Archiv der Kategorie: Datenschutz

EU-DS-GVO- Neuregelungen

(11.04.16) – Inzwischen ist die EU-Datenschutz-Grundverordnung (DS-GVO), die von einigen schon als „Meilenstein des digitalen Zeitalters“ bezeichnet wird, endgültig beschlossen. Im finalen Entwurf der DS-GVO sind einige der Unklarheiten in den unterschiedlichen Versionen des EU-Parlaments und des EU-Rats nun bereinigt worden. Varonis hat einige der wichtigsten Neuregelungen in der DS-GVO zusammengefasst. In Kraft treten wird sie Ende 2017.

Geldstrafen
Der Streitpunkt Geldstrafen wurde beigelegt: Die DS-GVO sieht jetzt ein Stufensystem vor.
So können Unternehmen beispielsweise mit einer Geldstrafe von bis zu zwei Prozent ihres weltweiten erwirtschafteten Jahresumsatzes belegt werden, wenn sie es versäumen:
> Verarbeitungsvorgänge ordnungsgemäß zu dokumentieren (Artikel 28)
> die Aufsichtsbehörde und betroffene Personen über Datenschutzverletzungen zu informieren (Artikel 31 und 32)
> oder Datenschutz-Folgenabschätzungen durchzuführen (Artikel 33).
> Ernsthaftere Verstöße ziehen eine Geldbuße von vier Prozent des weltweit erwirtschafteten Jahresumsatzes nach sich. Dazu gehört die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7). Dabei handelt es sich im Grunde um Verstöße gegen die im Gesetz verankerten Privacy-by-Design-Prinzipien.

Die Regeln der DS-GVO gelten für die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, also „die Cloud“. Das heißt, auch die Anbieter von Cloud-Dienstleistungen müssen sich an die Richtlinien der DS-GVO halten.

Der Datenschutzbeauftragte
Jetzt ist es offiziell: Die meisten Unternehmen brauchen einen Datenschutzbeauftragten. Das Kleingedruckte dazu ist in Artikel 35 nachzulesen.

Wenn die „umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen“ oder die „umfangreiche Verarbeitung besonderer Kategorien von Daten“ – die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, Informationen über Gesundheit, Sexualleben und sexuelle Ausrichtung betreffen – zur Kerntätigkeit eines Unternehmens gehört, ist dieses verpflichtet einen Datenschutzbeauftragten zu ernennen.

Zu den Aufgaben des Datenschutzbeauftragten gehören Beratung, die Überwachung der Einhaltung der DS-GVO sowie die Vertretung des Unternehmens gegenüber der Datenschutzbehörde.

Meldepflicht bei Datenschutzverletzungen
24 oder 72 Stunden? Hier hat sich die 72-Stunden-Regelung durchgesetzt.

Laut Artikel 31 muss der für die Verarbeitung Verantwortliche eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führt. Doch selbst wenn es sich um keine ernsthafte Datenschutzverletzung handelt, müssen Unternehmen sie intern dokumentieren.

Die DS-GVO definiert eine Datenschutzverletzung als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt“.

Die Betonung liegt hier auf „unbefugt“.

Nach dieser Definition handelt es sich beispielsweise auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in Daten hat, die er für seine Tätigkeit nicht benötigt. Sind die Dateizugrifflisten entsprechend aktuell und hat man rollenbasierte Zugriffskontrollen implementiert können solche Probleme erst gar nicht auftreten.

Allein die Meldung, dass sich ein Vorfall ereignet hat, reicht bei weitem nicht aus. Ein Unternehmen muss auch die betroffenen Datenkategorien sowie eine ungefähre Anzahl der betroffenen Personen und Datensätze melden. Dazu braucht man allerdings detaillierte Informationen darüber, was ein Hacker- oder Insiderangriff angerichtet hat.

Auftragsverarbeiter haben etwas mehr Spielraum: Sie müssen ihren Auftraggeber – also den für die Verarbeitung Verantwortlichen – „ohne unangemessene Verzögerung“ benachrichtigen.

Unter welchen Umständen muss nun ein Unternehmen die betroffenen Personen über die Datenschutzverletzung unterrichten? Wenn ein Unternehmen die Daten verschlüsselt oder sonstige Sicherheitsvorkehrungen ergriffen hat, um die Daten unlesbar zu machen, muss es die betroffenen Personen nicht informieren. Details sind im Artikel 32 der DV-GVO erläutert.

Länder außerhalb der EU
Wir haben schon seit einigen Monaten vor den Bestimmungen zum Thema Extraterritorialität gewarnt.

Nachdem die DS-GVO nun beschlossene Sache ist, gilt sie selbst dann für ein Unternehmen gilt, wenn es lediglich Waren oder Dienstleistungen in der EU-Zone verkauft.

Das heißt, auch wenn ein Unternehmen keine EU-Niederlassung hat, aber personenbezogene Daten von EU-Bürgern erfasst und speichert, reicht der lange Arm der DS-GVO bis dorthin. Diese Bestimmung (Artikel 3) ist besonders für Unternehmen relevant, die E-Commerce betreiben. (Varonis: ra)

http://www.compliancemagazin.de/mobile/smartphone/markt/hinweise-tipps/varonis110416.html

Advertisements

KRITIS-Verordnung

TeleTrusT begrüßt Entwurf und sieht Nachbesserungsbedarf

Berlin, 23.02.2016 – Das Bundesministerium des Innern hat den Referenten-Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März angesetzten Anhörung äußern die Fachgremien des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.

Mit der „KRITIS“-Verordnung wird §10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung werden relevante Anlagekategorien definiert und mit Schwellenwerten, korrespondierend mit dem jeweiligen Versorgungsgrad, versehen.

Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt TeleTrusT nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an:

  1. Die Zugrundelegung der „500.000er-Regel“ für die Schwellenwerte wird als kritisch betrachtet. Die Regel basiert auf der Annahme, dass Ausfälle, bei denen weniger Haushalte betroffen sind, technisch und organisatorisch aufgefangen werden können. Sind im konkreten Fall also 500.000 Haushalte betroffen, kann ein weiterer, ernster Vorfall nicht einmal teilweise abgefangen werden. TeleTrusT regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen.
  2. Die Benennung absoluter Zahlen für Schwellenwerte lässt eine qualitative Berücksichtigung möglicher „Domino-Effekte“ außer Acht. Wie ein europaweiter Stromausfall von 2006 gezeigt hat, kann durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigen, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen können. Daher regt TeleTrusT an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen.
  3. Das für die Anlagenkategorie „Standortkopplung“ zugrunde gelegte Datenvolumen auf Basis des wichtigsten, und – gemessen am Datendurchsatz – weltweit größten Internetknotenpunkts (DE-CIX), erscheint für die Betrachtung für ITK Unternehmen zu hoch. Da über den Internetknotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr prozessiert wird, ist das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel. TeleTrusT regt an, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren.
  4. Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind. Derzeit bringen alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssen Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen sein. TeleTrusT regt an, klarzustellen, inwieweit die IP-basierten Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt werden.

PM-160223-TeleTrusT-KRITIS.pdf

Verankerung des betrieblichen DSB in der EU-Grundverordnung

Ob die EU-Datenschutz-Grundverordnung überhaupt Regelungen zum betrieblichen Datenschutzbeauftragten enthalten würde und wenn ja, welche – das stand bis zur letzten Minute in den Sternen. Doch rechtzeitig zum Fest können sich alle betrieblichen Datenschutzbeauftragten entspannt zurücklehnen. Die Datenschutz-Grundverordnung sichert in allen wichtigen Punkten ihre bisherige Stellung. Zugleich sieht sie erstmals für bestimmte Unternehmen eine europaweit geltende Pflicht vor, einen Datenschutzbeauftragten zu ernennen. Besser hätte die Datenschutz-Bescherung kaum noch ausfallen können!

 Der Datenschutzbeauftragte wird größtenteils seine bisherige Stellung behalten.

Schwierige Ausgangslage – gutes Ergebnis

Die Regelung über den betrieblichen Datenschutzbeauftragten gehörte zu den umstrittensten Punkten bei den Beratungen über die Datenschutz-Grundverordnung. Noch bis weit in den Dezember hinein war unklar, ob die Bestellung eines betrieblichen Datenschutzbeauftragten künftig überhaupt noch erlaubt sein würde.

Daran, jedenfalls für bestimmte Arten von Unternehmen eine Pflicht zur Bestellung eines Datenschutzbeauftragten europaweit vorzusehen, wagten viele schon gar nicht mehr zu denken. Umso erfreulicher ist für alle Datenschutzbeauftragten, was in der Woche vor dem 4. Advent in den Trilog-Verhandlungen politisch gebilligt und am 17.12.2015 durch einen Beschluss des Europäischen Parlaments im Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres („LIBE-Ausschuss“) bereits durch ein erstes wichtiges Gremium förmlich abgesichert wurde.

Die Grundverordnung wird einen eigenen Abschnitt über den betrieblichen Datenschutzbeauftragten enthalten. Dieser Abschnitt besteht aus drei Paragraphen zu den Themen „Bestellung“, „Stellung im Unternehmen“ und „Aufgaben“.

Europaweite Pflicht zur Bestellung – aber nicht generell

Europaweit verpflichtend ist demnach die Bestellung eines betrieblichen Datenschutzbeauftragten für folgende Institutionen:

  • alle Behörden und öffentliche Einrichtungen
  • Unternehmen, zu deren Kerngeschäft in erheblichem Umfang die regelmäßige und systematische Überwachung von Betroffenen gehört
  • Unternehmen, zu deren Kerngeschäft in erheblichem Umfang der Umgang mit sensiblen Daten gehört.

Nähere Einzelheiten zur Abgrenzung der verschiedenen Begriffe wie etwa des „erheblichen Umfangs“ wurden nicht geregelt. Sie dürften im Einzelfall erst durch die Rechtsprechung des Europäischen Gerichtshofs geklärt werden.

Entscheidend ist jedoch, dass eine ganze Reihe von Unternehmen in allen Mitgliedstaaten der Europäischen Union einen betrieblichen Datenschutzbeauftragten bestellen muss. Das ist neu und war in der bisher geltenden Datenschutz-Richtlinie von 1995 nicht vorgesehen. Der betriebliche Datenschutzbeauftragte ist damit zu einer Institution geworden, die unter bestimmten Voraussetzungen im Europarecht selbst verankert ist.

Weitergehende nationale Regelung bleibt möglich

Für Unternehmen, die nach den eben geschilderten Vorgaben keinen betrieblichen Datenschutzbeauftragten bestellen müssen, kann der nationale Gesetzgeber trotzdem eine solche Pflicht vorsehen. Mit anderen Worten: Der deutsche Gesetzgeber hat die Freiheit, die bisher im Bundesdatenschutzgesetz (BDSG) enthaltene Verpflichtung für die Bestellung eines betrieblichen Datenschutzbeauftragten beizubehalten. Das Europarecht steht dem nicht entgegen.

BDSG gilt insoweit fort

Besonders wichtig: Da die vorhandenen Regelungen des BDSG für die Bestellung eines Datenschutzbeauftragten mit den Vorgaben der Grundverordnung zu vereinbaren sind, gelten sie auch noch nach Inkrafttreten der Grundverordnung fort. Sollte es der deutsche Gesetzgeber also versäumen, rechtzeitig zum Inkrafttreten der Grundverordnung neue Regelungen zu treffen, bleibt es schlicht beim jetzigen Rechtsstand. Unternehmen müssen dann einen schon vorhandenen betrieblichen Datenschutzbeauftragten weiterhin beibehalten und für den Fall, dass die Stelle vakant wird, einen neuen Beauftragten berufen.

Stellung des DSB ändert sich kaum

Die Stellung des Datenschutzbeauftragten im Unternehmen ändert sich gegenüber dem jetzigen Rechtszustand so gut wie nicht. Insbesondere

  • muss er direkt der obersten Unternehmensebene organisatorisch zugeordnet sein,
  • ist er gegen Kündigung aufgrund seiner Tätigkeit geschützt und
  • ist Ansprechpartner für Betroffene.

Konzern-DSB ausdrücklich erlaubt, ebenso externer Datenschutzbeauftragter

Ein gemeinsamer Datenschutzbeauftragter für mehrere miteinander verbundene Unternehmen ist ausdrücklich zugelassen. Ebenso bleibt es dabei, dass ein Datenschutzbeauftragter auch noch andere Aufgaben im Unternehmen wahrnehmen kann. Externe Datenschutzbeauftragte sind ausdrücklich möglich.

Aufgaben des DSB

Hauptaufgaben des Datenschutzbeauftragten sind die Beratung der Unternehmensspitze und die Überwachung der Einhaltung datenschutzrechtlicher Regelungen.

Weitere Abläufe in Brüssel

Im Augenblick liegt noch keine Fassung der Datenschutz-Grundverordnung auf Deutsch vor. Der Sprachendienst der Europäischen Kommission wird in den nächsten Wochen Fassungen in allen offiziellen Amtssprachen erstellen. Diese Fassungen werden dann vom Rat der Europäischen Union und vom Europäischen Parlament insgesamt (also nicht nur wie jetzt von einem Ausschuss des Parlaments) offiziell beschlossen. Eine offizielle Zustimmung der Europäischen Kommission ist nicht mehr notwendig.

Mit einer Veröffentlichung im Amtsblatt der Europäischen Union dürfte etwa an Ostern oder kurz danach zu rechnen sein. Ab dem Zeitpunkt der Veröffentlichung beginnt die zweijährige Übergangsfrist bis zum Inkrafttreten der Grundverordnung.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Artikel aus: Datenschutz praxis – Das Fachmagazin für Datenschutzbeauftragte

Smart Metering Systeme

Mit intelligenten Informationsnetzen können Energieerzeugung und -verbrauch effizient verknüpft und ausbalanciert werden. Wichtige Elemente eines solchen Netzes sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt. Auf der einen Seite sorgen sie für Verbrauchstransparenz, auf der anderen Seite für die sichere Übermittlung von Messdaten. Mit der zusätzlichen Fähigkeit, eine Plattform für die Steuerung von elektronischen Verbrauchsgeräten und Erzeugungsanlagen zu bieten, verbessern sie zudem das Last- und Erzeugungsmanagement im Verteilnetz. Zentrale Komponente eines intelligenten Messsystems ist das Smart Meter Gateway als Kommunikationseinheit mit integriertem Sicherheitsmodul.

Da es beim Aufbau und der Nutzung eines intelligenten Netzes nicht zuletzt auch um die Verarbeitung personenbezogener Daten geht, sind die Sicherheit und der Schutz eben jener eine zentrale Voraussetzung für die öffentliche Akzeptanz intelligenter Messsysteme. Die zukünftigen Energieversorgungssysteme, insbesondere die dafür verwendeten intelligenten Messsysteme, erfordern somit verbindliche und einheitliche sicherheitstechnische Vorgaben sowie funktionale Anforderungen zur Wahrung der Interoperabilität.

Im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWi) entwickelt das BSI daher Anforderungen an vertrauenswürdige Produktkomponenten (Smart Meter Gateway mit integriertem Sicherheitsmodul), deren sicheren IT-Betrieb (Administration) und an die vertrauenswürdige Kommunikationsinfrastruktur (Smart Metering PKI). Die Einhaltung der Vorgaben werden im Rahmen eines Zertifizierungsverfahrens durch das BSI überprüft. Eingebunden in die Entwicklung wurden verschiedene Verbände aus den Bereichen Telekommunikation, Informationstechnik, Energie, Wohnungswirtschaft und Verbraucherschutz sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die Bundesnetzagentur sowie die Physikalisch-Technische Bundesanstalt.

Gegenstand des neuen Stammgesetzes über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz – MsbG) sind die Festlegung der technischen und organisatorischen Vorgaben des BSI zur Gewährleistung von Datenschutz und Datensicherheit (§§ 19 bis 28 in Artikel 1).

Das Smart Meter Gateway – Sicherheit für intelligente Netze (PDF, 4MB, Datei ist barrierefrei⁄barrierearm)

 

 

Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/SmartMeter/smartmeter_node.html

Weitergehende Informationen zum Thema:

 

 

Kriterien für die Nutzung von Cloud-Diensten

Beschluss des Rates der IT-Beauftragten der Ressorts vom 29. Juli 2015
Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung

1. Der IT-Rat hat mit Beschluss Nr. 2014/3 vom 12. Februar 2014 das BMI gebeten, einen Kriterienkatalog zum Einsatz von Cloud-Technologien in der Bundesverwaltung zu erarbeiten, der Mindestanforderungen statuiert in Bezug auf IT-Sicherheit, Datenschutz und zu Fragen von Interoperabilität und Standards, die Cloud-Dienste der IT-Wirtschaft erfüllen müssen, um durch die Bundesverwaltung in Anspruch genommen werden zu können.

2. Es ist zu beobachten, dass Softwarehersteller ihre Produkte zunehmend als Komplettdienstleistung – sogenannte Cloud-Dienste – anbieten, die auch den IT-Betrieb umfasst. Dort, wo Cloud-Angebote und Kauf-Software gemeinsam angeboten werden oder in Konkurrenz zueinander stehen, werden die Cloud-Angebote und der Fremdbetrieb gegenüber dem Kauf und dem Eigenbetrieb vom Cloud-Anbieter häufig als wirtschaftlich deutlich attraktiver dargestellt.

3. Die Bundesregierung hat es mit der Digitalen Agenda zu den Grundsätzen ihrer Digitalpolitik gemacht, die Autonomie und Handlungsfähigkeit der IT des Staates zu erhalten und insbesondere die technologische Souveränität für die IT des Staates zu stärken.

4. Der Einsatz von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung sollte daher erst nach sorgfältiger Abwägung von Risiken unter anderem für die IT-Sicherheit, der wirtschaftlichen und praktischen Folgen und der entsprechenden Mehrwerte erfolgen.

Vor diesem Hintergrund fasst der IT-Rat im Umlaufverfahren folgenden

Beschluss Nr. 2015/5

1. Cloud-Dienste im Sinne dieses Beschlusses sind Software-as-a-Service-, Platform-as-a-Service- und Infrastructure-as-a-Service-Dienstleistungen, die über Netzwerke und Anbieter der Wirtschaft außerhalb der öffentlichen Verwaltung des Bundes und der Länder erbracht werden.

2. Vor Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft ist zu prüfen, ob vergleichbare und anforderungsgerechte Leistungen durch die Bundesverwaltung selbst oder im Auftrag der Bundesverwaltung durch Dritte bereitgestellt werden. Dies schließt bundeseigene Inhouse-Gesellschaften mit ein. Sofern dies der Fall ist, ist die Nutzung dieser Leistungen zu bevorzugen.

3. Die Einrichtungen des Bundes werden ihre Planungen, Bedarfsbeschreibungen und Vergaben zur etwaigen Verwendung von Cloud-Diensten der IT-Wirtschaft nach folgenden Grundsätzen ausrichten:

a. Von den Einrichtungen des Bundes gehaltene schützenswerte Informationen (z. B. Betriebs- und Geschäftsgeheimnisse, sensible Daten über IT-Infrastrukturen des Bundes) müssen ausschließlich in Deutschland verarbeitet werden. Cloud-Anbieter müssen eine Vertraulichkeitsvereinbarung abschließen, nach der diese Daten nicht in den Bereich fremdstaatlicher Offenbarungspflichten und Zugriffsmöglichkeiten gelangen dürfen, die sich außerhalb der Bundesrepublik Deutschland gegen Cloud-Anbieter richten können.

b. Werden von einem Cloud-Anbieter Daten in Deutschland verarbeitet, die Privat- oder Dienstgeheimnisse gemäß §§ 203 und 353b StGB enthalten, ist darüber hinaus durch geeignete technische und organisatorische Regelungen sicherzustellen, dass diese Daten nicht unbefugt Dritten offenbart werden. Unbefugt ist eine Offenbarung insbesondere, wenn durch sie gegen gesetzliche Anforderungen des Datenschutzrechts sowie der §§ 203 und 353b StGB verstoßen wird. Die IT-Unterstützung für die Verarbeitung von Verschlusssachen (im Allgemeinen nur bis VS-NfD zulässig) unterliegt zudem den Regelungen der Verschlusssachenanweisung (VSA). Bei der Verarbeitung personenbezogener Daten sind §11 BDSG (Auftragsdatenverarbeitung) sowie die entsprechenden Nachweispflichten des Cloud-Anbieters zur Einhaltung des technischen und organisatorischen Datenschutzes zu beachten.

c. Soweit Cloud-Lösungen in Anspruch genommen werden, ist zur Vermeidung von „Lock-in-Effekten“ und wirtschaftlich ausnutzbaren Abhängigkeiten in möglichst hohem Maße Cloud-Lösungen auf Basis offener Standards der Vorzug zu geben, um die Möglichkeit eines Austauschs von Anbietern in wettbewerblicher Vergabe nicht zu erschweren oder zu verhindern. Insbesondere haben Planungen und die Ausrichtung eines Bedarfs auch zu berücksichtigen, dass besonders für den Fall von

  • Schlechtleistung, Unzuverlässigkeit oder Insolvenz eines Cloud-Anbieters,
  • Austausch von Subunternehmern, zu Gunsten solcher, die nicht die bei Vergabe geforderte Zuverlässigkeit und Vertrauenswürdigkeit haben,
  • Eingliederung des Cloud-Anbieters in ein anderes Unternehmen oder einen anderen Konzern oder sonstige Fälle des Wechsels des wirtschaftlichen Eigentums an ihm, wenn infolge dessen die geforderte Zuverlässigkeit und Vertrauenswürdigkeit nicht mehr besteht oder nicht mehr in der bei Vertragsschluss geforderten Weise belegt ist,
  • Kündigung des Vertragsverhältnisses aus wichtigem Grund oder regulärem Ende einer Vertragslaufzeit
    stets mehrere Anbieter am Markt zur Verfügung stehen, die die Aufgaben des ursprünglich beauftragten Anbieters übernehmen können.

d. Bei den Planungen zur Inanspruchnahme von Cloud-Diensten sind in Wirtschaftlichkeitsbetrachtungen auch angemessene Bewertungen mit Kostenschätzungen und Annahmen zu Risiken hinsichtlich der Wirtschaftlichkeit, Zuverlässigkeit und Sicherheit zu treffen. Hierzu zählen neben den Betriebskosten des Cloud-Dienstes insbesondere:

  • weitere Kosten auf Seiten des Cloud-Anwenders, hier vor allem
    o Schulung der Mitarbeiter und Administratoren,
    o Vorhalten von IT-Know-how zum Cloud-Dienst,
    o Verwalten und Überwachung des Cloud-Dienstes,
  • Migrationskosten zum Cloud-Dienst,
  • Aufwände für Migrationsszenarien, die ein gegebenenfalls notwendiger Anbieterwechsel gemäß Ziffer 3 c. erzeugen könnte oder die Kosten einer gegebenenfalls notwendigen Wiederaufnahme des Eigenbetriebs durch die Wiederbereitstellung von Personal und Sachmitteln („Insourcing“).

e. Vertragsverhältnisse zu Cloud-Diensten ohne angemessene Preissicherung werden nicht eingegangen.
f. Zur Absicherung der Verfügbarkeit als Teil der IT-Sicherheit erfolgt eine Beauftragung von Cloud-Diensten nur unter vertraglicher Vereinbarung von deutschem Recht und Gerichtsstand und ohne obligatorisch vorab zu betreibende Schlichtungsverfahren. Es ist zu gewährleisten, dass bei gegebenenfalls notwendigem Rechtsschutz beziehungsweise Eilrechtschutz keine Zeitverluste eintreten, zum Beispiel durch eine Einarbeitung in fremde Rechtsordnungen oder ein Auftreten vor entfernt gelegenen Gerichten, so dass die jeweilige Behörde handlungsfähig bleibt und ihre Forderungen effektiv durchsetzen kann. In Bezug auf den Betrieb der Cloud-Dienste werden zur Absicherung der Verfügbarkeit außerdem keine kurzfristigen einseitigen Kündigungsrechte oder Zurückbehaltungsrechte an den Leistungen zu Lasten des Auftraggebers akzeptiert.

g. Soweit im Zusammenhang mit der Nutzung von Cloud-Diensten Software zu erwerben ist (zum Beispiel auch zum Fremdbetrieb), ist einem Erwerb dauerhafter Nutzungsrechte (Kauf) grundsätzlich der Vorzug zu geben gegenüber zeitlich befristeten Nutzungsrechten (Miete) oder solchen Nutzungsrechten, zu denen sich der Anbieter kurzfristig einseitig ausübbare Kündigungs- oder Widerrufsmöglichkeiten vorbehält.

h. Vor jeder Beschaffung sind eine Risikoanalyse zur Nutzung des beabsichtigen Cloud-Dienstes anzufertigen, in denen die unter Ziffer 3 c. und 3 d. genannten Gesichtspunkte berücksichtigt werden, daraus angemessene Maßnahmen abzuleiten und diese Maßnahmen als Anforderung in der Bedarfsbeschreibung als Grundlage der dem Vertrag zu Grunde liegenden Leistungsbeschreibung zu formulieren. Die Risikoanalyse muss die aktuellen Sicherheitsempfehlungen des BSI berücksichtigen. Die Risikoanalyse und die darin getroffenen Entscheidungen werden nachvollziehbar dokumentiert. Vor einer Beauftragung sollte jeder Bieter darlegen, welche Sicherheitsmaßnahmen getroffen werden, um die jeweiligen Sicherheitsanforderungen umzusetzen. Eine Beauftragung kann nur erfolgen, wenn die Umsetzung dieser Sicherheitsanforderungen sowie angemessene Kontrollmöglichkeiten vertraglich zugesichert werden.

i. Der Cloud-Anbieter hat eine ausreichende Informationssicherheit nachzuweisen. Dies kann durch ein Zertifikat „ISO 27001 auf der Basis von IT-Grundschutz“ oder durch zukünftige, gleichwertige BSI-Verfahren geschehen. Die Anerkennung anderer Zertifizierungen bzw. Sicherheitsnachweise ist im Einzelfall zu prüfen. In Betracht kommen jedoch nur Nachweise der Informationssicherheit, die von einer vertrauenswürdigen und unabhängigen Stelle ausgestellt werden und deren Prüfanforderungen sowie das Evaluationsschema zur Begutachtung offen liegen.
Die Verpflichtung zur Erfüllung von Sicherheitsvorgaben muss vom Cloud-Anbieter auch an etwaige Subunternehmer weitergegeben und von diesen vertraglich übernommen und erfüllt werden. Der Cloud-Anbieter muss (gegebenenfalls unter einer Vertraulichkeitsvereinbarung) dem Auftraggeber Einblick in die zum Erlangen des Zertifikats erstellten Audit-Reports gewähren.
Für einen hohen Schutzbedarf richten sich die Maßnahmen der Informationssicherheit nach einer eingehenden Risikoanalyse, wie sie gemäß ISO 27001 auf der Basis von IT-Grundschutz gefordert wird sowie nach den gemäß der Einschätzung des Bedarfsträgers zusätzlich erforderlichen Maßnahmen. Insbesondere kann die Beschaffungsstelle auf Grundlage der Risikoanalyse gemäß Ziffer 3h), auch auf Veranlassung des Bedarfsträgers, im Einzelfall den Nachweis strengerer Anforderungen verlangen.

j. Cloud-Anbieter müssen ein Notfall-Management nachweisen, vorzugsweise basierend auf dem BSI-Standard 100-4 oder der Norm ISO 22301.
Abweichungen von diesen Grundsätzen müssen sich auf besonders begründete Ausnahmen beschränken.
4. Die Grundsätze in Ziffer 3 dieses Beschlusses gelten für die IT-Unterstützung und Aufgabenerfüllung im Inland. Aufgrund der besonderen Anforderungen sind für die Informationstechnik des Auswärtigen Amts, des Bundesministeriums für Verteidigung sowie des Bundesnachrichtendienstes und anderer, im Auftrag der Bundesregierung im Ausland tätigen Behörden Abweichungen möglich.

5. Komponenten, die bereits in Maßnahmen des Programms „Gemeinsame IT des Bundes“ entwickelt werden und anforderungsgerecht sind, werden von den Einrichtungen des Bundes nicht unabhängig davon als Cloud-Lösungen entwickelt oder erstbeschafft. Für die Fortführung alternativer Cloud-Lösungen dürfen Mittel nur veranschlagt werden, soweit dies wirtschaftlich ist.
6. Weitergehende gesetzliche Regelungen, zum Beispiel zum Umgang mit personenbezogenen Daten, oder spezielle Regelungen zum Geheimschutz (zum Beispiel VSA) bleiben von diesem Beschluss unberührt.

7. Der Beschluss wird veröffentlicht.

Bitkom veranstaltet internationale Privacy Conference

  • Eintägige Konferenz zum Datenschutz in der Praxis
  • 24. September 2015, Kalkscheune in Berlin

Viele Smartphone-Apps verwenden persönliche Daten, um ihre Funktionalität voll ausspielen zu können. Die Navi-App nutzt den Standort, die Bildbearbeitung greift auf die gespeicherten Fotos zu oder der Messenger auf die Kontakte. Dennoch sollten Smartphone-Besitzer die Einstellungen ihrer Geräte im Blick behalten. Laut einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom hat gut die Hälfte (52 Prozent) aller Smartphone-Nutzer in Deutschland die Lokalisierungsfunktion ihres Smartphones schon einmal verändert.

Damit kann geregelt werden, ob eine App immer, zeitweise oder gar nicht auf den Standort des Nutzers zugreifen darf. 38 Prozent haben die Zugriffsmöglichkeit auf ihre auf dem Smartphone gespeicherten Fotos verändert und ein Viertel (25 Prozent) die Nutzung ihrer persönlichen Kontakte. Immerhin 17 Prozent haben die Einstellungen zur Nutzung des Mikrofons angepasst, was vor allem für Apps mit einer Funktion für die Spracheingabe wichtig ist. „Viele Anwendungen brauchen bestimmte Informationen, um zu funktionieren“, sagt Susanne Dehmel, Bitkom-Geschäftsleiterin Vertrauen und Sicherheit. „Smartphone-Nutzer können die Einstellungen ihres Gerätes je nach Bedarf anpassen und so vermeiden, dass unnötige Daten gesammelt werden.“ So ist es zum Beispiel nicht notwendig, dass der Routenplaner die persönlichen Kontakte eines Smartphone-Besitzers ausliest.

Laut Umfrage verändern deutlich mehr jüngere als ältere Smartphone-Nutzer die datenschutzrelevanten Einstellungen ihrer Geräte. So haben bereits 63 Prozent der 14- bis 29-Jährigen Smartphone-Nutzer die Lokalisierungsfunktion angepasst, aber nur 28 Prozent in der Generation 65-plus. 44 Prozent der Jüngeren (14 bis 29 Jahre) haben den Zugriff auf ihre Fotos verändert, aber nur 4 Prozent der Älteren ab 65 Jahre. „Einerseits teilen jüngere Smartphone-Nutzer mehr persönliche Daten, insbesondere Fotos oder Standortdaten, mit anderen und nutzen dafür die entsprechenden Apps“, erläutert Dehmel. „Andererseits verfügen sie in der Regel über bessere Kenntnisse zur Funktionsweise ihrer Geräte.“Daten sind der entscheidende Rohstoff für Unternehmen geworden. Damit stellen sich neue Aufgaben für Wirtschaft und Gesellschaft, Daten zu schützen. Mit der internationalen Privacy Conference in Berlin greift der Digitalverband Bitkom die aktuellen Fragestellungen rund um Datenschutz in der Praxis auf. Am 24. September 2015 diskutieren Datenschutz-Experten aus Wirtschaft, Forschung und Verwaltung ihre Erfahrungen und präsentieren Best-Practice-Beispiele. (Quelle: http://www.compliancemagazin.de/markt/studien/bitkom170815.html)

„Auf der Privacy Conference geht es darum, Lösungen für die datenschutzrechtlichen Herausforderungen einer datenbasierten und global vernetzten Wirtschaftswelt zu finden und zu diskutieren“, sagt Susanne Dehmel, Mitglied der Geschäftsleitung im Bitkom. Darüber hinaus habe die Privacy Conference das Ziel, den internationalen Dialog zwischen Datenschutzbehörden, Unternehmensvertretern und Forschung zu fördern.

Wie können international operierende Unternehmen unterschiedlichen Datenschutzvorgaben gerecht werden? Kann es ein weltweit angemessenes Datenschutzniveau geben? Wie sollten sich Anbieter digitaler und vernetzter Produkte und Dienste für künftige datenschutzrechtliche Entwicklungen rüsten? Darum geht es am 24. September in der Kalkscheune Berlin. Ihre Teilnahme als Sprecher zugesagt haben neben weiteren Gabriela Krader, Konzerndatenschutzbeauftragte der Deutsche Post DHL, und Florian Thoma, Senior Director, Global Data Privacy bei Accenture.

Konferenzsprache der Privacy Conference ist Englisch. Alle Infos und Teilnahmemöglichkeiten unter: http://www.privacy-conference.com/

Andrea Voßhoff warnt vor dem Einsatz von Fitness-Apps durch Krankenkassen

BfDi

Bonn/Berlin, 16. Juli 2015

Ausgabe 18/2015
Datum 16.07.2015

Eine wachsende Zahl privater Krankenversicherungen bietet Apps an, durch die Versicherte zum Nachweis gesunden Verhaltens mit der Versicherung kommunizieren und Daten über die Wahrnehmung von Vorsorgeuntersuchungen oder sportliche Aktivitäten übermitteln können.

Gesundheits-Apps, die auf Smartphones und Tablets geladen werden oder sich auf sogenannten Smartwatches befinden, erfassen zum Teil sehr sensible Gesundheitsdaten. Herzfrequenz, Trainingszustand, Essverhalten oder die komplette Krankengeschichte können erhoben werden.

Andrea Voßhoff: Immer mehr Krankenkassen zeigen Interesse am Einsatz derartiger Anwendungen. Allen Anwendern, die Fitness-Apps freiwillig herunterladen, rate ich, nicht unbedacht mit ihren sensiblen Gesundheitsdaten umzugehen und die kurzfristigen finanziellen Vorteile, welche die Datenoffenbarung vielleicht mit sich bringt, gegen die langfristigen Gefahren abzuwägen.

Die mit Versicherungstarifen dieser Art angebotenen Vorteile klingen besonders für junge und gesunde Menschen verlockend. Prognosen über die zukünftige gesundheitliche Entwicklung der Versicherten können aber – unabhängig davon, ob sie zutreffen oder nicht – dazu genutzt werden, profilgenaue Angebote zu unterbreiten, das Leistungsspektrum entsprechend anzupassen oder künftige Risikozuschläge zu berechnen. Neben den privaten Krankenversicherungen ist auch bei den gesetzlichen Krankenkassen ein wachsendes Interesse an Gesundheits- und Fitnessdaten ihrer Versicherten zu beobachten. Aber während gesetzliche Versicherungen nur in den im Gesetz normierten Fällen personenbezogene Daten ihrer Versicherten erheben dürfen, können die Versicherten privater Unternehmen der Erhebung vertraglich zustimmen.

Andrea Voßhoff: Die Mitglieder gesetzlicher Kassen sind durch Gesetz vor der unbedachten Preisgabe sensibler Daten und den damit verbundenen unabsehbaren Folgen geschützt. Der Gesetzgeber sollte erwägen, diesen Schutz auch den Versicherten privater Kassen zu gewähren.

http://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2015/18_WarnungVorFitnessapps.html?nn=5217040