Fachbeiträge & Kommentare zu IT-Sicherheit

Die Löschpflichten nach Art. 17 DSGVO beruhen vor allem auf den folgenden Erwägungsgründen: "Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. […] Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert wer...mehr

Rz. 33 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 22 Informationstechnische Systeme sind verboten und dürfen nicht angewendet werden, wenn sie außerhalb der Telematikinfrastruktur betrieben werden (Satz 1). Damit werden technische Möglichkeiten zum Makeln von elektronischen Rezepten unterbunden (BT-Drs. 20/9048 S. 128). Versicherte können elektronische Verordnungen diskriminierungsfrei in allen Apotheken einlösen und di...mehr

Messenger haben sich im alltäglichen Bereich durchgesetzt. Die Nachrichten zeichnen sich grundsätzlich durch eine hohe Übertragungs- und Verschlüsselungssicherheit ihrer Nachrichten inklusive beigefügter Anlagen aus. Naheliegend könnte es daher sein, eine Rechnung im PDF-Format als Anlage einer Messenger-Nachricht zu versenden. Lediglich bei dem Erstkontakt mit einem Empfänge...mehr

Datensicherheit oder IT-Sicherheit bezeichnet einen Zustand in einem Betrieb, in dem die Risiken für die Informationssicherheit, die beim Einsatz von digitalen Technologien aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch passende Maßnahmen auf ein tragbares Maß reduziert sind. Erst durch Gewährleistung des Schutzes von IT-Systemen und Daten (IT-/Cyber-Secur...mehr

Möglicherweise hat es sich bereits in den Schilderungen der 3 Szenarien aus den vorangegangenen Kapiteln erschlossen: Die Ursachen für Mängel der Datensicherheit entstehen immer auf dem Fundament einer Gemengelage aus technischen, organisatorischen und/oder personellen Gründen (Abb. 2). Abb. 2: Mögliche Ursachen für Sicherheitspannen – Beispiele Abb. 2 zeigt, dass Datensicherh...mehr

Das Programm richtet sich an Unternehmen mit bis zu 500 Mio. EUR Jahresumsatz, die ihre digitale Infrastruktur ausbauen oder Prozesse transformieren möchten. Förderfähig sind unter anderem: Aufbau oder Erweiterung von IT-Systemen, Digitalisierung von Geschäftsprozessen, Investitionen in Software, Plattformen und Netzwerke, Maßnahmen zur IT-Sicherheit sowie Mitarbeiterschulungen z...mehr

mehr

Bevor ein Tool Einzug in die Kanzlei hält, sollte der Prozess bzw. die Prozesse, die damit effizienter gestaltet oder automatisiert werden sollen, ermittelt werden. Bei der Tool-Auswahl selbst stehen technische Zuverlässigkeit und Rechtskonformität an erster Stelle. Man sollte nur KI-Lösungen einsetzen, die die rechtlichen Rahmenbedingungen erfüllen und die zudem seriös, sic...mehr

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Ob eine Pflicht für Meldungen oder Benachrichtigungen besteht, ist individuell zu beurteilen. So ist z. B. der Verlust eines Speichermediums...mehr

Hier gelangen Sie zum Energiewirtschaftsgesetz.mehr

Unter der EU-Datenschutz-Grundverordnung richten sich Benennung, Stellung und Aufgaben Datenschutzbeauftragter nach den Art. 37, 38 und 39 DSGVO. Für öffentliche Stellen in Deutschland gilt zusätzlich das BDSG. Darin werden die Öffnungsklauseln genutzt, welche die DSGVO einräumt. Das bedeutet, dass das BDSG Lücken der DSGVO schließt und sie für landesspezifische Anwendungsfä...mehr

Rz. 262 Bei der elektronischen Akte geht es darum, unterschiedliche Informationsobjekte (wie z.B. ein- und ausgehende Post) so miteinander zu verknüpfen, dass der Benutzer durch einen Blick in die elektronische Akte eine ganzheitliche, vorgangsbezogene Sicht auf alle relevanten Informationen bekommt. Elektronische Akten gleichen dabei hinsichtlich ihrer Struktur oftmals der p...mehr

Rz. 2 Alle Krankenhäuser (§§ 197 ff.) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf...mehr

1 Allgemeines Rz. 1 Die Norm stellt alle Krankenhäuser unter ein IT-Sicherheitsregime, um die Sicherheit der informationstechnischen Systeme in den Krankenhäusern dauerhaft zu gewährleisten. Sie dient letztlich der Patientensicherheit. Die Deutsche Krankenhausgesellschaft (DKG) unterstützt diesen Prozess durch einen branchenspezifischen Sicherheitsstandard (B3S) i. S. d. §§ 3...mehr

1 Allgemeines Rz. 1 Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien entlang der medizinischen Versorgungsprozesse im Gesundheitswesen (BT-Drs. 20/9048 S. 149). Gleichzeitig wächst das Bedrohungspotenzial durch zielgerichtete, technologisch ausgereifte und komplexe Angriffe. Solche Cyberangriffe richten sich nicht nur gegen die unmittelbaren Leistung...mehr

Rz. 2 Alle Krankenkassen (§ 4) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Krankenkasse und die Sicherheit der verar...mehr

Rz. 3 Vorkehrungen nach Abs. 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeitenden. Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme (BSI, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Faktor-Mensch/Awareness/awareness_nod...mehr

Rz. 1 Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien entlang der medizinischen Versorgungsprozesse im Gesundheitswesen (BT-Drs. 20/9048 S. 149). Gleichzeitig wächst das Bedrohungspotenzial durch zielgerichtete, technologisch ausgereifte und komplexe Angriffe. Solche Cyberangriffe richten sich nicht nur gegen die unmittelbaren Leistungserbringer, s...mehr

Rz. 10 Krankenkassen (§ 4) gehören zu kritischen Anlagen (§ 10 BSI-Gesetz i. V. m. § 7 Abs. 6, 7 BSI-Kritisverordnung; Ausnahmen: kleinere Krankenkassen, die den Schwellenwert von 500.000 Versicherten nicht erreichen). Sie sind nach §§ 30, 31 und 39 BSI-Gesetz verpflichtet, Sicherheitsstandards einzuhalten. Kleinere Krankenkassen oder ausgelagerte Betriebe oder Betriebsteile...mehr

Rz. 6 Krankenhäuser (§ 108) gehören zu kritischen Anlagen (§ 10 BSI-Gesetz i. V. m. § 6 BSI-Kritisverordnung; Ausnahmen: kleinere Krankenhäuser, die den Schwellenwert von 30.000 stationären Fallzahlen jährlich nicht erreichen). Ihre Betreiber sind nach §§ 30, 31 und 39 BSI-Gesetz verpflichtet, Sicherheitsstandards einzuhalten. Kleinere Krankenhäuser oder ausgelagerte Betrieb...mehr

2.1 IT-Sicherheit (Abs. 1) Rz. 2 Alle Krankenkassen (§ 4) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Krankenkasse un...mehr

Rz. 11 Sollten sich Krankenkassen bei ihren Aufgaben Dritter bedienen, sind für deren informationstechnische Systeme vertragliche Vereinbarungen zu treffen, die eine verbindliche Umsetzung des B3S-GKV/PV (Rz. 6) durch diese Dienstleister sicherstellt.mehr

Rz. 12 Dittrich/Dochow/Ippach, Cybersicherheitsvorgaben im Gesundheitssektor durch das Digitalgesetz – ein kritischer Überblick, GuP 2024, 189. Effertz, Abrechnungsmanagement durch private Dritte?, KrV 2025, 7. Weichert, Cloud Computing für SGB V – Leistungserbringer und Kassen, SGb 2024, 406.mehr

2.1 IT-Sicherheit (Abs. 1) Rz. 2 Alle Krankenhäuser (§§ 197 ff.) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenh...mehr

Rz. 7 Weichert, Cloud Computing für SGB V – Leistungserbringer und Kassen, SGb 2024, 406. Bundesamt für Sicherheit in der Informationstechnik, Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung. DKG, Informationssicherheit im Krankenhaus – Branchenspezifischer Sicherheitsstandard (B3S).mehr

Rz. 5 Die Krankenhäuser können die Verpflichtungen nach den Abs. 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden. Dessen Eignung muss vom BSI nach § 30 Abs. 8 BSI-Gesetz festgestellt werden. Einen entsprechenden I...mehr

Rz. 1 Die Norm stellt alle Krankenhäuser unter ein IT-Sicherheitsregime, um die Sicherheit der informationstechnischen Systeme in den Krankenhäusern dauerhaft zu gewährleisten. Sie dient letztlich der Patientensicherheit. Die Deutsche Krankenhausgesellschaft (DKG) unterstützt diesen Prozess durch einen branchenspezifischen Sicherheitsstandard (B3S) i. S. d. §§ 30, 31 und 39 ...mehr

Rz. 4 Organisatorische und technische Vorkehrungen nach Abs. 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht. Der Aufwand zur Implementierung und Aufrechterhaltung geforderter Maßnahmen hängt maßgeblich...mehr

Rz. 4 Organisatorische und technische Vorkehrungen nach Abs. 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht. Der Aufwand zur Implementierung und Aufrechterhaltung geforderter Maßnah...mehr

Rz. 6 Die Krankenkassen wirken verpflichtend in einem gemeinsamen bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Krankenkassen (Abs. 3) mit (Satz 1). Sie werden im Arbeitskreis durch ihre Verbände und den Spitzenverband Bund der Krankenkassen (GKV-Spitzenverba...mehr

Rz. 5 Die Krankenkassen sind verpflichtet, den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Krankenkassen in der jeweils gültigen Fassung anwenden (Rz. 6). Er liegt aktuell mit dem Stand v. 15.5.2025 vor. Die Vorschrift lässt auch andere Lösungen zu. Die Eignung des Sicherheitsstandards wird vom BSI festgestellt (§ 30 Abs. 8 BSI-Gese...mehr

Soweit die Verlagerung des Tätigkeitsorts auf die Initiative des Arbeitnehmers zurückgeht, stellen die damit verbundene Änderung des Arbeitsorts sowie der Arbeitsumstände mangels Zuweisung durch den Arbeitgeber selbst bei längerer Dauer keine nach §§ 99 Abs. 1, 95 Abs. 3 BetrVG mitbestimmungspflichtige Versetzung dar. Soll nicht nur einzelnen Mitarbeitern, sondern einem größe...mehr

Überblick Aufgrund des technischen Fortschritts und dem Einsatz von künstlicher Intelligenz sind die Möglichkeiten der Überwachung von Beschäftigten vielfältig und operativ oft einfach umzusetzen. Gleichzeitig stellen erhöhte Compliance Anforderungen an die IT-Sicherheit Arbeitgeber vor neue Herausforderungen, z. B. im Rahmen der NIS2-Richtlinie, die z. B. die Durchführung v...mehr

Seit dem 12.9.2023 gilt der EU Data Act (Verordnung (EU) 2023/2854) unmittelbar in allen EU-Mitgliedstaaten. Er regelt den Zugang zu und die Nutzung von Daten, insbesondere bei vernetzten Produkten, Cloud-Diensten und Datenteilungen zwischen Unternehmen (B2B) und zwischen Unternehmen und öffentlichen Stellen. Bei Verstößen gegen Kapitel II des Data Act (Datenzugang und -nutzu...mehr

Die Meldepflicht tritt ein, wenn Schutzmaßnahmen nicht effektiv waren und dadurch Vorgaben der DSGVO verletzt wurden. Aufgrund dessen, dass eine unrechtmäßige Kenntnisnahme Dritter nicht mehr erforderlich ist, erübrigt sich auch die Unterscheidung zwischen einer Softwarepanne und einem Hackerangriff. Nur eine infrastrukturelle Verletzung der IT-Sicherheit ohne Personenbezug ...mehr

Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht: Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up). Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschl...mehr

Rz. 56 Der Inhalt eines Vertrags zur Auftragsverarbeitung ist nach Art. 28 Abs. 3 DSGVO vorgegeben. Durch den Vertrag muss sichergestellt werden, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, die IT-Sicherheit gewährleistet und den Auftraggeber bei der Umsetzung seiner Verpflichtungen aus der DSGVO unterstützt. ...mehr

Rz. 73 Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs...mehr

mehr

Rz. 97 Das Bayerische Landesamt für Datenschutzaufsicht hat eine Checkliste mit IT-Sicherheitsmaßnahmen definiert, die eine gute Orientierung zu den erforderlichen Maßnahmen zur Gewährleistung der IT-Sicherheit bietet. Sie ist abrufbar unter https://www.lda.bayern.de/checkliste_tom Die Aufsichtsbehörde für Niedersachsen hat eine Methodik herausgegeben, wie der Prozess zur Aus...mehr

Rz. 94 Die Art und Weise, in der eine Aufsichtsbehörde auf die Meldung eines Datenverlustes reagiert, hängt von dem gemeldeten Vorfall und dessen Ursachen ab. Die Aufsichtsbehörde kann grundsätzlich ein Bußgeld bei Verletzung der Datensicherheit verhängen. Gerade wenn wiederholte und gleichartige Datenpannen auf strukturelle Defizite im Rahmen der IT-Sicherheit hindeuten, erh...mehr

Rz. 70 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen...mehr

Rz. 49 Die Auftragsverarbeitung durch den Dienstleister ist abzugrenzen von einer eigenverantwortlichen Datenverarbeitung. Damit stellt sich die Frage, wann ein Unternehmen noch als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO handelt und wann er weisungsgebundener Dienstleister ist. Rz. 50 Nach der DSGVO wird ein Unternehmen als Verantwortlicher für eine Datenverarbeitung ange...mehr

Rz. 62 Mit dem Abschluss des AV-Vertrages sind die Pflichten von Auftraggeber und Auftragnehmer nicht beendet. Aus dem AV-Vertrag resultieren für beide Beteiligten weitere Pflichten. Rz. 63 Spätestens zu Beginn der Datenverarbeitung sollte sich der Auftraggeber im Rahmen seiner Rechenschaftspflichten nach Art. 24 DSGVO vom Auftragsverarbeiter bestätigen lassen, dass die vertr...mehr

Soweit die Verlagerung des Tätigkeitsorts auf die Initiative des Arbeitnehmers zurückgeht, stellen die damit verbundene Änderung des Arbeitsorts sowie der Arbeitsumstände mangels Zuweisung durch den Arbeitgeber selbst bei längerer Dauer keine mitbestimmungspflichtige Versetzung [1] dar. Soll nicht nur einzelnen Arbeitnehmern, sondern einem größeren Teil der Belegschaft die mob...mehr

Soweit die Verlagerung des Tätigkeitsorts auf die Initiative des Arbeitnehmers zurückgeht, stellen die damit verbundene Änderung des Arbeitsorts sowie der Arbeitsumstände mangels Zuweisung durch den Arbeitgeber selbst bei längerer Dauer keine mitbestimmungspflichtige Versetzung [1] dar. Soll nicht nur einzelnen Mitarbeitern, sondern einem größeren Teil der Belegschaft die Mögl...mehr

a) Datenschutz nach der DSGVO Die Speicherung und Nutzung personenbezogener Daten des Erblassers nach dessen Tod muss DSGVO-konform erfolgen. Grundsätzlich gilt die DSGVO zwar nicht mehr für Verstorbene (ErwG 27 DSGVO), allerdings umfassen Daten des Erblassers, die in dem KI-Avatar gespeichert werden, regelmäßig auch lebende Dritte, welche weiterhin dem Schutz der DSGVO unter...mehr

Die Speicherung und Nutzung personenbezogener Daten des Erblassers nach dessen Tod muss DSGVO-konform erfolgen. Grundsätzlich gilt die DSGVO zwar nicht mehr für Verstorbene (ErwG 27 DSGVO), allerdings umfassen Daten des Erblassers, die in dem KI-Avatar gespeichert werden, regelmäßig auch lebende Dritte, welche weiterhin dem Schutz der DSGVO unterliegen. Zudem muss der Erblas...mehr

Schließlich bedarf es bei der Implementierung eines KI-Avatars der Beachtung der der europäischen KI-Verordnung (Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates v. 13.6.2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz [Verordnung über künstliche Intelligenz – KI-VO], ABl. (EU) L 2024/1689 v. 12.7.2024). Insbesondere bei persönlich...mehr