Das deutsche IT-Sicherheitsgesetz und KRITIS

Seit Sommer 2015 gilt in Deutschland das IT-Sicherheitsgesetz. Die Vorschriften sind Teil der „Digitalen Agenda“ der Bundesregierung und sollen dazu beitragen, Bevölkerung, Unternehmen und Behörden besser vor Cyber-Angriffen zu schützen, indem die Sicherheit kritischer Infrastrukturen (KRITIS) ständig auf dem aktuellen Stand der Technik gehalten wird.

Deshalb betrifft das IT-Sicherheitsgesetz vor allem die Informationssicherheit von Betreibern sogenannter kritischer Infrastrukturen. Denn Datensicherheit wird durch die Digitalisierung unseres Lebens im Allgemeinen und die digitale Transformation der Wirtschaft im Besonderen zu einem grundlegenden Bestandteil der inneren Sicherheit Deutschlands.

Wie umfassend das IT-Sicherheitsgesetz angelegt ist, zeigt sich unter anderem daran, in welchen Gesetzen und Vorschriften es Bestimmungen änderte. Davon betroffen sind u.a.: BSI-Gesetz, Atomgesetz, Energiewirtschaftsgesetz, Telemediengesetz, Telekommunikationsgesetz, Bundesbesoldungsgesetz, Bundeskriminalamtgesetz sowie Gesetz zur Strukturreform des Gebührenrechts des Bundes.

Bei KRITIS-Unternehmen handelt es sich im Wesentlichen um Organisationen, die für das Gemeinwesen von zentraler Bedeutung sind. Um insbesondere die Betreiber von kritischen Infrastrukturen besser vor Hacker-Angriffen zu schützen, sollen neue IT-Sicherheitsstandards geschaffen werden. Das IT-Sicherheitsgesetz formuliert diese jedoch nicht selbst. Stattdessen sollen die betroffenen Sektoren bzw. Branchen selbst Standards erarbeiten und diese anschließend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) genehmigen lassen.

Betroffene Sektoren

In der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) legt der Gesetzgeber die betroffenen Sektoren fest, die im Rahmen des IT-Sicherheitsgesetzes zu den kritischen Infrastrukturen zählen. Insgesamt fallen neun Sektoren in den KRITIS-Bereich:

  • Energie: Strom- und Gasversorger, Kraftstoff-, Heizöl und Fernwärmeversorger. Dabei werden alle Unternehmen erfasst, die an der Erzeugung bzw. Produktion, Übertragung und Verteilung der Energieformen beteiligt sind.
  • Wasser: Trinkwasserversorger und Abwasserbeseitiger. Betroffen sind alle Unternehmen in den Bereichen Wassergewinnung, -aufbereitung, -verteilung, -steuerung und -überwachung, sowie Abwasserbehandlung, Gewässereinleitung
  • Ernährung: Lebensmittelversorgung (Produktion, Verarbeitung und Handel von Lebensmitteln)
  • Informationstechnik und Telekommunikation: Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung. Dies umfasst IT-Hoster, DNS-Resolver, Rechenzentren, Vertrauensdienste u.v.a.
  • Gesundheit: Erfasst sind die stationäre medizinische Versorgung, Versorger mit lebenserhaltenden Medizinprodukten oder verschreibungspflichtigen Arzneien sowie Dienstleister im Bereich der Laboratoriumsdiagnostik.
  • Finanz- und Versicherungswesen: Hier sind Dienstleister erfasst, welche an der Bargeldversorgung, an kartengestütztem und konventionellem Zahlungsverkehr, der Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen beteiligt sind.
  • Transport und Verkehr: Personen- und Gütertransport
  • Staat und Verwaltung: Justizapparat, Katastrophenschutz, Regierung und Verwaltung
  • Medien und Kultur: Presse, Kulturgüter, aber auch bestimmte Bauwerke

Auswirkungen auf betroffene Unternehmen

KRITIS-Unternehmen haben eine Meldepflicht für erhebliche Störungen der Unternehmens-IT gegenüber dem BSI. Dafür muss die Störung noch nicht eingetreten sein. Es genügt, wenn es sich um eine außergewöhnliche IT-Störung handelt, deren Eintreten für möglich gehalten wird. Dazu zählen unter anderem Sicherheitslücken, unbekannte Schadsoftware, Spear-Fishing und außergewöhnliche oder unerwartete IT-technische Defekte, z.B. nach Software-Updates. Im Rahmen dessen stärkt das Gesetz zusätzlich die Stellung des Bundesamtes für Sicherheit in der Informationstechnik und des Bundeskriminalamtes (BKA) hinsichtlich Cyber-Crime.

Weiterhin sind betroffene Unternehmen verpflichtet, ihre IT-Infrastruktur nach dem Stand der Technik abzusichern und diese alle zwei Jahre überprüfen zu lassen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu vermeiden. Dies lässt sich am ehesten durch die Einrichtung eines Informationsmanagementsystems (ISMS) nach ISO 27001 erreichen, welches das BSI als ausreichenden Nachweis anerkennt.

Die BSI-KritisV sieht nur sehr kurze Fristen für die Absicherung der IT-Systeme vor, welche für die Sektoren Energie, IT und Telekommunikation, Ernährung und Wasser bereits im Mai 2018 ausgelaufen sind. Die restlichen Sektoren Finanz und Versicherungswesen, Transport und Verkehr, sowie Gesundheit haben nur noch bis zum Juni 2019 Zeit, um ihre IT an den Stand der Technik anzupassen. Da Zertifizierungsprozesse erheblichen zeitlichen Vorlauf in Anspruch nehmen, müssen KRITIS-Unternehmen sich also rechtzeitig um Zertifizierungen kümmern, um die kurze Umsetzungsfrist des BSI-KritisV einzuhalten. Andernfalls drohen hohe Bußgelder bis 100.000 Euro.

Dieser aktualisierte Artikel erschien zuerst am 24. August 2015.

Bestellen Sie einen unserer Experten als externen Informationssicherheitsbeauftragten und lassen sich bis zur erfolgreichen Zertifizierung nach ISO 27001 begleiten!

Datenschutzprüfungen von Smartphone-Apps

Der Datenschutz kommt bei Smartphone-Apps bisher entscheidend zu kurz: Darüber sind sich Datenschützer weitgehend einig. Das Landesamt für Datenschutzaufsicht in Bayern (LDA) hat daher automatisierte Verfahren entwickelt, um die Anwendungen mit geringem Aufwand auf die Einhaltung der datenschutzrechtlichen Anforderungen hin zu überprüfen.

Problematischer Datenhunger von App-Anbietern

Die Durchsetzung eines akzeptablen Datenschutz-Niveaus bei Smartphone-Apps war bisher relativ schwierig. Die kleinen Programme schienen sich zu schnell in zu unübersichtlicher Menge zu verbreiten. Schließlich gibt es für jede Kleinigkeit im Lebensalltag – vom Feststellen des Sonnenstands bis hin zum Auspusten von Kerzen – inzwischen eine entsprechende Anwendung für mobile Geräte.

Gleichzeitig sind sie relativ einfach und schnell zu beziehen. Zahlreiche Apps werden kostenlos angeboten und sind ohne großen Aufwand über den App Store auf dem Gerät installiert. So gab Apple an, im Jahr 2016 erstmals mehr als zwei Millionen Apps in seinem App Store anzubieten. Auch Googles Play Store bietet aktuell über zwei Millionen Apps zum Download an. Völlig unverhältnismäßig zur Flut der Programme erscheint im Vergleich dazu den meisten Nutzern der Aufwand, eine seitenlange Datenschutzerklärung für jedes Programm durchzulesen und nachzuvollziehen.

Diesen Umstand haben einige Anbieter ausgenutzt, um Daten ihrer Kunden in einem Umfang zu sammeln, der den meisten Nutzern nicht bewusst war. Zwar müssen sich Apps mittlerweile den Zugriff auf Teile des Smartphones oder Tablets vom Nutzer freigeben lassen, aber dabei lassen sich immer wieder Apps Berechtigungen einräumen, die sie für den eigenen Betrieb gar nicht benötigen. Wer kommt schon auf die Idee, dass eine einfache Spiele-App Adressbuchdaten, Standortinformationen, Anruflisten und gespeicherte Bilder auswertet? Wie viele Anwender sind sich darüber im Klaren, dass einige Programme umfangreiche persönliche Daten nicht nur an den Hersteller der Anwendung, sondern gleich an ein Dutzend weiterer Unternehmen weiterleiten? Eine Studie von Forschern der Universität Oxford ergab beispielsweise, dass 42,55 Prozent der Apps im Google Play Store den Facebook-Tracker enthalten. Wie viele Anwender haben einen Überblick darüber, welche App auf welche teils sehr privaten Informationen wie den Inhalt von Textnachrichten oder Fotos zugreift?

Landesbehörde entwickelt automatisiertes Prüfverfahren

Dass seitens der Datenschützer Handlungsbedarf besteht, ist offensichtlich. Das LDA in Bayern prüfte 2013 stichprobenartig 30 Apps und 2014 noch einmal 60 weitere – und fand zahlreiche Verstöße gegen das Datenschutzrecht. Keine App erfüllte die Anforderungen an den Datenschutz. Das Verhalten der Apple- und Android-Apps wurde dabei mithilfe von Methoden aus der IT-Forensik und Erkenntnissen aus aktuellen Forschungsprojekten im Bereich der Mobile Security analysiert.

Untersucht wurden dabei Informationen wie die übermittelten Netzwerkdaten, die beteiligten Datenempfänger, die eingesetzte Verschlüsselung und die Methoden zur Reichweitenmessung.

Worauf sollten App-Anbieter achten?

Die Datenschutz-Grundverordnung (DSGVO) macht auch vor Apps nicht Halt. Daraus ergeben sich unter anderem folgende Erfordernisse:

  • Der Anwender ist vor der erstmaligen Nutzung der App darüber zu informieren, welche seiner personenbezogenen Daten erhoben, zu welchem konkreten Zweck diese genutzt, in welche Länder und an welche genau bestimmten Unternehmen oder sonstigen Stellen diese übermittelt werden. Jede App sollte über eine entsprechende Datenschutzerklärung verfügen, die für den Nutzer schon vor der Installation und beim erstmaligen Start der App einsehbar sein muss. Der Inhalt der Datenschutzerklärung muss darüber hinaus für den Anwender jederzeit abrufbar vorliegen.
  • Die alleinige Existenz einer Datenschutzerklärung ist jedoch nicht ausreichend. Der Anbieter muss nachprüfbar im Rahmen des Möglichen und Zumutbaren sicherstellen, dass der Anwender den Inhalt verstanden hat. Das beinhaltet auch, dass die Erklärung verständlich formuliert und übersichtlich gestaltet ist.
  • Erhebt der Anbieter Daten, die über die gesetzlich geregelten Zwecke beispielsweise zur Durchführung des Rechtsgeschäftes hinaus gehen, ist eine ausdrückliche und freiwillige Einwilligung des betroffenen Nutzers erforderlich. Eine solche Einwilligung muss konkret nennen, welche Daten zu welchen eindeutig definierten Zwecken genutzt werden. Die Erteilung der Einwilligung ist zu protokollieren.
  • Eine Einwilligung ist nur dann gültig, wenn es dem Betroffenen jederzeit möglich ist, diese für die Zukunft zu widerrufen. Der Anbieter muss entsprechende Möglichkeiten und Wege dazu anbieten und ist dazu verpflichtet, den Nutzer ausdrücklich auf sein Widerrufsrecht hinzuweisen.
  • Richten sich Apps an Kinder und Jugendliche unter 16 Jahren, so ist darauf zu achten, dass die Einwilligung der Eltern vorliegen muss, damit personenbezogene Daten verarbeitet werden können.
  • Wird das Nutzerverhalten von der App getrackt, so muss auch hier die Einwilligung vor dem Tracking eingeholt werden. Auch über das Tracking muss in der Datenschutzerklärung informiert werden.
  • Der Anbieter muss geeignete technische Maßnahmen ergreifen, um die Nutzerdaten vor einem Zugriff Dritter zu schützen. Insbesondere muss eine verschlüsselte Datenübermittlung sichergestellt sein. Das LDA Bayern stellt einen Prüfkatalog zur Verfügung, um die Umsetzung der technischen Maßnahmen zu erfassen. Dieser wurde zwar noch nicht auf die Anforderungen der DSGVO aktualisiert, bietet aber dennoch eine wertvolle Auflistung der notwendigen technischen Maßnahmen.
  • Dem Anwender muss die Möglichkeit angeboten werden, Bezahlvorgänge im Zusammenhang mit dem Erwerb oder der Nutzung der App, soweit möglich und zumutbar, anonym oder unter Pseudonym zu tätigen.
  • Anbieter sollten die Einhaltung der datenschutzrechtlichen Bestimmungen sowohl im Hinblick auf den Datenfluss im Rahmen der eigentlichen Anwendung als auch der Reichweitenanalyse kontrollieren. Das LDA nennt diesen Bereich explizit als einen Gegenstand seiner Prüfungen.
  • Der Anbieter ist dazu verpflichtet, sich gegenüber dem Nutzer eindeutig kenntlich zu machen. Daher sollten Apps nicht nur über ein ordnungsgemäßes Impressum verfügen. Der für die Datenverarbeitung verantwortliche Anbieter muss auch in der Datenschutzerklärung erwähnt werden.

Für App-Entwickler und -anbieter hat der Düsseldorfer Kreis einen Leitfaden herausgegeben, damit der Datenschutz bereits in der Planungsphase berücksichtigt werden kann. Aktuell gibt es zwar keine Fassung, welche konkret auf die DSGVO zugeschnitten wurde, allerdings gibt der Leitfaden wichtige Anhaltspunkte über zu berücksichtigende Aspekte bei der App-Entwicklung.

Dieser aktualisierte Artikel wurde zuerst am 24. April 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

7 wichtige Grundlagen des Datenschutzes im Unternehmen

Die Kontrollen der Aufsichtsbehörden im Bereich des unternehmerischen Datenschutzes nehmen stark zu; häufig werden Versäumnisse aufgedeckt. Dabei ist die Erfüllung der wichtigsten Anforderungen oft schon mit geringen Aufwand möglich. Deshalb haben wir Ihnen regelmäßig auftretende Datenschutz-Versäumnisse und ihre schnelle Behebung zusammengetragen.

1. Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO schreibt vor, dass jedes Unternehmen ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten führen muss. Darin wird der Umgang des Unternehmens mit personenbezogenen Daten dokumentiert. Es enthält u. a. Informationen über das Unternehmen selbst, die Zwecke der Datenverarbeitung, die Kategorien der von der Datenerhebung Betroffenen sowie Regelfristen für die Löschung dieser Daten. Das Verzeichnis von Verarbeitungstätigkeiten dient in erster Linie als Nachweis gegenüber den Datenschutzaufsichtsbehörden.

Viele Unternehmen vernachlässigen diese gesetzliche Pflicht und führen kein oder nur ein unzureichendes Verfahrensverzeichnis. Damit schaden sie jedoch nicht nur ihrer Vertrauenswürdigkeit gegenüber Kunden, sondern erschweren sich selbst auch die interne Organisation und setzen sich der Gefahr eines hohen Bußgeldes aus, da die Verzeichnisse den Aufsichtsbehörden auf Verlangen vorgelegt werden müssen. Immerhin macht ein fehlendes Verfahrensverzeichnis nach strenger juristischer Betrachtungsweise die gesamte betreffende Datenverarbeitung rechtswidrig.

Hier finden Sie eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten zum kostenlosen Download.

2. Auftragsverarbeitungs-Verträge

Die meisten Unternehmen bedienen sich externer Dienstleister, um personenbezogene Daten zu verarbeiten. Die Auftragsbreite reicht von der Entsorgung von Papierabfällen bis zur Wartung der IT-Systeme oder auch der Zurverfügungstellung von Rechenkapazität (Cloud-Computing).

In all diesen Fällen bleibt jedoch das auftraggebende Unternehmen für die Einhaltung des Datenschutzes verantwortlich. Deshalb sieht das Gesetz vor, dass jeweils ein Auftragsverarbeitungsvertrag (AV-Vertrag oder auch Vertrag über Auftragsverarbeitung) zwischen den Parteien geschlossen wird, der bestimmte Mindestanforderungen erfüllen muss. Hierbei haben viele Unternehmen jedoch Schwierigkeiten, weshalb Verträge vielfach fehlen oder die abgeschlossenen Verträge oft nicht dem gesetzlichen Standard entsprechen und Bußgelder drohen.

Wir bieten ein kostenloses DSGVO-konformes Muster für einen AV-Vertrag zum Download an.

3. Datenschutzbeauftragter

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Dieser hat innerhalb des Unternehmens die Aufgabe, die Einhaltung des Datenschutzes zu überwachen. Dies ist jedoch oftmals eine sehr anspruchsvolle Aufgabe, da neben Organisationsvermögen, Zuverlässigkeit und datenschutzrechtlichen Kenntnissen auch technisches Wissen und ein geübter Umgang mit IT erforderlich sind. Ein Mitarbeiter ohne diese Soft-Skills und Fachkunde eignet sich daher nicht als Datenschutzbeauftragter bzw. sind intensive Schulungen zu empfehlen.

Obendrein darf auch kein Interessenskonflikt bestehen, so dass der Datenschutzbeauftragte weder Teil der Geschäftsführung sein, noch der Führung der Personal- oder IT-Abteilung angehören darf (mehr dazu in unserem Whitepaper zum betrieblichen Datenschutzbeauftragten).

Deswegen ist oftmals die Bestellung eines externen Datenschutzbeauftragten anzuraten, da aufgrund der Komplexität der Sachlage nur dieser in der Lage ist, den gesetzlichen Mindeststandard im Unternehmen herzustellen.

4. Lösch- und Sperrkonzepte

Die Datenschutz-Grundverordnung sieht strenge Regelungen für die Speicherung personenbezogener Daten vor. So dürfen diese stets nur so lange gespeichert werden, wie diese auch wirklich benötigt werden. Andererseits gibt es manchmal auch gesetzliche Aufbewahrungsfristen, so dass Daten über einen gewissen Zeitraum gespeichert werden müssen – und zwar getrennt von den Daten des alltäglichen Geschäfts.

Daher sollte jedes Unternehmen (neben dem Datensicherungskonzept) über ein Lösch- und Sperrkonzept verfügen, da die unbefugte Speicherung von personenbezogenen Daten ein schwerwiegender Verstoß gegen die DSGVO darstellt und mit hohen Bußgeldern belegt wird.

5. Informationspflichten

Spätestens mit Erhebung der Daten müssen Betroffene u.a. über den Verantwortlichen für die Datenverarbeitung, dessen Datenschutzbeauftragten, die Zwecke der Datenverarbeitung und etwaige Empfänger der Daten informiert werden. Die Informationspflichten müssen gegenüber sämtlichen Betroffenen erfüllt werden. Dazu zählen Mitarbeiter  wie Besucher der Unternehmenswebsite.

Zur Erfüllung Ihrer Informationspflichten, stellen wir Ihnen gleich mehrere kostenlose Generatoren bereit:

6. Beachtung von Auskunftsrechten

Vielen Unternehmen ist nicht bekannt, dass die von der Datenspeicherung Betroffenen von den entsprechenden Unternehmen jederzeit Auskunft u. a. über Art, Umfang und Zweck sowie eine mögliche Weitergabe an Dritte verlangen können.

Mehr Informationen dazu finden Sie in unserem Ratgeber zu Betroffenenrechten und zum Umgang mit Anfragen von Betroffenen.

7. Verpflichtung auf das Datengeheimnis

Den mit Datenverarbeitung betrauten Beschäftigten ist es verboten, personenbezogene Daten zu anderen als den  erforderlichen Zwecken zu erheben, zu verarbeiten und zu nutzen. Deshalb ist bereits bei der Einstellung eines Mitarbeiters darauf zu achten, dass dieser auf das Datengeheimnis verpflichtet wird. Andernfalls sollte dies unverzüglich nachgeholt werden.

Ein entsprechendes Verpflichtungsformular zur Erfüllung der Anforderungen haben wir Ihnen als Vorlage erstellt.

Fazit: Betrieblicher Datenschutz ist kein Hindernis

Wenn Sie in Ihrem Unternehmen die genannten sieben Schritte ausreichend umsetzen, dürften Sie in Sachen Datenschutz bereits recht gut dastehen. Ob eine vollständige Compliance mit der DSGVO erreicht wurde, kann natürlich nur durch einen Datenschutzexperten beurteilt werden.

Dieser aktualisierte Artikel erschien zuerst am 6. Dezember 2014.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!