25.07.2024

 

NIS-2-Richtlinie

Bundesregierung beschließt umfassende Änderung des IT-Sicherheitsrechts

Künftig werden ca. 29.500 Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet.

Das Bundeskabinett hat am 24.07.2024 den von Bundesinnenministerin Nancy Faeser vorgelegten Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen.

Mit diesem Gesetz soll der Schutz vor Cyberangriffen erhöht werden, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen. Somit soll das Sicherheitsniveau gesteigert und das Risiko für Unternehmen gesenkt werden, Opfer von Cyberangriffen zu werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält dabei neue Aufsichtsinstrumente.

Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2-Richtlinie der EU betroffen ist?

Die NIS-2-Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.

 

Für die Erfüllung der wichtigsten NIS2-Anforderungen müssen Unternehmen Folgendes sicherstellen:

  • Geschäftsfortführung (Business Continuity) im Ereignis- oder Krisenfall
  • Sicherheit der Lieferkette
  • Sicherheit in der Beschaffung, Entwicklung und Bewirtschaftung von IT- und Netzwerk-Systemen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Massnahmen
  • Grundlegende Cyberhygiene und Schulungen zur Cybersicherheit
  • Konzepte und Verfahren in Bezug auf die Verwendung von Verschlüsselung in der Kommunikation
  • Sicherheit des Personals sowie Konzepte für die Zugriffskontrolle
  • Sichere Authentifizierungslösungen sowie Einsatz sicherer Sprach-, Video- und Textkommunikation
  • Sichere Systeme für die Notfallkommunikation

Mindestaufgaben der Geschäftsführung:

 

Die Geschäftsleitung von Unternehmen kann sich der Verantwortung für Informationssicherheit nicht vollständig entziehen. Grundlegende Kenntnisse der IT-Sicherheit und eine der Bedrohungslage angemessene Implementierung von Cybersicherheitsmaßnahmen sind bereits unabhängig von neuen Rechtsakten zur Cybersicherheit eine zentrale Pflicht der Unternehmensleitung. Andernfalls drohen unkalkulierbare persönliche Haftungsrisiken.

 

Die erforderlichen Maßnahmen, an denen die Geschäftsleitungen mindestens persönlich mitwirken müssen, umfassen die folgenden Maßnahmen:

o  Grundlegende Risikoanalyse

o  Erarbeitung eines Maßnahmenkatalogs

o  Überwachung der Umsetzung der Maßnahmen

o  Dokumentation der Maßnahmen

 

 

Quellen:

 https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240724_NIS-2.html

NIS-2-Prüfung:  https://betroffenheitspruefung-nis-2.bsi.de/

https://threema.ch/de/work/whitepaper-cybersicherheitsregulierungen?success=1#request

 

Artikel als PDF: >>NIS-2-Richtlinien <<

05.02.2023

ttdsg
TTDSG in Bezug auf

Cookies und Tracking Tools

 

Am 1.12.2021 trat das neue Telekommunikations-Telemedien-Datenschutzgesetz in Kraft.

 

In diesem neuen Gesetz werden die datenschutzrechtlichen Vorschriften aus TMG und TKG zusammengeführt und an die Vorgaben der Cookie-Richtlinie angepasst. Die entsprechenden Regeln in TMG und TKG entfallen.

 

Was können Webbetreiber in Bezug auf Cookies oder vergleichbaren Informationen konkret tun?

 

Wenn Sie Cookies oder vergleichbare Informationen setzen möchten, brauchen Sie eine echte und informierte Einwilligung.

 

 

Cookie-Einwilligung per Consent-Tool

Der bisher sicherste Weg ist: Einwilligung per Consent-Tool einzuholen.

Aufbau des Consent-Tools:

  • Seitenbetreiber müssen die Einwilligung der Nutzer einholen.

          (Ausnahme: technisch zwingend notwendige Cookies)

          Vor der Zustimmung des Nutzers dürfen noch keine personenbezogene Daten übertragen werden!

  • Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden.
  • Der Nutzer muss detailliert über die Dienste informiert werden, die Cookies setzen und Daten übertragen.

Der Text sollte so konkret wie möglich darüber informieren, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten gegebenenfalls weitergegeben werden.

  • Der Nutzer muss ausdrücklich bestätigen, dass er zustimmt.
  • Der Nutzer muss die Möglichkeit haben, die erteilten Einwilligungen zu verwalten und zu widerrufen.

 

Was unbedingt vermieden werden sollte:

“Dark Patterns“ oder irreführende Designs von Cookie-Bannern, die eine Zustimmung des Nutzers manipulieren bzw. unmöglich machen, sollten unbedingt vermieden werden. Anderenfalls stellt es einen Verstoß gegen die DSGVO dar.

Erklärung:

„Dark Pattern“ – dunkle Muster – sind Tricks von Webseiten-Betreibern, um genau die Zustimmung von Cookies durch einen Klick zu erhalten, der dem Anbieter den gewünschten Datentransfer sichert, den User aber durch verwirrende Angaben und grafische Elemente hinters Licht führt. Davon gibt es zahlreiche Varianten: Mal muss man eine bestimmte Aktion ausführen, weil man sonst nicht wie gewünscht weitergeleitet wird. Anbieter von Produkten täuschen eine künstliche Verknappung vor, der man nur mit einer schnellen Entscheidung zuvorkommen kann. Oder das Webdesign ist so unübersichtlich, dass man schnell die Geduld verliert und ungewollt persönliche Daten preisgibt.

 

Reine Info per Cookie-Banner oder Info nur in der Datenschutzerklärung

Eine reine Info per Cookie-Banner beim ersten Seitenaufruf oder lediglich eine Info in der Datenschutzerklärung reichen nicht aus, wenn einwilligungspflichtige Daten erhoben werden sollen! Sie verstoßen damit gegen die Rechtsprechung des EuGH, BGH und das TTDSG, das ab seit 1.12.2021 gilt.

 

Auffassung des EuGH, der einzelnen Datenschutzbehörden und der Datenschutzkonferenz (DSK)

  • Nicht für alle Cookies benötigt man eine Einwilligung.

          Session-Cookies, Cookies für Logins oder Warenkörbe, die keine Daten weitergeben, können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein.

  • Tracking und Werbe-Cookies von Drittanbietern benötigen eine Einwilligung.

          Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen oder teilen.

 

Tracking

Mit der BGH-Rechtsprechung, die durch das Inkrafttreten des TTDSG am 1.12.2021 gesetzlich festgezurrt wurde, wird das Einholen einer Einwilligung für Tracking ausdrücklich vorgeschrieben.

Mit sogenannte Cookie-Consent-, bzw. Consent-Management Tools ist es möglich echte Einwilligungen für Cookies und Tracking-Tools einzuholen.

 

Planung des TTDSG für die Zukunft

Nutzer sollen künftig über sog. PIMS (Personal Information Management Service) ihre Einwilligung zentral für alle besuchten Webseiten erteilen können. Für diese PIMS soll es ein Anerkennungsverfahren geben.

Um PIMS Dienste anbieten zu dürfen, muss unter anderem folgendes beachtet werden:

  • Anbieter von PIMS-Diensten müssen sich akkreditieren lassen
  • Anbieter von PIMS-Diensten dürfen kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung haben.

Durch das Einwilligungsmanagement soll den Nutzern generell mehr Kontrolle über personenbezogene Daten und den Zugriff auf Informationen gegeben werden.

 

Artikel als PDF: >> TTDSG in Bezug auf Cookies und Tracking Tools <<

 

02.01.2023

kontrolle 02
Neue EU-Standardvertragsklauseln

der EU-Kommission

 

Am 4. Juli 2021 hatte die Europäische Kommission neue Standardvertragsklauseln erlassen. Diese müssen seit dem 27. September 2021 für neue Datentransfers eingesetzt werden.

 

Der Europäische Gerichtshof hat mit Urteil vom 16. Juli .2020, Az.: C 311/18 (Schrems-II-Urteil) die Standardvertragsklauseln für einen Datentransfer an Stellen in Drittländern zwar weiter für zulässig erklärt, aber festgestellt, dass die Vertragsklauseln allein oft nicht ausreichen, um bei einem Datentransfer an Stellen in Drittländern ein ausreichendes und den Anforderungen des Datenschutzrechts der Europäischen Union genügendes Datenschutzniveau zu gewährleisten.

Die Standardvertragsklauseln müssen deshalb in diesen Fällen durch zusätzliche Regelungen und Garantien ergänzt werden, um ein angemessenes Datenschutzniveau sicherzustellen.

 

Die Europäische Kommission hat zwei Sätze von Standardvertragsklauseln erlassen

 

  1. Datenübermittlung zwischen Verantwortliche und Auftragsverarbeiter in der EU/dem EWR

Diese Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern können als Alternative zu den bisherigen Verträgen für die Beauftragung von Auftragsverarbeitern gem. Art. 28 DSGVO innerhalb der Europäischen Union verwendet werden.

  1. Neue, überarbeitete Standardvertragsklauseln für den Drittlandtransfer

Damit wird den neuen Anforderungen der Datenschutzgrundverordnung (DSGVO) und dem „Schrems II“-Urteil des Europäischen Gerichtshofs Rechnung getragen und ein hohes Datenschutzniveau für die Bürgerinnen und Bürger sichergestellt.

Diese neuen Standardvertragsklauseln für den Drittlandtransfer traten am 27. Juni 2021 in Kraft und heben die bisherigen Standardvertragsklausen über die Datenübermittlung vom 15. Mai 2001 und über die Auftragsverarbeitung vom 5. Februar 2010 ab dem 27. September 2021 auf.

Ab dem 27. September 2021 dürfen diese Standardvertragsklauseln für neue Vertragsabschlüsse nicht mehr verwendet werden.

Für bereits bestehende Verträge nach den bisherigen Standardvertragsklauseln gilt eine Übergangsfrist bis zum 27. Dezember 2022, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Klauseln gewährleisten, dass die Übermittlung der personenbezogenen Daten geeigneten Garantien unterliegen, das heißt soweit erforderlich, durch eventuelle Zusatzvereinbarungen geeignete Garantien geschaffen sind.

Bis 27. Dezember 2022 müssen aber auch diese Verträge durch die neuen Standardvertragsklauseln ersetzt werden.

 

Pressemitteilung der EU-Kommission:

Durchführungsbeschlüsse und Vertragstexte der EU-Kommission

 


 

Ausführlicher Artikel als PDF:  >> Neue EU-Standardvertragsklauseln <<

 

 

 

 

08.06.2022

kontrolle 02

 

Länderübergreifende Kontrollen

durch die Datenschutzaufsichtsbehörden

Es dürfte kaum ein Unternehmen geben, das nicht von dem sogenannten „Schrems-II Urteil“ betroffen ist.

 

Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.

Das Ziel der koordinierten Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).

Vielen Unternehmern ist nicht bewusst, dass sie personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten lassen. Und sei es nur, weil sie Mail-Dienste, Software, Cloud-Server oder Konferenztools großer Anbieter nutzen. Seit dem vergangenen Juli reicht das sogenannte „Privacy Shield“-Abkommen als Grundlage für den Datentransfer in die USA nicht mehr aus. Das gilt auch für die Verwendung vorformulierter Standardvertragsklauseln. Eines der wichtigsten Kriterien ist dabei, dass in den USA Behörden und Geheimdiensten der Zugriff auf Daten ermöglicht werden muss.

Fragenkatalog zeigt Problembereiche

Unternehmer können sich vorab auch den gemeinsamen Fragenkatalog zur Umsetzung des Schrems II-Urteils ansehen, zum Beispiel unter https://datenschutz-hamburg.de/pages/fragebogenaktion/

 

 

 

 

07.02.2022

 

Wir von pro.DAT modernisieren die Schulungen für unsere Mandanten

 
Was heißt es genau?

Unseren Mandanten stehen die Datenschutzschulungen nun auch digital zur Verfügung.

Welche Vorteile hat es für die Mandanten?

Die Unternehmen sind flexibler.  schüler2


Das heißt:                      


- die Schulungszeiten,
- die Anzahl der zu schulenden Mitarbeiter,
- der Ort der Schulung


sind frei wählbar.

 

 


Somit ist die ganze Organisation der Datenschutzschulungen für die Unternehmer sehr viel einfacher, weil nicht mehr zu viele Mitarbeiter zur selben Zeit von ihrem Kerngeschäft ferngehalten werden müssen.

 

Wie viele Schulungen sind es und werden diese aktualisiert?

Unsere Schulungen werden regelmäßig nach aktuellen Rechtsprechungen und Anforderungen der Unternehmen aktualisiert.
Die Anzahl der Schulungen variiert je Unternehmen, weil wir neben den “Standards“ auch ganz gezielt auf besondere Ansprüche des jeweiligen Unternehmens eingehen.


Mindestens einmal jährlich sollten alle Mitarbeiter zum Thema Datenschutz geschult werden!

 

Bekommen die Unternehmer und deren Mitarbeiter Nachweise der Schulungen?

Wir von pro.DAT können zu jeder Zeit nachweisen, welche der uns gemeldeten Mitarbeiter an den Schulungen teilgenommen haben, wann sie teilgenommen haben und ob sie die Testfragen beantworten konnten und somit ein eindeutiges Zertifikat erhalten haben.


Die Unternehmen erhalten somit immer aktuelle Nachweise der zu schulenden Mitarbeiter.


Jedes Zertifikat ist mit einem automatisch generiertem Code ausgestattet, welcher wiederum einer bestimmten Schulung und Person zugeordnet ist. Auch wenn einmal ein Mitarbeiter sein Zertifikat verloren hat, ist es uns somit möglich, diesen Schulungs-Nachweis auch nachträglich neu zu erstellen.

 

Welches Verfahren verwendet pro.DAT für diese digitalen Schulungen?

Wir von pro.DAT verwenden ein Learning Management System (LMS).
Solch eine browserbasierte Lernplattform dient der Bereitstellung von Lernmaterialien und der Organisation von Lernvorgängen. Sie besteht aus einem Content-Management-System und Kommunikationsmöglichkeiten wie Foren zwischen Lehrenden und Lernenden und fungiert damit als Schnittstelle zwischen beiden.


Um unsere Schulungen möglichst lebendig zu gestalten, verwenden wir neben den Standardtexten und Bildern u.a. auch Multiple-Choice-Fragen und interaktive Videos.


Wir freuen uns sehr, dass wir unsere Schulungen nun flexibler und moderner anbieten können.


Mit freundlichen Grüßen


Ihr pro.DAT-Team