IT-Sicherheitsrecht für Anbieter von Telemedien · BSIG Art. 1 KRITIS, § 2 (VO, § 10)...
Transcript of IT-Sicherheitsrecht für Anbieter von Telemedien · BSIG Art. 1 KRITIS, § 2 (VO, § 10)...
Karsten U. Bartels LL.M.
5. DFN-Konferenz Datenschutz, Hamburg // 30.11.2016
IT-Sicherheitsrecht für Anbieter von Telemedien Neue Anforderungen des Telemediengesetzes und der
Datenschutzgrundverordnung sowie Auswirkungen der
NIS-Richtlinie
Karsten U. Bartels LL.M.
Partner, Rechtsanwalt
Vorstand TeleTrusT – Bundesverband
IT-Sicherheit e. V.
Stellv. Vorsitzender Arbeitsgemeinschaft
IT-Recht im Deutschen Anwaltverein e. V.
Sachverständiger für IT-Produkte beim
ULD S-H (rechtlich)
Zert. Datenschutzbeauftragter (TÜV)
Geschäftsführer HK2 Comtection GmbH
1 Gesetze und Adressaten
2 IT-Sicherheitsmaßnahmen
3 Stand der Technik +
Angemessenheit
4 Dokumentation + Nachweis
5 Umsetzung intern + extern
IT-Sicherheit
IT-Sicherheitsgesetz (DE)
NIS-Richtlinie (EU)
Datenschutzgesetze (DE) DSGVO (EU)
untergesetzliche
Normen und Standards
Rechtsquellen
BSIG Art. 1
KRITIS, § 2 (VO, § 10)
Auslandskooperation, § 3
Warnungen, § 7
Untersuchung von Produkten/ Systemen, § 7a
KRITIS: TOV, SdT (Soll), Branchenstandards, Nachweis,
§ 8a
Zentrale Melde-/Stelle für KRITIS, §§ 3, 8b
Ausnahmen Kleinst.Unt. und §§8a,b für gereg. Bereiche,
§ 8c
Lim. Auskunftsverlangen, § 8d
AtomG Art. 2
Meldepflicht § 44b
EnWiG Art. 3
BSI-Katalog: Überprüfungen, Verbindlichkeit
§ 11
Bes. Anf. an Schutz von TK
und DV § 1b
Meldepflicht (Schutz gg.
Offenbarung) §1c
TMG Art. 4
TOV, § 13
SdT zu berücksicht.
TKG Art. 5
VDS bei Angriffen
§ 100
TOV f. Netzbetreiber nun nach SdT
§ 109
Prüfung Umsetzung
Si.Konzept durch BNetzA
Meldepflicht an BNetzA und Info-
Weitergabe
Info der Dienstanbieter
an Nutzer § 109a IV
Art. 6-10
BBesG
BKAG: Daten-
Delikte erw.
BSIG
Geb.R.
Inkraft
IT-Sicherheitsgesetz (ITSiG)
BSIG Art. 1
KRITIS, § 2 (VO, § 10)
Auslandskooperation, § 3
Warnungen, § 7
Untersuchung von Produkten/ Systemen, § 7a
KRITIS: TOV, SdT (Soll), Branchenstandards, Nachweis,
§ 8a
Zentrale Melde-/Stelle für KRITIS, §§ 3, 8b
Ausnahmen Kleinst.Unt. und §§8a,b für gereg. Bereiche,
§ 8c
Lim. Auskunftsverlangen, § 8d
AtomG Art. 2
Meldepflicht § 44b
EnWiG Art. 3
BSI-Katalog: Überprüfungen, Verbindlichkeit
§ 11
Bes. Anf. an Schutz von TK
und DV § 1b
Meldepflicht (Schutz gg.
Offenbarung) §1c
TMG Art. 4
§ 13 Abs. 7 TMG
TOV, SdT zu berücksicht.
TKG Art. 5
VDS bei Angriffen
§ 100
TOV f. Netzbetreiber nun nach SdT
§ 109
Prüfung Umsetzung
Si.Konzept durch BNetzA
Meldepflicht an BNetzA und Info-
Weitergabe
Info der Dienstanbieter
an Nutzer § 109a IV
Art. 6-10
BBesG
BKAG: Daten-
Delikte erw.
BSIG
Geb.R.
Inkraft
IT-Sicherheitsgesetz (ITSiG)
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
§ 13 Abs. 7 Telemediengesetz (TMG)
Telemedien/ -diensteanbieter
§ 1 Abs. 1 TMG: … elektronischen
Informations- und
Kommunikationsdienste, soweit sie
nicht Telekommunikationsdienste…
§ 2 Ziff. 1 TMG: jede natürliche oder
juristische Person, die eigene oder
fremde Telemedien zur Nutzung
bereithält oder den Zugang zur
Nutzung vermittelt …
„geschäftsmäßig“ und „im Rahmen
ihrer jeweiligen Verantwortlichkeit“
i. S. v. § 13 Abs. 7 TMG
§ 13 Abs. 7 TMG: Sicherung der technischen
Einrichtungen der Telemedienangebote gegen …
… unerlaubte
Zugriffe
… Verletzung des Schutzes
personenbezogener Daten
… Störungen, auch durch
äußere Angriffe
Technische und organisatorische Vorkehrungen (TOV)
Stand der Technik
§ 13 Abs. 7 TMG: Sicherung der technischen
Einrichtungen der Telemedienangebote gegen …
… unerlaubte
Zugriffe
… Verletzung des Schutzes
personenbezogener Daten
… Störungen, auch durch
äußere Angriffe
Technische und organisatorische Vorkehrungen (TOV)
Stand der Technik berücksichtigen
technisch möglich wirtschaftlich zumutbar
§ 13 Abs. 7 TMG: Sicherung der technischen
Einrichtungen der Telemedienangebote gegen …
… unerlaubte
Zugriffe
… Verletzung des Schutzes
personenbezogener Daten
… Störungen, auch durch
äußere Angriffe
Limitierte Schutzbedarfsanalyse
Technische und organisatorische Vorkehrungen (TOV)
Stand der Technik berücksichtigen
Dokumentation
technisch möglich wirtschaftlich zumutbar
… der Entwicklungsstand fortschrittlicher Verfahren, Ein-
richtungen oder Betriebsweisen, der die praktische Eignung einer
Maßnahme zum Schutz der Funktionsfähigkeit von
informationstechnischen Systemen, Komponenten oder Prozessen
gegen Beeinträchtigungen der Verfügbarkeit, Integrität,
Authentizität und Vertraulichkeit gesichert erscheinen lässt.
Begründung zu § 8a BSIG:
Stand der Technik ist …
innerhalb/ außerhalb der Branche
national/ international
Bewertung/ Messung
Ermittlungsanforderungen gelten auch i. R. v. § 8a Abs. 2 BSIG
Beratung
Arbeitshilfen
Dokumentation
Nachweis
Ermittlung des
Stands der Technik
„Absicherung von Telemediendiensten nach dem Stand der
Technik“ vom 27.09.2016
Stellungnahme TeleTrusT – Bundesverband IT-Sicherheit e. V.
vom 13.08.2016 zum Diskussionspapier (07/2016)
BSI Empfehlung für Internet-Dienstleister
Handreichung zum "Stand der Technik“
des TeleTrusT – Bundesverband IT-
Sicherheit e. V.
Arbeitskreis Stand der Technik
https://www.teletrust.de/arbeitsgruppen/rec
ht/stand-der-technik/
In Kraft seit 08.08.2016
Umsetzung bis 09.05.2018
Adressat Juristische Personen + Entgeltlichkeit
Keine Kleinst-/ Kleinunternehmer
Anbieter digitaler Dienste (Anhang III)
Online-Markplätze
Suchmaschinen
Cloud-Services
Meldepflicht an zust. Behörde oder CSIRT
TOM Berücksichtigen Stand der Technik
Business Continuity Management, Notfall-Konzept, Einhaltung internationaler Normen
NIS Richtlinie 2016/1148
Kap. V, Art. 16 ff.
Art. 32 Abs. 1-3 DSGVO
Sicherheit der Verarbeitung
Geeignete technische und organisatorische Maßnahmen (TOM)
Stand der Technik
berücksichtigen
Implementierungskosten
Art, Umfang, Umstände, Zweck der Verarbeitung
Eintrittswahrscheinlichkeit und Schwere des Risikos
einer Rechtsverletzung (Schutzbedarfsanalyse)
Kompromittierungsrisiko
Rechenschaftspflicht
Art. 5 Abs. 2
Nachweis durch genehm. Verhaltensregeln oder
Zertifizierungsverfahren
Katalogmaßnahmen
Gewährleistung eines dem Risiko angemessenen
Schutzniveaus
Bußgeld gemäß Art. 83 Abs. 4 lit. b
Höhe bis: 10 Mio. Euro bzw. 2% des weltweiten
Vorjahresumsatzes
Folgen von Verstößen gegen Art. 32 DSGVO
(1) Unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der
Umstände und der Zwecke der Verarbeitung sowie der
unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der
mit der Verarbeitung verbundenen Risiken für die Rechte und
Freiheiten natürlicher Personen trifft der Verantwortliche sowohl
zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als
auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete
technische und organisatorische Maßnahmen — wie z. B.
Pseudonymisierung — trifft, die dafür ausgelegt sind, die
Datenschutzgrundsätze wie etwa Datenminimierung wirksam
umzusetzen und die notwendigen Garantien in die Verarbeitung
aufzunehmen, um den Anforderungen dieser Verordnung zu
genügen und die Rechte der betroffenen Personen zu
schützen…
Art. 25 DSGVO
Datenschutz durch Technikgestaltung und durch
datenschutzfreundliche Voreinstellungen
Plattform „Verbraucherpolitik in der digitalen Welt“
Fokusgruppe „Privacy by Design/Datenschutz durch Technik“
Thesenpapier zu Privacy by Design vom 16.11.2016
Download via BMJV
Nationaler IT-Gipfel 2016
Differenzanalyse SOLL – IST
Datenschutz- und IT-Sicherheitskonzepte anpassen
konsolidierte Planung und Umsetzung
Dokumentation
Schulung
IT-Sicherheit und Datenschutz als Leitungsaufgabe
Umsetzung intern:
Anpassung von Verträgen mit IT-Sicherheitsbezug
Aus ADV wird AV GVO-konforme A(D)V-Vereinbarungen schließen/ anpassen
Support-Verträge inkl. Verträge
Ausschreibungen anpassen
Produktbeschreibungen + Technische Feinspezifikationen
Lasten-/ Pflichtenhefte, SLA
Vertragsanlagen IT-Sicherheit oder Datenschutz
Umsetzung prüfen
Umsetzung extern:
Sicherungsklauseln
Konkrete Verpflichtung auf den Stand der Technik
Kontrolle durch:
Information
Dokumentation
Offenlegung/ Zugang
Zugriff
Audit
Anpassung während der Laufzeit
Absicherung durch Vertragsstrafen, Schadenspauschalen etc.
Geheimhaltungsklauseln
No-Spy-Klauseln
Outsourcen
Achtung:
Wenn personenbezogene Daten
betroffen sind, gilt § 13 Abs. 7 S. 1
Nr. 2a TMG
Aber: Pflichten aus § 11 BDSG
Lösung: Abschluss einer
modifizierten ADV-Vereinbarung