CYBERsicher informiert: Die NIS-2-Richtlinie

Eine europaweite Maßnahme zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU

Haben Sie schon mal von der NIS-2-Richtlinie gehört?

Dabei handelt es sich um eine europäische Richtlinie, die das Ziel hat die Gesetzgebung bezüglich Cybersicherheit in allen europäischen Staaten zu vereinfachen und zu erhöhen.

Doch was bedeutet das konkret für mein Unternehmen? Bereits am 24.10.2024 wird NIS-2 in deutsches Recht überführt werden und besitzt damit für alle deutschen Unternehmen die unter die Richtlinie fallen rechtliche Gültigkeit. Dabei greift NIS-2 deutlich weiter und betrifft rund 15-Mal mehr Unternehmen als die Vorgängerrichtlinie.

Erfahren Sie jetzt in unserem Paper ob Ihr Unternehmen betroffen ist und was es zu tun gilt.

BSI: . Rekordzahl an Spam- und Phishing-eMails vorm Black Friday

Die in Deutschland meistgenutzten E-Mail-Webdienste web.de und GMX registrieren aktuell rund 1,65 Milliarden (!) Spammails pro Woche – ein neuer Rekordwert. Aktuell besonders beliebt bei Cyberkriminellen ist das „Paketdienst-Phishing“. Dabei erhalten Nutzerinnen und Nutzer E-Mails, die denen von Paketdienstleistern täuschend ähnlich sehen. Anwenderinnen und Anwender werden damit auf gefälschte Webseiten geleitet, um vermeintlich zu wenig gezahltes Porto oder Zollgebühren nachzuzahlen. Hinzu kommen Phishing-Mails, in denen auf Schnäppchen und Rabatte hingewiesen wird. In beiden Varianten geht es darum, Log-In-Daten von Bezahldiensten abzugreifen.

Tipps des BSI zum Erkennen von Phishing-Mails: https://www.bsi.bund.de/dok/132200

BSI: Standard zum Notfallmanagement aktualisiert

Organisationen benötigen ein Business Continuity Management (BCM), um ihre Fähigkeit zur Bewältigung von Störungen und Krisen zu verbessern und ihre Geschäftstätigkeit aufrechtzuerhalten.

  1. Kontinuität der Geschäftstätigkeit: Ein BCM hilft Organisationen dabei, sich auf mögliche Störungen vorzubereiten und sicherzustellen, dass sie auch in Krisensituationen weiterhin effektiv arbeiten können.
  2. Risikominderung: Ein BCM unterstützt Organisationen dabei, Risiken zu identifizieren und Maßnahmen zu ergreifen, um diese Risiken zu minimieren oder zu vermeiden.
  3. Rechtliche und regulatorische Anforderungen: In einigen Branchen sind Organisationen gesetzlich oder durch regulatorische Vorgaben verpflichtet, ein BCM zu implementieren.
  4. Reputationsmanagement: Ein effektives BCM kann dazu beitragen,den Ruf einer Organisation zu schützen.

Bereits mit dem BSI-Standard 100-4 hat das Bundesamt für Sicherheitin der Informationstechnik (BSI) einen systematischen Weg aufgezeigt,wie ein Notfallmanagement in einer Behörde oder einem Unternehmen aufgebaut werden kann, um die Kontinuität des Geschäftsbetriebs sicherzustellen.

Der Standard 100-4 ist durch den neuen Standard 200-4 ersetzt wor-den. Dieser soll passgenau und modular die verschiedenen Bedürfnisse unterschiedlich großer Anwender berücksichtigen. Der modernisierteBSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren.

Wie aktuell der neue Standard ist, zeigt sich beispielsweise daran, dass die Weiterentwicklung des etablierten BSI-Standards 100-4 zahlreiche Neuerungen enthält, die auf den aktuellen Erkenntnissen im Bereich Business Continuity sowie auf den jüngsten Erfahrungen aus der Corona-Pandemie basieren.

Die finale Version des BSI-Standards 200-4 enthält auch eine detailliertere Ausarbeitung von Teilen der Methodik mit umfangreichen Hilfestellungen, z. B. zur Etablierung der Besonderen Aufbauorganisation (Stabsstruktur), im Soll-Ist-Vergleich, in der Geschäftsfortführungsplanung oder Wiederanlaufplanung.

BfDI: FAQ Beschäftigtendatenschutz

Im Zentrum des Beschäftigtendatenschutzes steht der Schutz der Privatsphäre der Beschäftigten. Dieser Schutz muss jedoch stets mit dem Informationsinteresse des Arbeitgebers abgewogen werden. Bei BfDI finden Sie Informationen und Antworten auf häufig gestellte Fragen zu Ihren Rechten im Beschäftigungsverhältnis oder Bewerbungsverfahren.

Link: https://www.bfdi.bund.de/DE/Buerger/Inhalte/Arbeit-Besch%C3%A4ftigung/Besch%C3%A4ftigtendatenschutz/FAQ_Besch%C3%A4ftigtendatenschutz.html

BAG: Datenschutzverstoß hindert nicht an Nutzung der Videoüberwachung

Nach einem aktuellen Urteil des Bundesarbeitsgerichts besteht grundsätzlich kein Verwertungsverbot für Aufzeichnungen aus einer Videoüberwachung, wenn sie offen gestaltet ist und ein vorsätzlich vertragswidriges Verhalten des Arbeitnehmers in Raum steht. Dies gilt selbst dann, wenn die Überwachungsmaßnahme des Arbeitgebers nicht vollständig im Einklang mit den Vorgaben des Datenschutzrechts steht.

BAG Urteil

BVD: Wie geht Datenschutz im Kleinunternehmen?

Wie geht Datenschutz im Kleinunternehmen? Nach DSGVO eigentlich genauso wie bei Großkonzernen. Ein kompetenter Datenschutzbeauftragter kann helfen.

Und die Stiftung Datenschutz.

Leicht verständliche Arbeitshilfen und zahlreiche Praxistipps für den Umgang mit Daten in Friseursalons, Bäckereien oder im Handwerksbetrieb liefert Frederick Richter und sein Team im neuen Angebot „Datenschutz für Kleinunternehmen“. Prädikat: Absolut sinnvoll!

https://ds-kleinunternehmen.de/startseite

Active Sourcing – rechtliche Grundlagen

Active Sourcing ist eine Personalbeschaffungsstrategie, bei der Unterneh-
men proaktiv nach qualifizierten Kandidaten suchen, anstatt passiv auf Be-
werbungen zu warten. Bei dieser Methode geht es darum, potenzielle Kan-
didaten direkt anzusprechen und zu rekrutieren, anstatt sich ausschließlich
auf traditionelle Stellenanzeigen und Bewerbungen zu verlassen.

Beim Active Sourcing nutzen Unternehmen verschiedene Techniken und Ka-
näle, um geeignete Kandidaten zu identifizieren und mit ihnen in Kontakt zu
treten. Dazu gehören beispielsweise die Nutzung von Online-Jobportalen, so-
zialen Netzwerken wie LinkedIn oder XING, das Durchsuchen von beruflichen
Netzwerken, das Sammeln von Informationen aus Fachveröffentlichungen
und die Kontaktaufnahme per E-Mail oder über direkte Nachrichten.
Aus der Perspektive des Datenschutzes stellt sich bereits die Frage nach
einer belastbaren Rechtsgrundlage, wenn ein Unternehmen Active Sour-
cing betreiben möchte.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
geht in seinem 51. Tätigkeitsbericht zum Datenschutz auf die datenschutz-
rechtlichen Feinheiten dieser Personalbeschaffungsstrategie ein (Ziffer 11.3).

BSI aktualisiert Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen in der neuen Version 2.0 veröffentlicht. Dieser enthält organisatorische und technische Anforderungen zur Erfassung von Protokoll- und Protokollierungsdaten, um Cyber-Angriffe auf die Bundesverwaltung frühzeitig zu erkennen. Der Mindeststandard wurde umfassend überarbeitet und ebenso wie die Referenztabelle an das aktuelle IT-Grundschutz-Kompendium (Edition 2023) angepasst.

Der Mindeststandard wurde neu strukturiert. Eine wesentliche Neuerung im aktuellen Entwurf ist die weitgehende Integration der „Protokollierungsrichtlinie Bund“ (PR-B), die bislang als Anlage zum Mindeststandard vorlag. Somit wurden die Sicherheitsanforderungen sowohl zur Protokollierung als auch zur Detektion erweitert. Aufgrund der geänderten Rechtsgrundlage (§§ 5 und 5a BSIG) sowie des Angebotes der datenschutzkonformen, zentralen Protokollierungs- und Detektionsinfrastruktur („Detection as a Service“, DaaS) des BSI wird das „Rahmendatenschutzkonzept“ (RDSK) zudem nicht länger als Anlage zum Mindeststandard mitgeführt.

Die Version 2.0 des Mindeststandards, die Änderungsübersicht sowie die Referenztabelle stehen auf der BSI-Webseite zur Verfügung.

LBDI BW: Neue Angemessenheitsentscheidung für die USA

Am 10. Juli 2023 hat die Europäische Kommission mit dem EU-U.S. Data Privacy Framework eine Nachfolgeregelung für den 2020 vom Europäischen Gerichtshof aufgehobenen Privacy Shield angenommen und in Kraft gesetzt.

Auf der Grundlage dieser neuen Angemessenheitsentscheidung im Sinne von Artikel 45 DS-GVO ist künftig ein Transfer personenbezogener Daten an alle Stellen in den USA möglich, die den hierfür erforderlichen Selbstzertifizierungsprozess durchlaufen haben. Diese Selbstzertifizierung geschieht auf einer vom US-Handelsministerium betriebenen Internetseite für das Data Privacy Framework, auf der eine Liste der zertifizierten Unternehmen geführt wird – allerdings ist zu beachten, dass diese Webseite erst noch seitens des US-Handelsministeriums eingerichtet werden muss. Der Großteil der öffentlichen Stellen in den USA sowie Banken, Luftverkehrs- und Versicherungsunternehmen sind von einer Zertifizierung ausgenommen. Dass die benannten Organisationen von einer Zertifizierung ausgenommen sind, bedeutet, dass diese nicht unter das Framework fallen, da dieses nur für zertifizierte Organisationen gilt.

Anders als bei einer – weiterhin möglichen – Übermittlung personenbezogener Daten in die USA auf der Grundlage der Standarddatenschutzklauseln der Europäischen Kommission oder verbindlicher Unternehmensrichtlinien ist für Übermittlungen auf Basis der Angemessenheitsentscheidung weder eine Analyse der Rechtslage im Empfängerland (sog. transfer impact assessment) erforderlich, noch müssen die Daten durch ergänzende Maßnahmen, wie z.B. Verschlüsselung, in den USA vor staatlichem Zugriff besonders geschützt werden.

Die Regelungen verpflichten importierende Stellen in den USA zur Einhaltung von an die DS-GVO angelehnten Datenschutzgrundsätzen (z. B. dem Erforderlichkeitsgrundsatz und dem Transparenzgrundsatz) einschließlich der Erfüllung von Betroffenenrechten wie Auskunfts- und Löschungsansprüchen. Wenn EU-Bürger der Auffassung sind, dass diese Vorgaben keine Beachtung finden, können Sie sich an die für sie zuständige europäische Datenschutzaufsichtsbehörde wenden. Die nationale Datenschutzbehörde leitet die Beschwerde an den Europäischen Datenschutzausschuss weiter, der sie an die für die Bearbeitung der Beschwerde zuständigen US-Behörden übermittelt. Außerdem stehen Betroffenen Rechtsbehelfe vor unabhängigen Schiedsstellen in den USA offen.

Durch ein flankierendes Dekret der US-Regierung wurden die Nachrichtendienste der USA auf die Beachtung bestimmter datenschutzrechtlicher Grundsätze und Vorgaben (z.B. Verbot grundloser Massenüberwachungen, Erforderlichkeit und Verhältnismäßigkeit, Ausschluss bestimmter Ziele wie z. B. Industriespionage) eingeschworen, deren Beachtung Betroffene von neu eingerichteten unabhängigen Stellen in den USA im Einzelfall überprüfen lassen können.

Für die bereits unter der Vorgängerregelung – dem Privacy Shield Framework – zertifizierten Datenimporteure in den USA sind Übergangsregelungen zur Umstellung auf die neuen Vorgaben vorgesehen. Der Neuregelung gehen mehrjährige Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung voraus; zuletzt hatte sich der Europäische Datenschutzausschuss, das Kooperationsgremium der Datenschutzaufsichtsbehörden der europäischen Mitgliedsstaaten, wohlwollend kritisch und das Europäische Parlament ablehnend gegenüber der Neuregelung geäußert.

Detailliertere Anmerkungen zur neuen Angemessenheitsentscheidung sowie eine Überarbeitung der Orientierungshilfe Internationaler Datentransfer folgen in Kürze.

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de

BayLDA stellt Tätigkeitsbericht für das Jahr 2022 vor

2022 ist auch im Datenschutz ein Jahr der Zeitenwende – Weichenstellungen für eine zukunftsfähige Datenschutzaufsicht erforderlich

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat am Freitag, den 7. Juli 2023 seinen 12. Tätigkeitsbericht in der Hochschule Ansbach vorgestellt. Die Vorstellung des Tätigkeitsberichts im Rahmen einer hybriden Pressekonferenz war zugleich Anlass und Gelegenheit, mit Dozent:innen und Studierenden der Hochschule sowie Vertreter:innen der Fachöffentlichkeit zentrale Befunde des zurückliegenden Datenschutzjahrs zu diskutieren.

„Auch im Datenschutz ist 2022 ein Jahr der Zeitenwende. Fünf Jahre nach Inkrafttreten der Datenschutz-Grundverordnung blicken wir zumindest mehrheitlich auf mittlerweile funktionierende datenschutzrechtliche Grundstrukturen bei Verantwortlichen. Der mit ChatGPT und Co. bereits 2022 eingeläutete Einzug Künstlicher Intelligenz in unser aller Alltag ist eine Bewährungsprobe für den Datenschutz.“, so der Präsident des Landesamts, Michael Will.

„Für die Datenschutzaufsicht bedeutet die zunehmende Verbreitung Künstlicher Intelligenz und die fast universellen Einsatzmöglichkeiten vom Geschäftsbrief bis zur Personalauswahl neue Herausforderungen bei Prüfung und Beratung. Sie gibt uns über alle Versprechungen und Potentiale hinweg zunächst Grund zur Sorge: Schon heute ist einzuräumen, dass das Landesamt auf Grund der Vernachlässigung eines bedarfsgerechten Behördenaufbaus in den zurückliegenden Haushaltsjahren die von der DS-GVO vorgegebene Grundziele aufsichtlicher Aufgabenerfüllung in zu vielen Fällen verfehlt. Das gilt beispielsweise für die Dreimonatsfrist bei Beschwerden Betroffener oder auch für wichtige Präventionsleistungen datenschutzrechtlicher Beratung.“, bilanzierte Will die statistischen Übersichten des Tätigkeitsberichts und unterstrich den haushaltrechtlichen Handlungsbedarf:

„Für Vertrauen und Rechtssicherheit bei der Nutzung Künstlicher Intelligenz und anderer datengetriebener Technologien im Digitalland Bayern sind das denkbar schlechte Ausgangsbedingungen. 20 Jahre nach der Etablierung einer selbstständigen bayerischen Datenschutzaufsicht in Mittelfranken ist dringend ein neuer Schub für einen raschen und zukunftsfähigen Ausbau der Behörde erforderlich. Wir haben die gestrige Vorab-Präsentation unseres Tätigkeitsberichts im Ausschuss für Verfassung, Recht, Parlamentsfragen und Integration des Bayerischen Landtags dafür genutzt, um fraktionsübergreifend für Unterstützung dieser Handlungserfordernisse zu werben“, so Will.

Angesichts der personellen Ausstattung der Behörde mit nur 33 Mitarbeiter:innen können aktuell nur zwei von drei Beschwerden Betroffener innerhalb der gesetzlich geforderten Frist bearbeiten werden.

Die präventive Beratung von Verantwortlichen kann, wenn überhaupt, nur noch in engen Grenzen konkreter Beratungsanliegen betrieblicher Datenschutzbeauftragter geleistet werden. Das Landesamt verzeichnete im Jahr 2022 insgesamt 5032 Beschwerden und Kontrollanregungen, zudem wurden 2991 Datenschutzverletzungen gemeldet. Trotz des Rückgangs um 16% bzw. 24% lasten beide Fallgruppen die Ressourcen des Landesamts immer noch bei Weitem aus.

Einen erheblichen Mehrwert, wenngleich nicht ohne Aufwand, bringt die durch die DS-GVO gestärkte und mit zahlreichen Verfahrensregelungen verstetigte Zusammenarbeit mit den anderen europäischen Aufsichtsbehörden mit sich. Der Tätigkeitsbericht zeigt an Hand der unter dem Dach des Europäischen Datenschutzausschusses erarbeiteten Leitlinien etwa zu Datenübermittlungen in Drittstaaten oder zur Bußgeldzumessung bei Datenschutzverstößen wichtige Ergebnisse dieser Zusammenarbeit auf.

Zusammen mit ausgewählten Fragestellungen der verschiedenen Fachbereiche des Landesamts vom Auskunftsrecht bis zur Videoüberwachung vermittelt der insgesamt 80-seitige Bericht auf diese Weise wichtige Hilfestellungen und Impulse für die datenschutzrechtliche Praxis in Unternehmen und Vereinen.

Der Tätigkeitsbericht für das Jahr 2022 ist unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html.

Ein Videomitschnitt der virtuellen Pressekonferenz wird dort in den kommenden Tagen ebenfalls verfügbar sein.

Bayerisches Landesamt für Datenschutzaufsicht

  • Pressestelle –
    Promenade 18, 91522 Ansbach
    Email: presse@lda.bayern.de
    Pressemitteilungen: https://www.lda.bayern.de/de/pressemitteilungen.html