Informationen zum Datenschutz I September 2016 IT-Sicherheitsgesetz Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten, mit dem die Sicherheit von informationstechnischen Systemen in Deutschland verbessert werden soll. Das IT-Sicherheitsgesetz ist ein sogenanntes „Artikelgesetz“, durch das einzelne Paragrafen in mehreren bereits vorhandenen Gesetzen geändert werden. Konkret beinhaltet das ITSicherheitsgesetz vor allem wichtige Änderungen für Betreiber kritischer Infrastruktur im Gesetz über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG). Daneben werden durch das IT-Sicherheitsgesetz aber auch Vorschriften im Atomgesetz und im Energiegesetz sowie im Telekommunikationsgesetz und im Telemediengesetz verändert bzw. hinzugefügt. Dadurch ergibt sich auch Handlungsbedarf für Unternehmen, die keine kritischen Infrastrukturen betreiben, beispielsweise die Betreiber von Internetseiten. Welche Anforderungen ergeben sich für Betreiber von Internetauftritten aus dem IT-Sicherheitsgesetz? Betreiber von Internetseiten unterfallen als Diensteanbieter dem Telemediengesetz (TMG). Damit gelten für sie auch jene Anforderungen des TMG, die durch das IT-Sicherheitsgesetz neu eingefügt wurden. Konkret müssen Betreiber von geschäftsmäßig angebotenen Internetseiten gemäß des § 13 Abs. 7 TMG n.F. sicherstellen, dass kein unerlaubter Zugriff auf die für ihre Internetseiten genutzten technischen Einrichtungen möglich ist und Störungen vermieden werden. Ein wesentliches Ziel der Regelung ist es, einen der Hauptverbreitungswege von Schadsoftware einzudämmen: das unbemerkte Herunterladen durch das bloße Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sogenannte Drive-by-Downloads). Diese Gefahr soll nach der Konzeption des TMG durch geeignete technische und organisatorische Vorkehrungen reduziert werden, wobei die Vorkehrungen dem „Stand der Technik“ zu entsprechen haben. Entsprechend müssen alle Unternehmen genau prüfen, ob ihre für die Internetseiten genutzten technischen Einrichtungen (Server, Firewalls, etc.) diese Kriterien erfüllen. Ausgehend von der Gesetzesbegründung zählt hierzu beispielsweise auch, Werbedienstleister, denen Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten. www.brandi.net Verstößt ein Unternehmen gegen die Pflicht zur Vornahme entsprechender Maßnahmen, kann dies gemäß § 16 Abs. 2 Nr. 3 i.V.m. § 16 Abs. 3 TMG ein Bußgeld von bis zu 50.000 Euro zur Folge haben. Wann entsprechen technische Einrichtungen dem „Stand der Technik“? Das IT-Sicherheitsgesetz selbst enthält keine klaren Bewertungskriterien, aus denen sich Mindestanforderungen an den geforderten „Stand der Technik“ ergeben. Eine Definition liefert jedoch das Bundesministerium für Justiz und Verbraucherschutz (BMJV). Danach ist unter „Stand der Technik“ der „Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen zu verstehen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt.“ Weiter erläutert das BMJV, dass Verfahren, Einrichtungen und Betriebsweisen sich in der Praxis bewährt haben oder, wenn dies noch nicht der Fall ist, zumindest im Betrieb mit Erfolg erprobt worden sein sollten. Der TeleTrust - Bundesverband IT-Sicherheit e.V. (TeleTrust) hat eine 64-seitige Handreichung veröffentlicht, in der ausgehend von den Ausführungen des BMJV die erforderlichen Sicherheitsmaßnahmen umschrieben und erläutert werden. Dabei werden einzelne Systeme und Komponenten hinsichtlich der derzeit verbreiteten Bedrohungen und möglicher Gegenmaßnahmen analysiert. Zu jeder Bedrohung für die IT-Sicherheit werden konkrete technische und organisatorische Vorkehrungen beschrieben, die dem aktuellen Stand der Technik entsprechen und somit zur Abwehr der Bedrohungen geeignet sind. So finden sich beispielsweise Hinweise zur sicheren Vernetzung des Internetzugangs sowie des Servers und des Zugangsclients einschließlich Anforderungen an die Firewall. Diensteanbieter müssen aber nicht den gesamten Katalog der in der Handreichung beschriebenen Vorkehrungen umsetzen. Gemäß § 13 Abs. 7 TMG müssen zur Sicherstellung der IT-Sicherheit vielmehr nur die Vorkehrungen getroffen werden, die „technisch möglich und wirtschaftlich zumutbar“ sind. Informationen zum Datenschutz I September 2016 Ausblick Vor dem Inkrafttreten des IT-Sicherheitsgesetzes ergaben sich aus dem TMG nur wenige gesonderte Anforderungen an die Sicherung von IT-Systemen. Die meisten Unternehmen konnten sich somit vor allem auf die Umsetzung der Anforderungen des Bundesdatenschutzgesetzes (BDSG) und der dort geforderten technischen und organisatorischen Maßnahmen konzentrieren. Nach Inkrafttreten des IT-Sicherheitsgesetzes müssen Unternehmen mit ihrem IT-Sicherheitskonzept regelmäßig sowohl die Anforderungen des § 9 BDSG (technische und organisatorische Maßnahmen) als auch die neuen Anforderungen in § 13 Abs. 7 TMG (technische und organisatorische Vorkehrungen) erfüllen. Der Hauptunterschied liegt darin, dass gemäß des § 13 Abs. 7 Nr. 2 b) TMG n.F. auch Schutzmaßnahmen gegen reine Störungen der IT-Systeme vorgeschrieben sind. Hierdurch kommt letztlich zum Ausdruck, dass durch das IT-Sicherheitsgesetz in zumutbarem Maße auch die reine Verfügbarkeit der IT-Systeme sichergestellt werden soll. Unternehmen sollten das IT-Sicherheitsgesetz zum Anlass nehmen, um die eigenen IT-Systeme auf Wirksamkeit und Aktualität zu überprüfen. In diesem Zusammenhang sollte auch eine realistische Einschätzung der getroffenen Sicherheitsmaßnahmen im Hinblick auf die Anforderungen an den „Stand der Technik“ erfolgen. Diesbezüglich bietet es sich an, die eingesetzten Maßnahmen anhand von Checklisten oder Handreichungen zu überprüfen und das Ergebnis der Überprüfung auch zu dokumentieren. Diese Tätigkeiten werden dabei typischerweise begleitet von dem Datenschutzbeauftragten und – sofern vorhanden – dem IT-Sicherheitsbeauftragten. Robert Bommel LL.M., BRANDI Rechtsanwälte [email protected] www.brandi.net Kontakt: BRANDI Rechtsanwälte Partnerschaft mbB Dr. Sebastian Meyer, LL.M. Rechtsanwalt Datenschutzauditor (TÜV) Adenauerplatz 1 33602 Bielefeld Tel.: +49 (0) 521 / 96535 – 812 Fax: +49 (0) 521 / 96535 – 115 Mail: [email protected] Web: www.brandi.net
© Copyright 2024 ExpyDoc
