News

Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG

Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Betroffen von dieser Pflicht sind also etwa Unternehmen aus dem Bereich der digitalen Infrastruktur, wie z.B. Anbieter von Cloud-Computing-Diensten oder Betreiber öffentlicher Telekommunikationsnetze, wenn sie entgeltlich Waren oder Dienstleistungen anbieten, mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Mio. EUR und eine Jahresbilanzsummer von 43 Mio. EUR aufweisen und somit als besonders wichtige Einrichtungen gelten. Adressaten dieser Pflicht sind zudem wichtige Einrichtungen, zu denen u.a. Anbieter digitaler Dienste, wie beispielsweise Online-Marktplätze oder soziale Netzwerke gehören, wenn sie Waren oder Dienstleistungen entgeltlich anbieten und mindestens 50 Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanzsummer von jeweils über 10 Mio. EUR aufweisen.

§ 30 Abs. 2 BSIG enthält eine nicht abschließende Liste von Maßnahmen, die als Mindestvorgaben zu verstehen sind. Welche TOMs letztlich zu implementieren sind, hängt allerdings von verschiedenen Faktoren ab, insbesondere von einer vorab durchzuführenden Risikoanalyse, bei der die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen, ihre Auswirkungen sowie einrichtungsbezogene Faktoren zu berücksichtigen sind. Als Mindestmaßnahmen nennt § 30 Abs. 2 BSIG u.a. Konzepte zur Risikoanalyse, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, einen Plan zum Notfall- und Krisenmanagement, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, oder Konzepte für die Zugriffskontrolle.

In § 30 Abs. 3 und 4 BSIG wird zudem festgelegt, dass erlassene Durchführungsrechtsakte der Europäischen Kommission zur Festlegung der technischen und methodischen Anforderungen für bestimmte Sektoren Vorrang gegenüber den Regelungen des BSIG aufweisen. Insofern kann es sein, dass diese europäischen Durchführungsrechtsakte z.B. strengere Regelungen enthalten.

Die Umsetzung dieser TOMs ist als Nachweis nach § 30 Abs. 1 Satz 3 BSIG durch die verpflichteten Einrichtungen zu dokumentieren. Eine Nachweispflicht ergibt sich aus § 39 Abs. 1 BSIG auch für Betreiber kritischer Anlagen. Ähnlich wie die DSGVO in Art. 5 Abs. 2 DSGVO erlegt der Gesetzgeber den Betreibern auch im BSIG eine Rechenschaftspflicht auf. Diese Verpflichtung verfolgt unter anderem den Zweck, die in § 61 f. BSIG vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angeforderten Nachweise zur Erfüllung der Pflicht in § 30 Abs. 1 Satz 1 BSIG erbringen zu können. Das BSI wird in § 61 BSIG dazu ermächtigt, sich Nachweise über die Erfüllung von Audits und Prüfungen bezüglich der Umsetzung der Pflichten des § 30 Abs. 1 BSIG (Implementierung von TOMs) oder der Durchführung der Mängelbeseitigung von besonders wichtigen Einrichtungen zu verlangen. Allerdings legt § 61 Abs. 4 BSIG fest, dass das BSI nicht nach Belieben jede besonders wichtige Einrichtung dazu verpflichten kann, sondern vorab eine Risikoeinschätzung vornehmen muss, wobei das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen und ihre gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigt werden muss. Nach § 61 Abs. 5 BSIG hat das BSI zudem das Recht, unabhängig von dieser Risikoeinschätzung, jederzeit bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen des BSIG zu prüfen und sich auf Verlangen die in Betracht kommenden Unterlagen vorlegen lassen kann. Auch gegenüber wichtigen Einrichtungen können solche Maßnahmen angeordnet werden, wenn es Anhaltspunkte dafür gibt, dass diese z.B. eine Pflicht nach § 30 Abs. 1 Satz 1 BSIG nicht umsetzen. Eine zeitliche Grenze für die Dauer der Aufbewahrung von Nachweisen wird im Gesetz nicht erwähnt, sodass sich eine langfristige Verwahrung der Dokumente empfiehlt.

Die Nichteinhaltung dieser Nachweispflichten stellt eine Ordnungswidrigkeit dar (§ 65 Abs. 2 Nr. 2 BSIG), die nach § 65 Abs. 5 Nr. 1 BSIG bei besonders wichtigen Einrichtungen mit einer Geldbuße von bis zu 10 Mio. EUR und bei wichtigen Einrichtungen mit einer Geldbuße von bis zu 7 Mio. EUR geahndet werden kann.

In Anlehnung an praktische Nachweise zur datenschutzrechtlichen Rechenschaftspflicht in Art. 5 Abs 2 DSGVO lässt sich auch die in § 30 Abs. 1 Satz 3 BSIG normierte Dokumentationspflicht durch folgende Nachweise erfüllen:

  • Erstellung einer Liste der implementierten TOMs
  • Benennung einer Verantwortlichkeitsstruktur des Unternehmens mit Verweis auf die Geeignetheit und Zuverlässigkeit der entsprechenden Stellen
  • Implementierung von Unternehmensrichtlinien oder Organisationsanweisungen
  • Schulungskonzepte und Nachweis über durchgeführte Schulungen von Mitarbeitern
  • Checkliste, Merkblätter o.ä.
  • Nachweis bereits erfolgter Behördenprüfungen
  • Nachweis zu durchlaufenen Prüf- oder Zertifizierungsverfahren
  • Unterlagen zu durchgeführten Audits (z.B. Auditberichte)
  • Erfolgte Meldungen von Sicherheitsvorfällen
  • Nachweis über behobene Sicherheitsvorfälle / Schwachstellen
  • Nachweis über durchgeführte Testläufe

Empfehlungen für die Praxis:

Auch wenn das Gesetzgebungsverfahren zum neuen BSIG noch nicht abgeschlossen ist, sollten Unternehmen bereits jetzt Prozesse etablieren, um aktuelle Dokumentationsnachweise zu den TOMs erbringen zu können. Denn die hohen Bußgeldtatbestände zeigen die Wichtigkeit dieser Dokumentationspflichten auf, sodass auch mit der Verhängung empfindlicher Bußgelder zu rechnen ist. Zur Prävention empfiehlt sich deshalb unter anderem eine Bestandsaufnahme der bestehenden TOMs und einen Abgleich mit den Kriterien des § 30 Abs. 1 BSIG durchzuführen. Im Rahmen dieser Evaluation bietet es sich an, die oben genannten Dokumente, wie z.B. eine Liste der bestehenden TOMs oder Unterlagen zu durchgeführten Audits, zu erstellen.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.

Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs

Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig

EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?

Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.

LDA Brandenburg: BSI-Vorgaben zur IT-Sicherheit als „Stand der Technik“ nach Art. 32 DSGVO

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat am 10. November 2021 gegen einen Website-Betreiber eine Verwarnung nach Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen. Grund für die Verwarnung war insbesondere die Bereitstellung einer Upload-Funktion für Bilder, die nicht ausreichend gesichert war und über die es Angreifern möglich gewesen war, eine Kundendatenbank auszulesen.

Die Behörde sah darin eine Verletzung der Art. 25 Abs. 1 und Art. 32 Abs. 1 lit. b) DSGVO. Interessant an der Behördenentscheidung ist auch, dass diese einen Zusammenhang zwischen Art. 25 und Art. 32 DSGVO (Stand der Technik) und dem BSI-Grundschutz herstellt (hierzu sogleich mehr).

EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023

Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.