Die BaFin und die Deutsche Bundesbank haben die Mindestanforderungen an das Risikomanagement der Banken, kurz MaRisk, an neue europäische und internationale Vorgaben angepasst. Darüber hinaus sind Erfahrungen in die Novelle eingeflossen, die BaFin und Deutsche Bundesbank bei der täglichen Aufsicht und bei Prüfungen gemacht haben. Wesentliche Neuerungen betreffen die Bereiche Datenaggregation und Risikoberichterstattung, Risikokultur und Auslagerung.
Link: www.bafin.de
Am 11.10.2017 hat das BSI auf der IT-Security-Messe it-sa in Nürnberg die Ergebnisse der Modernisierung des IT-Grundschutzes der Öffentlichkeit vorgestellt. Die wesentlichen Aspekte werden an dieser Stelle zusammen gefasst.
Link: www.bsi.bund.de
Das auf der Webseite https://www.dlapiperdataprotection.com/index.html zum Download stehende Handbuch zeigt einen Überblick über die wichtigsten Datenschutzgesetze und -regelungen in nahezu 100 verschiedenen Rechtsgebieten und bietet den Unternehmen die Möglichkeit die komplexen Regelungen im zunehmend wichtigen Bereich der Rechenschaftspflicht/Compliance zu berücksichtigen.
Weiterhin bietet die Webseite online den direkten Vergleich zwischen zwei ausgewählten Ländern.
Wer die Grundverordnung auf seinen mobilen Endgeräten nutzen möchte, kann die GDPR-App für IOS und Android downloaden. Die App bietet die DSGVO in 13 verschiedenen Sprachen an.
Link: www.bvdnet.de
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals einen Eignungsbescheid für den Branchenstandard einer kritischen Infrastruktur im Sinne des § 8a (2) BSI-Gesetz erteilt. Wasserver- und Abwasserentsorgungsunternehmen haben damit die Möglichkeit, die neuen gesetzlichen Verpflichtungen durch die Implementierung des Branchenstandards, genannt B3S, zu erfüllen. Am 31. Juli nahmen der Vorstandsvorsitzende des Deutschen Vereins des Gas- und Wasserfaches (DVGW), Prof. Dr. Gerald Linke, und der Präsident der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA), Otto Schaaf, das Zertifikat in Bonn entgegen.
Link: www.dvgw.de
Mit dem branchenspezifischen Sicherheitsstandard (B3S) Wasser/Abwasser hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Eignung des ersten Sicherheitsstandards für einen KRITIS-Sektor festgestellt. Der Bescheid zur Eignung des Standards wurde am Montag von BSI-Präsident Arne Schönbohm an die Vertreter Prof. Dr. Gerald Linke und Otto Schaaf der für diesen Bereich regelsetzenden Verbände DVGW (Trinkwasserversorgung) und DWA (Abwasserbeseitigung) überreicht. Betreiber Kritischer Infrastrukturen aus dem Sektor Wasser, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie nach dem Stand der Technik absichern und können dies nun anhand des B3S umsetzen. Der B3S Wasser/Abwasser enthält Rahmenanforderungen, die auf die tatsächlichen Gegebenheiten im KRITIS-Sektor Wasser zugeschnitten sind, eine Vorgehensweise zur Risikoanalyse sowie eine Sammlung von Sicherheitsmaßnahmen, um den identifizierten Risiken zu begegnen. Im B3S Wasser/Abwasser ist unter anderem ein Gesamtpaket von rund 140 Maßnahmen aus dem IT-Grundschutz des BSI enthalten.
Link: www.bsi.bund.de
Im Rahmen einer Zusammenarbeit haben fünf Verbände gemeinsam die bisherigen Empfehlungen zur Datenverarbeitung im Auftrag an die aktuellen, durch die EU-Datenschutz-Grundverordnung veränderten rechtlichen Anforderungen angepasst. Zusätzlich wurde ein Hinweis-Papier zum Umgang mit bereits bestehenden Datenverarbeitungs-Verträgen erstellt.
Mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO) am 24. Mai 2016 und deren Wirksamwerden am 25. Mai 2018 gelten ab diesem Datum hinsichtlich der Auftragsverarbeitung (AV) die Regelungen der DS-GVO unmittelbar in Deutschland. Diese lösen die nationalen Regelungen für die Datenverarbeitung im Auftrag ab.
Auch die Anforderungen an die datenschutzrechtlichen Inhalte von Auftragsverarbeitungs-Verträgen (AV-Verträgen) wurden im Rahmen der DS-GVO festgelegt. Diese entsprechen weitestgehend dem jetzigen deutschen Recht, jedoch gibt es Abweichungen, die bei zukünftigen Vertragsabschlüssen zu beachten sind. Beispielsweise werden neben begrifflichen Änderungen die Anforderungen an die Verpflichtung zur Vertraulichkeit, an die geeigneten technischen und organisatorischen Maßnahmen sowie an die Unterstützung des Auftraggebers (neu „Verantwortlichen“) durch den Auftragnehmer (neu „Auftragsverarbeiter“) geändert bzw. spezifiziert.
Link: www.gdd.de
Am heutigen Tag wurde im Bundesgesetzblatt Nr. 44 vom 05.07.2017 das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU / DSAnpUG-EU) veröffentlicht.
Dieses enthält in Artikel 1 das Bundesdatenschutzgesetz in der Fassung, die ab dem 25.05.2018 in Kraft tritt. Bisher scheint sich die Schreibweise BDSG n.F. durchzusetzen.
Das BDSG n.F. enthält, wie schon bereits die letzten veröffentlichten Versionen (Kabinettsbeschluss, danach noch Änderungen durch den Bundesrat etc.) gezeigt hatten, u.a. Regelungen zur Videoüberwachung, zur Benennpflicht für nichtöffentliche Stellen und zur konkreten Umsetzung von Sanktionen nach der DSGVO.
In Artikel 7 wird das bestehende Bundesdatenschutzgesetz geändert. Zum einen wird der BfDI die Möglichkeit gegeben, für Zwecke der Personalverwaltung und -wirtschaft auf Bundesbehörden zurückzugreifen (§ 22 Absatz 5 BDSG). Zum anderen bekommen Aufsichtsbehörden für den Datenschutz im neuen § 42b BDSG das Recht, einen Antrag auf gerichtliche Entscheidung bei angenommener rechtswidrigkeit eines Beschlusses der Europäischen Kommission zu stellen. Dieses ist eine Folge des Schrems-Urteils vom Oktober 2015.
In den anderen Artikeln des DSAnpUG-EU werden Anpassungen u.a. am BND-Gesetz, am Artikel-10-Gesetz und an anderen Gesetzen vorgenommen.
Link: www.bvdnet.de
Das Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) wurde am 29.06.2017 verkündet. Es dient im Wesentlichen der Umsetzung der NIS-Richtlinie, die im August 2016 in Kraft getreten ist. Diese definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union. Mit der Richtlinie wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten der Europäischen Union sowie Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen, sowie für bestimmte Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätze geschaffen. Das BSI erhält vor diesem Hintergrund neue Aufgaben und Befugnisse – eine wichtige Voraussetzung, um die Cyber-Sicherheit in Deutschland weiter zu verbessern.
Link: www.bsi.bund.de
Durch die genannte Verordnung werden die Betreiber von Kritischen Infrastrukturen in die Lage versetzt, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen.
Die Bundesregierung hat heute der vom Bundesminister des Innern vorgelegten Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen zugestimmt. Damit kann diese Verordnung noch im Juni 2017 in Kraft treten.
Mit der Änderungsverordnung werden das IT-Sicherheitsgesetz abschließend umgesetzt und die Kriterien für die Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ und „Transport und Verkehr“ bestimmt. Die Regelungen für die Sektoren „Energie“, „Informationstechnik und Telekommunikation“, „Wasser“ und „Ernährung“ sind bereits seit dem 3. Mai 2016 in Kraft.
Link: www.bmi.bund.de
GDD veröffentlicht Praxishilfe DS-GVO VI – Textausgabe DS-GVO mit Zuordnung BDSG.
Der vorliegende Text der Datenschutz-Grundverordnung basiert auf der amtlichen Fassung vom 4. Mai 2016. Gegenübergestellt finden Sie die Vorschriften des kommenden BDSG in der Fassung des Beschlusses des Deutschen Bundestages (BT-Drs. 18/11325) sowie des Änderungsantrages des Bundesrates (BR-Drs. 332/17). Regelungen, die nur den öffentlichen Bereich betreffen, sind in hellgrauer Schrift dargestellt.
Link: www.gdd.de