damit dürfen inländische Zahlungsdienstleister Online-Zahlungen mit Kreditkarten auch nach dem 14.09.2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen, ohne von der BaFin dafür beanstandet zu werden. Damit will die BaFin insbesondere für den Verbraucher Beeinträchtigungen bei Online-Zahlungen verhindern und eine reibungslose Umstellung auf die Anforderungen der PDS 2 erreichen.

Gemäß den Vorgaben der Zweiten Zahlungsdiensterichtlinie (PSD 2) ist eigentlich ab dem 14.09.2019 bei Zahlungen im Internet eine Starke Authentifizierung zwingend vorgeschrieben, um einen höheres Sicherheitsniveau bei Online-Käufen zu gewährleisten. Bei Online-Zahlungen mit Kreditkarte müssen Kunden dann zusätzlich zur Kreditkartennummer und Prüfzahl auch eine TAN angeben, die zuvor aufs Handy gesendet wurde und ein Passwort eingeben. Nach Angaben der BaFin haben die kartenausgebenden Zahlungsdienstleister mit Sitz in Deutschland die neuen Vorgaben bereits umgesetzt, jedoch besteht bei den Unternehmen, die Kreditkartenzahlungen im Internet nutzen immer noch großer Anpassungsbedarf. Damit Verbraucher und Unternehmen aber nun nicht völlig auf die Möglichkeit der Kreditkartenzahlung im Internet verzichten müssen und oder mit Störungen rechnen müssen, wird die Bafin auf das Erfordernis der Starken Authentifizierung bei Kreditkartenzahlungen im Internet vorerst nicht bestehen. Bis wann das so sein wird, wird die Bafin nach Konsultation der Markteilnehmer und in Abstimmung mit der Europäischen Bankenaufsicht sowie den nationalen europäischen Aufsichtsbehörden bekannt geben. Die Bafin erwartet jedoch von allen Beteiligten, die Zeit dringend für Anpassungen und Nachbesserungen der Infrastruktur zu nutzen und die Vorgaben für eine Starke Kundenauthentifizierung schnellmöglich umzusetzen.