BDSG, EU DSGVO
Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich.
Die Welt und damit auch das Geschäftsleben werden zunehmend digitaler. Wurden vor Jahren viele Informationen noch als Papier übermittelt und auch archiviert, erfolgt beides zunehmend auf elektronischem Wege. Damit eröffnen sich aber auch ganz neue Wege des Zugriffs und der Werksspionage.
Der zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt.
Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch in die Presse geraten. Entsprechende Angreifer hatten hierbei weniger die Zerstörung oder Veränderung von Daten im Blick als vielmehr deren Verfügbarkeit und Aktualität. Nicht verfügbare Daten (Stichwort RANSOMWARE, vgl. z.B. diesen Artikel des Handelsblattes) können mitunter für die Unternehmen sehr kostspielig werden.
Die DSGVO ist seit fast zwei Jahren in Kraft. Auch wenn sie nach zwei Jahren Übergangszeit damals für viele Unternehmen überraschend kam, haben die meisten in einer Nacht- und Nebelaktion schnell ihre Webseite an DSGVO angepasst. Schließlich ist die Webseite ja nach außen sichtbar und da will niemand schlecht aussehen.
Also: Schnell eine Datenschutzerklärung erstellt (oder auch zusammenkopiert….) und live gestellt, Cookie-Banner dazu und bei Google Analytics die Anonymisierung eingeschaltet. Und dann?
War es das?
Kann sein. Kommt aber drauf an! Insbesondere die aktuelle Rechtsprechung und gestiegene Erfahrungen geben Anlaß, noch ein Mal über die compliance der eigenen Webseite nachzudenken und insbesondere auch technisch sicherzustellen, dass sie den Anforderungen und Vorschriften genügt. Es hat sich einiges getan. Grund genug, das Thema noch ein Mal aufzugreifen.
Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.
Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer Organisation oder einem Unternehmen auftreten können systematisch aufzuarbeiten. Das TLoD-Modell hat gegenüber anderen Modellen den wesentlichen Vorteil, dass es in Bezug auf Unternehmensgröße oder -struktur nicht gebunden ist oder an Komplexitäts- und damit durchgängige Umsetzungsgrenzen stößt.
Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw.
Bis zum EuGH sind sie gekommen: Cookies und deren datenschutzrechtlichen Implikationen wurden hier behandelt. In kurzen Worten: Der Nutzer muss über die Nutzung von Cookies informiert werden und soweit diese nicht technisch notwendig sind, zu deren Nutzung auf einer Webseite auch aktiv einwilligen.
Dazu wird viel geschrieben, aber die technischen Grundlagen kommen oft zu kurz. Was das heißt, und wie das alles funktioniert, wird daher nachfolgend einmal dargestellt.
Nach Informationen der Landesdatenschutzbehörden nahm die Zahl der gemeldeten Datenschutzverstöße in der Zeit ab 25.05.2018 enorm zu – aber nur ein Teil dieser gemeldeten Verstöße sind auch tatsächlich Datenschutzverstöße im Sinne der DSGVO.
Nach Auskunft der Landesbeauftragten für den Datenschutz Niedersachsen wurden 2017 insgesamt 20 Datenschutzverstöße gemeldet. In der Zeit vom 25.05.2018 bis 07.08.2018 stieg diese Zahl gewaltig an. Es gingen in diesem kurzen Zeitraum bereits 126 Meldungen bei der Datenschutzbehörde ein.
Dieser Artikel beschäftigt sich vor diesem Hintergrund mit der Frage, was eigentlich Datenpannen sind und wie ein Unternehmen darauf reagieren sollte.
Ein Beitrag unserer Kooperationspartnerin Inge Seher. Inge Seher ist Fachanwältin für gewerblichen Rechtsschutz bei Kramer und Partner Rechtsanwälte (http://www.anwaltskanzlei-online.de/) und zertifizierte Datenschutzbeauftragte (TÜV).
Kurz nach Veröffentlichung des Urteils des EuGH vom 5.06.2018 (wir berichteten) zur gemeinsamen Verantwortlichkeit von Facebook-Seitenbetreibern und Facebook hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort gemeldet und eine Entschließung veröffentlicht (pdf).
Ein Beitrag unserer Kooperationspartnerin Inge Seher. Inge Seher ist Fachanwältin für gewerblichen Rechtsschutz bei Kramer und Partner Rechtsanwälte (http://www.anwaltskanzlei-online.de/) und zertifizierte Datenschutzbeauftragte (TÜV).
Der Europäische Gerichtshof (EuGH) hat in dieser Woche für großes Aufsehen gesorgt.