Home / Europa / Deutschland / TMC - Technology, Media & Communications / Datenschutzrecht & Recht der IT-Sicherheit

Datenschutzrecht & Recht der IT-Sicherheit

Zurück zu TMC - Technology, Media & Communications
  • Beratung bei der datenschutzgerechten Gestaltung sämtlicher Geschäftsmodelle und interner/externer Prozesse mit Bezug zu personenbezogenen Daten von Kunden, Beschäftigten oder sonstigen Dritten
  • Konzeption, Erstellung und Verhandlung konzernübergreifender, unternehmens-, bereichs- oder prozessbezogener Datenschutz- und Compliance-Konzepte (einschließlich möglicher Schnittstellen zum kollektiven Arbeitsrecht, die wir mit unseren entsprechend spezialisierten Kollegen bearbeiten)
  • Beratung zu den technischen Aspekten des Systemdatenschutzes und zu verwandten Rechtsfragen im Zusammenhang mit Erwerb, Erstellung, Nutzung und Auswertung von Informationen
  • Abstimmung mit Aufsichtsbehörden für den Datenschutz und Vertretung gegenüber diesen staatlichen Stellen
  • Sachgerechte Intervention im „Krisenfall“ bei tatsächlichen oder vermeintlichen Datenschutzverstößen im Unternehmen

Fokus

Datenschutzrecht ist für uns nicht bloß ein aktuelles Trendthema, sondern wir verfügen über langjährige praktische Erfahrung bei der Beratung und Vertretung nationaler und internationaler Mandanten aus verschiedensten Branchen. Unser Beratungsansatz verbindet eine ausgeprägte rechtliche Spezialisierung mit dem aus unserer Tätigkeit gewonnenen Verständnis für branchen- und anwendungsspezifische Anforderungen und Konzepte. Wir unterstützen und beraten Sie dabei, Geschäftsmodelle datenschutzgerecht zu gestalten und somit auch in einem für Privatsphäre und Persönlichkeitsrecht immer sensibleren Umfeld möglich zu machen.

Wird empfohlen

Kanzleimonitor 2016, 2017

CMS Hasche Sigle also put strong emphasis on this area by building up data protection expertise at every office.

JUVE German Commercial Law Firms 2015 (GCLF)
GDPR Enforcement Tracker Report 2023 (auf Englisch)
A warm welcome to the fourth edition of the GDPR Enforcement Tracker Report...
16/08/2021
Data protection and security
Expert legal advisers

Feed

22/02/2024
Das Schufa-Urteil des EuGH und dessen Auswirkungen
Das Schufa-Urteil des EuGH führt dazu, dass mehr Dienste als bisher dem Verbot automatisierter Verarbeitungen nach Art. 22 DSGVO unterfallen dürften
16/01/2024
Neues vom EuGH zum DSGVO-Scha­dens­er­satz
Der EuGH präzisiert die Voraussetzungen von Art. 82 DSGVO. Zudem stehen weitere praxisrelevante Eu­GH-Ent­schei­dun­gen an
12/01/2024
Das Datenschutzjahr 2023
Unser Beitrag blickt auf die da­ten­schutz­recht­li­chen Entwicklungen des Jahres 2023 zurück. Zugleich wagen wir einen Ausblick auf das Da­ten(schutz)jahr 2024
20/12/2023
Die EU Digital Identity Wallet kommt – ein erster Überblick
Die EUid-Wallet soll zukünftig europaweit sichere digitale Iden­ti­täts­nach­wei­se und weitere Funktionen ermöglichen - das bedeutet für Viele neue Pflichten
06/12/2023
DSGVO-Scha­dens­er­satz erneut vor dem EuGH
Sind negative Gefühle ein nach DSGVO zu ersetzender Schaden? Und besteht bei DSGVO-Ver­stö­ßen ein Un­ter­las­sungs­an­spruch? Diese Fragen wird der EuGH beantworten
06/12/2023
Data Law: Data Act, Data Governance Act & Co.
Mit der European Data Strategy will die EU die Datenwirtschaft zum Leben erwecken und Europa als In­no­va­ti­ons­stand­ort fördern. Insbesondere die Nutzung von Maschinendaten soll vorangetrieben und vereinfacht werden. Mit dem in Kürze in Kraft tretenden Data Act und dem Data Governance Act liegen zwei umfassende Datengesetze vor, die zusammen die Eckpfeiler für ein neues EU-weit harmonisiertes Datenrecht bilden.  Kernpunkte des Data Act   Um was geht es? Der Data Act reguliert erstmals den Zugang zu und die Nutzung von per­so­nen­be­zo­ge­nen und nicht-per­so­nen­be­zo­ge­ne Daten, die durch die Nutzung von Internet of Things (IoT)-Produkten und -Diensten erzeugt werden. Die Europäische Da­ten­schutz-Grund­ver­ord­nung (DSGVO) bleibt daneben anwendbar. Außerdem beinhaltet der Data Act spezifische Regelungen für Cloud-Diens­te.  Wer ist betroffen? Der Data Act richtet sich an Unternehmen aller Branchen, die datengestützte Produkte oder verbundene Dienste in der EU anbieten oder dies planen sowie an die Nutzer dieser Produkte und Dienste in der EU.  Wann? Als Verordnung gilt der Data Act unmittelbar in allen EU-Mit­glieds­staa­ten. Er ist vom Europäischen Parlament und vom Rat beschlossen und wird nach einer Übergangsfrist von 20 Monaten ab Mitte 2025 anwendbar sein. Umfangreiche Da­ten­zu­gangs­an­sprü­che Der Data Act stellt die Nutzer in den Mittelpunkt. Er ordnet ihnen die Hoheit über im Rahmen der Nutzung der IoT-Produkte und -Dienste generierte Daten zu und gewährt ihnen umfangreiche Rechte und Zu­gangs­an­sprü­che in Bezug auf die Daten. Herstellern der Produkte und Anbietern der Dienste wird es gleichzeitig ohne Gestattung durch den Nutzer nicht mehr möglich sein, diese Daten frei zu nutzen. Hersteller und Anbieter müssen den Nutzern kostenfrei und wenn möglich in Echtzeit Zugang zu den Daten verschaffen. Diese Verpflichtung muss bereits bei der Entwicklung der Produkte und Dienstleistungen berücksichtigt werden („Da­ta-Ac­cess-by-De­sign“). Hinzu kommen Transparenz- und In­for­ma­ti­ons­pflich­ten. Nut­zer können zukünftig verlangen, die Daten Dritten (auch Wettbewerbern!) zugänglich zu machen. Vorbehaltlich geeigneter technischer und or­ga­ni­sa­to­ri­scher Maßnahmen umfasst dies auch Ge­schäfts­ge­heim­nis­se, wobei der Data Act Regelungen zum Schutz vor der Entwicklung von Kon­kur­renz­pro­duk­ten auf Basis der Daten aufweist. Zudem regelt der Data Act Ansprüche öffentlicher Stellen auf Datenzugang, z.B. zur Gefahrenabwehr bei Notfällen. Neue Vorgaben zur Ver­trags­ge­stal­tung Der Data Act enthält zahlreiche Anforderungen an die Gestaltung von datenbezogenen Verträgen. Insbesondere wird durch den Data Act erstmals auf B2B-Ebene eine Art AGB-rechtliche Inhaltskontrolle eingeführt.  Regelungen zum Wechseln von Cloud Services Anbieter von Cloud-Diensten verpflichtet der Data Act, diese so zu gestalten, dass ein Wechsel der Kunden zu einem anderen Anbieter oder eine Rückverlagerung zum Kunden selbst („on premise“) einfach möglich ist. Insoweit bestehen zahlreiche Vorgaben für die Gestaltung von Cloud-Ver­trä­gen, z.B. zu Kündigungs- und Über­gangs­fris­ten, Un­ter­stüt­zungs­pflich­ten sowie Ver­gü­tungs­re­ge­lun­gen. Kernpunkte des Data Governance Act Mit dem Data Governance Act (DGA) soll zum Vorteil des europäischen Binnenmarktes ein Rechtsrahmen für die gemeinsame Nutzung von Daten geschaffen werden, der einen neutralen Zugang zu Daten und die In­ter­ope­ra­bi­li­tät sichert, sowie zur Vermeidung von Lock-in-Effekten beiträgt. Der DGA gilt bereits seit dem 24. September 2023. Er umfasst drei Säu­len:Wei­ter­ver­wen­dung von Daten im Besitz öffentlicher Stellen. Der DGA enthält Regeln für die Weiterverwendung bestimmter Kategorien geschützter Daten, zu denen öffentliche Stellen Zugang haben. Allerdings umfasst der DGA keine Verpflichtung für öffentliche Stellen, die Weiterverwendung von Daten zu­zu­las­sen.  Da­ten­ver­mitt­lungs­diens­te als „Schlüssel der Da­ten­wirt­schaft“. Der DGA umfasst Regelungen für Da­ten­ver­mitt­lungs­diens­te wie z.B. Da­ten­markt­plät­ze, die u.a. Re­gis­trie­rungs­pflich­ten unterliegen. So soll es insbesondere für kleine und mittlere Unternehmen (KMU) und Start-ups leichter werden, Zugang zu Daten zu erhalten und diese zu nut­zen.  Frei­wil­li­ge Datenspenden – Datenaltruismus. Um mehr Daten für Wirtschaft, Forschung, Innovation und Umweltschutz nutzbar zu machen, will der DGA die freiwillige Bereitstellung von Daten erleichtern und absichern. Dies soll insbesondere durch die Anerkennung von da­ten­al­tru­is­ti­schen Organisationen erfolgen. Dazu müssen Einrichtungen bestimmte Anforderungen erfüllen (z. B. auf gemeinnütziger Basis arbeiten und rechtlich unabhängig sein) und ein An­er­ken­nungs­ver­fah­ren durchlaufen. Wie geht es weiter? Welcher Handlungsbedarf besteht? Data Act und DGA sind der erste Schritt in der Umsetzung der Europäischen Datenstrategie. Weitere sek­tor­spe­zi­fi­sche De­tail­re­ge­lun­gen, insbesondere zu den sogenannten „Data Spaces“ (European Health Data Space, European Mobility Data Space etc.), werden folgen oder sind bereits im Ge­setz­ge­bungs­pro­zess. Unternehmen sollten zeitnah den Impact des Data Act sowie der anderen Vorschriften des neuen Europäischen Datenrechts auf ihre Daten- und Ge­schäfts­stra­te­gie analysieren und vorbereitende Maßnahmen ergreifen:
06/12/2023
2024 - Themen, die Sie bewegen werden
Das Jahr 2023 hat die Welt in besonderem Maße bewegt. Die Zunahme regionaler Krisen und Kriege sowie eine instabile wirtschaftliche Lage haben uns allen viel abverlangt. In diesen herausfordernden Zeiten gilt es besonders, vorausschauend zu handeln und den Realitäten mit Augenmaß zu begegnen, um sich auch im Jahr 2024 erfolgreich behaupten zu können. Besonders hervorzuheben ist hierbei die zukünftige Ausrichtung unseres Handelns. Künstliche Intelligenz ist mittlerweile allgegenwärtig und stellt uns vor die Frage nach einem adäquaten und un­ter­neh­mer­freund­li­chen Rechtsrahmen. In Zeiten geopolitischer Spannungen wird Cybersicherheit mehr denn je essenzieller Bestandteil jeder Un­ter­neh­mens­stra­te­gie bleiben müssen, Datenschutz und ver­ant­wor­tungs­be­wuss­te Tech­no­lo­gie­nut­zung sind Schlüs­sel­fak­to­ren für geschäftlichen Erfolg. Themen wie die Umsetzung der globalen Min­dest­be­steue­rung in Deutschland und die Beschleunigung von Ge­neh­mi­gungs­ver­fah­ren bei In­fra­struk­tur­pro­jek­ten werden Unternehmen auch im kommenden Jahr weiter be­schäf­ti­gen. Die­se Her­aus­for­de­run­gen sind zweifellos anspruchsvoll, bergen jedoch auch erhebliches Potenzial. Mut machen die Prognosen der Wirt­schafts­for­schen­den. So rechnet das DIW für das kommende Jahr wieder mit einem leichten Wirt­schafts­wachs­tum von 1,2 Prozent. Zeit also, verlorene Zuversicht wieder zu­rück­zu­ge­win­nen. Gerade in Zeiten globaler Her­aus­for­de­run­gen ist es von entscheidender Bedeutung, nicht nur wirtschaftliche Verantwortung zu tragen, sondern auch aktiv dazu beizutragen, den ge­sell­schaft­li­chen Zusammenhalt zu stärken und die Demokratie zu verteidigen. Gemeinsam spielen wir eine bedeutende Rolle als Sta­bi­li­täts­fak­to­ren in der Gesellschaft, indem wir soziale Verantwortung übernehmen und uns für eine gerechte und inklusive Entwicklung sowie den Schutz demokratischer Werte einsetzen. Zeit also, die Weichen zu stellen. Mit Mut und un­ter­neh­me­ri­scher Weitsicht. Im Jahr 2024 stehen wir Ihnen selbst­ver­ständ­lich mit unserer breiten Expertise zur Seite, um Sie aktiv bei der Bewältigung dieser umfassenden Her­aus­for­de­run­gen zu unterstützen. Einen Überblick über die wichtigsten Themen des kommenden Jahres haben wir wie gewohnt für Sie zu­sam­men­ge­stellt. Wir freuen uns darauf, gemeinsam mit Ihnen die Chancen und Her­aus­for­de­run­gen anzugehen, und danken Ihnen einmal mehr für die erfolgreiche Zusammenarbeit. Gemeinsam können wir viel erreichen – wirtschaftlich, rechtlich und ge­sell­schaft­lich. 
06/12/2023
Eigene KI-Sprachmodelle von Unternehmen
Spätestens seit der öffentlichen Verfügbarkeit mächtiger Sprachmodelle und ihrer für die meisten Menschen erstaunlichen Leis­tungs­fä­hig­keit besteht wenig Zweifel, dass Unternehmen aller Branchen ihre Produktivität mit Künstlicher Intelligenz (KI) erheblich steigern können. Wie aber sieht der richtige Weg zur Implementierung aus? Ge­schäfts­ge­heim­nis- und Datenschutz sprechen bei manchen Unternehmen gegen eine Nutzung kommerzieller Cloud-An­wen­dun­gen US-ame­ri­ka­ni­scher Anbieter. Eine Alternative können eigene KI-Modelle als interne Lösung sein, die z.B. von Dro­ge­rie­markt­ket­ten, Au­to­mo­bil­zu­lie­fe­rern oder Kanzleien bereits eingesetzt werden, aber ebenfalls technische und rechtliche Her­aus­for­de­run­gen bereithalten. Wir geben einen Überblick über Regelungen, die derzeit bestehen oder mit der Europäischen KI-Verordnung (KI-VO) auf KI-entwickelnde und -einsetzende Unternehmen zukommen. Der risikobasierte Ansatz der KI-VO Am 9. Dezember 2023 haben der Rat und das Parlament eine politische Einigung zur KI-VO erzielt, die klare Regeln zur Vermeidung von Dis­kri­mi­nie­rung, Überwachung und anderen potenziell schädlichen Auswirkungen insbesondere auf Grundrechte aufstellen soll. Die KI-VO kategorisiert KI-Systeme nach Risikopotenzial. Anbieter von Hoch­ri­si­ko-KI-Sys­te­men treffen besonders umfangreiche Pflichten, deren Erfüllung einigen Ver­wal­tungs­auf­wand und finanzielle Ressourcen erfordern wird. KI-Entwicklern ist in Data Governance Systemen genau vorzugeben, mit welchen Daten auf welche Weise trainiert werden darf. Dies empfiehlt sich unabhängig von der KI-VO: Verstößt ein KI-Modell gegen Rechte Dritter, trifft den Anbieter und mittelbar das entwickelnde Unternehmen eine Exkul­pa­ti­ons­pflicht. Der Vorschlag der Europäischen KI-Haf­tungs­richt­li­nie sieht hierfür teils sogar einen Anscheinsbeweis vor, der entkräftet werden müsste. Solche Vorgaben sind kritisch, da die KI-Entwicklung sehr kostspielig ist und sich Fehler in der Auswahl der Trainingsdaten durch den gesamten Trainingsprozess ziehen. Von Datenqualität zu Datenschutz Zum Training von KI werden in der Regel große Datenmengen ausgewertet, wobei neben der Datenqualität die Rechtmäßigkeit der Da­ten­ver­ar­bei­tung zu gewährleisten ist. Wer auf eigene KI-Sprachmodelle setzt, verarbeitet sowohl beim Training als auch bei der späteren Nutzung regelmäßig personenbezogene Daten und muss als Verantwortlicher die Europäische Da­ten­schutz-Grund­ver­ord­nung (DSGVO) beachten. Lassen Daten Rückschlüsse auf natürliche Personen zu, ist technisch nicht ausgeschlossen, dass diese aus dem trainierten Modell gezogen werden können (z.B. durch sog. Inference Attacks). Aufgrund der strengen Anforderungen der DSGVO empfiehlt sich für das Training die ausschließliche Verwendung anonymisierter Daten. Die DSGVO enthält zudem KI-spezifische Vorschriften: Automatisierte Entscheidungen i.S.d. Art. 22 Abs. 1 DSGVO, die gegenüber den Betroffenen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich be­ein­träch­ti­gen, sind grundsätzlich untersagt. KI darf insbesondere Entscheidungen über Einstellungen, Beförderungen, Kündigungen oder Abmahnungen nicht final treffen, es sei denn, die automatisierte Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen Betroffenen und dem Verantwortlichen erforderlich oder das Unternehmen kann sich auf eine ausdrückliche Einwilligung der Betroffenen berufen. Überdies gelten besondere Informations- und Aus­kunfts­pflich­ten zum Bestehen der automatisierten Ent­schei­dungs­fin­dung einschließlich Profiling sowie zu aus­sa­ge­kräf­ti­gen Informationen über die involvierte Logik, Tragweite und angestrebten Auswirkungen für Betroffene. Zudem kann eine Da­ten­schutz-Fol­gen­ab­schät­zung i.S.d. Art. 35 DSGVO erforderlich sein. KI-Sprachmodelle im Unternehmen und ar­beits­recht­li­che Pflichten Neben da­ten­schutz­recht­li­chen Regeln müssen Arbeitgeber weitere Vorgaben beim Einsatz eigener KI-Sprachmodelle beachten. In Betrieben ohne Betriebsrat kann der Arbeitgeber diese aufgrund des Weisungsrechts einführen, was neben der Nutzung auch die konkreten Regeln betrifft, an die sich Ar­beit­neh­me­rin­nen und Arbeitnehmer halten müssen. In Betrieben mit Betriebsrat ist die Implementierung regelmäßig mit­be­stim­mungs­pflich­tig, wenn die KI Rückschlüsse auf Verhalten oder Leistung von einzelnen Beschäftigten ermöglicht, z.B. wer das Modell wann zur Erledigung welcher Aufgaben nutzt. Daneben hat der Betriebsrat KI-spezifische Be­tei­li­gungs­rech­te wie die Hinzuziehung eines KI-Sach­ver­stän­di­gen (§ 80 Abs. 3 S. 2 BetrVG), Unterrichtungs- und Beratungsrechte (§ 90 Abs. 1 Nr. 3 BetrVG) und das Zustimmungsrecht bei von der KI aufgestellten Aus­wahl­richt­li­ni­en (§ 95 Abs. 2a BetrVG). Schließlich sollten Arbeitgeber ethische Aspekte beachten. Auswirkungen des Urheberrechts auf den Einsatz von KI-Sprach­mo­del­len Nutzer oder Auftraggeber haben oft nicht die von ihnen erwartete ur­he­ber­recht­li­che Stellung, weil die Ergebnisse einer KI, wie z.B. erzeugte Gra­fi­ken, man­gels persönlicher geistiger Schöpfung eines Menschen in der Regel kein geschütztes Werk nach § 2 Abs. 2 UrhG darstellen. Das Training mit Inhalten Dritter könnte allerdings unter die Schranken der §§ 44b, 60d UrhG fallen. Die gesetzliche Wi­der­spruchs­lö­sung und gewisse Spei­cher­be­schrän­kun­gen verlangen Entwicklern erhöhte Sorgfalt ab. Die KI-VO enthielt in ihrem Entwurf aus dem Sommer 2023 abgesehen von den Offenlegungs- und Do­ku­men­tie­rungs­pflich­ten in Art. 28b Ziff. 4c) kaum Regelungen zu KI und Urheberrecht. Die Einhaltung des EU-Urheberrechts wird aber als eine der Leitplanken für All­zweck-KI-Sys­te­me angesehen. All dies zeigt: Unternehmen haben bei eigenen KI-Sprach­mo­del­len eine Vielzahl rechtlicher Regelungen zu beachten. Aufgrund der hohen Sanktionen bei Verstößen gegen die KI-VO und des wirtschaftlichen Risikos von Trai­nings­wie­der­ho­lun­gen (wurde ein Modell mit „rechts­wid­ri­gen“ Daten trainiert, muss es ggf. vollständig neu trainiert werden) sowie der Exkul­pa­ti­ons­pflich­ten bei Rechts­ver­let­zun­gen lohnt sich eine frühzeitige Vorbereitung auf die rechtlichen und technischen Her­aus­for­de­run­gen.
06/12/2023
NIS2 & DORA – Zur Umsetzung der neuen Cy­ber­si­cher­heits­vor­ga­ben
Medienberichten zufolge hat die Anzahl und Schwere von Ran­som­wa­re-An­grif­fen – nicht zuletzt aufgrund der MO­VEit-Si­cher­heits­lü­cke – im Jahr 2023 ein neues Rekordniveau erreicht: Nie zuvor waren weltweit so viele Privatpersonen, Behörden und Unternehmen von erfolgreichen Ran­som­wa­re-At­ta­cken betroffen wie in diesem Jahr. Ebenfalls auf Rekordniveau bewegt sich die Re­gu­lie­rungs­dich­te, mit der sich Unternehmen im Bereich der Cybersicherheit gegenwärtig konfrontiert sehen. Während sich der Cyber Resilience Act noch im Ge­setz­ge­bungs­ver­fah­ren befindet (Rat und Parlament haben hier Ende November eine vorläufige Ei­ni­gung er­zielt), wurden in Gestalt der NIS2-Richtlinie – flankiert von der CER-Richtlinie – und dem Digital Operational Resilience Act (DORA) Anfang 2023 umfangreiche regulatorische Vorgaben in Kraft gesetzt, um Unternehmen in Schlüs­sel­sek­to­ren der EU zur Gewährleistung eines hohen Cy­ber­si­cher­heits­ni­veaus zu verpflichten. Viel Zeit zur Umsetzung der neuen Vorgaben bleibt nicht: Die Anforderungen der NIS2- und CER-Richtlinien sind von den Mitgliedstaaten ab dem 18. Oktober 2024 anzuwenden, die Vorgaben des DORA gelten ab dem 17. Januar 2025. Mithin gilt es, das Jahr 2024 für die Implementierung der neuen Anforderungen zu nutzen. Der Aufwand und die Kosten hierfür dürften erheblich sein: Schätzungen zufolge soll allein die Umsetzung der Anforderungen der NIS2-Richtlinie in Deutschland unternehmerische Mehrkosten in Höhe von EUR 7,3 Mrd. bedingen. Etablierung eines unionsweiten Mindestniveaus an Cybersicherheit durch die NIS2-Richtlinie Die gesetzgeberische Umsetzung der NIS2-Richtlinie in Deutschland läuft: Zuletzt hat das BMI im September 2023 ein Dis­kus­si­ons­pa­pier veröffentlicht, das eine Änderung des BSI-Gesetzes (BSIG) vorsieht und auf die Umschreibung des An­wen­dungs­be­reichs und die geplanten un­ter­neh­me­ri­schen Pflichten zugeschnitten ist. Kurz zuvor, im Juli 2023, wurde ein Re­fe­ren­ten­ent­wurf für das die CER-Richtlinie umsetzende KRI­TIS-Dach­ge­setz veröffentlicht. Von den neuen Vorgaben werden künftig neben der öffentlichen Verwaltung und digitalen Diensten insbesondere Post- und Kurierdienste, die Ab­fall­be­wirt­schaf­tung, die Chemikalien- und Le­bens­mit­tel­pro­duk­ti­on (einschließlich der Verarbeitung und des Vertriebs) und die Herstellung von medizinischen und elektronischen Produkten, Maschinen und Fahrzeugen erfasst sein. An die Stelle der bisherigen an­la­gen­spe­zi­fi­schen Schwellenwerte der BSI-KritisV werden die KMU-Schwel­len­wer­te für kleine und mittlere Unternehmen treten, d.h. im Falle der Beschäftigung von mindestens 50 Mit­ar­bei­ten­den oder eines Jahresumsatzes und einer Jah­res­bi­lanz­sum­me von jeweils über EUR 10 Mio. ist grundsätzlich von einer Anwendbarkeit der neuen Vorgaben auszugehen. Bestimmte Akteure werden darüber hinaus auch ohne Überschreitung dieser Schwellenwerte in den An­wen­dungs­be­reich des neuen BSIG fallen. Neben einer grundsätzlichen Re­gis­trie­rungs­pflicht und vor­fall­ab­hän­gi­gen Meldepflichten (mit einer Erstmeldefrist von 24 Stunden) müssen erfasste Unternehmen künftig ein umfassendes, auch die Lieferkette abdeckendes Risikomanagement betreiben, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen, Komponenten und Prozessen zu vermeiden und Auswirkungen von Si­cher­heits­vor­fäl­len gering zu halten. Die Verantwortung für die Ausgestaltung und Umsetzung der erforderlichen Maßnahmen ist zwingend auf Leitungsebene zu verorten, einschließlich einer Haftung des Leitungsorgans gegenüber dem Unternehmen für den Fall einer unzureichenden Implementierung. Die Europäische Kommission ist verpflichtet, die Anforderungen für bestimmte Bereiche in Gestalt von Durch­füh­rungs­rechts­ak­ten bis zum 17. Oktober 2024 zu konkretisieren. Im Übrigen gilt es im Laufe des kommenden Jahres die aktuellen nationalen Um­set­zungs­be­stre­bun­gen in den Blick zu nehmen, zumal diese überschießende nationale An­wen­dungs­be­rei­che und Anforderungen enthalten können (wie auch der Entwurf des deutschen Um­set­zungs­ge­set­zes). Harmonisierung der Cybersicherheit und Be­triebs­sta­bi­li­tät im Finanzsektor durch den DORA Der unmittelbar in den Mitgliedstaaten anwendbare DORA weist inhaltlich ähnliche Spezifika auf. Sein weiter An­wen­dungs­be­reich erfasst neben Fi­nanz­un­ter­neh­men aus insgesamt 20 Be­tä­ti­gungs­fel­dern (einschließlich der betrieblichen Altersvorsorge) auch Unternehmen, die den Fi­nanz­un­ter­neh­men digitale Dienste und Datendienste einschließlich Hard­ware­dienst­leis­tun­gen zur Verfügung stellen (sog. IKT-Dritt­dienst­leis­ter). Zentraler Bestandteil des DORA sind sehr dezidierte und feingliedrige Anforderungen an das IKT-Ri­si­ko­ma­nage­ment. Die Verantwortung für dessen Umsetzung trägt wiederum das Leitungsorgan des Fi­nanz­un­ter­neh­mens. Schwerwiegende IKT-bezogene Vorfälle sind der BaFin zu melden. Schwachstellen sollen durch das Testen der digitalen operationalen Resilienz erkannt werden. Darüber hinaus enthält der DORA zahlreiche Regelungen, um Risiken, die für Fi­nanz­un­ter­neh­men im Zusammenhang mit der Nutzung von IKT-Dienst­leis­tun­gen entstehen können, zu mitigieren. Bis Juli 2024 werden die Regelungen durch die Europäischen Auf­sichts­be­hör­den (European Supervisory Authorities (ESA)) noch konkretisiert. Zudem gilt es die nationalen Um­set­zungs­be­stre­bun­gen zu der flankierenden Richtlinie 2022/2556 im Auge zu behalten. Das BMF hat hierzu zuletzt am 23. Oktober 2023 einen Re­fe­ren­ten­ent­wurf veröffentlicht.
06/10/2023
DSGVO-Scha­dens­er­satz: Übersicht über aktuelle Urteile und Entwicklungen...
Die Anzahl der Ge­richts­ent­schei­dun­gen zu DSGVO-Scha­dens­er­satz­an­sprü­chen steigt und steigt. Unser Überblick zeigt die aktuellen Entwicklungen und Urteile
26/07/2023
Update: Neues zum Recht auf Löschung bei Such­ma­schi­nen­be­trei­bern
Der BGH hat in einem wegweisenden Urteil über Aus­lis­tungs­be­geh­ren gegen den Betreiber einer In­ter­net-Such­ma­schi­ne entschieden. Das Urteil betrifft vorrangig das Recht auf Vergessenwerden im Internet
17/07/2023
EU-US Data Privacy Framework: Beschluss der EU-Kommission
Nach einem Beschluss der EU-Kommission werden nun Datenflüsse in die USA wieder rechtssicher möglich