News
Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG
Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Betroffen von dieser Pflicht sind also etwa Unternehmen aus dem Bereich der digitalen Infrastruktur, wie z.B. Anbieter von Cloud-Computing-Diensten oder Betreiber öffentlicher Telekommunikationsnetze, wenn sie entgeltlich Waren oder Dienstleistungen anbieten, mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Mio. EUR und eine Jahresbilanzsummer von 43 Mio. EUR aufweisen und somit als besonders wichtige Einrichtungen gelten. Adressaten dieser Pflicht sind zudem wichtige Einrichtungen, zu denen u.a. Anbieter digitaler Dienste, wie beispielsweise Online-Marktplätze oder soziale Netzwerke gehören, wenn sie Waren oder Dienstleistungen entgeltlich anbieten und mindestens 50 Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanzsummer von jeweils über 10 Mio. EUR aufweisen.
§ 30 Abs. 2 BSIG enthält eine nicht abschließende Liste von Maßnahmen, die als Mindestvorgaben zu verstehen sind. Welche TOMs letztlich zu implementieren sind, hängt allerdings von verschiedenen Faktoren ab, insbesondere von einer vorab durchzuführenden Risikoanalyse, bei der die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen, ihre Auswirkungen sowie einrichtungsbezogene Faktoren zu berücksichtigen sind. Als Mindestmaßnahmen nennt § 30 Abs. 2 BSIG u.a. Konzepte zur Risikoanalyse, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, einen Plan zum Notfall- und Krisenmanagement, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, oder Konzepte für die Zugriffskontrolle.
In § 30 Abs. 3 und 4 BSIG wird zudem festgelegt, dass erlassene Durchführungsrechtsakte der Europäischen Kommission zur Festlegung der technischen und methodischen Anforderungen für bestimmte Sektoren Vorrang gegenüber den Regelungen des BSIG aufweisen. Insofern kann es sein, dass diese europäischen Durchführungsrechtsakte z.B. strengere Regelungen enthalten.
Die Umsetzung dieser TOMs ist als Nachweis nach § 30 Abs. 1 Satz 3 BSIG durch die verpflichteten Einrichtungen zu dokumentieren. Eine Nachweispflicht ergibt sich aus § 39 Abs. 1 BSIG auch für Betreiber kritischer Anlagen. Ähnlich wie die DSGVO in Art. 5 Abs. 2 DSGVO erlegt der Gesetzgeber den Betreibern auch im BSIG eine Rechenschaftspflicht auf. Diese Verpflichtung verfolgt unter anderem den Zweck, die in § 61 f. BSIG vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angeforderten Nachweise zur Erfüllung der Pflicht in § 30 Abs. 1 Satz 1 BSIG erbringen zu können. Das BSI wird in § 61 BSIG dazu ermächtigt, sich Nachweise über die Erfüllung von Audits und Prüfungen bezüglich der Umsetzung der Pflichten des § 30 Abs. 1 BSIG (Implementierung von TOMs) oder der Durchführung der Mängelbeseitigung von besonders wichtigen Einrichtungen zu verlangen. Allerdings legt § 61 Abs. 4 BSIG fest, dass das BSI nicht nach Belieben jede besonders wichtige Einrichtung dazu verpflichten kann, sondern vorab eine Risikoeinschätzung vornehmen muss, wobei das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen und ihre gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigt werden muss. Nach § 61 Abs. 5 BSIG hat das BSI zudem das Recht, unabhängig von dieser Risikoeinschätzung, jederzeit bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen des BSIG zu prüfen und sich auf Verlangen die in Betracht kommenden Unterlagen vorlegen lassen kann. Auch gegenüber wichtigen Einrichtungen können solche Maßnahmen angeordnet werden, wenn es Anhaltspunkte dafür gibt, dass diese z.B. eine Pflicht nach § 30 Abs. 1 Satz 1 BSIG nicht umsetzen. Eine zeitliche Grenze für die Dauer der Aufbewahrung von Nachweisen wird im Gesetz nicht erwähnt, sodass sich eine langfristige Verwahrung der Dokumente empfiehlt.
Die Nichteinhaltung dieser Nachweispflichten stellt eine Ordnungswidrigkeit dar (§ 65 Abs. 2 Nr. 2 BSIG), die nach § 65 Abs. 5 Nr. 1 BSIG bei besonders wichtigen Einrichtungen mit einer Geldbuße von bis zu 10 Mio. EUR und bei wichtigen Einrichtungen mit einer Geldbuße von bis zu 7 Mio. EUR geahndet werden kann.
In Anlehnung an praktische Nachweise zur datenschutzrechtlichen Rechenschaftspflicht in Art. 5 Abs 2 DSGVO lässt sich auch die in § 30 Abs. 1 Satz 3 BSIG normierte Dokumentationspflicht durch folgende Nachweise erfüllen:
- Erstellung einer Liste der implementierten TOMs
- Benennung einer Verantwortlichkeitsstruktur des Unternehmens mit Verweis auf die Geeignetheit und Zuverlässigkeit der entsprechenden Stellen
- Implementierung von Unternehmensrichtlinien oder Organisationsanweisungen
- Schulungskonzepte und Nachweis über durchgeführte Schulungen von Mitarbeitern
- Checkliste, Merkblätter o.ä.
- Nachweis bereits erfolgter Behördenprüfungen
- Nachweis zu durchlaufenen Prüf- oder Zertifizierungsverfahren
- Unterlagen zu durchgeführten Audits (z.B. Auditberichte)
- Erfolgte Meldungen von Sicherheitsvorfällen
- Nachweis über behobene Sicherheitsvorfälle / Schwachstellen
- Nachweis über durchgeführte Testläufe
Empfehlungen für die Praxis:
Auch wenn das Gesetzgebungsverfahren zum neuen BSIG noch nicht abgeschlossen ist, sollten Unternehmen bereits jetzt Prozesse etablieren, um aktuelle Dokumentationsnachweise zu den TOMs erbringen zu können. Denn die hohen Bußgeldtatbestände zeigen die Wichtigkeit dieser Dokumentationspflichten auf, sodass auch mit der Verhängung empfindlicher Bußgelder zu rechnen ist. Zur Prävention empfiehlt sich deshalb unter anderem eine Bestandsaufnahme der bestehenden TOMs und einen Abgleich mit den Kriterien des § 30 Abs. 1 BSIG durchzuführen. Im Rahmen dieser Evaluation bietet es sich an, die oben genannten Dokumente, wie z.B. eine Liste der bestehenden TOMs oder Unterlagen zu durchgeführten Audits, zu erstellen.
News
Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO
In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 03/2023) wurde der Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.
Wichtige Entscheidung der Vergabekammer des Bundeskartellamtes - Neue Argumente für den zulässigen Einsatz von EU-Tochtergesellschaften US-amerikanischer Unternehmen
Im letzten Jahr hatte die Entscheidung der Vergabekammer Baden-Württemberg zur Gleichsetzung einer theoretischen Zugriffsmöglichkeit bzw. des Zugriffsrisikos aus einem Drittland (z.B. den USA) mit einer Datenübermittlung im Sinne der DSGVO für Diskussionen gesorgt.
Dr. Carlo Piltz erneut als einer der führenden Namen in der aktuellen Ausgabe des Legal 500 Deutschland erwähnt
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland erneut unter den führenden Namen im Bereich Datenschutz vertreten ist.
Was müssen europäische Unternehmen bei Beschluss des Trans-Atlantic-Data- Privacy-Framework beachten?
Am 13. Dezember 2022 hat die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die USA mit der Bezeichnung EU-U.S.-Data-Privacy-Framework („DPF“) veröffentlicht und das Verfahren zu dessen Annahme eingeleitet (Pressemitteilung der Kommission).
Hinweisgeberschutz und das Recht auf Auskunft auf Kollisionskurs – Herausforderungen bei der parallelen Anwendung von Hinweisgeberschutz und Art. 15 DSGVO
Der Erlass und die Anwendbarkeit des deutschen Umsetzungsgesetzes zur Whistleblowing-Richtlinie (Richtlinie (EU) 2019/1937) ist endlich absehbar. Das bedeutet auch, dass die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für sehr viele deutsche Unternehmen (alle mit in der Regel mindestens 250 Beschäftigten) immer näher rückt.
Der Digital Services Act – Überblick zu den neuen Pflichten für digitale Marktplätze, Online-Plattformen und sonstigen Anbietern von Vermittlungsdiensten
Mit dem am 16. November 2022 in Kraft getretenen Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) führt der EU-Gesetzgeber harmonisierte Vorgaben für Anbieter von Vermittlungsdiensten im europäischen Binnenmarkt ein, um sowohl innovative digitale Dienste zu fördern als auch ein vertrauenswürdiges Online-Umfeld zu schaffen.