Karsten U. Bartels LL.M.

5. DFN-Konferenz Datenschutz, Hamburg // 30.11.2016

IT-Sicherheitsrecht für Anbieter von Telemedien Neue Anforderungen des Telemediengesetzes und der

Datenschutzgrundverordnung sowie Auswirkungen der

NIS-Richtlinie

Karsten U. Bartels LL.M.

Partner, Rechtsanwalt

Vorstand TeleTrusT – Bundesverband

IT-Sicherheit e. V.

Stellv. Vorsitzender Arbeitsgemeinschaft

IT-Recht im Deutschen Anwaltverein e. V.

Sachverständiger für IT-Produkte beim

ULD S-H (rechtlich)

Zert. Datenschutzbeauftragter (TÜV)

Geschäftsführer HK2 Comtection GmbH

1 Gesetze und Adressaten

2 IT-Sicherheitsmaßnahmen

3 Stand der Technik +

Angemessenheit

4 Dokumentation + Nachweis

5 Umsetzung intern + extern

IT-Sicherheit

IT-Sicherheitsgesetz (DE)

NIS-Richtlinie (EU)

Datenschutzgesetze (DE) DSGVO (EU)

untergesetzliche

Normen und Standards

Rechtsquellen

BSIG Art. 1

AtomG Art. 2

EnWiG Art. 3

TMG Art. 4

TKG Art. 5

Art. 6-10

IT-Sicherheitsgesetz (ITSiG)

KRITIS-Sektoren, § 2 Absatz 10 BSIG

BSIG Art. 1

KRITIS, § 2 (VO, § 10)

Auslandskooperation, § 3

Warnungen, § 7

Untersuchung von Produkten/ Systemen, § 7a

KRITIS: TOV, SdT (Soll), Branchenstandards, Nachweis,

§ 8a

Zentrale Melde-/Stelle für KRITIS, §§ 3, 8b

Ausnahmen Kleinst.Unt. und §§8a,b für gereg. Bereiche,

§ 8c

Lim. Auskunftsverlangen, § 8d

AtomG Art. 2

Meldepflicht § 44b

EnWiG Art. 3

BSI-Katalog: Überprüfungen, Verbindlichkeit

§ 11

Bes. Anf. an Schutz von TK

und DV § 1b

Meldepflicht (Schutz gg.

Offenbarung) §1c

TMG Art. 4

TOV, § 13

SdT zu berücksicht.

TKG Art. 5

VDS bei Angriffen

§ 100

TOV f. Netzbetreiber nun nach SdT

§ 109

Prüfung Umsetzung

Si.Konzept durch BNetzA

Meldepflicht an BNetzA und Info-

Weitergabe

Info der Dienstanbieter

an Nutzer § 109a IV

Art. 6-10

BBesG

BKAG: Daten-

Delikte erw.

BSIG

Geb.R.

Inkraft

IT-Sicherheitsgesetz (ITSiG)

BSIG Art. 1

KRITIS, § 2 (VO, § 10)

Auslandskooperation, § 3

Warnungen, § 7

Untersuchung von Produkten/ Systemen, § 7a

KRITIS: TOV, SdT (Soll), Branchenstandards, Nachweis,

§ 8a

Zentrale Melde-/Stelle für KRITIS, §§ 3, 8b

Ausnahmen Kleinst.Unt. und §§8a,b für gereg. Bereiche,

§ 8c

Lim. Auskunftsverlangen, § 8d

AtomG Art. 2

Meldepflicht § 44b

EnWiG Art. 3

BSI-Katalog: Überprüfungen, Verbindlichkeit

§ 11

Bes. Anf. an Schutz von TK

und DV § 1b

Meldepflicht (Schutz gg.

Offenbarung) §1c

TMG Art. 4

§ 13 Abs. 7 TMG

TOV, SdT zu berücksicht.

TKG Art. 5

VDS bei Angriffen

§ 100

TOV f. Netzbetreiber nun nach SdT

§ 109

Prüfung Umsetzung

Si.Konzept durch BNetzA

Meldepflicht an BNetzA und Info-

Weitergabe

Info der Dienstanbieter

an Nutzer § 109a IV

Art. 6-10

BBesG

BKAG: Daten-

Delikte erw.

BSIG

Geb.R.

Inkraft

IT-Sicherheitsgesetz (ITSiG)

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

§ 13 Abs. 7 Telemediengesetz (TMG)

Telemedien/ -diensteanbieter

§ 1 Abs. 1 TMG: … elektronischen

Informations- und

Kommunikationsdienste, soweit sie

nicht Telekommunikationsdienste…

§ 2 Ziff. 1 TMG: jede natürliche oder

juristische Person, die eigene oder

fremde Telemedien zur Nutzung

bereithält oder den Zugang zur

Nutzung vermittelt …

„geschäftsmäßig“ und „im Rahmen

ihrer jeweiligen Verantwortlichkeit“

i. S. v. § 13 Abs. 7 TMG

§ 13 Abs. 7 TMG: Sicherung der technischen

Einrichtungen der Telemedienangebote gegen …

… unerlaubte

Zugriffe

… Verletzung des Schutzes

personenbezogener Daten

… Störungen, auch durch

äußere Angriffe

Technische und organisatorische Vorkehrungen (TOV)

Stand der Technik

§ 13 Abs. 7 TMG: Sicherung der technischen

Einrichtungen der Telemedienangebote gegen …

… unerlaubte

Zugriffe

… Verletzung des Schutzes

personenbezogener Daten

… Störungen, auch durch

äußere Angriffe

Technische und organisatorische Vorkehrungen (TOV)

Stand der Technik berücksichtigen

technisch möglich wirtschaftlich zumutbar

§ 13 Abs. 7 TMG: Sicherung der technischen

Einrichtungen der Telemedienangebote gegen …

… unerlaubte

Zugriffe

… Verletzung des Schutzes

personenbezogener Daten

… Störungen, auch durch

äußere Angriffe

Limitierte Schutzbedarfsanalyse

Technische und organisatorische Vorkehrungen (TOV)

Stand der Technik berücksichtigen

Dokumentation

technisch möglich wirtschaftlich zumutbar

… der Entwicklungsstand fortschrittlicher Verfahren, Ein-

richtungen oder Betriebsweisen, der die praktische Eignung einer

Maßnahme zum Schutz der Funktionsfähigkeit von

informationstechnischen Systemen, Komponenten oder Prozessen

gegen Beeinträchtigungen der Verfügbarkeit, Integrität,

Authentizität und Vertraulichkeit gesichert erscheinen lässt.

Begründung zu § 8a BSIG:

Stand der Technik ist …

Stand von Wissenschaft und Forschung

Stand der Technik

Anerkannte Regeln der Technik

innerhalb/ außerhalb der Branche

national/ international

Bewertung/ Messung

Ermittlungsanforderungen gelten auch i. R. v. § 8a Abs. 2 BSIG

Beratung

Arbeitshilfen

Dokumentation

Nachweis

Ermittlung des

Stands der Technik

„Absicherung von Telemediendiensten nach dem Stand der

Technik“ vom 27.09.2016

Stellungnahme TeleTrusT – Bundesverband IT-Sicherheit e. V.

vom 13.08.2016 zum Diskussionspapier (07/2016)

BSI Empfehlung für Internet-Dienstleister

Handreichung zum "Stand der Technik“

des TeleTrusT – Bundesverband IT-

Sicherheit e. V.

Arbeitskreis Stand der Technik

https://www.teletrust.de/arbeitsgruppen/rec

ht/stand-der-technik/

EU NIS-Richtlinie

network and information security directive

In Kraft seit 08.08.2016

Umsetzung bis 09.05.2018

Adressat Juristische Personen + Entgeltlichkeit

Keine Kleinst-/ Kleinunternehmer

Anbieter digitaler Dienste (Anhang III)

Online-Markplätze

Suchmaschinen

Cloud-Services

Meldepflicht an zust. Behörde oder CSIRT

TOM Berücksichtigen Stand der Technik

Business Continuity Management, Notfall-Konzept, Einhaltung internationaler Normen

NIS Richtlinie 2016/1148

Kap. V, Art. 16 ff.

EU Datenschutz-Grundverordnung (DSGVO)

Art. 32 Abs. 1-3 DSGVO

Sicherheit der Verarbeitung

Geeignete technische und organisatorische Maßnahmen (TOM)

Stand der Technik

berücksichtigen

Implementierungskosten

Art, Umfang, Umstände, Zweck der Verarbeitung

Eintrittswahrscheinlichkeit und Schwere des Risikos

einer Rechtsverletzung (Schutzbedarfsanalyse)

Kompromittierungsrisiko

Rechenschaftspflicht

Art. 5 Abs. 2

Nachweis durch genehm. Verhaltensregeln oder

Zertifizierungsverfahren

Katalogmaßnahmen

Gewährleistung eines dem Risiko angemessenen

Schutzniveaus

Bußgeld gemäß Art. 83 Abs. 4 lit. b

Höhe bis: 10 Mio. Euro bzw. 2% des weltweiten

Vorjahresumsatzes

Folgen von Verstößen gegen Art. 32 DSGVO

(1) Unter Berücksichtigung des Stands der Technik, der

Implementierungskosten und der Art, des Umfangs, der

Umstände und der Zwecke der Verarbeitung sowie der

unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der

mit der Verarbeitung verbundenen Risiken für die Rechte und

Freiheiten natürlicher Personen trifft der Verantwortliche sowohl

zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als

auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete

technische und organisatorische Maßnahmen — wie z. B.

Pseudonymisierung — trifft, die dafür ausgelegt sind, die

Datenschutzgrundsätze wie etwa Datenminimierung wirksam

umzusetzen und die notwendigen Garantien in die Verarbeitung

aufzunehmen, um den Anforderungen dieser Verordnung zu

genügen und die Rechte der betroffenen Personen zu

schützen…

Art. 25 DSGVO

Datenschutz durch Technikgestaltung und durch

datenschutzfreundliche Voreinstellungen

Plattform „Verbraucherpolitik in der digitalen Welt“

Fokusgruppe „Privacy by Design/Datenschutz durch Technik“

Thesenpapier zu Privacy by Design vom 16.11.2016

Download via BMJV

Nationaler IT-Gipfel 2016

Umsetzung

Differenzanalyse SOLL – IST

Datenschutz- und IT-Sicherheitskonzepte anpassen

konsolidierte Planung und Umsetzung

Dokumentation

Schulung

IT-Sicherheit und Datenschutz als Leitungsaufgabe

Umsetzung intern:

Anpassung von Verträgen mit IT-Sicherheitsbezug

Aus ADV wird AV GVO-konforme A(D)V-Vereinbarungen schließen/ anpassen

Support-Verträge inkl. Verträge

Ausschreibungen anpassen

Produktbeschreibungen + Technische Feinspezifikationen

Lasten-/ Pflichtenhefte, SLA

Vertragsanlagen IT-Sicherheit oder Datenschutz

Umsetzung prüfen

Umsetzung extern:

Sicherungsklauseln

Konkrete Verpflichtung auf den Stand der Technik

Kontrolle durch:

Information

Dokumentation

Offenlegung/ Zugang

Zugriff

Audit

Anpassung während der Laufzeit

Absicherung durch Vertragsstrafen, Schadenspauschalen etc.

Geheimhaltungsklauseln

No-Spy-Klauseln

Outsourcen

Achtung:

Wenn personenbezogene Daten

betroffen sind, gilt § 13 Abs. 7 S. 1

Nr. 2a TMG

Aber: Pflichten aus § 11 BDSG

Lösung: Abschluss einer

modifizierten ADV-Vereinbarung

Haben Sie Fragen?

hk2.eu/newsletter