Gesetzliche Grundlagen / Anforderungen zum Thema Datenschutz / Informationssicherheit

DSGVO /BDG

Die Europäische Datenschutzgrundverordnung (DSGVO) ist als Verordnung direkt in Deutschland geltendes Recht. Sie hat im Zusammenspiel mit dem Bundesdatenschutzgesetz (BDSG) neue Standards zum Umgang mit personenbezogenen Daten gesetzt. Wesentliche Anforderungen an die „Sicherheit der Verarbeitung“ werden über Artikel 32 DSGVO gegenüber dem „Verantwortlichen“ (also die für die Verarbeitung der Daten verantwortliche Stelle) bzw. einem von ihr genutzten sog. „Auftragsverarbeiter“ formuliert. Darin heiß es unter anderem, dass unter Berücksichtigung der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Als mögliche Maßnahmen werden konkret benannt:

1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Auf den Punkt gebracht, bedeutet dieser Artikel der DSGVO, dass bei der Verarbeitung personenbezogener Daten einerseits eine Risikobetrachtung und andererseits ein den Risken angemessenes Informations-Sicherheits-Management-System (ISMS) einzurichten ist.

KRITIS

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert sog. „Kritische Infrastrukturen“ wie folgt: Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Aktuell sind 10 Sektoren der Wirtschaft als KRITIS-relevant definiert (z.B. „Energie“, „IT und TK“ oder „Medien und Kultur“). Sofern eine Organisation einen gewissen Schwellenwert überschreitet, unterliegt sie der KRITIS-Regulierung. Diese Schwellenwerte sind in der „BSI-Kritisverordnung“ definiert. So beträgt dieser Schwellenwert z.B. für Rechenzentren (zum Housingbetrieb) 3,5 MW „vertraglich vereinbarte Leistung“. KRITIS-Organisationen haben sich beim BSI als solche zu registrieren und insb. ein IT-Sicherheitsniveau nach dem "Stand der Technik" umzusetzen. Dies wiederum ist alle zwei Jahre dem BSI gegenüber nachzuweisen.

Unternehmen im besonderen öffentlichen Interesse

HINWEIS: Diese Kategorie bildet den aktuellen Stand der Gesetzgebung ab. Sie wird mit dem kommenden NIS2 Umsetzungsgesetz voraussichtlich abgelöst werden durch die Kategorien "Wichtige Einrichtungen" und "Besonders wichtige Einrichtungen". Mehr dazu auch im Artikel NIS2 (Themen).

Unterhalb der als kritische Infrastruktur (KRITIS) definierten Sektoren und Unternehmen wurde mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) eine weitere Gruppe von Unternehmen definiert, die besondere Pflichten hinsichtlich ihrer IT-Sicherheit umzusetzen hat: Es handelt sich um die sogenannten „Unternehmen im besonderen öffentlichen Interesse“.

Dabei handelt es sich gem. § 2 Absatz 14 BSIG um drei Kategorien von Unternehmen:

• UBI 1 (AWV-UBI) sind Hersteller / Entwickler von Gütern im Sinne von § 60 Außenwirtschaftsverordnung (AWV), also Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentlicher Komponenten solcher Produkte tätig sind.

• UBI 2 (Wertschöpfungs-UBI) sind die nach ihrer inländischen Wertschöpfung größten Unternehmen Deutschlands sowie wesentliche Zulieferer für diese Unternehmen.

• UBI 3 (Störfall-UBI) sind Betreiber „eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung" oder Betreiber, die, "nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.“

Die Unternehmen „UBI 1“ und „UBI 3“ sind bereits per Gesetz klar definiert. Welche Unternehmen genau in die Kategorie „UBI 2“ fallen, muss noch per Rechtsverordnung genau festgelegt werden.

Alle in eine der drei Kategorien fallenden Unternehmen haben sich zu registrieren und eine Kontaktstelle zu benennen. Weiterhin unterliegen sie einer Meldepflicht bei Sicherheitsvorfällen. Die Unternehmen der Kategorie „UBI 1“ und „UBI 2“ unterliegen zudem der Pflicht, eine Selbsterklärung zur IT-Sicherheit abzugeben. Dabei werden

• aktuelle Zertifizierungen im Bereich IT-Sicherheit,

• sonstige Sicherheitsaudits, Prüfungen, Normen oder Standards im Bereich IT-Sicherheit,

• ggf. Maßnahmen zum angemessenen Schutz besonders schützenswerter informationstechnischer Systeme, Komponenten und Prozesse

• sowie die behandelten Themen im IT-Sicherheitsmanagement sowie deren Umsetzungsgrad abgefragt.

Beim letzten Punkt geht es darum, nachzuweisen, dass man umfangreiche Standards zur IT-Sicherheit aus dem BSI-Grundschutz eingeführt bzw. darzulegen, zu welchem Grad man sie eingeführt hat.