Neues IT-Sicherheitsrecht:

Auf Unternehmen und ihre Leitungsorgane kommen weitreichende Pflichten zu Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten, die „Network and Information Security 2.0“-Richtlinie. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor. Vorgelegt hat er dafür einen Referentenentwurf, der es in sich hat: Er enthält umfangreiche Pflichten für viele Unternehmen. Hinzu kommt eine ausdrückliche Pflicht des Leitungsebene, Cyber-Sicherheit zu (…) Weiterlesen

US-Datentransfer wieder sicher: EU-US Data Privacy Framework greift

Am 10. Juli 2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO für den Transfer personenbezogener Daten in die USA veröffentlicht. Das EU-US Data Privacy Framework („DPF“) bringt neue Rechtssicherheit für Unternehmen. Wir geben einen ersten Überblick, was zu tun ist und was die von NOYB schon angekündigte Klage gegen das DPF in der Praxis bedeutet. Seit dem 16. Juli 2020 haben Datenschützer mit dem datenschutzkonformen Einsatz von US-Tools gekämpft: Der EuGH hatte in seinem Urteil an diesem (…) Weiterlesen

Gesundheitsdatennutzungsgesetz: Der erste Entwurf liegt vor

Ein Blick auf Stärken und Optimierungspotential des Referententwurfs Das Gesundheitsdatennutzungsgesetz aus dem Bundesministerium für Gesundheit (BMG) ist im Referentenentwurf seit einigen Tagen bekannt. Es ist ein wesentlicher Baustein der Digitalisierungsstrategie für das deutsche Gesundheitswesen.  Malgorzata (Margo) Steiner und ich (Dr. Kristina Schreiber) haben uns die Regelung einmal im Detail angesehen. Wir sehen großes Potential in dem neuen Gesetzentwurf für eine verbesserte, datenschutzkonforme Erschließung und Nutzung von Gesundheitsdaten – zum Wohle von uns allen, für eine optimierte Gesundheitsversorgung. Wir haben indes auch einige (…) Weiterlesen

Cybersecurity: Was Unternehmen jetzt tun sollten

Ein sicher aufgestelltes Unternehmen schützt sich gleich mehrfach: Cyber-Attacken werden eher vermieden. Kommt es zu einem Angriff, sind die Folgen oft weniger weitreichend, die Schäden geringer. Und schließlich hilft nur eine angemessene Informationssicherheit dem Management, persönliche Haftungsrisiken zu vermeiden. Der Cyber-Vorstand wird zunehmen wichtiger! Was genau es zu beachten gilt, welche Entwicklungen aktuell im Gang sind und wie Unternehmen und insbesondere der Cyber-Vorstand sich schützen können, durfte ich mit Dr. Christian Rosinus in seiner Podcastfolge #160 diskutieren. Ich freue mich, (…) Weiterlesen

Alles neu macht der Mai: Entscheidungswelle beim EuGH

Am 4. Mai und in den Tagen davor hat der EuGH mehrere datenschutzrechtlich höchst relevante Entscheidungen bzw. Schlussanträge veröffentlicht. Es geht unter anderem erneut um die Reichweite des Auskunftsrechts und Schadensersatzansprüche bei DSGVO-Verstößen, um den Adressaten von Bußgeldentscheidungen und vieles mehr. Wir haben Ihnen eine substantielle Übersicht erstellt mit den nach unserer Auswertung wichtigsten Aussagen. Angesichts der kürzlich veröffentlichten Entscheidungswelle wird deutlich, dass die Relevanz des Datenschutzrechts weiter steigt. Der EuGH schafft in diesem Bereich durch seine Urteile mehr Rechtssicherheit, (…) Weiterlesen

Wir brauchen einen Cyber-Vorstand!

Viele Unternehmen vernachlässigen die Informationssicherheit noch. Sie fällt hinter dem Tagesgeschäft zurück. Oft ist niemand „wirklich verantwortlich“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert: „Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem ,Problem anderer Leute‘ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt“ (BSI, Standard 200-2 zur IT-Grundschutz-Methodik). Eine wegen einer fehlenden Priorisierung unzureichende Cyber-Security ist oft der Grund für (besonders (…) Weiterlesen

Hilft das Auskunftsrecht nach Art. 15 DSGVO im Zivilprozess?

Oder auch: Hilft das Datenschutzrecht, Beweismittel zu beschaffen? Nicht nur im Rahmen datenschutzrechtlicher Streitigkeiten kann das Auskunftsrecht der Datenschutzgrundverordnung (DSGVO) zur Anwendung kommen. Mittlerweile wird es auch vielfach zur bloßen Informationsbeschaffung genutzt, was Parteien in Zivilprozessen zur Verbesserung ihrer eigenen Position verhelfen kann. Für das Auskunftsrecht müssen zwar keine Voraussetzungen erfüllt sein, jedoch muss die Auskunft auch nicht uneingeschränkt erteilt werden, wenn diese bloß dazu dient, an Beweismittel zu gelangen. Was also ist im Zivilprozess zu beachten – wo kann (…) Weiterlesen

Erweiterte Führung: Cyber-Vorstände

Unternehmen werden von Hackerangriffen bedroht. Das ist Realität in Deutschland. Die Digitalisierung birgt nicht nur Chancen, sondern auch Risiken, die man im Blick behalten muss. Unternehmen, die auf Führungsebene vorsorgen, haben Vorteile. Der Cyber-Vorstand ist eine leitende Position (m/w/d), die für maximale Cyber- und Handlungssicherheit im Unternehmen sorgt – heute ein Muss. Schöne neue Welt? Die Digitalisierung macht vieles einfacher, was früher mühsam war. E-Mail-Kommunikation ist schnell. Künstliche Intelligenz und automatisierte Management-Systeme sorgen für Effizienz. Die Cloud ermöglicht das Arbeiten (…) Weiterlesen

Neues zum Drittstaatentransfer?

Die meisten großen Tech-Giganten sind in den USA ansässig. Die Nutzung der Dienste von Apple, Microsoft, Google & Co. ist für Unternehmen oftmals alternativlos. Da die USA ein Drittland im Sinne der DSGVO sind, muss der Datentransfer dorthin spezifisch abgesichert sein. Seit dem EuGH-Urteil in Sachen Schrems II ist das kein einfaches Unterfangen. Nun zeichnet sich eine Lösung in Form eines neuen Angemessenheitsbeschlusses ab. Unternehmen müssen für den Einsatz von Drittanbietern, die personenbezogene Daten in die USA transferieren, die Absicherung (…) Weiterlesen

Rechtliche Vorgaben zur IT-Sicherheit: Was kommt auf die Unternehmen zu?

Zum 1. Mai 2023 müssen Unternehmen nach dem BSIG die Angriffserkennung verbessern: Betreiber kritischer Infrastrukturen (KRITIS) müssen bis dahin Systeme zur Angriffserkennung implementieren. Derweil arbeitet der deutsche Gesetzgeber an der Umsetzung der NIS-2, die Richtlinie (EU) 2022/2555 ins deutsche Recht. Die Richtlinie ist Ende Dezember 2022 im Amtsblatt verkündet wurde und muss bis Oktober 2024 umgesetzt werden. Sie bringt einige Nachjustierungen für die KRITIS-Betreiber und insbesondere ganz neue Pflichten für wesentliche und wichtige Einrichtungen. Etliche Unternehmen werden dadurch erstmals in (…) Weiterlesen