Fachbeiträge & Kommentare zu Datensicherheit

§ 127 Bewegliche Sachen (§§ 883, 884, 897 ZPO) (1) Hat der Schuldner nach dem Schuldtitel eine bestimmte bewegliche Sache oder eine gewisse Menge von bestimmten beweglichen Sachen herauszugeben, so wird die Zwangsvollstreckung dadurch bewirkt, dass der Gerichtsvollzieher die Sache dem Schuldner wegnimmt und sie dem Gläubiger übergibt. Hat der Schuldner eine Menge von vertretb...mehr

(Die Gesetze sind im Text in der jeweils gültigen Fassung zitiert.)mehr

Die folgenden Checklisten fassen in kurzen Fragen, die Sie nur mit Ja, Nein oder Prüfen zu beantworten brauchen, die wichtigsten Sicherheitsanforderungen und -maßnahmen zusammen. Anhand Ihrer Antworten erhalten Sie ein genaues Bild über den aktuellen Zustand sowie über die Schwachstellen der IT-Sicherheit und der IT-Compliance in Ihrem Unternehmen. Hinweis Die Checklisten ent...mehr

Rz. 39 Zum 25.5.2018 erhielt § 75 durch Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 mit Abs. 4a eine weitere ergänzende Möglichkeit – neben der nach Abs. 2 neu geschaffenen Möglichkeit der Beantragung von Folgeforschungsfragen (Rz. 26 bis 28) –, die Verwendung der für dieses Vorhaben übermittelten Sozialdaten auch für...mehr

Steuerlich ist der Rechnungsversand mit E-Mail möglich, sofern der Empfänger zustimmt. Rechnung und E-Mail (unter den o. g. Voraussetzungen)[1] sind zu archivieren. Datensicherheit i. S. d. Datenschutzgesetzes ist mit der einfachen E-Mail nicht gegeben, kann aber mit der DE-Mail sichergestellt werden.mehr

Tz. 33 Stand: EL 36 – ET: 06/2022 Die Vorschrift, dass die Handelsbücher und die sonst erforderlichen Aufzeichnungen auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden können, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den GoB entsprechen, führt zur Überlegung, welche Buchführungsformen generell zul...mehr

Rz. 211 Die Festlegung von Maßnahmen zur Sicherstellung der "Datensicherheit" hat sich in jedem Fall am Schutzbedarf der verarbeiteten Daten zu orientieren. Das ergibt sich bereits aus der Definition, weil die "Datensicherheit" bzw. "Informationssicherheit" den Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeic...mehr

Rz. 203 5 Die Anforderungen aus AT 7.2 sind auch beim Einsatz von durch Mitarbeiter des Fachbereiches entwickelten oder betriebenen Anwendungen (Individuelle Datenverarbeitung – "IDV") entsprechend der Kritikalität der unterstützten Geschäftsprozesse und der Bedeutung der Anwendungen für diese Prozesse zu beachten. Die Festlegung von Maßnahmen zur Sicherstellung der Datensic...mehr

Rz. 212 In Abgrenzung zur "Datensicherheit" geht es beim "Datenschutz" um den Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte. Damit soll der Einzelne davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Die englische Bezeichnung für "Datenschutz" ist "Data Protection" als ...mehr

Rz. 45 Neben den internen Vorgaben für häusliche Arbeitsplätze werden auch Anforderungen an die Auswahl und die Nutzung der möglichen Standorte gestellt. So müssen sich die häuslichen Arbeitsplätze an festgelegten und mit dem Institut vereinbarten Standorten befinden (→ BTO 2.2.1 Tz. 3, Erläuterung). Dem Institut sollte, nicht zuletzt wegen der praktischen Möglichkeit zur Du...mehr

Rz. 210 Eigenentwicklungen von Software sind schon vor einigen Jahren stärker in den Fokus aufsichtlicher Prüfungshandlungen geraten. Vor diesem Hintergrund hat die BaFin im "Gesprächskreis kleiner Institute" mithilfe von Beispielen aufgezeigt, ab wann sie von einer Softwareentwicklung ausgeht und insofern die Anwendung des vorgeschriebenen Regelprozesses inkl. einer Trennun...mehr

Rz. 74 Da die Sicherheiten im Regelfall nicht an das Institut übergeben werden, handelt es sich in erster Linie um die Verwaltung der entsprechenden Urkunden und Verträge. Die ehemals in den Mindestanforderungen an das Kreditgeschäft (MaK) enthaltene Vorschrift, Sicherheiten, Sicherheitennachweise und Urkunden so zu verwahren, dass sie gegen Missbrauch oder Zerstörung geschü...mehr

Rz. 208 Vor diesem Hintergrund wurden die Anforderungen an IDV-Anwendungen konkretisiert. So sind laut Tz. 1.2 lit. f BAIT bereits in der IT-Strategie Aussagen zu IDV-Anwendungen zu treffen. Als Teil der Anwendungsentwicklung sind gemäß Tz. 7.6 BAIT auch für IDV-Anwendungen angemessene und risikoorientiert ausgestaltete Prozesse festzulegen, die Vorgaben zur Anforderungsermi...mehr

Rz. 12 In der nichtfinanziellen Erklärung[1] galt es zunächst, das Geschäftsmodell des Unternehmens gem. § 289c Abs. 1 HGB kurz darzustellen. Das CSR-RUG traf zur konkreten inhaltlichen Ausgestaltung der Beschreibung keine näheren Aussagen. Es konnte davon ausgegangen werden, dass die inhaltlichen Anforderungen zur Beschreibung des Geschäftsmodells für die nichtfinanzielle E...mehr

Rz. 204 Den Vorgaben der EBA zufolge sollen die ermittelten Geschäftsfunktionen, Unterstützungsprozesse und IT-Assets unter Berücksichtigung der Schutzziele im Hinblick auf ihre "Kritikalität" ("criticality") eingestuft werden.[1] Eng damit verbunden ist die Umsetzung verschiedener Anforderungen. Folglich wird von der deutschen Aufsicht gefordert, dass die Anforderungen aus ...mehr

Rz. 159 Das "Informations- und Kommunikationstechnologie-Risiko" (IKT-Risiko) wurde zunächst als Risiko von Verlusten aufgrund der Unzweckmäßigkeit oder des Versagens der Hard- und Software technischer Infrastrukturen verstanden, welche die Verfügbarkeit, Integrität, Zugänglichkeit und Sicherheit dieser Infrastrukturen oder der Daten beeinträchtigen können.[1] Neueren Defini...mehr

Rz. 3 Natürlich spielt die Auslagerung von Aktivitäten und Prozessen auf Dritte auch bei Banken und Finanzdienstleistern eine wichtige Rolle.[1] Auslagerungen fallen im Bankensektor sogar auf besonders fruchtbaren Boden, da die Institute im Vergleich zu Industrieunternehmen immer noch einen recht hohen Anteil der Leistungen in Eigenregie erstellen.[2] Dennoch geht der Trend ...mehr

Rz. 159 Gemäß Tz. 9.1 BAIT müssen auch Cloud-Dienstleistungen die Anforderungen nach AT 9 erfüllen. "Cloud-Dienstleistungen" sind demnach Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dyn...mehr

Rz. 7 Die technisch-organisatorische Ausstattung umfasst die Gesamtheit der Einrichtungen und Anlagen zur Leistungserstellung. Dazu zählen z. B. Grundstücke, Gebäude und das Büroinventar. Mit dem Ausbruch der COVID-19-Pandemie hat sich der Arbeitsmittelpunkt für verschiedene Tätigkeiten zunächst vorübergehend in das Homeoffice verschoben. Dass dieser Trend wieder vollständig...mehr

Rz. 1 Auf Basis der Ausweitung der Reportingpflicht für die Nachhaltigkeitsberichterstattung durch die Corporate Sustainability Reporting Directive (CSRD) stehen Unternehmen vor einer Herausforderung: große Datenmengen zu Nachhaltigkeitsthemen aus verschiedenen Datenquellen müssen konsolidiert, analysiert und zu Nachhaltigkeitsberichten verarbeitet werden. Diese Aufgabe läss...mehr

Rz. 115 Traditionell werden in den Instituten selbst entwickelte Anwendungen ("Individuelle Datenverarbeitung", IDV) auf Basis von MS Excel und MS Access als zentrale Aggregations- und Weiterverarbeitungstools verwendet. Diese Anwendungen werden oft zur Lösung von Ad-hoc-Anfragen verwendet, aber auch für regelmäßige Informationsbedürfnisse eingesetzt. Sie ermöglichen flexibl...mehr

Rz. 3 Ein Sustainability-Linked Loan, bisweilen auch als ESG-Linked Loan oder Positive Incentive Loan bezeichnet, ist ein Darlehenskonstrukt, das durch die Kopplung der Zinsmarge an Nachhaltigkeitskriterien finanzielle Anreize für nachhaltiges unternehmerisches Wirtschaften schafft. Dies ermöglicht es den Kreditgebern, die Nachhaltigkeitsperformance des Kreditnehmers zu ince...mehr

Rz. 152 Auch die EBA gestattet eine verhältnismäßige Anwendung ihrer detaillierten Vorgaben aus Abschnitt 5 der Leitlinien für die Kreditvergabe und Überwachung, indem die Institute bei der Umsetzung den Umfang, die Art und die Komplexität der jeweiligen Kreditfazilität – unbeschadet der Art. 18 und 20 der Wohnimmobilienkreditrichtlinie ("Mortgage Credit Directive", MCD)[1] ...mehr

Hinweis zur Benutzung des Literaturverzeichnisses: Sofern es sich bei den Autoren bzw. Herausgebern um Organisationen handelt, sind die aufgeführten Werke i. d. R. auf der Internetseite der jeweiligen Organisation verfügbar. Achtelik, Olaf, in: Herzog, Felix (Hrsg.), Geldwäschegesetz, 5. Auflage, München, 2023, § 24c KWG, § 25h KWG und § 6 GwG. ACI Deutschland e. V. – Arbeitsg...mehr

Bisherige Entwicklung der MaRisk Die Mindestanforderungen an das Risikomanagement (MaRisk) sind von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 15. April 2004 angekündigt[1] und in Abstimmung mit der Deutschen Bundesbank erstmalig am 20. Dezember 2005 als vorzeitiges Weihnachtsgeschenk für die Kreditwirtschaft veröffentlicht worden.[2] Mit Fertigstellung de...mehr

Rz. 52 Mit der Erstellung des Konzernabschlusses geht eine Vielzahl abschlusspolitischer Gestaltungsmöglichkeiten einher. Da es das Ziel eines Abschlusserstellers ist, die Analysemuster des Analysten möglichst zu antizipieren, und der Analyst wiederum versucht, durch geeignete Maßnahmen die abschlusspolitischen Aktivitäten des Abschlusserstellers aufzudecken, stehen Abschlus...mehr

Rz. 4 § 146a Abs. 1 S. 1 AO stellt zunächst allgemein fest, dass bei Verwendung eines elektronischen Aufzeichnungssystems dieses so ausgestaltet sein muss, dass jeder aufzeichnungspflichtige Geschäftsvorfall und andere Vorgänge einzeln, vollständig, richtig, zeitgerecht und geordnet aufgezeichnet werden. Unter den Begriff des elektronischen Aufzeichnungssystems fallen hierbe...mehr

Rz. 6 Für die Datensicherheit ist die gematik zuständig. Sie hat organisatorisch und technisch dafür zu sorgen, dass die Verfügbarkeit (Erreichbarkeit), Integrität (Sicherheit), Authentizität (Echtheit) und Vertraulichkeit (Zugriffsberechtigung) sowie ein einheitlicher Qualitätsstandard der Daten gewährleistet sind (Satz 1). Die gematik legt die Vorgaben für die Datenübermit...mehr

Rz. 14 Die personenbezogenen Daten in der Telematikinfrastruktur erfordern ein besonders hohes Schutzniveau. Die Sicherung des Datenverarbeitungsvorgangs wird durch technische und organisatorische Maßnahmen nach Art. 32 DSGVO gewährleistet (BT-Drs. 19/18793 S. 99 f.). Technische und organisatorische Maßnahmen werden gemäß des Gebots der technikneutralen Gesetzgebung nicht im...mehr

Rz. 2 "Geborene" Mitglieder des Digitalbeirats sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Weitere Mitglieder können berufen werden. Der Digitalbeirat berät dauerhaft die Gesellschaft für Telematik (gematik) zu Belangen des Datenschutzes und der Datensicherheit. Datensch...mehr

Rz. 5 Der Digitalbeirat berät die gematik laufend zu Belangen des Datenschutzes und der Datensicherheit sowie zur Nutzerfreundlichkeit der Telematikinfrastruktur und ihrer Anwendungen (Satz 1). Er ist außerdem vor der Beschlussfassung der Gesellschafterversammlung der gematik zu Angelegenheiten des Datenschutzes und der Datensicherheit sowie zur Nutzerfreundlichkeit der Tele...mehr

Rz. 2 Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient (Abs. 1; Datenautobahn des Gesundheitswesens). Abs. 2 gibt die Gesamtarchitektur der...mehr

Rz. 3 Die Telematikinfrastruktur muss für die Nutzung weiterer Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 327 geeignet sein (§ 306 Abs. 1 Satz 2 Nr. 2 Buchst. a). Diese Anwendungen können die Telematikinfrastruktur für das Gesundheitswesen sowie für die Gesundheitsforschung nutzen, wenn die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz ...mehr

Rz. 12 Die gematik ist beauftragt, das Auslesen von Protokolldaten (§ 309 Abs. 1), der elektronischen Verordnung, der Erklärung zur Organ- und Gewebespende und Hinweisen auf Erklärungen zur Organ- und Gewebespende sowie von Vorsorgevollmachten und Patientenverfügungen (§ 334 Abs. 1 Satz 2 Nr. 2, 3 und 6) über geeignete Endgeräte zu ermöglichen (Satz 1). Für die Authentifizie...mehr

Rz. 1 Art. 1 Nr. 31 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat die Vorschrift mit Wirkung zum 26.3.2024 eingefügt. Es wird evaluiert, ob die gematik die Belange des Datenschutzes und der Datensicherheit ausreichend berücksichtigt.mehr

Rz. 3 Die gematik setzt sich hinsichtlich ihrer Festlegungen zu Datenschutz, Datensicherheit und Nutzerfreundlichkeit der Anwendungen mit dem BSI und mit dem BfDI ins Benehmen und wird dazu durch den Digitalbeirat (§ 318a) beraten. Die Effektivität der Unterstützung wird durch das BMG bis zum 30.6.2025 evaluiert.mehr

Rz. 3 Die Verordnungsermächtigung erfasst die Anforderungen an die im Rahmen von strukturierten Behandlungsprogrammen mit digitalisierten Versorgungsprozessen erforderliche technische Ausstattung und an die Anwendungen der Leistungserbringer und Versicherten, den Nachweis, dass die erforderliche technische Ausstattung und die Anwendungen der Leistungserbringer und Versicherten...mehr

Rz. 2 Die Vorschrift stellt die Ziele, die innerhalb der Telematikinfrastruktur zur Verfügung stehenden Anwendungen, deren Verknüpfung mit anderen Komponenten der Telematikinfrastruktur und ihre Entwicklungsoffenheit fest. Es handelt sich um die zentrale Vorschrift für die Schaffung der Anwendungsinfrastruktur (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 334...mehr

Rz. 2 Die gematik überwacht den Betrieb von Komponenten und Diensten, die außerhalb der Telematikinfrastruktur betrieben werden. Die Regelung ist wegen der Öffnung der Telematikinfrastruktur für weitere Anwendungen (§ 325) erforderlich. Art und Umfang der Überwachungsmaßnahmen beziehen sich auf rein betriebstechnische Daten der jeweiligen Anwendung an den technischen Schnitt...mehr

Rz. 2 Die Gesellschaft für Telematik (gematik) hat sich hinsichtlich ihrer Festlegungen zu Datenschutz, Datensicherheit und Nutzerfreundlichkeit den Anwendungen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ins Benehmen zu setzen und durch den Digitalbeirat (§ 318a) ber...mehr

Rz. 2 Komponenten und Dienste der Telematikinfrastruktur (Hardware, Software, Dienstleistungen bzw. Kombinationen davon) werden von der gematik zugelassen. Die Zulassung ist durch den Anbieter zu beantragen. Die Vorgaben stellen sicher, dass Komponenten und Dienste, die von Herstellern angeboten werden, funktionsfähig, interoperabel und sicher sind (BT-Drs. 16/3100 S. 174 zu...mehr

Rz. 2 Die Telematikinfrastruktur kann für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwendet werden, wenn die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden, im Fall der Verarbeitung personenbezogen...mehr

Rz. 2 Die Norm regelt den Schutz der Versicherten vor Missbrauch der Daten ihrer elektronischen Gesundheitskarte. Es handelt sich um die zentrale Vorschrift zum Verwendungs-, Vereinbarungs- und Diskriminierungsverbot hinsichtlich der Daten der Versicherten in Anwendungen der Telematikinfrastruktur. Sie ist ein Baustein, mit dem im Normengeflecht der Telematikinfrastruktur – ...mehr

Rz. 21 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 3 Die gematik informiert die Versicherten auf ihrer Internetseite (www.gematik.de; abgerufen: 13.7.2022) und in analogem Format über die Telematikinfrastruktur. Damit werden auch Personen ohne Internetzugang angemessen informiert. Die Informationen sind in präziser, transparenter, verständlicher, leicht zugänglicher und barrierefreier Form anzubieten. Die gematik informi...mehr

Rz. 2 Die Norm bestimmt die datenschutzrechtliche Verantwortlichkeit in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur. Art. 4 Nr. 7 HS 2 DSGVO sieht vor, dass das Recht eines Mitgliedstaats den Verantwortlichen bestimmen kann, wenn Zwecke und Mittel einer Verarbeitung durch nationales Recht vorgegeben sind. Dem entsprechen die geset...mehr

Rz. 4 Die Gesellschafter der gematik schaffen die insbesondere für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur (Telematikinfrastruktur; § 306 Abs. 1). Die Aufgaben werden durch die gematik wahrgenommen. Die Norm konkretisiert den gesetzlichen Auftr...mehr

Aufwendige Implementierungsarbeiten sind für die Einführung einer Dokumentationssoftware in der Regel nicht nötig. Meist handelt es sich um Cloudlösungen. Einige Hersteller bieten ihre Lösung auch noch als klassische Festinstallation an. Bei solchen Anbietern können die Tools in der Regel auch hybrid genutzt werden, das heißt: ein Teil der Anwendungen liegt in der Cloud und ...mehr

Während das Social Web ein gutes Instrument für eine One-to-Many-Kommunikation ist, sind andere digitale Kanäle dafür prädestiniert, direkt und persönlich mit den Mandanten zu kommunizieren. Diese 1-zu-1-Kommunikation stellt besondere Anforderungen an die Datensicherheit und den Datenschutz. Im Folgenden werden diese Kanäle näher betrachtet: Newsletter/E-Mail WhatsApp/SMS Video...mehr

Eine eigene Website ist daher auch für Steuerberater der Standard, ebenso sollte ein regelmäßiger Online-Newsletter nicht fehlen, der die Mandanten mit aktuellen Informationen rund um Steuern und Kanzlei-Leben versorgt. Darüber hinaus gibt es viele weitere digitale Möglichkeiten, um mit Mandanten zu kommunizieren. In sozialen Netzwerken beispielsweise können Kanzleien ihr Im...mehr