Veränderungen der Anforderungen bis Mai 2018

(BDSG (Bundesdatenschutzgesetz), EU DSG-VO (Europäische Datenschutzgrundverordnung), BSIG (IT-Sicherheitsgesetz), NIS (EU Fassung IT-Sicherheitsgesetz))

Der Gesetzgeber überrollt Unternehmen und Behörden mit einer Vielzahl an Gesetzesänderungen, neuen Verordnungen, neuen europäischen Standards, welche alle in kürzester Zeit umzusetzen sind, so dass Unternehmen buchstäblich den Überblick über die Gesetzesflut verlieren.

Die neuen Gesetze und Änderungen sind aber von jedem Unternehmer umzusetzen und zu realisieren. Nach dem der Gesetzgeber über viele Jahre IT-Sicherheit und Datenschutz keine so hohe Beachtung geschenkt, holt dieser es nun nach und auch Bußgelder und Strafgelder erhöhen sich um ein Vielfaches. Bußgelder und Strafgelder wurden in Deutschland bisher mehr als erzieherische Maßnahme gesehen, die neuen Regelungen sehen allerdings den klaren Willen einer abschreckenden Maßnahme vor, was unabhängig von der möglichen Höhe auch zur tatsächlichen Nutzung der maximalen Höhe führen wird.

Die EU DSG-VO beschreibt den Mindeststandard für Datenschutz, welcher von keinem Mitglied unterschritten werden darf. Durch Öffnungsklauseln sind aber Anpassungen an nationale höhere Anforderungen ermöglicht worden, welchen sich auch Deutschland bedient. Obgleich alle Unternehmen bis Mai 2018 die neuen Regelungen anwenden sollen, ist diese noch nicht abschließend verabschiedet. Als Unternehmen sollten Sie hier auf die definitiven Mindestanforderungen aber schon jetzt reagieren, da diese auch nicht unterschritten werden dürfen. Aktuell ist der Gesetzgeber bemüht Landesdatenschutzgesetze und das Bundesdatenschutzgesetz zusätzlich bei zu behalten, um hier auch den Föderalismus aufrecht zu erhalten.

Bereits 2015 wurde das sogenannte IT-Sicherheitsgesetzt verabschiedet und war bereits im Juli 2015 für bestimmte Bereiche sofort wirksam, während andere Bereiche erst im Juli 2017 wirksam werden. Das IT-Sicherheitsgesetz bezieht sich auf bestimmte Angebote und auf kritische Infrastrukturen, sowie Teilen von diesen. Gerade der letzte Teil ist dabei interessant, da dies dazu führt, dass hier die IT-Sicherheit bis zum letzten Glied in der Kette nach diesem Gesetz einzuhalten und nachzuweisen ist und hierzu können dann Unternehmen einer jeder Größe zählen.

NIS ist die Version des IT-Sicherheitsgesetzes der EU, welche bis Mai 2018 von allen Mitgliedsstaaten umzusetzen ist und auch hier wieder als Mindesstandard zu sehen ist. Die Regelungen werden bei uns in bestehende Gesetze einfließen. Durch die Vorgaben des NIS wird die Gruppe der Unternehmen, welche dem BSIG unterliegen nochmals deutlich steigen.

Alle diese gesetzlichen Änderungen führen insgesamt zu einer höheren Sicherheit in der IT und der Daten, sowie bessere globale Durchsetzbarkeit. Interessant ist dabei, dass auch die USA ein IT-Sicherheitsgesetz entwickeln NIST Cybersecurity Framework.

Gerade die eigenen Nachweispflichten, auch ohne Prüfung und die Prüfungen durch Auftragnehmer führen zu einer deutlichen Erhöhung von IT-Sicherheit und Datenschutz. Auch Bußgelder und Strafgelder sind so gestaltet, dass ein Unternehmen oder Konzern jeder Größe dies auch deutlich in der Bilanz spürt und nicht einfach aus der Portokasse zahlen kann. Dies wiederrum führt auch an dieser Stelle zu einem erhöhten Anspruch der Selbstprüfung, sowie kritischen Prüfung von Auftragnehmern.

Eine wichtige Änderung betrifft die Haftung von Auftragnehmern zur Datenverarbeitung im Auftrag. Hatten bisher hier die Auftraggeber die Haftung selbst zu übernehmen, so haften ab Mai 2018 Auftraggeber und Auftragnehmer für alle möglichen Schäden, welche dann schnell die eigene Versicherung nicht mehr abdeckt.

Ein Irrtum von gerade kleineren Unternehmern ist, dass die unterschiedlichen Richtlinien und Gesetze nicht umgesetzt werden müssen, wenn keine Bestellungspflicht eines Datenschutzbeauftragten vorliegt oder für andere Nachweise. Auch wenn Sie als Unternehmen nicht zur Bestellung eines Beauftragten oder Nachweis Ihrer IT-Sicherheit verpflichtet sind, so sind Sie als Unternehmen dennoch an dessen Einhaltung gebunden, sowie auch an alle Dokumentationspflichten, bei Nichteinhaltung drohen neben hohen Buß- und Strafgeldern auch Schadenersatzforderungen in unbeschränkter Höher durch die Geschädigten. Versicherungen können Ihre Leistung ganz oder Teilweise verweigern, wenn Sie ihren gesetzlichen Pflichten nicht hinreichend nachgekommen sind. Die Haftung beschränkt sich dabei nicht auf das Unternehmen selbst, auch die Geschäftsleitung haftet unbeschränkt auch mit dem Privatvermögen selbst.

Aktuelle Umfragen haben ergeben, dass 97 % deutscher Unternehmen auf die aktuellen gesetzlichen Änderungen nicht hinreichend vorbereitet sind. Beauftragen Sie am Besten gleich uns mit einem ersten Quickcheck 2017/2018 um möglichen Handlungsbedarf für Sie zu ermitteln.

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen