Kategorie: Aufsichtsbehördliche Maßnahmen

Deutsche Datenschutzbehörden zweifeln an der Zulässigkeit von Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln

15. Oktober 2015

Nach der Safe-Harbor-Entscheidung des EuGH vom 06. Oktober 2015 sind Datenübermittlungen auf Grundlage des Abkommens nicht mehr zulässig.  Hintergrund der Entscheidung ist der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.

Nach wie vor in Betracht kommt indes ein Transfer auf der Basis der Standardvertragsklauseln bzw. Binding Corporate Rules, deren Zulässigkeit nicht Gegenstand des Verfahrens war. Datenschutzrechtliche Bedenken hiergegen bestanden jedoch bereits vor der Entscheidung des EuGH und werden erneut vor dem erläuterten Hintergrund der Entscheidung diskutiert.


Deutsche Datenschutzbehörden haben bereits im Jahr 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen diese Standard-Vertragsklauseln nicht (mehr) ausreichten, solange die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste nicht geklärt seien:

“Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird.
Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.”


In dem Positionspapier zu dem Safe-Harbor-Urteil hält die schleswig-holsteinische Datenschutzbauftragte bei konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil eine Datenübermittlung auf Basis von Standardvertragsklauseln für nicht mehr zulässig. Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssten nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. Eine dauerhafte Lösung könne nur in einer Änderung des amerikanischen Rechts liegen.

Es werde nun geprüft, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.

Erste Reaktionen nationaler Datenschutzbehörden auf die Safe-Harbor-Entscheidung und Folgen für die Praxis

7. Oktober 2015

Nach der Entscheidung des EuGH vom 06. Oktober 2015 über die Gültigkeit des Safe-Harbor-Abkommens haben sich einzelne nationale Datenschutzbehörden zu möglichen Konsequenzen geäußert, die teilweise unterschiedlich bewertet werden. In Rede steht die Aussetzung des Datentranfers in die Vereinigten Staaten, aber auch die fortbestehende Rechtmäßigkeit einer Datenübermittlung im Rahmen von Standardvertragsklauseln oder verbindlichen Unternehmensvereinbarungen.


Die Artikel 29-Datenschutzgruppe hat in der Pressemitteilung vom 06. Oktober 2015 die Safe-Harbor-Entscheidung des EuGH ausdrücklich begrüßt. Sie teilte zudem mit, bereits in der folgenden Woche das Urteil in einer Expertenrunde zu analysieren und die Folgen für den Datentransfer in die Vereinigten Staaten zu diskutieren. Ein Termin für eine außerordentliche Plenarsitzung folge in Kürze.


Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass die Aufsichtsbehörden bei der Umsetzung des Urteils eine Schlüsselrolle einnehmen werden. Dabei sei zu prüfen, ob Datentransfers in die Vereinigten Staaten auszusetzen seien. Dies gelte auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt würden. Die Aufsichtsbehörden würden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits müsse die USA drängen, ein angemessenes Datenschutzniveau herzustellen.


Zustimmend äußerte sich zudem die britische Datenschutzbehörde ICO. Sie werde die Folgen des Urteils analysieren und in den kommenden Wochen bekanntgeben. Bereits jetzt erkennbare Folgen für die Praxis:

  • Personenbezogene Daten seien nun nicht verstärkt gefährdet, jedoch seien Unternehmen jetzt verpflichtet sicherzustellen, dass Daten mit dem europäischen Datenschutzrecht konform übermittelt werden.
  • Der Datenschutzbehörde sei dabei bewusst, dass den Unternehmen ein gewisser Zeitraum für Erfüllung dieser Pflichten eingeräumt werden müsse.
  • Es bestünden bereits jetzt Möglichkeiten für eine rechtskonforme Übertragung.
  • Verhandlungen über den Abschluss eines neuen Abkommens zwischen der EU und den Vereinigten Staaten seinen bereits fortgeschritten.
  • Die Folgen des Urteils werden durch die ICO analysiert und Ergebnisse in den kommenden Wochen bekanntgegeben.

Die spanische Agencia Española de Protección de Datos – AEPD führt in ihrer Pressemitteilung zu der Entscheidung aus:

Bisher hat die AEPD internationale Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtlich anerkannt. Diese Unternehmen hatten demnach das Privileg, dass bei einer Meldung eines Systems an die zuständige Behörde keine weitere Genehmigung durch die Datenschutzbehörde erfoderlich war um die Übermittlung datenschutzkonform durchzuführen.

Jetzt hat die Datenschutzbehörde im Einzelfall zu prüfen, ob die Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtmäßig sind.

Die Europäischen Datenschutzbehörden hätten bereits in der Vergangenheit auf Mängel des Safe Harbor Abkommens aufmerksam gemacht. Nun arbeiteten sie zusammen, um koordinierte Maßnahmen bezüglich des EuGH-Urteils herbeizuführen, damit es gleichmäßig in allen EU Mitgliedstaaten interpretiert und umgesetzt werde.

BayLDA: Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden!

2. September 2015

Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz – so auf Bundesebene § 11 Bundesdatenschutzgesetz (BDSG) –  schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann. So viel die Theorie.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt, weil dieses in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hatte, sondern dort nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes aufzufinden waren. Das BayLDA wies darauf hin, dass die keinesfalls ausreichend ist. Die datenschutzrechtliche Verantwortung trage auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür sei es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Das BayLDA betont, dass nicht pauschal beantwortet werden kann, welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen. Dies richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Der schriftliche Auftrag muss daher spezifische Festlegungen zu diesen Fragen enthalten.

„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, so der Präsident des BayLDA Kranig. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigne- ten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

BayLDA: Achtung auf Kundendaten beim Unternehmensverkauf!

19. August 2015

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigenen Angaben Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem  mittlerweile unanfechtbaren Bußgeld in jeweils fünfstelliger Höhe belegt.

Im konkreten Fall ging es um die unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Rahmen eines Asset Deals. Diese erfolgte ohne die explizite Einwilligung der betroffenen Kunden. Damit wurde gegen das Datenschutzgesetz verstoßen, was wegen des Umstandes, dass es sich bei E-Mail-Adressen um personenbezogene Daten handelt, anwendbar ist. Zugleich wurde gegen das Gesetz gegen den unlauteren Wettbewerb verstoßen, wonach ebenfalls eine Einwilligung des Kunden von Nöten ist, wenn der Erwerber die Daten auch zu Werbezwecken verwenden möchte.

Das BayLDA hat klargestellt, dass für die unzulässige Übergabe von Kundendaten sowohl der Veräußerer als auch der Erwerber als sogenannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung tragen. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000,- € geahndet werden können.

CNIL fordert weltweites Recht auf Vergessen werden

14. August 2015

Wie die Zeit berichtet, hat die französische Datenschutzbehörde CNIL den Suchmaschinenbetreiber Google aufgefordert, das Recht auf Vergessen werden weltweit umzusetzen.
Im Jahr 2014 hatte der EuGH geurteilt, dass Betroffenen im Rahmen ihres Rechts auf informationelle Selbstbestimmung auch das Recht zusteht digital vergessen zu werden. Hiernach können Bürger der EU Google dazu verpflichten, bestimmte Links zu ihrer Vergangenheit nicht mehr in der Liste der Suchergebnisse aufzuführen.
Google entspricht den Ansprüchen von Betroffenen insoweit, als dass Einträge zu den jeweiligen Personen in der europäischen Version der Suchmaschine nicht mehr erscheinen. Der CNIL geht diese Vorgehensweise jedoch nicht weit genug. Sie fordert von Google, dass Einträge aus der Vergangenheit einer Person weltweit zu entfernen sind.
Hiergegen wehrt sich Google mit dem Argument, dass eine französische Behörde nicht die Zuständigkeit habe anzuordnen, wie die weltweiten Suchergebnisse von Google zu gestalten sein.
Ob und wie die CNIL in dieser Angelegenheiten weiter gegen Google vorgeht, bleibt abzuwarten.

Hamburgischer Datenschutzbeauftragter geht gegen Facebook vor

30. Juli 2015

Erneut gerät das Soziale Netzwerk Facebook in das Visier von Datenschützern. In Kritik gerät Facebook diesmal wegen der Sperrung eines Nutzerkontos. Eine Nutzerin von Facebook hatte ihr Nutzerprofil unter einem Pseudonym eingerichtet, um unter ihrem bürgerlichen Namen nicht gefunden zu werden, wie der Der Hamburgische Datenschutzbeauftragte: Profilnamen bei Facebook frei wählbar mitteilt.
Facebook veranlasste die Sperrung des Nutzerkontos und forderte die Nutzerin auf, ihren richtigen Namen in ihrem Profil anzugeben. Ihre wahre Identität sollte die Nutzerin mit einem amtlichen Lichtbild nachweisen. Darüber hinaus änderte Facebook den Profilnamen der Nutzerin in deren richtigen Namen und forderte die Nutzerin auf dieser Änderung zuzustimmen, um das Konto wieder freizuschalten. Dieses Vorgehen von Facebook veranlasste die Nutzerin dazu die Aufsichtsbehörde einzuschalten.
Der zuständige hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Prof. Caspar, hat inzwischen eine Anordnung gegen Facebook erlassen, in der Facebook dazu verpflichtet wird, die anonyme Nutzung seines Dienstes zuzulassen. Sowohl die Verwehrung der Möglichkeit ein Profil unter einem Pseudonym zu führen als auch die Aufforderung, sich digital mit einem amtlichen Lichtbildausweis zu identifizieren, verstoße gegen geltendes Recht.
Gemäß § 13 Abs. 6 Telemediengesetz  sind Diensteanbieter wie Facebook dazu verpflichtet, ihren Nutzern die Nutzung ihrer Dienste entweder anonym oder unter einem Pseudonym zu ermöglichen. Dieser Verpflichtung kommt Facebook im vorliegenden Falle jedoch nicht nach.
Ein weiterer Gesetzesverstoß stellt die Aufforderung der Identifizierung mit einem amtlichen Lichtbildausweis dar. Die Erhebung und Nutzung der Daten des Personalausweises darf gemäß § 14 Personalausweisgesetz nur unter bestimmten Voraussetzungen verlangt werden. Die elektronische Identifizierungsfunktion des Personalausweises darf aus Gründen der Datensicherheit nur unter Verwendung eines gültigen Berechtigungszertifikats von dem Diensteanbieter eingesetzt werden.
Auch die Änderung des Namens der Nutzerin von dem Pseudonym in ihren richtigen Namen stellt einen Gesetzesverstoß. Das Grundgesetz garantiert – abgeleitet aus der Würde des Menschen und dem allgemeinen Persönlichkeitsrecht – das Recht auf informationelle Selbstbestimmung. Dieses Grundrecht wird im Bundesdatenschutzgesetz konkretisiert. Danach hat jeder Einzelne das Recht frei zu entscheiden, ob, wann, in welchem Umfang und wem gegenüber er seine personenbezogenen Daten veröffentlicht.
Wie Facebook auf die Anordnung des Hamburgischen Datenschutzbeauftragten reagiert, bleibt abzuwarten.

LIBE-Ausschluss stimmt für Richtlinien-Entwurf zur Vorratsspeicherung von Flugpassagierdaten

17. Juli 2015

Diesen Mittwoch hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE-Ausschuss) des Europäischen Parlaments dem Vorschlag der EU-Kommission zur Vorratsdatenspeicherung von Flugpassagierdaten zugestimmt.

Der Richtlinien-Entwurf der EU-Kommission regelt den Umgang mit Flugpassagierdaten (sogenannte „Passenger Name Record“, PNR) von Personen, welche über den Luftweg in die EU ein- und ausreisen. Entsprechend dem Vorschlag der EU-Kommission dürfen die Daten zur Prävention und Verfolgen von schweren Verbrechen wie unter anderem Terrorismus, Menschenhandel, Waffenhandel oder Cyberkriminalität verwendet werden.

Mit einer europaweiten Regelung zum Umgang mit Flugpassagierdaten soll ein einheitliches Sicherheitsniveau für den Flugverkehr aber auch ein einheitliches Sicherheitsniveau hinsichtlich der erhobenen Passagierdaten sichergestellt werden.

Der Entwurf sieht vor, dass Fluggesellschaften die zu den Reisenden vorliegenden PNR an sogenannte „Passenger Information Units“ (PIU) des jeweiligen EU-Mitgliedstaats übermitteln. Die nationalen PIU dürfen die Daten zur Gefahrenabwehr und Strafverfolgung verarbeiten. Dabei sollen die PNR mit nationalen Datenbanken abgeglichen werden und mit anderen Staaten ausgetauscht werden können. Eine Übertragung der Flugdaten an private Unternehmen sowie die Speicherung von besonderen Arten personenbezogener Daten sind nach dem Richtlinien-Entwurf unzulässig.

Die Daten werden zunächst für einen Zeitraum von 30 Tagen vorgehalten. Im Anschluss werden sie zwar “maskiert. Ein Personenbezug lässt sich jedoch für den Zeitraum der Speicherung von 5 Jahren ohne Weiteres herstellen.

Nachdem der LIEBE-Ausschuss mit 32 zu 27 Stimmen für den Richtlinien-Entwurf gestimmt hat, ist der Weg zu den Trilog-Verhandlungen zwischen EU-Parlament, EU-Kommission und Europäischen Rat geebnet, in dem weitere Einzelheiten verhandelt werden.

Die anlasslose Vorratsdatenspeicherung rückt damit ein Stück näher.

Verdeckte Durchsuchungen auf dem Prüfstand

9. Juli 2015

In dieser Woche verhandelt der Erste Senat des Bundesverfassungsgerichts über sechs zugelassene Verfassungsbeschwerden gegen Regelungen im Bundeskriminalamtgesetze (BKA-Gesetz). Das Gesetz wurde im Jahr 2007 novelliert und enthält seit dem unter anderem Regelungen, die dem Bundeskriminalamt weitreichende Befugnisse zur Abwehr von Gefahren des internationalen Terrorismus einräumen. Insbesondere Maßnahmen zur verdeckten Observation von Wohnraum, Onlinedurchsuchungen und Telekommunikationsüberwachung werden durch die Normen legitimiert. Gestützt werden die Normen auf die Kompetenz des Bundesgesetzgebers zur Abwehr von Gefahren durch den internationalen Terrorismus (Art. 73 Abs. 1 Nr. 9a GG).

Konkret geht es in dem Verfahren um die Frage, ob die Befugnisse des Bundeskriminalamtes – speziell diejenigen zur Wohnraum-, Online- und Telekommunikationsüberwachung – die Privatsphäre der Betroffenen verletzen bzw. im Rahmen welcher Grenzen dies rechtmäßig ist.
Geklagt hatten Gerhart Baum (ehemaliger Bundesinnenminister), Michael Neumann (ehemaliger Herausgeber der Zeit) sowie Verbandsvertreter der Journalisten und Ärzte, wie heise online berichtet.

Die zu überprüfenden Normen sind sehr weit gefasst. So darf das BKA nur dann nicht verdeckt auf dargestellte Weise observieren, wenn es dabei ausschließlich Informationen aus den Kernbereichen der privaten Lebensbereiche der Betroffenen erlangt. Da aber beispielsweise auf nahezu jedem PC Daten aus sämtlichen Lebensbereichen einer Person – sei es dienstliche Infos wie auch privat-intime – vorhanden sind, geht die Überwachung zu weit, so das Kernargument der Beschwerdeführer. Darüber hinaus wird die erlaubte Weiterleitung von Überwachungsdaten an ausländische Dienste und Behörden kritisiert.

Bundestag verabschiedet IT-Sicherheitsgesetz

17. Juni 2015

Vergangene Woche hat der Bundestag den Entwurf eines neuen IT-Sicherheitsgesetzes verabschiedet. Die jüngsten Berichte über den Hacker-Angriff auf den Bundestag verdeutlichen die drohenden Gefahren durch Cyber-Attacken. Mit den nun verabschiedeten Regelungen beabsichtigt der Gesetzgeber solchen Gefahren eine geringere Angriffsfläche zu bieten. Die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von informationstechnischen Systemen (IT-Systemen) zu gewährleisten, ist der Zweck der Neuerungen zum IT-Sicherheitsgesetz.

Die störungsfreie Nutzung von IT-Systemen ist für Staat, Wirtschaft und Gesellschaft von überragender Bedeutung. Dementsprechend gravierend wären die Schadensausmaße, wenn unbefugte Dritte sich Zugriff auf IT-Systeme ­- beispielsweise von Energieversorgern oder Krankenhäusern – verschafften. Vor diesem Hintergrund hat der Gesetzgeber nun den Kreis derer erweitert, die zukünftig bestimmte Sicherheitsstandards umzusetzen haben. Welche Verpflichtungen sich hieraus ergeben, soll im Folgenden kurz dargestellt werden.

Eine wesentliche Neuerung des Gesetzesentwurfs liegt in den eingeführten Pflichten der Betreiber sogenannter „Kritischer Infrastrukturen“. Adressaten der Regelungen sind entsprechend der Definition Anbieter solcher Dienstleistungen, die den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Ernährung sowie dem Finanz- und Versicherungswesen angehören.

Nach Inkrafttreten des Entwurfes des IT-Sicherheitsgesetzes wird der Gesetzgeber in einer Rechtsverordnung konkrete Dienstleistungen dieser Sektoren festlegen, so dass sich auf dieser Grundlage genau bestimmen lässt, wer Betreiber einer Kritischen Infrastruktur ist.

Von dem Anwendungsbereich des IT-Sicherheitsgesetzes ausgenommen sind jedenfalls sogenannte „Kleinstunternehmen“. Kleinstunternehmen im Sinne der Vorschriften des IT-Sicherheitsgesetzes sind solche, bei denen weniger als 10 Personen beschäftigt sind und deren Jahresumsatz unter dem Betrag von € 2 Mio. liegt.

Gehört ein Unternehmen zukünftig hingegen zu den Betreibern Kritischer Infrastrukturen treffen ihn besondere Pflichten, die er gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als zuständige Stelle zu erfüllen hat.

Zukünftig besteht die Verpflichtung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen für IT-Systeme einzuführen. Eine organisatorische und technische Vorkehrung ist angemessen, wenn die Belastung, welche für das Unternehmen durch ihre Implementierung entsteht, im Verhältnis zu dem Ziel , welches durch sie erreicht werden soll, nicht unverhältnismäßig groß ist. Diese Vorgabe der technischen und organisatorischen Vorkehrungen hat der Gesetzgeber bewusst offen formuliert. An dieser Stelle haben Branchen- und Interessenverbände der betroffenen Adressaten die Möglichkeit, eigene Maßstäbe zu definieren. Aufgrund ihres branchenspezifischen Fachwissens sollen die Interessenverbände gut die Angemessenheit von Vorkehrungen beurteilen können.

Die Verwendung von Mindeststandards haben die einzelnen Unternehmer alle zwei Jahre gegenüber dem Bundesamt nachzuweisen. Die Nachweise können durch Zertifikate, Prüfungen oder Sicherheitsaudits erbracht werden. Auch hier hat der Gesetzgeber den Branchenverbänden einen Gestaltungsspielraum bezüglich der konkreten Anforderungen an mögliche Nachweise eingeräumt.

Des Weiteren haben Unternehmen innerhalb von sechs Wochen nach Inkrafttreten des Gesetzes eine Kontaktstelle einzurichten, über welche die Korrespondenz mit dem Bundesamt abgewickelt werden soll.

Schließlich normiert das Gesetz eine Meldepflicht für Bertreiber Kritischer Infrastrukturen gegenüber dem Bundesamt. Treten erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, ihrer Komponenten oder Prozesse, auf, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, muss dies dem Bundesamt durch die Kontaktstelle gemeldet werden.

Für Diensteanbieter im Sinne des Telemediengesetzes sei schließlich erwähnt, dass die nicht-Verwendung der Mindeststandards bußgeldbewehrt ist.

Ob es letztendlich tatsächlich zu einer erhöhten Sicherheit von IT-Systemen kommt, bleibt abzuwarten.

Luxemburgische Regierung erstattet Anzeige in BND-Spähaffäre

21. Mai 2015

Die Praktiken der BND-NSA-Späh-Affäre hat nun die Regierung Luxemburgs dazu bewogen, Anzeige gegen Unbekannt zu stellen. Zuvor hatte der Abgeordenete des österreichischen Parlaments Peter Pilz auf seiner Facebookseite ein Schreiben der deutschen Telekom veröffentlicht, in der vier Transitleitungen zu Überwachungszwecken offen gelegt worden waren. Da in diesen Luxemburg als Zielstaat offenbart wurde, sah sich die Regierung des Nachbaarstaates dazu veranlasst juristisch gegen die unbekannten Verantwortlichen vorzugehen. “Deutsche Sicherheitskreise” wiesen die Vorwürfe zurück, mit der Erklärung, dass Anfangs- und Endpunkte einer angezapften Strecke nichts über Anfang und Ende der durchgeleiteten Telekommunikationsverbindungen verrieten.

1 31 32 33 34 35 39