Beschäftigtendatenschutz – Worauf müsst ihr achten?

Beschäftigtendatenschutz – Worauf müsst
ihr achten? Handlungshilfen für Euch
Jörg Schlißke
Zur Person
TÜV Informationstechnik GmbH
TÜV NORD GROUP
Jörg Schlißke, LL.B.
IT Security
Business Security & Privacy
Fachstelle für Datenschutz
Telefon:
Mobil:
E-Mail:
URL:
24.10.2015
+49 201 8999 – 533
+49 160 888 – 5643
[email protected]
www.tuvit.de
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
1
Über TÜViT
 TÜViT – Der Trust Provider für Qualität und Sicherheit
in der Informationstechnik
 Neutral, objektiv und unabhängig von:
 Herstellern,
 Entwicklern,
 Aktionären / Mitglieder
 Interessengruppen oder
 Regierungen
 TÜViT ist ein privatwirtschaftliches Unternehmen, das
Produkte weder entwickelt noch verkauft
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
2
Agenda
 Beschäftigtendatenschutz
 Personalakte
 Personalaktenführung
 Rechte des Betriebsrates
 Rechtsprechung
 Das „neue“ IT-Sicherheitsgesetz (ITSiG)
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
3
Beschäftigtendatenschutz
Beschäftigtendatenschutz
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
4
Beschäftigtendatenschutz
Allgemeine Feststellumgen
Arbeitgeber
Pflicht/Interesse, Informationen über die
Beschäftigten zu erheben und zu speichern
Arbeitnehmer
Interesse an Richtigkeit, Auskunft und Korrektur
Betriebsrat
Pflicht zur Förderung der Persönlichkeitsrechte
durch Kontroll- und Einflussmöglichkeiten
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
5
Beschäftigtendatenschutz
Allgemeine Feststellungen
Datenschutzrechtliche Beziehung zwischen
Arbeitgeber und Arbeitnehmer:
Individualrecht, geregelt durch das Bundesdatenschutzgesetz (BDSG) und bereichsspezifische Regelungen
Nach BDSG ist die Datenverarbeitung
grundsätzlich erlaubt für:
 Begründung
 Durchführung oder
 Beendigung Beschäftigungsverhältnisses
 zur Aufdeckung von Straftaten
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
6
Beschäftigtendatenschutz
Allgemeine Feststellungen
Datenschutzrechtliche Beziehung zwischen
Arbeitgeber und Arbeitnehmer:
Individualrecht, geregelt durch das Bundesdatenschutzgesetz (BDSG) und bereichsspezifische Regelungen
Beispiel: Grundsätze des Personalakteneinsichtsrechts, u.a. basierend auf
 Fürsorgepflicht, § 75 II BetrVG
 § 83 BetrVG (Einsicht, Gegendarstellung)
 BGB (Korrekturrechte, Schadensersatz etc.)
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
7
Beschäftigtendatenschutz
Allgemeine Feststellungen
Kontroll- und Mitbestimmungsrechte der
Mitarbeitervertretung:
Kollektivrecht, geregelt durch das
Betriebsverfassungsgesetz (BetrVG),
z.B. in Form einer Betriebsvereinbarung
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
8
Beschäftigtendatenschutz
Personalakte
Personalakte
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
9
Beschäftigtendatenschutz
Personalakte
Zur Personalakte zählen alle
Aufzeichnungen, die sich mit der Person
des Arbeitnehmers und dem Inhalt und
Verlauf seines Beschäftigungsverhältnisses befassen – unabhängig davon, in
welcher Form oder unter welcher
Bezeichnung die Daten gespeichert sind.
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
10
Beschäftigtendatenschutz
Personalakte
Zur Personalakte zählen alle
Aufzeichnungen, die sich mit der Person
des Arbeitnehmers und dem Inhalt und
Verlauf seines Beschäftigungsverhältnisses befassen – unabhängig davon, in
welcher Form oder unter welcher
Bezeichnung die Daten gespeichert sind.
Dazu zählen:
 Personalunterlagen
 Entscheidungsgründe
 Dienstliche Beurteilungen
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
11
Beschäftigtendatenschutz
Personalakte
Zur Personalakte zählen alle
Aufzeichnungen, die sich mit der Person
des Arbeitnehmers und dem Inhalt und
Verlauf seines Beschäftigungsverhältnisses befassen – unabhängig davon, in
welcher Form oder unter welcher
Bezeichnung die Daten gespeichert sind.
Dazu zählen nicht!!!:
 Ermittlungen
 Prüfungsakten
 Sicherheitsakten
 Personalplanungen
 Prozessakten
 Zeugnisentwürfe
 Vorüberlegungen zu Stellenbesetzungen
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
12
Beschäftigtendatenschutz
Personalaktenführung
Transparenz
Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft
Richtigkeit/Aktenwahrheit
Gegendarstellung, Korrektur, Entfernung, Löschung
Zulässigkeit/Zweckbindung
Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft
Vertraulichkeit
Zugriffs- und Übermittlungsverbot, organisatorische Abschottung
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
13
Beschäftigtendatenschutz
Personalaktenführung
Transparenz
Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft
 Die Einsichtnahme und inhaltliche Korrektur der Personalakte
durch den Betroffenen gehört zu den grundlegenden
Datenschutzrechten im Beschäftigungsverhältnis.
 Sie dient der Gefahrenbegegnung des Betroffenen vor
unzutreffenden oder unzulässigen Unterlagen
(Nachteilsvorbeugung).
 Sie leistet Beitrag zur Richtigkeit der gesammelten Daten.
 Sie ermöglicht die Kenntnisnahme der Inhalte.
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
14
Beschäftigtendatenschutz
Personalaktenführung
Richtigkeit/Aktenwahrheit
Gegendarstellung, Korrektur, Entfernung, Löschung
 Die Personalakte muss ein zutreffendes Bild des
Beschäftigten zeigen.
 Keine Aufnahme unzulässiger und damit rechtswidriger
Daten.
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
15
Beschäftigtendatenschutz
Personalaktenführung
Zulässigkeit/Zweckbindung
Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft
 Die Datenerhebung ist immer zulässig, soweit sie rechtmäßig
ist.
 Wahrung des Persönlichkeitsschutzes
 Schutz vor Diskriminierung
 Wahrung des Grundsatzes der Verhältnismäßigkeit
Hinsichtlich der Frage, welche Daten genutzt werden dürfen,
ist auf die Grundsätze, die in der Rechtsprechung zum Fragerecht des Arbeitgebers bzw. zur Offenbarungspflicht des
Arbeitnehmers entwickelt worden sind, zurückzugreifen.
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
16
Beschäftigtendatenschutz
Personalaktenführung
Vertraulichkeit
Zugriffs- und Übermittlungsverbot, org. Abschottung
 Der Zugriff auf Personalakten darf nur für solche Beschäftigte
und auf solche Daten eröffnet werden, soweit dies im Rahmen
der Personalverwaltung erforderlich ist.
 Trennung besonders sensibler Daten (z.B. Angaben über
Abmahnungen) von anderen Daten und Vorgängen.
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
17
Beschäftigtendatenschutz
Rechte des Betriebsrates
Der Mitarbeitervertretung steht kein generelles, von konkreten,
gesetzlich zugewiesenen Aufgaben losgelöstes Informationsrecht
durch Zugriff auf die Personalakten oder ein Personalinformationssystem zu.
 Arbeitgeber und Betriebsrat müssen die freie Entfaltung der
Persönlichkeit der Mitarbeiter wahren und fördern.
(§ 75 Abs. 2 BetrVG)
 Der Betriebsrat achtet darauf, dass die Personaldatenverarbeitungen den gesetzlichen Anforderungen genügen.
 Eine daraus resultierende Betriebsvereinbarung ist betriebsinternes Datenschutzrecht und eine spezielle Erlaubnisnorm
im Sinne von § 4 Abs. 1 BDSG.
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
18
Beschäftigtendatenschutz
Rechte des Betriebsrates
BetrVG
Inhalt der Bestimmung
§ 75 II
Schutz und Förderung der freien Entfaltung der Persönlichkeit
der Arbeitnehmer
§ 80 I
Kontrolle der Einhaltung sämtlicher zu Gunsten der Arbeitnehmer
bestehender Datenschutzregelungen
§ 83
Einsicht in die Personalakten
§ 90
Unterrichtung und Beratung über die Auswirkungen geplanter
neuer Techniken
§ 87 I
Mitbestimmung beim Einsatz neuer Überwachungseinrichtungen;
d.h. auch bei jeder automatisierten Verarbeitung von Arbeitnehmerdaten mit der Möglichkeit der Leistungs- und Verhaltenskontrolle
§ 94 I
Mitbestimmung bei formalisierter Erhebung von Arbeitnehmerdaten
§ 94 II
Mitbestimmung bei der Gestaltung von Beurteilungsgrundsätzen
§ 95 I
Mitbestimmung bei der Gestaltung von Auswahlrichtlinien
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
19
Beschäftigtendatenschutz
Rechtsprechung
 OVG Münster: Urteil vom 09.05.2011 - 1 A 440/10
Das dem Betriebsrat des Betriebs, in dem der Beamte die zugewiesene
Tätigkeit ausübt zukommende Recht zur Stellungnahme beinhaltet keinen
Anspruch auf Einsicht in Personalakten und insbesondere ärztliche Gutachten.
Gleichwohl ist der Betriebsrat möglichst umfassend über die Gründe der
Zurruhesetzung zu unterrichten, soweit dadurch nicht das allgemeine
Persönlichkeitsrecht des Beamten verletzt wird.
aber!
 § 83 Einsicht in die Personalakten
(1) Der Arbeitnehmer hat das Recht, in die über ihn geführten Personalakten
Einsicht zu nehmen. Er kann hierzu ein Mitglied des Betriebsrats
hinzuziehen. Das Mitglied des Betriebsrats hat über den Inhalt der
Personalakte Stillschweigen zu bewahren, soweit es vom Arbeitnehmer im
Einzelfall nicht von dieser Verpflichtung entbunden wird.
(2) Erklärungen des Arbeitnehmers zum Inhalt der Personalakte sind dieser auf
sein Verlangen beizufügen.
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
20
IT-Sicherheitsgesetz (ITSiG)
IT-Sicherheitsgesetz
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
21
IT-Sicherheitsgesetz (ITSiG)
Vorkommnisse












1977 - Einbruch im Computer der US AIRFORCE
1986 - NASA Hack
1994 - Betriebsspionage bei Siemens (ICE)
2000 - „I Love You“ oder „In einem Tag um die Welt...“
2009 - Conficker, Befall u.a. bei Bundeswehr, brit. u. franz. Armee
2010 - zunehmend Industrie-Malware (Stuxnet, Duqu, Flame)
2013 - Entwendung von Kundendaten bei Vodafone und Telekom
2014 - Viren in kostenlosen Smartphone-Apps
2014 - Datendiebstahl von Sony-Servern (100 Terabyte)
2015 - Ausfall der französischen Sendergruppe TV5 Monde
2015 - Angriff auf Datennetz des Bundestags mit Spähprogramm
2015 - Cyberattacke auf Personalverwaltung der US-Regierung
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
22
IT-Sicherheitsgesetz (ITSiG)
Entwicklung von IT-Sicherheitsereignissen
Häufigste IT-Sicherheitsvorfälle in Unternehmen (2014/2015)
Quelle: Statista 2015
Diebstahl von IT- oder TK-Geräten
28%
Social Engineering
19%
Diebstahl elektronischer Dokumente
17%
Sabotage IT-Systemen, Prozesse
16%
Diebstahl physicher Dokumente
8%
Ausspähen elektr. Kommunikation
8%
Folgeschäden durch
einen Cyberangriff
Quelle: Kaspersky 2014
24.10.2015
14%
Abhören von Besprechungen
33.000 €
Kleine und mittlere
Unternehmen
363.000 €
41.000 €
Mittelständische
Unternehmen
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
Großunternehmen
23
IT-Sicherheitsgesetz (ITSiG)
Entwicklung von IT-Sicherheitsereignissen
Auftreten von Computerkriminalität nach Branchen (2014 / 2015)
Quelle: Statista 2015
Automobilbau
68%
Chemie und Pharma
66%
Finanz und Versicherungswesen
Medien und Kultur
58%
Gesundheit
58%
IT und Telekommunikation
52%
Handel
52%
Gesamt
51%
Transport und Verkehr
24.10.2015
60%
48%
Energie- und Wasserversorger
45%
Ernährung
44%
Maschinen- und Anlagenbau
44%
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
24
IT-Sicherheitsgesetz (ITSiG)
Ziele des IT-Sicherheitsgesetzes

Mindestanforderungen an IT-Sicherheit für KRITIS, gesetzlich verankern

Sicherheit informationstechnischer Systeme in Deutschland verbessern

im Hinblick auf Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität

Aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam
begegnen

Verstärkter Schutz der Bürgerinnen und Bürger im Internet

Verbesserung der IT-Sicherheit von Unternehmen

Stärkung des BSI und des Bundeskriminalamtes (BKA)

Besondere Aufmerksamkeit gilt KRITIS-Betreibern
24.10.2015

Kommunikation mit BSI ausbauen
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
Integrität
Mindestniveau an IT-Sicherheit schaffen
Authentizität

Verfügbarkeit
Unterschiedlichste Sicherheitsniveaus
Vertraulichkeit

IS-Sicherheit
25
IT-Sicherheitsgesetz (ITSiG)
Entwicklung des IT-Sicherheitsgesetzes




03/2013:
12/2013:
08/2014:
12/2014:





02/2015:
03/2015:
04/2015:
06/2015:
07/2015:

Ende 2015:

Mitte 2016:

Ende 2018:
24.10.2015
Referentenentwurf des BMI
Entwurf IT-Sicherheitskatalog der BNetzA
Referentenentwurf I
Beschlussfassung des Bundeskabinetts
(mehr Datenschutz für betroffene Firmen)
Stellungnahme der Bundesregierung, Übergabe an BT
1. Beratung im Bundestag
Öffentliche Anhörung
Beschluss des Bundesrats
Verabschiedung im Bundesrat  Inkrafttreten
Verordnung: Spezifizierung von KRITIS-Betreibern – 1. Korb
(Energie, IKT, Ernährung, Wasser)
Verordnung: Spezifizierung von KRITIS-Betreibern – 2. Korb
(Transport & Verkehr, Finanzen, Gesundheit)
ITSiG in allen Sektoren umgesetzt
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
26
IT-Sicherheitsgesetz (ITSiG)
Umfang des IT-Sicherheitsgesetzes
 Gesetz zur Erhöhung der Sicherheit informationstechnischer
Systeme
 kein eigenständiges Gesetz, sondern Artikelgesetz
 Sammlung von Änderungen und Erweiterungen bereits
bestehender Gesetze
 Findet lediglich Anwendung für KRITIS-Betreiber
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
BBesG
BKAG
BGebG
Bundeskriminalamtgesetz
Bundesgebührengesetz
TKG
Bundesbesoldungsgesetz
TMG
Telekommunikationsgesetz
EnWG
Energiewirtschaftsgesetz
AtG
Atomgesetz
Bereits bestehende
Gesetze
BSIG
Gesetz zur Stärkung
der Sicherheit in der
Informationstechnik
Änderungen und
Erweiterungen
Telemediengesetz
IT-Sicherheitsgesetz (ITSiG)
27
IT-Sicherheitsgesetz (ITSiG)
Übersicht Kritischer Infrastrukturen (KRITIS)




Institutionen mit zentraler Bedeutung für das staatliche Gemeinwesen
Einrichtungen, Anlagen oder Teile aus verschiedenen Sektoren und Branchen
sind häufig vernetzt und voneinander abhängig  Risiko: Kaskadeneffekt
Ausfälle oder Beeinträchtigungen bedeuten nachhaltig erhebliche
Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit
 Schwerpunkt auf Versorgung der Gesellschaft mit wichtigen Dienstleistungen
(Top-Down)
 Qualität: Dienstleistungen in KRITIS-Sektoren, relevant für Versorgungskette
 Quantität: Schwellwerte innerhalb dieser Dienstleistungen werden getroffen
 In Summe geschätzte (lt. ITSiG) 2.000 KRITIS-Betreiber
 Ende 2015 soll BMI mit Rechtsverordnung konkrete Abgrenzungen der
KRITIS-Betreiber genauer festlegen
 Outsourcing schützt nicht vor KRITIS-Status!
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
28
IT-Sicherheitsgesetz (ITSiG)
Übersicht Kritischer Infrastrukturen (KRITIS)
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
29
IT-Sicherheitsgesetz (ITSiG)
Beispiel zur Identifikation relevanter KRITIS-Anlagen
KRITIS-Sektor: Energie
Branche / Dienstleistung Prozessschritte
Anlagentypen
Stromversorgung
Erzeugung
Kraftwerke, dezentrale
Energieerzeugungsanlagen
Übertragung
Übertragungsnetze,
Strombörsen,
Speicherkraftwerke
Verteilung
Verteilnetze,
Stromanschlüsse
Förderung
Gasaufbereitungsanlagen
Transport
Ferngasnetze, Speicher,
Börsen
Verteilung
Verteilnetze, Anschlüsse
Gasversorgung
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
30
IT-Sicherheitsgesetz (ITSiG)
Nicht erfasste KRITIS-Anlagen
 Von der Anwendbarkeit (§§ 8a und 8b) ausgeschlossen
 „…die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die
mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind“
 Kleinstunternehmen i. S. d. Empfehlung 2003/361/EG der EU-Kommission
(< 10 Mitarbeiter, < 2 Mio. € Jahresumsatz bzw. Jahresbilanzsumme)
 Betreiber öffentlicher TK-Netze oder öffentlich zugänglicher TK-Dienste
 Sicherheitskonzept [§ 109 TKG-E]
 Betreiber von Energieversorgungsnetzen oder Energieanlagen i. S. d.
EnWG IT-Sicherheitskatalog [§ 11 (1b) EnWG-E]
 Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes
 Leitfaden für Sicherheitsüberprüfungen [§ 19a (1) AtG]
 sonstige KRITIS-Betreiber mit vergleichbaren oder weitergehenden
Anforderungen ähnlich denen zu § 8b Absatz 3 bis 5 BSIG-E
 Erkenntnisse des BSI werden dennoch weitergegeben
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
31
IT-Sicherheitsgesetz (ITSiG)
Aufgaben betroffener KRITIS-Betreiber
 Einhaltung eines angemessenen Mindestniveaus an IT-Sicherheit
 Nachweiserbringung über die Einhaltung durch Sicherheitsaudits
 Einrichtung, Betrieb und Aufrechterhaltung einer Kontaktstelle
 Meldung erheblicher IT-Sicherheitsvorfälle (BSI oder BNetzA)
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
32
IT-Sicherheitsgesetz (ITSiG)
Aufgaben betroffener KRITIS-Betreiber
Einhaltung eines angemessenen Mindestniveaus an IT-Sicherheit
 Implementierung angemessener technischer, organisatorischer Vorkehrungen
entsprechend dem Stand der Technik (Soll-Vorschrift)
 zeitnahe Sicherheits-Updates könnten unvorhersehbare Auswirkungen auf komplexe
KRITIS-System haben und diese somit gefährden
 Vermeidung von Störungen der Grundwerte (Sicherheitsziele):
Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität
 Schutz der IT-Systeme, Komponenten oder Prozesse, welche für die
Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblich sind
 Wahrung der Angemessenheit hinsichtlich Kostenaufwand  Schutzbedarf
 Umsetzungsfrist von zwei Jahren nach Inkrafttreten des ITSiG (25.07.2017)
 Sicherheitskonzepte von Betreibern öffentlicher Telekommunikationsnetze
werden alle zwei Jahre von der BNetzA überprüft
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
33
IT-Sicherheitsgesetz (ITSiG)
Vertraulichkeit
Verfügbarkeit
[confidentiality]
[availability]
Zugriff auf Informationen
nur durch Berechtigte
Zugriff auf Informationen
im vereinbarten Rahmen
Integrität
Authentizität
[integrity]
[authenticity]
Richtigkeit, Vollständigkeit
von Informationen
24.10.2015
Echtheit, Zuverlässigkeit
und Glaubwürdigkeit
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
34
IT-Sicherheitsgesetz (ITSiG)
 KRITIS-Betreiber und ihre Branchenverbände können branchenspezifische
Standards zur Gewährleistung der Sicherheitsanforderungen vorschlagen
 BSI muss Eignung dieser Sicherheitsstandards auf Antrag feststellen
 bereits existierende Standards (noch nicht offiziell vom BSI anerkannt)





IT-Sicherheitskatalog: IS-Anforderungen für Strom- und Gasnetzbetreiber
BDEW Whitepaper: Anforderungen an sichere Steuerungs- und TK-Systeme
BSI TR-03109: Technische Vorgaben für Betrieb intelligenter Messsysteme
VGB-S-175: IT-Sicherheit für Erzeugungsanlagen
ICS Security Kompendium: IT-Sicherheit für industrielle Steuerungsanlagen
 Mitwirkung bei optionalen Sicherheitsbewertungen durch das BSI von
IT-Produkten, -Systemen oder -Diensten
 Pflicht zur Aktualisierung oder zum Austausch dieser
 unabhängig von der eigenen Risikobewertung
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
35
IT-Sicherheitsgesetz (ITSiG)
Nachweiserbringung über die Einhaltung durch Sicherheitsaudits
 zweijährige Nachweispflicht über die Einhaltung der Sicherheitsstandards
 Nachweiserfüllung auf „geeignete Weise“
(Sicherheitsaudits, Prüfungen oder Zertifizierungen)
 lediglich 3rd-Party-Audits zulässig
 Übermittlung einer Aufstellung der Überprüfungen einschließlich eventuell
aufgedeckter Mängel an das BSI
 Befugnisse des BSI bei aufgedeckten Mängeln:
 Einfordern der gesamten Audit-, Prüf-, oder Zertifizierungsergebnisse
 Verlangen der Mängelbeseitigung im Einvernehmen mit Aufsichtsbehörde
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
36
IT-Sicherheitsgesetz (ITSiG)
Einrichtung, Betrieb und Aufrechterhaltung einer Kontaktstelle
 Benennung (innerhalb von 6 Monaten) einer Kontaktstelle an das BSI
für die Kommunikation zur Krisenfrüherkennung, -reaktion und -bewältigung
 Sicherstellung der Erreichbarkeit dieser Kontaktstelle zu jeder Zeit (24/7)
 impliziert hohe Verfügbarkeit der Meldesysteme
 bidirektionale Kommunikation mit BSI zum Austausch über Informationen zur
Lage der Informationssicherheit
 Benennung einer, dem gleichen Sektor übergeordneten Kontaktstelle möglich
(SPOC = Single Point of Contact)
 Ablauf des Übermittlungsprozesses muss nachvollziehbar und auditierbar sein
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
37
IT-Sicherheitsgesetz (ITSiG)
Meldung erheblicher IT-Sicherheitsvorfälle
 Meldung erheblicher Störungen der Verfügbarkeit, Integrität, Vertraulichkeit
und Authentizität (lt. ITSiG) bei möglichem oder tats. Ausfall der KRITIS.
Energienetzbetreiber Weiterleitung durch BSI an die Bundesnetzagentur
(BNetzA)
 unverzügliche Meldung, auch im Vorfeld konkreter Schadenseintritte
1. zur Verfügung stehende Informationen, ohne viel Rechercheaufwand
2. nachträgliche Ergänzung zusätzlich relevanter Informationen aus dem Verlauf
der Bearbeitung des Vorfalls
 Art und Umfang der Störung
 technische Rahmenbedingungen
 vermutetet oder tatsächliche Ursache
 Auswirkungen und betroffene Informationstechnik
 Branche des KRITIS-Betreibers
 pseudonyme Meldung bei Störungen an Systemen
z. B. durch Schadprogramme, Hackerattacken, technische Defekte
 namentliche Meldung nur bei tatsächlichem Ausfall oder Beeinträchtigung
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
38
IT-Sicherheitsgesetz (ITSiG)
 Empfehlung: Etablierung einer IT-Sicherheitsorganisation:

IT-Sicherheitsbeauftragter (ITSB)

Betrieblicher Datenschutzbeauftragter (DSB)

Informationssicherheitsmanagement-Team (IS-Team):

ITSB

bDSB

Betriebsrat

CIO / Unternehmensentwicklung

Leiter IT bzw. Bereichsverantwortliche
24.10.2015
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
39
Vielen Dank für Ihre Aufmerksamkeit!
TÜV Informationstechnik GmbH
TÜV NORD GROUP
Jörg Schlißke, LL.B.
IT Security – Fachstelle für Datenschutz
Langemarckstr. 20
45141 Essen
Telefon:
Telefax:
E-Mail:
URL:
24.10.2015
+49 201 8999 – 533
+49 201 8999 – 666
[email protected]
www.tuvit.de
© TÜV Informationstechnik GmbH – TÜV NORD GROUP
40

Download Report