Die neue Vorratsdatenspeicherung: Was erwartet speicherpflichtige Unternehmen?

Der Deutsche Bundestag hat im Oktober 2015 gegen großen Widerstand von Datenschützern ein neues Gesetz zur Vorratsdatenspeicherung verabschiedet. Anbieter von Telefon- und Internetdiensten – nachfolgend: „verpflichtete Unternehmen“ – müssen spätestens ab 1. Juli 2017 sowohl Verbindungsdaten als auch Standortdaten von Nutzern für eine bestimmte Dauer speichern. Die Daten sollen von Behörden zur Aufklärung von Straftaten genutzt werden können. Auch wenn noch unklar ist, ob das Gesetz vor dem Bundesverfassungsgericht Bestand haben wird, sollten speicherpflichtige Unternehmen frühzeitig aktiv werden, um keine Bußgelder zu riskieren. Die wichtigsten Punkte zum neuen Gesetz haben wir nachfolgend für Sie zusammengefasst.

Unternehmen im datenschutzrechtlichen Würgegriff der US-Behörden

Wie stark nutzen US-amerikanische Behörden eigentlich ihr Recht, personenbezogene Daten von Unternehmen zu kontrollieren? Angesichts der spektakulären Entscheidung des Europäischen Gerichtshofs (EuGH), den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unwirksam zu erklären, gewinnt diese Frage neue Brisanz. Immerhin führte das Gericht die massenhaften und unkontrollierten Überprüfungsaktivitäten US-amerikanischer Behörden als wichtiges Argument an. Denn dies sei nicht mit den datenschutzrechtlichen Regelungen der EU vereinbar, so der EuGH. Wie aktuelle Veröffentlichungen zeigen, lag der Gerichtshof mit seiner Urteils-Begründung noch näher an der Realität, als zu befürchten war.

Mehr Datenschutz durch neues Melderecht

Vom Patriot Act zum Freedom Act: Datenschutz in den USA

Am 2. Juni 2015 einigte sich der US-Senat auf den Freedom Act, eine gesetzliche Regelung, die Teile des abgelaufenen Patriot Acts ablöst. Die Neufassung unter anderem der Teile, die die Telekommunikationsdaten und ihre Überwachung betreffen, war notwendig geworden, um der amerikanischen Öffentlichkeit nach den Enthüllungen Edward Snowdens das Vertrauen in ihre Behörden wiederzugeben. Gemäß dem Freedom Act dürfen amerikanische Behörden (z. B. die NSA) nicht mehr massenhaft Daten von Betroffenen sammeln. Vor dem Hintergrund der vernichtenden Entscheidung des EuGH über das Safe-Harbor-Abkommen stellt sich nun für Unternehmen die Frage, ob durch den Freedom Act der internationale Datentransfer zwischen EU-Staaten und den USA ermöglicht, bzw. erleichtert wird?

Safe Harbor: Das Datenschutzabkommen und sein Ende

Safe Harbor war ein Datenschutzabkommen zwischen den USA und der EU. Es ermöglichte den internationalen Datentransfer in die USA als sogenanntes Drittland. Das Safe-Harbor-Abkommen wurde 2015 durch ein Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt.

Konzerninterner Datentransfer mittels Betriebsvereinbarung

Konzerne sind meist auf eine konzernweite IT-Infrastruktur, beispielsweise ein ERP- oder CRM-System, angewiesen. Die große Herausforderung besteht darin, einen aus Sicht des Datenschutzes rechtskonformen Einsatz zu gewährleisten, ohne dabei größeren technischen oder organisatorischen Aufwand zu erzeugen oder den Datentransfer zu beschränken. Ein geeignetes Mittel dafür kann eine Betriebsvereinbarung sein, deren Form und Inhalte hier erläutert werden.

Einflüsse auf das ISMS gemäß DIN ISO/IEC 27001:2015 erfassen

Damit ein Informationssicherheitsmanagementsystem (ISMS) funktioniert, muss die Situierung des Unternehmens angemessen erfasst werden. Denn nur wenn sämtliche Einflüsse auf das Unternehmen bekannt sind, kann eine vollumfängliche Abschätzung der Bedrohungen und Chancen erfolgen. Wichtig ist es daher, dass das Unternehmen als Teil einer Gesamtstruktur gesehen wird, welche nicht allein von internen Faktoren beeinflusst sondern auch von externen Faktoren affektiert wird. Die neue deutsche Version (DIN ISO/IEC 27001:2015) der ISO 27001 Sicherheitsnorm formuliert konkrete Anforderungen, wie dies geschehen sollte. Wir erklären das Procedere in drei Schritten.

Die neue Risikoanalyse nach DIN ISO/IEC 27001:2015

Durch die Einführung der neuen deutschen Version DIN ISO/IEC 27001:2015 haben sich auch die Vorgaben für die Risikoanalyse im Rahmen der ISO 27001 verändert. Grund dafür ist der Verweis der Risikoanalyse auf die ISO/IEC 31000 Norm, welche Grundsätze und Richtlinien für ein funktionierendes Risikomanagement festlegt. Daher erfahren Sie in diesem Artikel alles Wichtige zu Planung und Durchführung der Risikoanalyse entsprechend des neuen Sicherheitsstandards.

Chancen des Unternehmens in der DIN ISO/IEC 27001:2015

Die neue deutsche Version der ISO 27001 Sicherheitsnorm (DIN ISO/IEC 27001:2015) sieht vor, dass Unternehmen in ihrem Informationssicherheitsmanagementsystem (ISMS) sogenannte Chancen definieren. Dies wirft auf den ersten Blick einige Fragen hinsichtlich der Umsetzung auf. In diesem Artikel zeigen wir, wie mit dieser Anforderung an die Informationssicherheit im Unternehmen richtig umzugehen ist und welchen Mehrwert die Einbeziehung von Chancen im ISMS liefert.

Anleitung: Sicheres Gäste-WLAN im Unternehmen einrichten – 9 Expertentipps

Das Anbieten von WLAN-Zugängen ist inzwischen nicht nur für Hotels zum gängigen Standard geworden. Beinahe jedes Unternehmen mit Publikumsverkehr offeriert seinen Gästen einen Zugang zu seinem Internetanschluss. Dass dies aus rechtlicher Sicht nicht immer unproblematisch ist, haben wir bereits ausführlich in einem anderen Artikel dargestellt. Für Besserung soll nun ein Gesetz zur Neuregelung der Störerhaftung sorgen. Der aktuelle Entwurf davon verlangt „zumutbare Schutzmaßnahmen“ des WLAN-Betreibers, welche Rechtsverletzungen durch Dritte mittels dessen Anschluss verhindern sollen. Welche konkreten Schutzmaßnahmen getroffen werden müssen, kann zumindest teilweise der Gesetzesbegründung entnommen werden: Dort ist die Rede von einer WPA2-Verschlüsselung, der freiwilligen Registrierung der Nutzer des WLANs und einer Belehrung der Nutzer über das Unterlassen von Rechtsverletzungen. Diese Vorgaben alleine dürften jedoch wohl nicht ausreichen, um sich als Unternehmen abzusichern. Daher zeigen wir Ihnen, wie Sie mit Hilfe von neun Maßnahmen eine angemessen sichere Ausgestaltung eines Gäste-WLAN erreichen.